Installer et sécuriser l’accès SSH sur un serveur Debian Squeeze

Après avoir installer une Debian 6.0 en version serveur sur une machine virtuelle, il est utile d’avoir un accès console en utilisant le SSH plutôt que de passer toujours par le VSphère Client. De plus, certains packages sont à installer afin de sécuriser l’accès.

Par conséquent, je vais détailler les différents actions à réaliser après avoir installer Debian sur une machine virtuelle.

Pour commercer, penser à installer les VMwares Tools ( voir article ici )

Activation de la colorisation des commandes :

Remarque : Les changements seront prise en compte lors de la prochaine connexion.

Installation d’un éditeur de texte:

Afin de pouvoir administrer correctement, il faut un éditeur de texte comme VIM par exemple.

Configurer l’affichage avec la commande suivante :

 Installation du serveur Secure Shell:

 

Afin de sécuriser l’accès, il est utile de mettre en place les points suivants :

Désactiver l’accès à l’utilisateur root:

Améliorer la sécurité commence par interdire l’accès de l’utilisateur root. Pour cela mettre à jour le fichier /etc/ssh/sshd_config puis redémarrer le service SSH.

Filtrer l’accès à certains utilisateurs:

Afin de limiter le nombre de compte ayant accès au service SSH, il est possible d’autoriser les connexions à un groupe d’utilisateur.

Création du groupe ssh-users

Modifier le fichier de configuration pour autoriser le groupe puis recharger la configuration.

Création d’un utilisateur et ajouter l’utilisateur au groupe ssh-users.

Attention à ce stade, bien s’assurer d’avoir l’accès à la console avec l’utilisateur

 Protection des attaques brute-force et DDOS:

Pour cela, il existe un outil Fail2ban. Il surveille les échecs de connexion au serveur SSH, et bloque pour un temps donné les adresses IP à l’origine de 5 échecs successifs. Ce comportement permet de bloquer la plupart des attaques de déni de service, et la récupération des mots de passes des utilisateurs par la force brute.

Installation de l’outil

Activation ensuite de l’outil pour controler l’accès SSH et redémarrage du service.

Modification du port d’écoute:

Par défaut, le port d’écoute est le 22. Il est préférable pour diminuer le nombre d’attaque automatisées de changer le port.

Modification du fichier /etc/ssh/sshd_config et rechargement de la configuration.

Penser à mettre à jour l’outil Fail2ban.