Vous venez d’installer un super CentOS 7 (minimal bien sur) sur votre tout nouveau serveur dédié, et maintenant, que faire ?

1ère étape : La base

On se connecte sur le serveur avec le mot de passe fournit par mail :

ssh root@IP

On commence par changer le mot de passe root :

passwd

Création d’un utilisateur standard :

adduser bob && passwd bob

On se reconnecte en user standard :

ssh bob@IP

On installe le minimum vitale :

yum install bash-completion bash-completion-extras epel-release nc nmap

2ème étape : Sécurisation de SSH

On présume qu’on a déjà un couple de clés publique/privée avec une passphrase.

Création du dossier .ssh de l’utilisateur :

cd ~
mkdir .ssh
chmod 700 .ssh

On rentre la clé publique :

vi .ssh/authorized_keys
chmod 600 .ssh/authorized_keys

On modifie un peu le fichier de conf SSH :

vi /etc/ssh/sshd_config

* Port XXXX # On change le port SSH par défaut
* PermitRootLogin no # On interdit les connexions en tant que root
+ AllowUsers bob # On spécifie les utilisateurs autorisés à se connecter
* PasswordAuthentication no # On refuse les connexion par simple mot de passe

On ajoute notre port au firewall :

firewall-cmd --permanent --zone=public --add-port=XXXX/tcp && firewall-cmd --reload

On prend en compte les modifications :

systemctl reload sshd

On test la configuration sur une nouvelle session pour pas se couper la main :

ssh johan@IP + clé privé -p XXXX

-> OK

On vérifie que l’authentification simple n’est pas possible :

ssh johan@IP -p XXXX
Permission denied (publickey).

-> NOK

A partir de la, les vilains devront vous voler votre clé privée et trouver la passphrase pour se connecter à votre serveur. S’ils y arrivent, ils devront ensuite réussir à passer root pour faire des dégâts. Autrement dit, bon courage !

ps : on me dit souvent que changer le port du service SSH ne change rien d’un point de vue sécurité. Peut-être qu’ils ont raison mais lorsque j’ai un SSH ouvert en 22 sur l’Internet, mon fail2ban me spam plutôt pas mal alors que sur un autre port, personne n’essaye de se connecter.