Renforcer la sécurité de vos serveurs SSH avec TCP Wrapper
17 mars 2017
Je vous ai déjà expliqué comment vous connecter à vos serveurs SSH avec une clé, afin d’éviter les attaques en force brute. Je vous recommande également de changer le port TCP utilisé par votre démon SSH à partir du fichier /etc/ssh/sshd_config. Pensez, dans ce cas, à le changer également dans la configuration de votre pare-feu !
Les modules utilisés par le démon sshd
Installé en standard sur les distributions Linux Fedora, Red Hat et CentOS, le démon OpenSSH est compilé nativement avec la librairie libwrap. Vous pouvez ainsi gérer la sécurité des accès à vos services Linux par les fichiers /etc/hosts.allow et /etc/hosts.deny. Vous pouvez vérifier que le serveur OpenSSH utilise le mode TCP Wrapper à l’aide de l’une des deux commandes suivantes :
ldd $(which sshd)|grep wrap lsof -p $(pidof sshd|cut -d ' ' -f 1)|grep wrap
Contenu du fichier /etc/hosts.deny
Par défaut, vous devez bloquer tout, en ajoutant au fichier /etc/hosts.deny la ligne suivante :
sshd: ALL
Autoriser les machines de votre FAI
Limitez l’accès à votre serveur SSH aux domaines de votre FAI et des autres sites à partir desquels vous vous connectez régulièrement, en ajoutant au fichier /etc/hosts.allow, si vous êtes chez Free par exemple :
sshd: .proxad.net 127.0.0.1/32 [::1]/128