SSH : Autoriser uniquement les connexions avec clé privée

Pour sécuriser un serveur SSH, vous pouvez avoir la bonne idée de n’autoriser que la connexion par clé privée. Dans l’idée, ça ne permettra l’authentification SSH qu’aux utilisateurs ayant leur clé publique enregistrée sur le serveur SSH distant.

Du coup, personne ne pourra tenter d’attaquer par Bruteforce votre serveur SSH, même pas besoin de Fail2Ban !

Attention ! Vous devez au préalable vous connecter avec une clé privée via OpenSSH pour installer votre clef privée sur le serveur. Si vous ne faites pas cette étape en amont, vous risquez de bloquer toutes les connexions SSH !

Comment empêcher OpenSSH d’utiliser l’authentification par mot de passe

Pensez à ouvrir au préalable une seconde session SSH si vous n’avez pas d’accès physique au serveur. Si jamais un problème arrive, vous aurez un moins un accès pour revenir à la configuration précédente.

1. Commencez par créer une clé public, et envoyez-là sur le serveur pour tous les utilisateurs dont vous souhaitez donner l’accès.
2. Éditez le fichier de configuration suivant :

   nano /etc/ssh/sshd_config

3. Changez les valeurs suivantes pour empêcher l’authentification par mot de passe.

   PasswordAuthentication no
   ChallengeResponseAuthentication no
   UsePAM no
   

4. Redémarrez le service SSH.

   systemctl restart ssh

Si jamais vous souhaitez rajouter un utilisateur, vous devrez au préalable désactiver la configuration si dessus, et relancer le processus pour envoyer la clé publique du nouvel utilisateur sur le serveur.

Exemple d’authentification par mot de passe d’un utilisateur

Seuls les utilisateurs ayant enregistrés leur clé privée sur le serveur OpenSSH peuvent s’authentifier.

Sources

• https://wiki.archlinux.org/index.php/Secure_Shell#Force_public_key_authentication
• https://blog.tankywoo.com/linux/2013/09/14/ssh-passwordauthentication-vs-challengeresponseauthentication.html