Renforcer la sécurité de vos serveurs SSH avec TCP Wrapper

Renforcer la sécurité de vos serveurs SSH avec TCP WrapperJe vous ai déjà expliqué comment vous connecter à vos serveurs SSH avec une clé, afin d’éviter les attaques en force brute. Je vous recommande également de changer le port TCP utilisé par votre démon SSH à partir du fichier /etc/ssh/sshd_config. Pensez, dans ce cas, à le changer également dans la configuration de votre pare-feu !

Les modules utilisés par le démon sshd

Installé en standard sur les distributions Linux Fedora, Red Hat et CentOS, le démon OpenSSH est compilé nativement avec la librairie libwrap. Vous pouvez ainsi gérer la sécurité des accès à vos services Linux par les fichiers /etc/hosts.allow et /etc/hosts.deny. Vous pouvez vérifier que le serveur OpenSSH utilise le mode TCP Wrapper à l’aide de l’une des deux commandes suivantes :

ldd $(which sshd)|grep wrap
lsof -p $(pidof sshd|cut -d ' ' -f 1)|grep wrap

Contenu du fichier /etc/hosts.deny

Par défaut, vous devez bloquer tout, en ajoutant au fichier /etc/hosts.deny la ligne suivante :

sshd: ALL

Autoriser les machines de votre FAI

Limitez l’accès à votre serveur SSH aux domaines de votre FAI et des autres sites à partir desquels vous vous connectez régulièrement, en ajoutant au fichier /etc/hosts.allow, si vous êtes chez Free par exemple :

sshd: .proxad.net 127.0.0.1/32 [::1]/128

Enregistrer

Sécurité  / Formateur Sécurité informatique OpenSsh Sécurité informatique SSH 

Commentaires

Une autre solution pour sécuriser son SSH: n’autoriser que les IP connues + installer knockd, avec une séquence pour autoriser l’IP quand on est en déplacement ;)

https://fr.wikipedia.org/wiki/Port_knocking

@Melua

Je connais très bien cette technique que j’utilise et qui est un complément à TCP Wrapper.

Laisser un commentaire

(requis)

(requis)