SSH : Autoriser uniquement les connexions avec clé privée

SSH : Autoriser uniquement les connexions avec clé privée
5 (100%) 3 votes

ssh ligne de commande Debian

Authentification par clé privée sur serveur Debian

Pour sécuriser un serveur SSH, vous pouvez avoir la bonne idée de n’autoriser que la connexion par clé privée (voir le tutoriel pour se connecter avec une clé privée via OpenSSH). Dans l’idée, ça ne permettra l’authentification SSH qu’aux utilisateurs ayant leur clé privée enregistrée sur le serveur SSH distant.

Du coup, personne ne pourra tenter d’attaquer par Bruteforce votre serveur SSH, même pas besoin de Fail2Ban !

Comment empêcher OpenSSH d’utiliser l’authentification par mot de passe

Pensez à ouvrir au préalable une seconde session SSH si vous n’avez pas d’accès physique au serveur. Si jamais un problème arrive, vous aurez un moins un accès pour revenir à la configuration précédente.

  1. Commencez par créer une clé privée, et envoyez-là sur le serveur pour tous les utilisateurs dont vous souhaitez donner l’accès.
  2. Éditez le fichier de configuration suivant :
    nano /etc/ssh/sshd_config
  3. Changez les valeurs suivantes pour empêcher l’authentification par mot de passe.
    PasswordAuthentication no
    ChallengeResponseAuthentication no
    UsePAM no
    
  4. Redémarrez le service SSH.
    systemctl restart ssh

Si jamais vous souhaitez rajouter un utilisateur, vous devrez au préalable désactiver la configuration si dessus, et relancer le processus pour envoyer la clé privée du nouvel utilisateur sur le serveur.

Exemple d’authentification par mot de passe d’un utilisateur

Seuls les utilisateurs ayant enregistrés leur clé privée sur le serveur OpenSSH peuvent s’authentifier.

SSH Authentification par mot de passe refusée

Tentative de connexion sur un serveur SSH avec protection d’authentification par mot de passe

Sources

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.