sshd est un daemon qui permet d'accéder à une machine distante en mode terminal et de transférer des fichiers.
root@mazarini:~# apt-get install openssh-server
X11Forwarding no
Dans la mesure on le serveur n'utilisera pas X11, passer ce paramètre de “yes” à “no”.
AllowGroups sshers
Limiter la connexion ssh à un groupe d'utilisateur.
root@secours:/etc/ssh# diff -y --suppress-common-lines sshd_config sshd_config.ori X11Forwarding no | X11Forwarding yes < AllowGroups sshers < root@secours:/etc/ssh#
root@secours:~# addgroup sshers Ajout du groupe « sshers » (GID 1002)... Fait. root@secours:~#
root@secours:~# adduser mazarini sshers Ajout de l'utilisateur « mazarini » au groupe « sshers »... Ajout de l'utilisateur mazarini au groupe sshers Fait. root@secours:~#
Si vous voulez pouvoir vous connecter avec root, il est indispensable de le mettre également dans le groupe sshers.
Habituellement ssh utilise le port 22. Pour des raisons de sécurité, certains préconisent de changer de port pour compliquer la tâche des pirates. A mon avis, ce n'est pas nécessaire. Un simple outil de scan permet de retrouver le port sur lequel écoute le daemon sshd.
Un pirate débutant se heurtera de toutes façons à une machine à jour et paramétrée correctement. Un pirate confirmé… et bien je croise les doigts, mais ce n'est pas le changement de port qui le gênera.
Eventuellement, en cas de découverte d'une faille, le changement de port peut permettre de gagner du temps avant la mise à jour du système.
J'ai choisi de garder le port 22.
root@mazarini:~# /etc/init.d/ssh stop root@mazarini:~# /etc/init.d/ssh start root@mazarini:~# /etc/init.d/ssh restart
ssh kevin@mazarini.ovh ssh -6 kevin@mazarini.ovh
Par défaut, ssh utilise le protocole IPv4, l'option -6 indique le protocole IPv6