Changer le port de votre serveur Ssh
23 janvier 2014
C’est l’une des premières mesures à prendre lorsque vous faites le choix d’utiliser un service d’auto-hébergement comme Dedibox, afin d’éviter des attaques en force brute.
Editez le fichier /etc/ssh/sshd_config. Décommentez la ligne #Port 22 en supprimant le dièse et en remplaçant le numéro 22 par un numéro de votre choix compris entre 4096 et 65535.
Ensuite redémarrez votre démon Sshd à l’aide de la commande systemctl reload sshd, sous Fedora. Pour CentOS ou Red Hat, tapez service sshd restart. Vous pouvez vérifier que le changement de port est intervenu à l’aide de la commande netstat -lntup|grep ssh
Configurer iptables
Sous Fedora, je vous conseille de lire ce billet relatif au remplacement de l’interface p6p1 par eth0. Remplacez le numéro 22 au niveau de la ligne relative au Ssh dans le fichier /etc/sysconfig/iptables par le numéro que vous avez choisi dans /etc/ssh/sshd_config.
*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
#Retour
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Loopback
-A INPUT -m state -i lo --state NEW -j ACCEPT
#Ssh
-A INPUT -p tcp -m tcp -m state -i eth0 --dport 22 --state NEW -j ACCEPT
#Dhcp
-A INPUT -p udp -i eth0 --dport 68 -j ACCEPT
COMMIT
Configurer ip6tables
Même remarque que précédemment pour iptables.
*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT --match state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s ff00::/8 -i eth0 -j ACCEPT
-A INPUT -s fe80::/10 -i eth0 -j ACCEPT
-A INPUT -i eth0 -p icmpv6 -j ACCEPT
-A INPUT -i eth0 -p ipv6-icmp -j ACCEPT
-A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
-A INPUT -p udp -i eth0 --dport 546 -j ACCEPT
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT -m limit --limit 1/minute
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
COMMIT