Sécuriser SSH : meilleures pratiques avancées
Publié le 19/07/2025 dans Sécurité Serveur
Introduction
SSH est le protocole privilégié pour administrer vos serveurs. Au-delà des réglages basiques, voici des techniques avancées pour renforcer encore plus sa sécurité.
1. Authentification à deux facteurs (2FA)
Ajoutez un OTP avec Google Authenticator ou YubiKey :
sudo apt install libpam-google-authenticator
google-authenticator
# Puis dans /etc/pam.d/sshd ajouter :
auth required pam_google_authenticator.so
2. Limitation du bastion
Placez un serveur bastion en DMZ, unique point d’accès SSH. Configurez NACL/Firewall pour n’autoriser que cette IP :
AllowUsers admin@10.0.0.5
3. Fichiers de configuration stricts
AllowAgentForwarding noAllowTcpForwarding noX11Forwarding no
4. Journalisation et monitoring
Activez un audit détaillé avec auditd :
sudo apt install auditd
sudo auditctl -w /etc/ssh/sshd_config -p wa -k ssh_config
Envoyez les logs vers un SIEM (Graylog, ELK) pour détecter toute modification non autorisée.
5. Rotation des clés
Mettez en place une politique de rotation trimestrielle des clés SSH et désactivez immédiatement toute clé non reconnue.
Conclusion
Avec ces pratiques avancées, vous transformez SSH en un service durablement résilient, minimisant les risques d’accès non autorisé.