SSH : Autoriser uniquement les connexions avec clé privée

Authentification par clé privée sur serveur Debian

Pour sécuriser un serveur SSH, vous pouvez avoir la bonne idée de n’autoriser que la connexion par clé privée (voir le tutoriel pour se connecter avec une clé privée via OpenSSH). Dans l’idée, ça ne permettra l’authentification SSH qu’aux utilisateurs ayant leur clé privée enregistrée sur le serveur SSH distant.

Du coup, personne ne pourra tenter d’attaquer par Bruteforce votre serveur SSH, même pas besoin de Fail2Ban !

Comment empêcher OpenSSH d’utiliser l’authentification par mot de passe

Pensez à ouvrir au préalable une seconde session SSH si vous n’avez pas d’accès physique au serveur. Si jamais un problème arrive, vous aurez un moins un accès pour revenir à la configuration précédente.

1. Commencez par créer une clé privée, et envoyez-là sur le serveur pour tous les utilisateurs dont vous souhaitez donner l’accès.
2. Éditez le fichier de configuration suivant :

   nano /etc/ssh/sshd_config

3. Changez les valeurs suivantes pour empêcher l’authentification par mot de passe.

   PasswordAuthentication no
   ChallengeResponseAuthentication no
   UsePAM no
   

4. Redémarrez le service SSH.

   systemctl restart ssh

Si jamais vous souhaitez rajouter un utilisateur, vous devrez au préalable désactiver la configuration si dessus, et relancer le processus pour envoyer la clé privée du nouvel utilisateur sur le serveur.

Exemple d’authentification par mot de passe d’un utilisateur

Seuls les utilisateurs ayant enregistrés leur clé privée sur le serveur OpenSSH peuvent s’authentifier.

Tentative de connexion sur un serveur SSH avec protection d’authentification par mot de passe

Sources

• https://wiki.archlinux.org/index.php/Secure_Shell#Force_public_key_authentication
• https://blog.tankywoo.com/linux/2013/09/14/ssh-passwordauthentication-vs-challengeresponseauthentication.html