Passer au contenu principal

Accroître la sécurité de SSH sur un serveur Debian

Introduction

La sécurité d’un serveur passe avant tout par le renforcement de ses services critiques, dont SSH (Secure Shell), utilisé pour l’administration à distance. Cet article s’adresse aux administrateurs système et utilisateurs intermédiaires à avancés souhaitant protéger leur accès SSH contre les attaques courantes comme le brute-force.

Nous allons voir comment sécuriser le service SSH sur un serveur Debian Jessie (ou dérivés), en modifiant certains paramètres de configuration et en limitant l'accès.

Prérequis

Avant de commencer, assurez-vous de disposer :

  • D’un accès root ou sudo à votre serveur

  • D’un serveur Debian ou dérivé (les chemins peuvent légèrement varier selon la distribution)

  • D’une sauvegarde de votre fichier /etc/ssh/sshd_config

Étapes de configuration SSH sécurisée

1. Modifier le port par défaut

Le port SSH par défaut est le port 22, souvent ciblé par des attaques automatisées. Changez-le pour un port personnalisé (ex : 55555).

sudo nano /etc/ssh/sshd_config

Remplacez :

Port 22

par :

Port 55555

Choisissez un port supérieur à 1024 pour éviter les conflits avec d'autres services.

2. Désactiver l'accès root direct

Pour limiter les risques en cas de vol d'identifiants, désactivez la connexion SSH directe avec le compte root.

Dans /etc/ssh/sshd_config, modifiez :

PermitRootLogin no

Créez un utilisateur spécifique et autorisez son accès :

AllowUsers ikoula

3. Réduire le temps d’attente à la connexion

Diminuez la durée d’attente avant coupure automatique si aucune saisie n’est détectée.

Dans le fichier /etc/ssh/sshd_config :

LoginGraceTime 30

4. Renforcer les algorithmes cryptographiques

Limitez SSH à des algorithmes de chiffrement et MACs plus robustes :

Ajoutez dans /etc/ssh/sshd_config :

Ciphers aes256-ctr,aes192-ctr,aes128-ctr 
MACs hmac-ripemd160

5. Masquer la version du système

Par défaut, SSH affiche des informations sur votre distribution. Désactivez cette bannière pour éviter de donner des infos aux attaquants.

Ajoutez ou modifiez :

DebianBanner no

6. Redémarrer le service SSH

Pour appliquer les modifications :

sudo systemctl restart ssh.service

7. Restreindre l’accès SSH par IP

Pour une sécurité renforcée, n’autorisez l’accès SSH qu’à certaines adresses IP :

echo "sshd: ALL" | sudo tee -a /etc/hosts.deny
echo "sshd: 12.34.56.78, 98.76.54.32" | sudo tee -a /etc/hosts.allow

Remplacez par vos adresses IP autorisées.

💡 Conseils et astuces

  • Testez toujours la connexion SSH depuis une autre session avant de redémarrer le service, pour éviter de vous verrouiller hors du serveur.

  • Pensez à activer l’authentification par clé SSH pour plus de sécurité.

  • Utilisez Fail2Ban pour bloquer les IP effectuant des tentatives de connexion répétées.

📚 Ressources supplémentaires

Retour en haut