Introduction

Le service SSH (Secure Shell) est essentiel pour administrer un serveur Linux à distance. Cependant, c'est aussi une cible fréquente d'attaques automatisées (bots). Ce tutoriel présente deux modifications simples pour réduire la surface d'attaque sur Debian 12.

Prérequis : Avoir un accès SSH fonctionnel à votre serveur Debian 12 avec les droits `sudo`.

1. Modification du Fichier de Configuration SSHD

La configuration du serveur SSH se trouve dans le fichier /etc/ssh/sshd_config. Nous allons l'éditer avec un éditeur de texte en ligne de commande (ici, `nano`) :

sudo nano /etc/ssh/sshd_config
        

2. Changer le Port SSH par Défaut

Le port par défaut pour SSH est le 22. De nombreux bots scannent spécifiquement ce port. En le changeant pour un port non standard (au-dessus de 1024 et non utilisé par un autre service), vous évitez une grande partie de ce trafic automatisé.

Dans le fichier sshd_config, trouvez la ligne (elle peut être commentée avec un `#`) :

#Port 22
        

Décommentez-la (supprimez le `#`) et changez le numéro de port. Choisissez un nombre entre 1025 et 65535 qui n'est pas déjà utilisé. Par exemple :

Port 20222
        

Important : Notez bien ce nouveau numéro de port ! Vous devrez le spécifier lors de vos prochaines connexions SSH (ex: ssh utilisateur@votre_ip -p 20222). Assurez-vous également que ce nouveau port est autorisé dans votre pare-feu si vous en utilisez un.

3. Limiter le Nombre de Sessions Simultanées (Optionnel)

Vous pouvez limiter le nombre de sessions SSH qu'un utilisateur peut ouvrir simultanément. Cela peut aider à prévenir certaines formes d'abus ou d'attaques par épuisement de ressources.

Ajoutez ou modifiez la ligne suivante dans sshd_config :

MaxSessions 2
        

Une valeur de 1 ou 2 est souvent raisonnable pour un usage personnel.

4. Appliquer les Changements

Après avoir effectué vos modifications dans `nano` (Ctrl+O pour enregistrer, Enter, Ctrl+X pour quitter), vous devez redémarrer le service SSH pour qu'elles prennent effet :

sudo systemctl restart sshd
        

Attention : Si vous avez changé le port, votre connexion actuelle (sur le port 22) ne sera PAS coupée immédiatement, mais vous ne pourrez plus vous reconnecter sur le port 22. Ouvrez une nouvelle fenêtre de terminal et essayez de vous connecter immédiatement sur le **nouveau** port (ex: ssh utilisateur@votre_ip -p 20222) AVANT de fermer votre session actuelle. Cela vous permet de vérifier que le changement a fonctionné et que vous pouvez toujours accéder à votre serveur. Si la nouvelle connexion échoue, vous pouvez annuler vos changements dans le fichier de configuration via votre session actuelle et redémarrer `sshd` à nouveau.

Conclusion

En changeant le port SSH par défaut et en limitant les sessions, vous avez ajouté une couche de sécurité simple mais efficace contre les attaques automatisées les plus courantes. D'autres mesures de sécurité SSH existent (authentification par clé, Fail2ban, etc.) et sont recommandées pour une protection renforcée.