Pour augmenter la sécurité, nous vous recommandons de prendre un certain nombre de mesures qui augmenteront considérablement la sécurité du service SSH.

1. Faisons les réglages dans le fichier de configuration du service SSH

nano /etc/ssh/sshd_config

1.1 Changer le port par défaut

Le service SSH utilise le port 22 par défaut, il est souvent consulté, changeons-le par exemple en 2203

Port 2203

1.2 Refuser l'accès de l'utilisateur root

Créez d’abord un utilisateur régulier :

useradd user1
passwd user1

Vérifions la configuration ssh pour que la ligne ressemble à ceci.

PermitRootLogin no

1.3 Autorisation en tant que root uniquement avec 2FA

Le mot de passe peut être intercepté, etc. Il est préférable d'implémenter l'authentification à deux facteurs afin de s'authentifier en tant qu'utilisateur root, comme nous l'avons décrit dans un article séparé : Configuration de l'authentification à deux facteurs en ssh pour root sur Debian 12

Après toutes les étapes, n'oubliez pas d'appliquer les paramètres en redémarrant le service :

service ssh restart

2. Configurer iptables

Nous insistons sur le fait que l'accès à notre port ssh n'est disponible que pour une adresse IP spécifique.

iptables -A INPUT -p tcp --dport 2203 ! -s 89.xxx.186.xxx -j DROP

ou

iptables -A INPUT -p tcp --dport 2203 -s 89.xxx.186.xxx -j ACCEPT
iptables -A INPUT -p tcp --dport 2203 -j DROP

Assurez-vous que les règles sont enregistrées lors des redémarrages :

apt install iptables-persistent
iptables-save > /etc/iptables/rules.v4

Ces étapes augmenteront considérablement la sécurité et fonctionneront avec le protocole SSH.

Nous vous recommandons d'utiliser un serveur VPS comme adresse IP statique puisque son IP sera toujours la même où que vous soyez. C'est pratique car lorsque vous vous connectez depuis la maison, le bureau, les vacances, en utilisant l'Internet mobile, vous aurez toujours des adresses IP différentes et dans la plupart des cas dynamiques.