Pour augmenter la sécurité, nous vous recommandons de prendre un certain nombre de mesures qui augmenteront considérablement la sécurité du service SSH.
1. Faisons les réglages dans le fichier de configuration du service SSH
nano /etc/ssh/sshd_config
1.1 Changer le port par défaut
Le service SSH utilise le port 22 par défaut, il est souvent consulté, changeons-le par exemple en 2203
Port 2203
1.2 Refuser l'accès de l'utilisateur root
Créez d’abord un utilisateur régulier :
useradd user1
passwd user1
Vérifions la configuration ssh pour que la ligne ressemble à ceci.
PermitRootLogin no
1.3 Autorisation en tant que root uniquement avec 2FA
Le mot de passe peut être intercepté, etc. Il est préférable d'implémenter l'authentification à deux facteurs afin de s'authentifier en tant qu'utilisateur root, comme nous l'avons décrit dans un article séparé : Configuration de l'authentification à deux facteurs en ssh pour root sur Debian 12
Après toutes les étapes, n'oubliez pas d'appliquer les paramètres en redémarrant le service :
service ssh restart
2. Configurer iptables
Nous insistons sur le fait que l'accès à notre port ssh n'est disponible que pour une adresse IP spécifique.
iptables -A INPUT -p tcp --dport 2203 ! -s 89.xxx.186.xxx -j DROP
ou
iptables -A INPUT -p tcp --dport 2203 -s 89.xxx.186.xxx -j ACCEPT
iptables -A INPUT -p tcp --dport 2203 -j DROP
Assurez-vous que les règles sont enregistrées lors des redémarrages :
apt install iptables-persistent
iptables-save > /etc/iptables/rules.v4
Ces étapes augmenteront considérablement la sécurité et fonctionneront avec le protocole SSH.
Nous vous recommandons d'utiliser un serveur VPS comme adresse IP statique puisque son IP sera toujours la même où que vous soyez. C'est pratique car lorsque vous vous connectez depuis la maison, le bureau, les vacances, en utilisant l'Internet mobile, vous aurez toujours des adresses IP différentes et dans la plupart des cas dynamiques.