3
Bonjour,

Aujourd'hui article sur la sécurité d'un Raspberry Pi, essentielle pour les détenteurs de RPi qui l'utilise en serveur. Car depuis quelque temps maintenant sur mon RPi utiliser en serveur, j'ai pu constaté dans les logs des tentatives d'intrusions via bien sûr le mode ssh et le port 22 avec le login "root". 



Vous aussi faite le test regarder votre log, rechercher dans authentification ratée plusieurs fois avec des adresses inconnues, le fichier log est le suivant :
nano /var/log/auth.log
Après avoir vu le nombre de tentatives j'ai décidé de rechercher des solutions, je vais donc vous faire par de toutes les méthodes de protection que j'ai suivies pour sécurisé votre le serveur.

I - Port SSH

C'est bien connu le port 22 est le port de connexion SSH, et ça, les serveurs pirates le savent aussi, il faut donc commencer par changer le port de connexion. Le nouveau port de connexion doit être compris entre 1024 et 65537, la modification du port se trouve dans le fichier suivant :
sudo nano /etc/ssh/sshd_config
Rechercher la ligne avec "Port" et modifier la ligne en conséquence, mais attention si vous êtes connecté en SSH vous serez aussitôt déconnecter au moment de la sauvegarde du fichier.

Il faut aussi penser à changer le port redirection sur votre box. Pour la connexion à partir d'un Linux, il faut aussi changer la traditionnelle commande "ssh pi@IP" et rajouter l'option "-p" pour préciser le port de connexion, la commande devient "ssh -p 1234 pi@IP".

II - Root

Second constat, les serveurs pirates cherchent à se connecter via l'utilisateur "root". L'utilisateur "Pi" est un Super Utilisateur il est donc possible d'interdire les connexions en SSH sur le compte "root" en modifiant le même fichier que précédemment et modifier la ligne suivante :
PermitRootLogin yes
par :
PermitRootLogin no

III - Mot de passe

Ici je ne vous apprends rien, je pense, un bon mot de passe est composé de majuscule, minuscule, de caractère spécial et de chiffre. Laisser parler votre imagination.

IV - Fail2Ban

Pour les bots qui tenteraient toujours de se connecter plusieurs fois il est possible de les bannir ou plutôt de les placer dans votre "prison", grâce à Fail2Ban. Simple d'utilisation et sur, il a déjà chez moi fait plusieurs bannit. Pour l'installation :
sudo apt-get install fail2ban
le fichier de configuration (/etc/fail2ban/jail.conf) contient les paramètres suivants :
ignoreip : le ou les ports à ne pas inclure dans le contrôle
bantime : temps de bannissement en seconde
maxretry : nombre de tentative avant exclusions

A noter que si vous avez modifier le port de connexion il faut modifier le fichier de configuration ci-dessus comme ceci :

[ssh]
enabled  = true
port     = ssh
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 6
port     = ssh,sftp,2276

 

Ajouter donc la ligne port en remplacent 2276 pour votre port ssh.

Il est possible d'utiliser fail2ban pour d'autre service de connexion (pour se faire, google est votre ami).

VI - Conclusion

Voilà on à fait le tour des bases de la sécurité de votre serveur SSH et ces bases sont essentielle si votre RPI est en serveur, je n'ai pas évoqué le pare-feu "iptables" car les box et les routeurs offrent déjà ces fonctionnalités.

Enregistrer un commentaire

  1. Bon tuto, intéressant.
    Merci

    ap

    RépondreSupprimer
  2. Attention tout de meme a modifier le port pour ssh dans la conf de fail2ban si vous modifié le port ssh par default de sshd

    RépondreSupprimer

 
Top