Sécuriser l'accès ssh au serveur

Changer le port d'écoute

Habituellement, le serveur écoute le port 22. Une première chose à faire est de changer ce port, ce qui rendra les attaques par force brute bien plus difficiles.

Pour cela , on éditera le fichier /etc/ssh/sshd_config et on remplacera le port 22 par un autre non utilisé(ex 2222).

On relancera le service sshd pour que les changements soient pris en compte

service sshd restart

installer fail2ban

fail2ban est un logiciel qui va scruter les logs de connexion (ssh ou autre) pour voir si une ip a essayé plusieurs fois de se connecter en ssh sans succès. Si fail2ban détecte plusieurs échecs, l'adresse ip du "pirate" est bannie . Plus de connexion possible.

apt install fail2ban

Ensuite, on modifiera le fichier /etc/fail2ban/jail.conf

pour mettre la durée de ban dans la section [DEFAULT] assez importante, et baisser à "3" le nombre d'essais possibles avant BAN.

Truc & astuceEnvoie de mail

On pourra configurer l'envoi de mail à l'admin en cas de ban d'une IP. Il faudra par contre installer un utilitaire mail, comme ssmtp et l'avoir configuré pour envoyer des messages.