La sécurisation du réseau SSH entre dans le cadre global de la sécurisation du réseau informatique en termes de complexité. Ainsi, il est souvent difficile pour un administrateur de trouver la solution idoine qui permet de sécuriser les données. Alors, si vous avez ce problème, voici 10 astuces pour vous connecter à un réseau SSH en toute sécurité.
1) Utilisez les connexions basées sur la clé publique SSH
La méthode d’authentification la plus aboutie pour les serveurs OpenSSH est l’authentification par clé publique associée à des identités centralisées sans un backend LDAP. Le processus consiste à générer une paire de clés à l’aide de la commande SSH-keygen. Celle-ci marche aussi bien pour votre machine linux, Windows ou mac. Vous aurez le choix entre importer la clé publique sur votre compte LDAP ou générer une paire de clés sur votre ordinateur. Dans tous les cas, vous devez entrer le chemin d'accès au fichier dans lequel vous souhaitez enregistrer la clé.
Par ailleurs, toujours si vous utilisez une machine linux, nous vous recommandons d’utiliser un VPN. A ce propos, découvrez ici le meilleur VPN pour votre système d'exploitation Linux.
2) Activer l'authentification multifacteur
Un autre moyen efficace de sécuriser votre serveur SSH est l’activation de l’authentification multiplicateur MFA sur votre machine Ubuntu. Ainsi, c’est le mécanisme appelé Pluggable Authentication Modules qui se charge de l’authentification. Pour la récupération d’informations sur les utilisateurs, il s’agit plutôt du mécanisme nommé Name Service Switch.
3) Gérez de manière centralisée vos clés et comptes SSH
Pour gérer et sécuriser votre connexion, vous devez déterminer le type de clé qui correspond à l’identité du réseau mais également savoir si l’accès est en conformité avec les directives IAM de la société. En d’autres termes, une identité inconnue qui se connecte avec une clé fantôme aggravera la situation de connexions SSH destinées généralement à un accès limité. Pour éviter ces zones mystères, il faut centraliser les clés SSH et tous les comptes. Puis, vous devez utiliser l'inscription Web en libre-service ainsi que l’automatisation de la distribution des clés et le contrôle des accès indésirables. Enfin, veillez au renouvellement des clés obsolètes.
4) Désactiver l'accès SSH avec le compte root
Du fait des autorisations dont est grevé ce compte, les pirates s’attaqueront à lui en premier. C’est le maillon le plus vulnérable de la chaine. Ainsi, il vous revient d’autoriser la connexion root ou non. Par ailleurs, vous devrez absolument désactiver l’accès SSH avec le compte root afin de privilégier les utilisateurs via le mécanisme SUDO. Celui-ci offre la possibilité de lancer une commande en tant qu'administrateur ou en tant qu'autre utilisateur. Ainsi, il peut autoriser une action à un utilisateur ou à un groupe d’utilisateur en leur fournissant un accès limité au système.
5) Configurer le délai d'inactivité et l'intervalle de session
Vous pouvez définir un intervalle de délia d’inactivité pour un utilisateur afin de prévenir les sessions SSH sans surveillance lors de sa connexion au serveur. Ce délai se définit en secondes. A son écoulement, la session SSH se verrouille et exige un mot de passe de la part de l’utilisateur pour pouvoir continuer à naviguer.
6) Changer le port par défaut SSH
Le changement de port vous évite d’être vu par les analyses contextuelles. Alors, identifiez le port par défaut et modifiez son numéro. Ainsi, il sera difficile d’identifier le service qui s’exécute ce qui réduit votre vulnérabilité en matière de tracking.
7) Fixez une limite aux tentatives de mot de passe
Moins vous avez de droit de tentatives de mots de passe, moins les autres qui tentent de le deviner auront de chances de parvenir à leurs fins. Pour ce faire, vous pouvez bloquer votre adresse IP avec plusieurs demandes en peu de temps. Vous pouvez également bloquer les tentatives de connexion pour les utilisateurs avec plusieurs mots de passe erronés, ou encore définir d'un intervalle de temps entre les tentatives de connexion au serveur SSH.
8) Commandes SUDO
Avec la Commande SUDO vous pouvez déterminer les actions à effectuer selon les privilèges définis et déployés. Ceux-ci se font au niveau de l'utilisateur, du groupe, du système et du réseau.
9) Blocage de l'utilisateur
Bloquer les utilisateurs malveillants vous permet d’empêcher les attaques par force brute. Ainsi, vous pouvez le faire en définissant un nombre maximal d’essais de connexion, choisir des adresses IP à autoriser, ou définir une durée de verrouillage d’écran.
10) Politique de serveur
En choisissant le type de clé que l’utilisateur doit utiliser, sa longueur et les conditions de son expiration, vous appliquez ce qu’on appelle la politique du serveur. C’est également un moyen de sécurisation efficace.
(*) RÉDACTRICE SPÉCIALISTE EN CONTENT MARKETING
