Skip to content

Blog Net-Expression

Four-tout informatique !

Archive

Tag: service

Ce weekend, j’ai ajouté un peu de contenu, et retravaillé un peu la présentation de mon potentiel futur site d’entreprise (net-expression.com offrant des services d’hébergement et de développements personnalisés pour les entreprises)…

Je nourris toujours l’espoir de pouvoir faire perdurer cette activité qui m’a fait vivre pendant tout de même 3/4 ans… Depuis le temps, l’expérience et le savoir faire sont là, faut-il trouver des clients !

J’ai aussi dans mes cartons bien d’autres projets, comme par exemple :

- Un site offrant de l’hébergement de serveurs de jeu multi-joueurs payant.

- Un site de rencontre gratuit (ca c’est vieux)…

- Des jeux en flash (pour essayer ! Je serais bien tenté de faire un casse-brique !).

- Améliorer le site TMMM…

- Travailler avec d’autres sur des projets qui ne sont pas les miens…

Et bien d’autres…

Installer le serveur via les paquets

[php]# aptitude install openssh-server[/php]

Votre serveur est alors prêt à fonctionner, toutefois, il est préférable de jeter un coup d’œil au fichier de configuration pour sécuriser votre installation…

Configurer le serveur SSH

Editer le fichier /etc/ssh/sshd_config


# Port d'écoute
Port 22

# Interdit les mots de passe vides
PermitEmptyPasswords no

# Interdit à l'utilisateur root de se connecter directement
PermitRootLogin yes

# Restreindre les groupes d'utilisateur pouvant se connecter directement
#AllowGroups thisgroup
#DenyGroups anothergroup

# Restreindre des utilisateurs particuliers pouvant se connecter directement
#AllowUsers thisuser
#DenyUsers anotheruser

Pour que les changements soient pris en compte, il faudra redémarrer le service :
# /etc/init.d/ssh restart

Quelques astuces pour sécuriser le service SSH

Le principal risque de ce service est qu’il est possible de trouver le mot de passe d’un utilisateur ayant de forts privilèges sur la machine, et de s’en servir pour installer un logiciel malveillant (par exemple un rootkit, un backdoor, ou encore un serveur de courrier servant à envoyer du spam), ou simplement trouver un moyen d’élever ses privilèges.

  1. Limiter les adresses logiques (Ip) et changer le port d’écoute du serveur.
    => évite d’attirer l’attention des robots qui cherchent des ports SSH en essayant des adresses ip arbitraires.
  2. Désactiver la possibilité de se loguer directement avec l’utilisateur root.
    => si le mot de passe d’un utilisateur est trouvé, mieux vaut que ce dernier ai de faibles privilèges sur la machine. L’attaquant ne sera pas beaucoup plus avancé.
  3. Choisir des mots de passe forts (chiffres, lettres, caractères spéciaux, éviter les mots trouvables facilement), ou utiliser un certificat
    => réduit considérablement la performance d’une attaque brute force, avec dictionnaire.
  4. Mettre en place un logiciel tel que “Fail2ban” .
    => Bloque l’adresse Ip automatiquement de l’attaquant à la suite de trop de tentatives de connexions infructueuses (rend l’attaque par brute force pratiquement inefficace).
  5. Limiter les clients pouvant se connecter à la machine en SSH via le fichier de configuration, et ou via un firewall comme iptables (ce n’est évidemment pas toujours possible).
    => Réduit le nombre d’attaques pouvant être menées à partir d’un ordinateur qui ne vous appartient pas.