Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
ssh [Le 23/04/2026, 22:18] – [Installation du client SSH] simplification | description client | +macOS | suppr HS / doublon (parefeu) | mise en forme krodelabestiolessh [Le 07/05/2026, 17:43] (Version actuelle) – [Configuration du serveur] warning désactiver //toutes// les autres méthodes krodelabestiole
Ligne 77: Ligne 77:
 La configuration par défaut du serveur SSH sous Ubuntu est fonctionnelle, mais n'apporte pas un niveau de sécurité suffisant pour l'exposer sur Internet ! La configuration par défaut du serveur SSH sous Ubuntu est fonctionnelle, mais n'apporte pas un niveau de sécurité suffisant pour l'exposer sur Internet !
  
-Pour cela il faut désactiver l'[[#authentification par mot de passe]] et forcer l'[[#authentification_par_un_systeme_de_cles_publiqueprivee|utilisation de clés]].+Pour cela il faut forcer l'[[#authentification_par_un_systeme_de_cles_publiqueprivee|utilisation de clés]] et [[#désactiver toutes les autres méthodes d'authentification]].
 </note> </note>
  
Ligne 100: Ligne 100:
 Tableau des principales directives à modifier si besoin : Tableau des principales directives à modifier si besoin :
  
 +<mobiletable 1>
 ^Directive du fichier^Valeur par défaut sous Ubuntu^Valeur possible^Effet de la valeur choisie^ ^Directive du fichier^Valeur par défaut sous Ubuntu^Valeur possible^Effet de la valeur choisie^
 |''Port''|''22''| Tous les ports qui ne sont pas utilisés par un autre service  | Le changement du port par défaut , souvent conseillé, n'augmentera pas la sécurité. C'est même l'inverse si vous choisissez un port non privilégié, c'est à dire supérieur à 1024  | |''Port''|''22''| Tous les ports qui ne sont pas utilisés par un autre service  | Le changement du port par défaut , souvent conseillé, n'augmentera pas la sécurité. C'est même l'inverse si vous choisissez un port non privilégié, c'est à dire supérieur à 1024  |
-|''PermitRootLogin''|''without-password'' / ''prohibit-password''|''yes'' ''no'' ''without-password'' ''forced-commands-only'' ''prohibit-password''cf [[http://manpages.ubuntu.com/manpages/lucid/man5/sshd_config.5.html| le man]] |+|''PermitRootLogin''|''without-password'' / ''prohibit-password''|''yes'' ''no'' ''without-password'' ''forced-commands-only'' ''prohibit-password''Permet la connexion directe de l'utilisateur ''[[:root]]''À éviter pour des raisons de [[:sécurité]] (en particulier sur un serveur Ubuntu, sur lequel l'utilisateur ''root'' n'esiste pas par défaut). |
 |''PubkeyAuthentication''|''yes''|''no''|Laisser ''yes'' si vous voulez établir l'authentification par clé comme expliqué plus haut| |''PubkeyAuthentication''|''yes''|''no''|Laisser ''yes'' si vous voulez établir l'authentification par clé comme expliqué plus haut|
 |''PasswordAuthentication''|''yes''|''no''|On peut parfaitement conserver l'authentification par clé pour certains utilisateurs avec celle par mot de passe pour d'autres utilisateurs. Conserver cette valeur à yes tant que l'authentification par clé n'est pas pleinement fonctionnelle, sinon vous perdrez toute connexion en SSH| |''PasswordAuthentication''|''yes''|''no''|On peut parfaitement conserver l'authentification par clé pour certains utilisateurs avec celle par mot de passe pour d'autres utilisateurs. Conserver cette valeur à yes tant que l'authentification par clé n'est pas pleinement fonctionnelle, sinon vous perdrez toute connexion en SSH|
Ligne 108: Ligne 109:
 |''#MaxStartups 10:30:60''|ligne commentée donc inactive|décommenter (enlever symbole ''#'')|Le ''10'' représente le nombre de connexions acceptées sans qu'un utilisateur ait réussi à s'identifier, si cela passe au dessus de ''10'', il y a 30% de probalités que les suivantes soient bloquées, et ce pourcentage augmente linéairement jusqu'à 100 % lorsque le //full// est atteint, à ''60'' connexions. Très utile pour éviter [[http://linuxfr.org/~dark_star/18379.html|ce genre]] de désagrément.| |''#MaxStartups 10:30:60''|ligne commentée donc inactive|décommenter (enlever symbole ''#'')|Le ''10'' représente le nombre de connexions acceptées sans qu'un utilisateur ait réussi à s'identifier, si cela passe au dessus de ''10'', il y a 30% de probalités que les suivantes soient bloquées, et ce pourcentage augmente linéairement jusqu'à 100 % lorsque le //full// est atteint, à ''60'' connexions. Très utile pour éviter [[http://linuxfr.org/~dark_star/18379.html|ce genre]] de désagrément.|
 |''#Banner /etc/issue.net''|Ligne commentée donc inactive|Décommenter|Lorsque vous essayez de vous connecter à votre serveur par SSH, le fichier ''/etc/issue.net'' est affiché (à vous de le personnaliser pour dire bonjour ou mettre un avertissement, un guide, etc.)| |''#Banner /etc/issue.net''|Ligne commentée donc inactive|Décommenter|Lorsque vous essayez de vous connecter à votre serveur par SSH, le fichier ''/etc/issue.net'' est affiché (à vous de le personnaliser pour dire bonjour ou mettre un avertissement, un guide, etc.)|
-|UsePAM|yes|no|Attention, bien lire la page de ''[[man>sshd_config|man sshd_config]]'', ce paramètre interagit avec ''ChallengeResponseAuthentication'' et ''PasswordAuthentication'' |+|UsePAM|yes|no|Ce paramètre permet l'authentification par mot de passe avec ''KbdInteractiveAuthentication''((anciennement ''ChallengeResponseAuthentication'')) et ''PasswordAuthentication''. Il faut absolument le [[#Désactiver toutes les autres méthodes d'authentification|désactiver]] dans le cadre d'une authentification par clé ! |
 |''AllowUsers''|Ligne absente (autorisé à tous)|ajouter la ligne avec valeur(s) : ''AllowUsers Alice Bob'' |Spécifie les //logins// des seuls utilisateurs autorisés à se connecter. //Idéal pour ouvrir un compte FTP à un ami tout en restreignant l'accès au shell via SSH//.| |''AllowUsers''|Ligne absente (autorisé à tous)|ajouter la ligne avec valeur(s) : ''AllowUsers Alice Bob'' |Spécifie les //logins// des seuls utilisateurs autorisés à se connecter. //Idéal pour ouvrir un compte FTP à un ami tout en restreignant l'accès au shell via SSH//.|
 |''DenyUsers''|Ligne absente (interdit à personne)|Ajouter la ligne avec valeur(s)|Interdit l'accès à SSH aux utilisateurs listés| |''DenyUsers''|Ligne absente (interdit à personne)|Ajouter la ligne avec valeur(s)|Interdit l'accès à SSH aux utilisateurs listés|
Ligne 114: Ligne 115:
 |''DenyGroups''|Ligne absente (interdit à aucun groupe)|Ajouter la ligne avec valeur(s)|Interdit l'accès à SSH aux utilisateurs des groupes listés| |''DenyGroups''|Ligne absente (interdit à aucun groupe)|Ajouter la ligne avec valeur(s)|Interdit l'accès à SSH aux utilisateurs des groupes listés|
 |''ClientAliveInterval''|Ligne absente|Ajouter la ligne avec valeur en secondes : ''ClientAliveInterval 300''|Permet dans certains cas de maintenir une connexion sans coupures| |''ClientAliveInterval''|Ligne absente|Ajouter la ligne avec valeur en secondes : ''ClientAliveInterval 300''|Permet dans certains cas de maintenir une connexion sans coupures|
 +</mobiletable>
  
 Pour plus d'informations consultez ''[[man>sshd_config|man sshd_config]]''. Pour plus d'informations consultez ''[[man>sshd_config|man sshd_config]]''.
Ligne 370: Ligne 372:
 ===== Authentification  ===== ===== Authentification  =====
  
-<note warning>Si vous ouvrez votre serveur SSH sur Internet, par exemple pour y accéder depuis l'ordinateur d'un ami(e) ou lui permettre d'accéder à certains de vos fichiers, n'oubliez JAMAIS qu'Internet est parcouru par des robots qui scannent et testent en permanence tous les serveurs disponibles (SSH et autres) et qu'ils vont faire des tentatives pour trouver vos mots de passe de compte (on parle d'[[wpfr>attaque par force brute]]). L'usage des clés est donc très fortement recommandé.+<note warning>Si vous ouvrez votre serveur SSH sur Internet, par exemple pour y accéder depuis l'ordinateur d'un ami(e) ou lui permettre d'accéder à certains de vos fichiers, n'oubliez JAMAIS qu'Internet est parcouru par des robots qui scannent et testent en permanence tous les serveurs disponibles (SSH et autres) et qu'ils vont faire des tentatives pour trouver vos mots de passe de compte (on parle d'[[wpfr>attaque par force brute]]). L'usage des clés, et la [[#désactiver toutes les autres méthodes d'authentification|désactivation de toutes les autres méthodes d'authentification]] est donc très fortement recommandé.
  
 Si vous ne pouvez vraiment pas faire autrement, utilisez des mots de passe longs et complexes ainsi qu'un système de protection tel que [[:fail2ban]] qui permet de bannir des adresses IP au bout d'un certain nombre de tentatives erronées.\\ Si vous ne pouvez vraiment pas faire autrement, utilisez des mots de passe longs et complexes ainsi qu'un système de protection tel que [[:fail2ban]] qui permet de bannir des adresses IP au bout d'un certain nombre de tentatives erronées.\\
Ligne 404: Ligne 406:
  
 === Mise en place des clés === === Mise en place des clés ===
 +
 +<note warning>
 +Après avoir mis en place une authentification par clé fonctionnelle, n'oubliez pas de [[#désactiver toutes les autres méthodes d'authentification]], afin de garantir la [[:sécurité]] de votre serveur.
 +</note>
  
 À moins que vous n'ayez déjà un couple de clés, vous devez d'abord en créer.\\ À moins que vous n'ayez déjà un couple de clés, vous devez d'abord en créer.\\
Ligne 473: Ligne 479:
 === Éléments importants en lien avec l'usage des clés === === Éléments importants en lien avec l'usage des clés ===
  
-== Authentification par mot de passe et / ou par clé ==+== Désactiver toutes les autres méthodes d'authentification ==
  
 Vous pouvez avoir avec SSH les deux modes d'authentifications actifs en même temps, par mot de passe et par clés. Vous pouvez avoir avec SSH les deux modes d'authentifications actifs en même temps, par mot de passe et par clés.
  
-Vous pouvez vouloir neutraliser l'authentification par mot de passe pour des raisons de sécurité, pour cela il faut modifier le fichier de configuration ''/etc/ssh/sshd_config'' de la manière suivante :+Or pour garantir la [[:sécurité]] du serveur, il est indispensable de neutraliser les méthodes d'authentification autre que par paire de clés !\\ 
 +Pour celamodifier le fichier de configuration ''/etc/ssh/sshd_config'' de la manière suivante :
  
-- A la ligne ''PasswordAuthentication'' mettre ''no''+  * À la ligne ''PasswordAuthentication'' remplacer ''yes'' par ''no''
 +  * A la ligne ''UsePAM'' remplacer ''yes'' par ''no''
 + 
 +<note important> 
 +Il est aussi généralement nécessaire, de désactiver l'authentification directe avec l'utilisateur ''[[:root]]'', toujours pour garantir la [[:sécurité]] du serveur : 
 +  PermitRootLogin no 
 +</note>
  
 <note> <note>
-N'oubliez pas de [[#relancer]] le service ssh sur votre serveur après avoir changé la configuration.+N'oubliez pas de [[#relancer]] le service SSH sur votre serveur après avoir changé la configuration.
 </note> </note>