SSH est un programme qui permet la connexion de manière sécurisé mais c’est aussi un protocole de connexion qui impose un échange de clé de chiffrement en début de connexion (Cf Wikipedia.fr).

Et ce petit programme est fortement utile au management de vos serveurs linux ou accessoirement de votre Synology. Ne serait-il pas nécessaire de le tuner un petit peu, afin de mieux le sécuriser ?

Objets

Le meilleur outil pour vous connecter de machine Windows est Putty. Sur linux et OSX,  SSH est déja intégré !

La configuration du serveur SSH est stockée en général dans le fichier « sshd_config » :

  • /etc/ssh  –> sur la plupart des configuration Linux
  • /etc.defaults/ssh/sshd_config  –> pour nos cher syno.

Accepter une seule version du Protocole

La version 2 du procotole SSH est plus sécurisée donc autant prioriser cette version en mettant cette ligne dans le fichier de config :

Protocol 2 # Protocole v2

Empêcher Root de se logger à Distance

Pour empêcher uniquement root de se loguer par ssh il suffit d’utiliser la directive suivante :

PermitRootLogin no # Ne pas permettre de login en root

Changer le port de communication SSH

Le mieux encore est de ne pas passer par le port de communication par défaut, à mon sens c’est la meilleur sécurité. Même si beaucoup vous diront qu’un max de programme reconnaissent les services derrière un port ouvert, ça permettra déjà de dissuader le voyeur lambda.

Port 2899# Changer le port de communication à 2899

Qui à le droit et qui n’a pas le droit

Qui a le droit de se logguer, l’idée et d’interdire tout le monde sauf un certain nombres d’utilisateur « DenyUsers«  et « AllowUsers » fonctionnent de la même manière similaire, on autorise ou interdit une liste d’utilisateurs separés d’un espace et pouvant contenir des caractères joker comme ? et *.

AllowUsers toto titi # toto et titi on le droit de se connecter

DenyUsers distcc root mysql # root mysql et distcc ne peuvent pas se connecter.

Voila une petite liste qui vous permettra de sécuriser votre accès SSH.

Peut-être mis à jour à la demande.

Ces sujets vous interresseront aussi :