SSH (Secure Shell) est un protocole sécurisé utilisé pour accéder et gérer à distance les serveurs Linux. Il fournit une communication cryptée, garantissant la sécurité des données transférées entre le client et le serveur. SSH est un outil fondamental pour les administrateurs système et les développeurs, leur permettant d'effectuer diverses tâches telles que l'exécution de commandes, le transfert de fichiers et la gestion sécurisée des services réseau sur un réseau non sécurisé.
Pour configurer SSH sur Rocky Linux 9 ou 8, vous pouvez suivre un processus d'installation simple en utilisant les référentiels par défaut. Ce guide vous guidera à travers les étapes d'installation et vous fournira des conseils sur la configuration initiale pour améliorer la sécurité et la convivialité.
Mettre à jour Rocky Linux avant l'installation de SSH
Avant d'installer et de configurer SSH sur Rocky Linux, il est essentiel de vous assurer que les packages de votre système sont à jour. Cela garantit non seulement des opérations plus fluides, mais minimise également les conflits logiciels potentiels.
Pour mettre à jour votre système Rocky Linux, utilisez la commande :
sudo dnf upgrade --refreshInstaller SSH via la commande DNF
L'étape suivante consiste à vérifier si le serveur OpenSSH est déjà sur votre système Rocky Linux. Cela peut être vérifié en exécutant la commande :
rpm -qa | grep openssh-serverCette commande renverra une sortie pertinente si le serveur OpenSSH est installé. S'il n'y a aucune sortie, cela indique l'absence du serveur OpenSSH sur votre système. Pour résoudre ce problème et installer le serveur OpenSSH, utilisez la commande suivante :
sudo dnf install openssh-serverActiver le service SSH (SSHD)
Après avoir installé avec succès le serveur OpenSSH, il est impératif d'activer le service SSHD dans le framework systemd. Cela garantit que le démon SSH s'initialise automatiquement après chaque redémarrage du système. Pour y parvenir, exécutez la commande :
sudo systemctl enable sshdLe service SSHD étant désormais configuré pour démarrer automatiquement, vous pouvez lancer manuellement le serveur SSH en utilisant :
sudo systemctl start sshdÀ des fins de vérification et pour garantir que le serveur SSH fonctionne sans problème, vous pouvez vérifier son état avec :
sudo systemctl status sshdPour confirmer que le port par défaut (22) écoute désormais activement les connexions SSH entrantes, exécutez :
sudo ss -ltConnectez-vous à un serveur distant via SSH sur Rocky Linux 9 ou 8
Avec SSH correctement configuré sur votre système Rocky Linux, vous pouvez désormais établir des connexions avec des serveurs distants. Voici une description détaillée de la façon d'utiliser SSH pour différents scénarios de connexion :
Connexion à l'aide de l'authentification par mot de passe avec SSH sur Rocky Linux
Pour établir une connexion à un serveur distant en utilisant SSH avec une authentification par mot de passe, utilisez la commande :
ssh username@remote_serverIci, remplacez « nom d'utilisateur » par votre nom d'utilisateur réel et « serveur_distant » par l'adresse IP ou le nom d'hôte du serveur distant souhaité. Lors de l'exécution, vous serez invité à saisir votre mot de passe pour l'authentification.
Connexion à l'aide de l'authentification par clé publique avec SSH
SSH propose une authentification par clé publique pour ceux qui préfèrent une méthode de connexion plus sécurisée. Pour se connecter en utilisant cette méthode, la commande est :
ssh -i /path/to/private_key username@remote_serverDans cette commande, remplacez « /path/to/private_key » par le chemin menant à votre fichier de clé privée. De même, remplacez « nom d'utilisateur » par votre nom d'utilisateur et « serveur_distant » par l'adresse IP ou le nom d'hôte du serveur distant. Cette méthode évite la nécessité de saisir un mot de passe et s'appuie plutôt sur la clé privée fournie pour l'authentification.
Spécification d'un autre port pour la connexion avec SSH
Bien que SSH utilise par défaut le port 22 pour les connexions, certains serveurs distants peuvent fonctionner sur des ports différents. Pour spécifier un autre port lors de la connexion, utilisez :
ssh -p 2222 username@remote_serverDans cet exemple, remplacez « 2222 » par le numéro de port utilisé par le serveur distant.
Transfert de fichiers sécurisé avec SCP avec SSH
SCP, ou Secure Copy, est un puissant utilitaire de ligne de commande qui facilite le transfert sécurisé de fichiers entre systèmes via SSH. Pour transférer un fichier de votre système Rocky Linux local vers un serveur distant, la commande est la suivante :
scp /path/to/local/file username@remote_server:/path/to/remote/directoryRemplacez « /path/to/local/file » par le chemin du fichier que vous souhaitez transférer. De même, ajustez « nom d'utilisateur » à votre nom d'utilisateur, « serveur_distant » à l'adresse IP ou au nom d'hôte du serveur distant et « /path/to/remote/directory » au chemin du répertoire sur le serveur distant où vous souhaitez placer le fichier transféré. déposer.
Configurer SSH sur Rocky Linux
L'optimisation de la configuration SSH peut améliorer la sécurité et les performances de votre serveur. Le fichier de configuration SSH, situé dans /etc/ssh/sshd_config, contient divers paramètres qui peuvent être ajustés pour répondre à des besoins spécifiques. Bien que les configurations suivantes ne soient que des exemples, elles peuvent être utiles en fonction de la configuration de votre serveur ou de votre ordinateur de bureau.
Désactivation de l'authentification GSSAPI pour SSH
L'authentification GSSAPI, bien qu'utile, peut parfois introduire des retards lors de l'établissement de la connexion SSH. Pour atténuer cela, vous pouvez le désactiver en ajoutant la ligne ci-dessous au fichier de configuration SSH :
GSSAPIAuthentication noModification des délais d'expiration des sessions SSH pour SSH
L'ajustement des délais d'expiration des sessions peut aider à gérer les sessions SSH inactives. Pour configurer le serveur pour qu'il envoie un message keep-alive toutes les 5 minutes et termine la session si deux messages consécutifs restent sans réponse, ajoutez :
ClientAliveInterval 300
ClientAliveCountMax 2Interdire la connexion root pour SSH
Pour une sécurité renforcée, notamment contre les attaques par force brute, il est conseillé de désactiver la connexion root. Ceci peut être réalisé avec :
PermitRootLogin noImplémentation de l'authentification par clé publique pour SSH
L'authentification par clé publique offre une alternative plus sécurisée aux méthodes basées sur un mot de passe. Pour configurer cela, vous devez d'abord générer une nouvelle paire de clés SSH :
ssh-keygen -t rsa -b 4096Ensuite, transférez la clé publique vers le serveur distant souhaité :
ssh-copy-id user@remote_serverAssurez-vous de remplacer « utilisateur » par votre nom d'utilisateur et « serveur_distant » par l'adresse IP ou le nom d'hôte approprié. Enfin, activez l'authentification par clé publique dans la configuration SSH :
PubkeyAuthentication yesRestreindre l'accès SSH pour SSH
Vous pouvez limiter l'accès SSH à des utilisateurs ou des groupes spécifiques pour plus de sécurité. Pour implémenter cela, ajoutez :
AllowUsers user1 user2
AllowGroups group1 group2Remplacez les espaces réservés par les noms d'utilisateur ou de groupe auxquels vous souhaitez accorder l'accès.
Modification du port SSH pour SSH
SSH, par défaut, fonctionne sur le port 22. Compte tenu de sa notoriété, changer ce port peut dissuader les tentatives d'accès non autorisées. Pour attribuer un nouveau port, utilisez :
Port <port_number>Il est conseillé de sélectionner un numéro de port compris entre 1024 et 65535 qui n'est pas occupé par un autre service.
Sécurisez SSH avec Firewalld
Garantissez un accès ininterrompu lorsque vous travaillez avec un VPS ou un environnement de serveur distant. Avant d'apporter des modifications à Firewalld, surtout si vous accédez au système à distance, il est impératif de mettre votre adresse IP sur liste blanche. Si vous ne le faites pas, vous pourriez par inadvertance vous verrouiller hors du serveur après avoir appliqué les modifications du pare-feu.
Pour ajouter votre adresse IP à la liste blanche dans Firewalld, utilisez la commande suivante :
sudo firewall-cmd --permanent --add-source=<your_ip_address>Remplacer avec votre adresse IP réelle.
Une fois votre adresse IP sur liste blanche, vous pouvez intégrer en toute sécurité le service SSH dans Firewalld :
sudo firewall-cmd --add-service=ssh --permanentAprès avoir effectué les ajustements nécessaires, appliquez la nouvelle configuration de Firewalld :
sudo firewall-cmd --reloadPour vérifier l'inclusion du service SSH dans Firewalld, exécutez ce qui suit :
sudo firewall-cmd --list-services | grep sshCette commande confirmera si le service SSH est dûment autorisé via le pare-feu, garantissant ainsi que vos connexions à distance restent sécurisées et accessibles.
Conclusion
Avec SSH installé et configuré avec succès sur votre système Rocky Linux, vous pouvez gérer votre serveur à distance en toute sécurité. Mettez régulièrement à jour vos configurations SSH et appliquez les meilleures pratiques pour maintenir la sécurité. En suivant les conseils de configuration initiale, vous garantissez une expérience de gestion à distance plus sécurisée et plus efficace. Profitez des fonctionnalités robustes offertes par SSH pour une administration sécurisée des serveurs.
