Root est un utilisateur qui a tous les droits sur le serveur… il faut donc le sécuriser au max !

Changer le mot de passe root

Il me semble impératif de changer le mot de passe root donné par OVH et qui est plutôt petit… (petit rappel pour les mots de passes).

passwd

Puis entre le nouveau de mot de passe (rien ne s’écrit, c’est normal) et le confirmer.

Empêcher root de se connecter

Si je tente de rentrer dans un système, je vais utiliser les comptes par défaut… sous linux, le super administrateur s’appelle root… On va faire en sorte qu’un seul autre utilisateur puisse se connecter, et empêcher root de se connecter.

Création d’un nouveau groupe et d’un nouvel utilisateur

groupadd sshusers
useradd -m UnNomDUtilisateurALaCon
passwd UnNomDUtilisateurALaCon
usermod -a -G sshusers UnNomDUtilisateurALaCon

Pour empêcher root de se connecter en ssh, on va modifier les fichiers de config.

D’abord, on l’ouvre :

nano /etc/ssh/sshd_config

Puis on le modifie…

  • changer le port d’écoute :
    Port 1234
  • interdire l’identifiant root de se connecter :
    PermitRootLogin no
  • et on ajoute une ligne à la fin pour autoriser les membres de notre nouveau groupe à se connecter :
    AllowGroups sshusers

Quitter en enregistrant le fichier (CTRL+ X puis Yes pour enregistrer).

Puis on redémarre le service :

service ssh restart

ATTENTION

Il faut s’assurer que tout fonctionne avant de vous déconnecter !

  • dans une autre fenêtre, essayez de vous connecter en root → ça ne devrait pas vous le permettre
  • dans une autre fenêtre, essayez de vous connecter avec l’utilisateur UnNomDUtilisateurALaCon → ça devrait fonctionner
  • quand vous serez connecté en tant que UnNomDUtilisateurALaCon, vous pourrez ensuite passer root avec la commande :
    su -

Source :

  • https://forum.ovh.com/showthread.php?102599-Attaque-SSH-sur-mon-VPS
  • http://www.pumbaa.ch/blog/tutoriaux/index.php?d=2015/01/14/16/00/00-securisation-de-votre-vps
Catégories : Auto-hébergementSécurité

2 commentaires

ceny · 5 septembre 2015 à 15 h 20 min

Personnellement je coupe pas l’accès root de mes servs mais je coupe l’accès par mdp, il arrive que l’utilisateur principal soit utilisé par d’autres personnes (pour x raisons) et il faut éviter que ces personnes aient accès à root.

    Éric B. · 6 septembre 2015 à 7 h 01 min

    Couper l’accès par mot de passe ?
    Tu peux m’en dire plus, j’ai du mal à comprendre le fonctionnement…
    Tu passe par un accès par clé par exemple à la place ?

Les commentaires sont fermés.