Changer le port de votre serveur Ssh

Changer le port de votre serveur SSHC’est l’une des premières mesures à prendre lorsque vous faites le choix d’utiliser un service d’auto-hébergement comme Dedibox, afin d’éviter des attaques en force brute.

Editez le fichier /etc/ssh/sshd_config. Décommentez la ligne #Port 22 en supprimant le dièse et en remplaçant le numéro 22 par un numéro de votre choix compris entre 4096 et 65535.

Ensuite redémarrez votre démon Sshd à l’aide de la commande systemctl reload sshd, sous Fedora.  Pour CentOS ou Red Hat, tapez service sshd restart. Vous pouvez vérifier que le changement de port est intervenu à l’aide de la commande netstat -lntup|grep ssh

Configurer iptables

Sous Fedora, je vous conseille de lire ce billet relatif au remplacement de l’interface p6p1 par eth0. Remplacez le numéro 22 au niveau de la ligne relative au Ssh dans le fichier /etc/sysconfig/iptables par le numéro que vous avez choisi dans /etc/ssh/sshd_config.

*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
#Retour
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Loopback
-A INPUT -m state -i lo --state NEW -j ACCEPT
#Ssh
-A INPUT -p tcp -m tcp -m state -i eth0 --dport 22 --state NEW -j ACCEPT
#Dhcp
-A INPUT -p udp -i eth0 --dport 68 -j ACCEPT
COMMIT

Configurer ip6tables

Même remarque que précédemment pour iptables.

*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT --match state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT  -i lo -j ACCEPT
-A INPUT -s ff00::/8 -i eth0 -j ACCEPT
-A INPUT -s fe80::/10 -i eth0 -j ACCEPT
-A INPUT -i eth0 -p icmpv6 -j ACCEPT
-A INPUT -i eth0 -p ipv6-icmp -j ACCEPT
-A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
-A INPUT -p udp -i eth0 --dport 546 -j ACCEPT
-A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT -m limit --limit 1/minute
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
COMMIT

Sécurité  / Fedora Formateur Iptables Formateur OpenSSH Ip6tables Iptables OpenSsh Serveur SSH SSH 

Commentaires

Changer de port, c’est une idée mais avec un scan un peu minutieux, on peut voir quel service se cache derrière quel port. Moi j’aime bien rester sur le port 22 et mettre un fail2ban.

@Adminrezo

Je préfère un jeu de clés !

C’est pas faux !

Fail2Ban + jeu de clé (désactivation authentification par mot de passe) [+ changement de port] !
Mais habituellement je me limite au fail2ban je l’avoue.

Laisser un commentaire

(requis)

(requis)