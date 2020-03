Dans un premier temps, vous devez sécuriser votre serveur SSH, en plus, il sécurise également votre connexion SSH à partir de votre système d’exploitation Linux, de cette façon, il protégera vos données et tout ce qui concerne ce système.

De même, les administrateurs et les utilisateurs à domicile doivent renforcer et protéger les ordinateurs avec une connexion Internet. Mais SSH peut être quelque peu complexe. C’est pourquoi nous vous donnerons quelques recommandations simples pour vous aider à protéger votre serveur SSH.

Si vous voulez en savoir plus sur cet excellent système d’exploitation, vous pouvez cliquer sur cet article qui explique comment cloner un disque dur Linux avec Gparted.

Vous devez gérer certains concepts de sécurité SSH de base

Tout d’abord, SSH signifie «Secure

Shell ». Ce nom est utilisé de manière interchangeable pour faire référence au protocole SSH,

ainsi que les outils logiciels qui permettent

Les administrateurs et les utilisateurs Linux établissent des connexions sécurisées aux ordinateurs à partir de

à distance en utilisant ce protocole.

Il s’agit donc d’un protocole crypté conçu pour faciliter une connexion sécurisée via un réseau quelque peu peu sûr, comme c’est le cas pour Internet lui-même. Le protocole SSH sous Linux est basé sur une version portable du projet OpenSSH.

Il est implémenté dans un modèle de système client-serveur classique, avec un serveur SSH qui accepte également les connexions des clients SSH. Le client l’utilise pour se connecter au serveur et montrer la session à l’utilisateur distant. Ce serveur accepte la connexion et exécute la session normalement. C’est ainsi que vous pourrez sécuriser votre serveur SSH.

Sûrement, si vous vérifiez vos paramètres par défaut,

un serveur SSH pourra voir et gérer les connexions entrantes sur le port 22

du protocole TCP (Transmission Control Protocol). Parce que c’est un port

standardisé et bien connu. Ce port est une cible commune pour les pirates et

robots malveillants.

Ces pirates lancent des robots qui analysent une gamme de

Adresses IP à la recherche de ports ouverts. Ensuite, ces ports sont analysés

pour voir s’il existe des vulnérabilités qui peuvent être exploitées. Si vous pensez

que vous êtes sûr car sur Internet il y a de plus gros, de meilleurs et

important que vous et c’est pourquoi les pirates ne vous feront rien, malheureusement

nous devons vous dire que vous raisonnez mal.

Les robots ne sélectionnent pas les cibles en fonction de leur mérite, de leur importance ou de leur classement; ils recherchent méthodiquement les systèmes qu’ils peuvent violer. Vous vous ciblez donc comme une victime de cyber-bourrages si vous n’avez pas complètement sécurisé votre système.

Qu’est-ce que la friction de sécurité?

La friction de sécurité peut être appelée irritation,

à tout degré que les utilisateurs et les autres connaîtront lorsque

vont mettre en place des mesures de sécurité.

Nous avons tous des souvenirs et nous en avons peut-être été témoins

Les nouveaux utilisateurs d’un système informatique ont demandé d’une voix horrifiée si

ils devaient vraiment entrer un mot de passe chaque fois qu’ils se connectaient

l’ordinateur central. Pour eux, c’était une friction de sécurité.

Par curiosité, l’invention du mot de passe a été

attribué à Fernando J. Corbat, une autre figure du panthéon des informaticiens.

Leur travail combiné a contribué aux circonstances qui ont conduit à la naissance.

d’Unix.

L’introduction de mesures de sécurité implique généralement

une certaine forme de friction, d’irritation et de frustration pour quelqu’un. Tu dois savoir

que les propriétaires d’entreprise doivent payer pour cela. Utilisateurs de

les ordinateurs devront peut-être changer leurs pratiques familiales ou se souvenir d’un autre

ensemble de détails d’authentification.

En outre, ils doivent ajouter des étapes supplémentaires pour se connecter avec

succès. Les administrateurs système auront du travail supplémentaire à

mettre en œuvre et maintenir les nouvelles mesures de sécurité.

Renforcez et bloquez un système d’exploitation de type Linux ou

Unix peut vous impliquer très rapidement. Voilà comment ce que nous présentons dans ce

article, est un ensemble d’étapes très faciles à mettre en œuvre. Lesquels

améliorera la sécurité de votre ordinateur sans avoir besoin de

des tiers et sans vérifier en profondeur à travers votre pare-feu.

Nous voulons clarifier que ces étapes ne sont pas le dernier mot de la sécurité SSH, mais elles vous déplaceront bien au-delà des paramètres par défaut et sans trop de friction. Tout cela pour que vous soyez protégé sans avoir besoin de nombreux problèmes.

Sécurisez votre serveur SSH: utilisez le protocole SSH version 2

En 2006, le protocole SSH a été mis à jour à partir de la version

1 à la version 2, logiquement. Inutile de dire que c’était une mise à niveau

tous deux importants. Il y a eu tellement de changements et d’améliorations, en particulier autour du

chiffrement et sécurité que la version 2 n’est pas rétrocompatible

version compatible 1.

Donc, pour éviter les connexions client de la version 1,

vous pouvez stipuler que votre ordinateur n’acceptera que les connexions des clients SSH

version 2. Pour ce faire, vous devez éditer le fichier:

/ etc / ssh / sshd_config.

Chaque fois que vous devez modifier ce fichier, c’est le

commande que vous devez utiliser:

sudo gedit / etc / ssh / sshd_config

Vous devez maintenant ajouter

la ligne suivante:

Protocole 2.

Après cela, enregistrez le fichier. Vous devez maintenant redémarrer

le processus SSH Demon. C’est la commande à utiliser dans chaque cas:

sudo systemctl restart sshd

Vérifiez maintenant que les nouveaux paramètres sont à jour.

Accédez à un autre ordinateur et essayez d’exécuter SSH sur votre ordinateur

test. Utilisez maintenant l’option -1 qui est le protocole 1 pour forcer la

Commande ssh pour utiliser la version 1 du protocole.

ssh -1

Votre demande de connexion est rejetée. Assurez-vous

que vous pouvez toujours vous connecter au protocole 2. De même, utilisez le

l’option -2, qui est le protocole 2 pour tester que la connexion est établie.

ssh -2

Le fait que le serveur SSH demande notre mot de passe

indique que la connexion a été établie et que vous interagissez

avec le serveur. En fait, comme les clients SSH actuels utiliseront le

protocole 2 par défaut, vous n’avez pas besoin de spécifier le protocole 2

tant que le client est mis à jour.

Il vous suffit de taper le terminal ssh et la connexion est acceptée. Par conséquent, seules les connexions du protocole 1 sont rejetées, qui sont plus faibles et moins sécurisées.

Sécurisez votre serveur SSH: évitez d’utiliser le port 22

Le port 22 est le port standard pour les connexions SSH.

Si vous utilisez un autre port, ajoutez une sécurité incognito à votre

système opératif. Vous devez savoir que la sécurité à travers l’obscurité n’a jamais

il est considéré comme une véritable mesure de sécurité.

En fait, certains des robots les plus attaquants

Intelligent, interroge tous les ports ouverts et détermine quel service

portent. Tout cela au lieu de s’appuyer sur une simple liste de recherche

des ports et supposent qu’ils fournissent les services habituels. Cependant,

L’utilisation d’un port non standard peut aider à réduire le bruit et le mauvais trafic

au port 22.

Pour configurer un port non standard, modifiez votre

Configuration SSH:

sudo gedit / etc / ssh / sshd_config

Maintenant, supprimez le hachage # au début de la ligne

“Port” et remplacez le numéro 22 par le numéro de port que vous choisissez.

Enregistrez votre fichier de configuration et redémarrez SSH:

sudo systemctl restart sshd

Voyons maintenant quel effet ce changement a eu. En toi

ordinateur, utilisez la commande ssh pour vous connecter au serveur. La commande ssh

utilisez le port 22 par défaut.

ssh

Vous pouvez voir que la connexion est rejetée. Réessayez

et spécifiez le port que vous mettez pour remplacer le port 22. Vous devez utiliser

l’option –p, qui est «port».

ssh -p numéro du port que vous choisissez.

Vous verrez maintenant que votre connexion est acceptée.

Filtrer les connexions à l’aide de wrappers TCP

TCP Wrappers est une liste de contrôle d’accès, qui est

facile à comprendre. En outre, il vous permet d’autoriser et d’exclure des connexions en fonction de

des caractéristiques de la demande de connexion. Tels que l’adresse IP

ou le nom d’hôte. Les wrappers TCP doivent être utilisés conjointement avec un pare-feu et non

au lieu d’un pare-feu correctement configuré. De cette façon, vous pouvez régler

les choses en utilisant TCP

emballages.

Tout d’abord, vous devez installer les wrappers TCP selon la distribution

Linux que vous avez. Voici deux exemples pour Manjaro et Fedora:

Pour installer sur Fedora, utilisez cette commande:

sudo yum installe tcp_wrappers.

Maintenant, pour que vous puissiez l’installer à Manjaro, vous devez écrire ceci

commande:

sudo pacman -Syu tcp-wrappers.

Vous devez savoir qu’il y a deux fichiers impliqués. Vous avez le

liste autorisée et l’autre a la liste refusée. Modifier la liste d’accès

refusé à l’aide de la commande suivante:

sudo gedit /etc/hosts.deny

Cela ouvrira l’éditeur gedit avec le fichier refusé chargé

dans ledit éditeur. Maintenant, vous devez ajouter la ligne suivante dans votre terminal:

TOUS: TOUS

Enregistrez simplement le fichier. Cette action bloque tout

accès non autorisé. Vous devez maintenant autoriser les connexions

que vous souhaitez accepter dans votre système. Pour ce faire, vous devez modifier le fichier en

l’acte de permettre, qui est:

sudo gedit /etc/hosts.allow

Cette commande s’ouvrira dans un fichier gedit

Encore une fois, cette commande ouvrira le fichier chargé dans le

gedit. Vous avez ajouté le nom SSH SSHD et l’adresse IP de l’ordinateur

que vous allez autoriser une connexion. Vous devez enregistrer le fichier et voir si

des restrictions et des permis sont en vigueur.

Tout d’abord, essayez de vous connecter à partir d’un ordinateur qui ne

c’est dans le fichier hosts.allow:

Si vous avez déjà essayé,

Vous verrez que la connexion a été rejetée. Essayez maintenant de vous connecter depuis votre

test de l’ordinateur. Comme prévu, votre connexion a été acceptée.

L’exemple que nous vous montrons ici est un peu exagéré car vous ne pouvez vous connecter qu’à un seul ordinateur. De même, nous vous disons que les wrappers TCP sont très polyvalents et plus flexibles que cet exemple. Les wrappers TCP prennent en charge les noms d’hôte, les caractères génériques et les masques de sous-réseau pour accepter les connexions à partir des plages d’adresses IP.

Utilisez des clés SSH au lieu de mots de passe

Les clés SSH offrent un moyen sûr de démarrer

session sur un serveur SSH. Les mots de passe peuvent être devinés, déchiffrés ou

entrez-les avec force brute. Ainsi, les clés SSH ne sont pas ouvertes

pour ce type d’attaque.

Lorsque vous générez des clés SSH, vous créez une paire de clés. L’un est le

clé publique et l’autre est la clé privée. La clé publique est installée dans le

les serveurs auxquels vous souhaitez vous connecter. La clé privée, comme son nom

indique, il est conservé en sécurité sur votre propre ordinateur.

Les clés SSH vous permettent d’établir des connexions sans

des mots de passe qui sont, contradictoirement, plus sûrs que les connexions

ils utilisent l’authentification par mot de passe.

Lorsque vous effectuez une demande de connexion, l’ordinateur

à distance utilise votre copie de votre clé publique pour créer un message crypté qui

renvoyez-le à votre ordinateur. Parce qu’il a été crypté avec votre mot de passe

public, votre ordinateur peut le décrypter avec votre clé privée.

Ensuite, votre ordinateur extrait des informations du message,

en particulier l’ID de session, le chiffrement (protège) et le renvoie au

serveur. Si le serveur peut le décrypter avec votre copie de votre clé publique et

si les informations contenues dans le message correspondent à ce que le serveur vous a envoyé,

votre connexion est confirmée comme provenant de vous et de personne d’autre.

Ici, un utilisateur avec des clés SSH établit une connexion avec le serveur au 192.168.4.11. Notez qu’ils ne sont pas invités à entrer un mot de passe.

Sécurisez votre serveur SSH: la dernière instance

Enfin, nous vous laissons la dernière option à protéger.

Et si vous n’avez pas besoin du protocole SSH exécuté sur votre ordinateur, vous devez

assurez-vous qu’il est désactivé. Et c’est la façon de le faire.

sudo systemctl stop sshd

sudo systemctl désactiver sshd

Bien sûr, si vous n’ouvrez pas votre fenêtre, personne ne pourra y entrer et c’est le meilleur moyen de sécuriser votre serveur SSH.