SSH : Autoriser uniquement les connexions avec clé privée
Authentification par clé privée sur serveur Debian
Pour sécuriser un serveur SSH, vous pouvez avoir la bonne idée de n’autoriser que la connexion par clé privée (voir le tutoriel pour se connecter avec une clé privée via OpenSSH). Dans l’idée, ça ne permettra l’authentification SSH qu’aux utilisateurs ayant leur clé publique enregistrée sur le serveur SSH distant.
Du coup, personne ne pourra tenter d’attaquer par Bruteforce votre serveur SSH, même pas besoin de Fail2Ban !
Comment empêcher OpenSSH d’utiliser l’authentification par mot de passe
Pensez à ouvrir au préalable une seconde session SSH si vous n’avez pas d’accès physique au serveur. Si jamais un problème arrive, vous aurez un moins un accès pour revenir à la configuration précédente.
- Commencez par créer une clé public, et envoyez-là sur le serveur pour tous les utilisateurs dont vous souhaitez donner l’accès.
- Éditez le fichier de configuration suivant :
nano /etc/ssh/sshd_config - Changez les valeurs suivantes pour empêcher l’authentification par mot de passe.
PasswordAuthentication no ChallengeResponseAuthentication no UsePAM no - Redémarrez le service SSH.
systemctl restart ssh
Si jamais vous souhaitez rajouter un utilisateur, vous devrez au préalable désactiver la configuration si dessus, et relancer le processus pour envoyer la clé publique du nouvel utilisateur sur le serveur.
Exemple d’authentification par mot de passe d’un utilisateur
Seuls les utilisateurs ayant enregistrés leur clé privée sur le serveur OpenSSH peuvent s’authentifier.
Tentative de connexion sur un serveur SSH avec protection d’authentification par mot de passe
salut
« ne permettra l’authentification SSH qu’aux utilisateurs ayant leur clé privée enregistrée sur le serveur SSH distant. »
c’est la clé publique qui est enregistrer sur le serveur
Hello,
Corrigé, merci 🙂