Logguez-vous en root
pour donner les droits d’administration à l’utilisateur créé.
Dans cet exemple, l’utilisateur est appelé jean
.
Logguez-vous maintenant avec votre nom d’utilisateur.
Vous pourrez lancer des commandes administrateur avec sudo
.
Vous pouvez maintenant vous connecter au serveur depuis une autre machine. Pour ce faire, repérez l’adresse IP locale du serveur :
L’adresse IP locale se situe à côté du nom de la carte réseau utilisée (WiFi/Ethernet).
Pour l’exemple, nous utiliserons 192.168.1.25
.
Sur une autre machine, lancez :
Pour éviter les attaques brute-force, nous allons empêcher la connexion en SSH avec mot de passe. C’est peut-être contre-intuitif de supprimer la connexion par mot de passe, mais une bien meilleure alternative existe : l’utilisation de clés RSA. Sans entrer dans le détail, le serveur et la machine de notre choix vont se reconnaître à l'aide d'un jeu de clés privée et publique. Si vous faites confiance au fait que personne d’autre que vous n’a physiquement accès au système de ces machines, c’est un cran de sûreté qui vaut le coup.
Sur votre machine locale (pas dans le terminal SSH, mais directement dans votre système):
Si aucun mot de passe ne vous est demandé à la connexion, vous avez réussi.
Nous allons maintenant rendre impossible de se connecter directement avec l’utilisateur root
sur le serveur.
Cela permet de devoir passer par l’utilisateur (jean
), et d’avoir besoin d’entrer votre mot de passe pour exécuter des commandes administrateur.
C’est donc une couche de protection supplémentaire.
Sur le serveur :
Modifier le fichier en décommentant ces lignes, et en changeant de manière adéquate leur option :
PasswordAuthentication no
empêche de se connecter avec mot de passe en SSH.
ChallengeResponseAuthentication no
retire les demandes distantes de connexion par mot de passe.
UsePAM no
rend impossible la fuite de quelques variables d’environnement et désactive l’option de login root
.
Une fois le fichier modifié lancez (sur le serveur toujours) :
Si votre machine est censée être accessible en dehors de votre réseau local (hébergement web, cloud, etc.), il peut paraître sensé de bloquer l’entrée des ports non-utilisés.
À cette étape, on peut considérer votre serveur comme prêt. Tout est à jour, et la sécurité est bien configurée.
N’oubliez pas que vous devrez ouvrir des ports avec ufw
pour tous les services que vous installerez.
Par exemple, pour autoriser les connexions http/https :
Si vous utilisez un ordinateur portable et que vous souhaitez que l’écran puisse être fermé sans que cela ne mette l’ordinateur en veille :
Pour réactiver :