Configuration du pare-feu

Pare-feu et ports de connexion SSH

Installation du pare-feu

sudo apt install ufw

sudo ufw allow 22/tcp comment 'SSH default'

Le port de connexion (22 par défaut) est à modifier. Vérifier les ports en cours d'utilisation

sudo ss -tulnp

Le port libre ici choisi est 4444, l'ajouter à UFW

sudo ufw allow 4444/tcp comment 'SSH custom'

Activation du pare-feu

sudo ufw enable

Modifier le fichier de configuration du pare-feu.

sudo nano /etc/ssh/sshd_config

Ajouter, modifier ou retirer le commentaire des lignes suivantes ; on en profite pour interdire la connexion root

Port 4444
PermitRootLogin no

Redémarrer SSH

sudo ufw reload

Se déconnecter du terminal

exit

Se reconnecter sur le port custom

ssh -p 4444 mountdoom@192.168.x.y

Effacer règle UFW désormais inutile

sudo ufw delete allow 22/tcp

Redémarrer SSH

sudo ufw reload

Limitation des tentatives de connexion intempestives

Installer Fail2ban

sudo apt install fail2ban

Créer le fichier de configuration personnalisé

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

L'ouvrir

sudo nano /etc/fail2ban/jail.local

Et modifier ces lignes

[DEFAULT]
bantime = 1h
findtime = 15m
maxretry = 3
backend = systemd
banaction = ufw

[sshd]
enabled = true

Redémarrer fail2ban

sudo systemctl restart fail2ban

Vérifier son fonctionnement et les erreurs de mot de passe archivées

sudo fail2ban-client status sshd

Supprimer Dropbear

La personnalisation du port de connexion SSH active automatiquement l'utilisation d'OpenSSH. Arrêter le service et supprimer Dropbear

sudo systemctl stop dropbear && sudo apt remove dropbear

Si un message d'erreur apparaît concernant les locales, relancer l'outil de configuration et choisir seulement celles utilisées

sudo dpkg-reconfigure locales