====== Serveur SSH ======
{{tag>sécurité SSH système}}

===== Configuration du serveur =====

Editez le fichier de configuration :
<code>
sudo nano /etc/ssh/sshd_config
</code>

==== Port par défaut ====
Le port par défaut est le port 22, mais il est possible de le changer (par exemple pour limiter les attaques en "brute force")
<code>
Port 2222
</code>

==== Interdire la connexion de l'utilisateur root ====
Mettre PermitRootLogin à "no" :
<code>
PermitRootLogin no
</code>

==== Sécurité ====
<code>
MaxStartups 10:30:60
ClientAliveCountMax 6 # Try to login 6 times
ClientAliveInterval 20 # Try to login with intervals of 20 seconds
AllowUsers username
</code>

===== Activer l'authentification par clés SSH =====
Afin de sécuriser un peu plus le serveur, nous allons mettre en place le système d'authentification par clés SSH. Ainsi, seuls les utilisateurs possédant une clé privée déclarée sur le serveur pourront se connecter.

==== Générer une clé ====
Nous allons ici générer une clé RSA :

<code>
ssh-keygen -t rsa -b 4096 -f username
</code>

Deux clés sont créées dans le répertoire ~/.ssh/, username et username.pub.

==== Copier la clé publique sur le serveur ====

<code>
ssh-copy-id -i ~/.ssh/username.pub user@mon_serveur
</code>

Le contenu de la clé username sera copié dans le fichier ~/.ssh/authorized_keys

==== Utiliser les clés  ====

Editez le fichier de configuration :

<code>
sudo nano /etc/ssh/sshd_config
</code>

Décommentez AuthorizedKeysFile :
<code>
AuthorizedKeysFile      %h/.ssh/authorized_keys
</code>

==== Désactiver l'authentification par mot de passe ====
Décommenter et mettre PasswordAuthentication à "no" :
<code>
PasswordAuthentication no
</code>

===== Prise en compte des paramètres =====
Enfin, redémarrer le serveur ssh :
<code>
sudo service sshd reload
</code>

===== Aller plus loin =====
<note tip>Pour sécuriser un peu plus votre serveur ssh, je vous conseille d'utiliser fail2ban. Le tuto. se trouve [[fail2ban|ici]].</note>