Bonjour,
Aujourd'hui article sur la sécurité d'un Raspberry Pi, essentielle pour les détenteurs de RPi qui l'utilise en serveur. Car depuis quelque temps maintenant sur mon RPi utiliser en serveur, j'ai pu constaté dans les logs des tentatives d'intrusions via bien sûr le mode ssh et le port 22 avec le login "root".
Vous aussi faite le test regarder votre log, rechercher dans authentification ratée plusieurs fois avec des adresses inconnues, le fichier log est le suivant :
nano /var/log/auth.logAprès avoir vu le nombre de tentatives j'ai décidé de rechercher des solutions, je vais donc vous faire par de toutes les méthodes de protection que j'ai suivies pour sécurisé votre le serveur.
I - Port SSH
C'est bien connu le port 22 est le port de connexion SSH, et ça, les serveurs pirates le savent aussi, il faut donc commencer par changer le port de connexion. Le nouveau port de connexion doit être compris entre 1024 et 65537, la modification du port se trouve dans le fichier suivant :
sudo nano /etc/ssh/sshd_configRechercher la ligne avec "Port" et modifier la ligne en conséquence, mais attention si vous êtes connecté en SSH vous serez aussitôt déconnecter au moment de la sauvegarde du fichier.
Il faut aussi penser à changer le port redirection sur votre box. Pour la connexion à partir d'un Linux, il faut aussi changer la traditionnelle commande "ssh pi@IP" et rajouter l'option "-p" pour préciser le port de connexion, la commande devient "ssh -p 1234 pi@IP".
II - Root
Second constat, les serveurs pirates cherchent à se connecter via l'utilisateur "root". L'utilisateur "Pi" est un Super Utilisateur il est donc possible d'interdire les connexions en SSH sur le compte "root" en modifiant le même fichier que précédemment et modifier la ligne suivante :
PermitRootLogin yespar :
PermitRootLogin no
III - Mot de passe
Ici je ne vous apprends rien, je pense, un bon mot de passe est composé de majuscule, minuscule, de caractère spécial et de chiffre. Laisser parler votre imagination.
IV - Fail2Ban
Pour les bots qui tenteraient toujours de se connecter plusieurs fois il est possible de les bannir ou plutôt de les placer dans votre "prison", grâce à Fail2Ban. Simple d'utilisation et sur, il a déjà chez moi fait plusieurs bannit. Pour l'installation :
sudo apt-get install fail2ban
le fichier de configuration (/etc/fail2ban/jail.conf) contient les paramètres suivants :
- ignoreip : le ou les ports à ne pas inclure dans le contrôle
- bantime : temps de bannissement en seconde- maxretry : nombre de tentative avant exclusions
A noter que si vous avez modifier le port de connexion il faut modifier le fichier de configuration ci-dessus comme ceci :
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
port = ssh,sftp,2276
Ajouter donc la ligne port en remplacent 2276 pour votre port ssh.
Il est possible d'utiliser fail2ban pour d'autre service de connexion (pour se faire, google est votre ami).
VI - Conclusion
Voilà on à fait le tour des bases de la sécurité de votre serveur SSH et ces bases sont essentielle si votre RPI est en serveur, je n'ai pas évoqué le pare-feu "iptables" car les box et les routeurs offrent déjà ces fonctionnalités.
Bon tuto, intéressant.
RépondreSupprimerMerci
ap
Attention tout de meme a modifier le port pour ssh dans la conf de fail2ban si vous modifié le port ssh par default de sshd
RépondreSupprimerMerci j'ai omis se détaille :)
Supprimer