Pages : 1
#1 Le 14/11/2025, à 14:11
- Christophe C
[Résolu] Serveur en accès SSH
Bonjour,
J'ai monté un petit serveur RaspOS, relié à ma box internet en RJ45, et qui me sert pour diffuser des films (via minidlna) et gérer mes sauvegardes (via rsync et des lancements cron).
Le serveur est sans interface graphique, sans écran, et je n'y accède que via SSH, depuis un PC Ubuntu.
Marche très bien, pas de question à ce sujet.
Par contre je ne suis pas un expert en SSH, et je voudrais savoir si je peux considérer que mon serveur est correctement sécurisé.
- Il est mis à jour régulièrement, et j'ai un mot de passe de plus de 15 caractères.
- Pour ne pas avoir à taper le MDP à chaque connexion SSH, j'ai fait en sorte d'avoir un échange automatique de clés. Généré sur Ubuntu via ssh-keygen -b 4096.
Depuis, quand je fais un sudo via SSH, il ne me demande plus de MDP, ce à quoi je ne m'attendais pas.
- Pour éviter d'avoir des accès extérieurs, je suis allé dans /etc/ssh/sshd_config, et j'ai mis PasswordAuthentication no
- Cron le reboot 1 fois par semaine.
Et en gros c'est tout pour la partie serveur/SSH.
Deux questions :
- y a t'il une grosse erreur de paramétrage (d'un point de vue sécurité) ?
- est il normal que les sudo que je lance via SSH soient sans MDP (ou plutôt que la clé automatique s'active) ? Ce n'est pas illogique (puisque je passe par un SSH avec clé) mais autant être sûr que c'est normal.
Dernière modification par Christophe C (Le 16/11/2025, à 08:56)
Faite un petit don, ponctuel ou récurent, pour soutenir le développement de XFCE.
Timeshift - Sécurité : pensez à paramétrer des points de restauration système.
Euclide : « Ce qui est affirmé sans preuve peut être nié sans preuve ».
Hors ligne
#2 Le 14/11/2025, à 16:42
- iznobe
Re : [Résolu] Serveur en accès SSH
Bonjour , dans la doc : ssh cela doit etre expliqué .
Si le mot de passe root n ' est pas demandé , c ' est que tu te logues en SSH via clé en autorisant le " root " je suppose .
et effectivement , c ' est vraiment pas terrible en terme de sécurité .
Ca se change facilement , suffit d' aller lire la doc 
Pour le reste , il me semble que c ' est ce qu ' il y a de mieux au niveau sécurité .
Dernière modification par iznobe (Le 14/11/2025, à 16:44)
Hors ligne
#3 Le 14/11/2025, à 17:11
- krodelabestiole
Re : [Résolu] Serveur en accès SSH
il faut éviter de laisser l'accès SSH par mot de passe, à moins de ne vraiment pas pouvoir faire autrement !
et dans ce cas on peut bricoler derrière avec fail2ban, mais c'est pas fou !
en général pour sécuriser SSH (et pour le coup je pense qu'on trouve des milliers de pages sur le web qui décrivent la même chose) :
- on crée une paire de clés (publique / privée) ED25519.
- on désactive la connexion par mot de passe et toutes les méthodes, sauf par clé.
- on désactive la connexion de root.
bien que ce soit souvent conseillé, il est inutile de changer le port.
et oui, avec une connexion par clé, il n'y a pas besoin de mot de passe, en dehors de la phrase de passe si on en a spécifiée une (et dans le cas contraire il faut faire extrêmement attention à ne pas diffuser sa clé privée).
SSH va chercher automatiquement la clé dans ~/.ssh
Dernière modification par krodelabestiole (Le 14/11/2025, à 17:34)
nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents - sources du site
Hors ligne
#4 Le 14/11/2025, à 17:18
- krodelabestiole
Re : [Résolu] Serveur en accès SSH
perso je n'utilise pas de passphrase sur mes clés privées, mais je les stocke exclusivement en pièces jointes dans une base keepass, et j'utilise keepassXC en agent SSH, donc un seul mot de passe à taper pour déverrouiller SSH et tous les mots de passe.
on peut avoir une clé privée personnelle unique et utiliser cette même clé pour tous ses serveurs et accès, et les clés publiques peuvent réellement être publiques.
nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents - sources du site
Hors ligne
#5 Le 14/11/2025, à 17:27
- lynn
Re : [Résolu] Serveur en accès SSH
Bonjour,
@Christophe C
Rasberry pi OS est configuré pour laisser à ton utilisateur le loisir d'utiliser des commandes administratives sans avoir à taper le mot de passe. C'est configuré dans
/etc/sudoers.d/010_pi-nopasswdSi tu veux taper le mot de passe à chaque fois, tu peux commenter la ligne de ce fichier.
«C'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont raison!»
Coluche
Hors ligne
#6 Le 14/11/2025, à 17:56
- Christophe C
Re : [Résolu] Serveur en accès SSH
ok, mais pour dire les choses clairement, mon accès par clé (ssh-keygen -b 4096) et ma neutralisation des mots de passe (PasswordAuthentication no), c'est la bonne pratique ?
@lynn : cela ne me gêne pas particulièrement (surtout vu la taille du mot de passe derrière la clé 
), sauf si c'est considéré comme dangereux.
Dernière modification par Christophe C (Le 14/11/2025, à 17:57)
Faite un petit don, ponctuel ou récurent, pour soutenir le développement de XFCE.
Timeshift - Sécurité : pensez à paramétrer des points de restauration système.
Euclide : « Ce qui est affirmé sans preuve peut être nié sans preuve ».
Hors ligne
#7 Le 14/11/2025, à 18:00
- iznobe
Re : [Résolu] Serveur en accès SSH
en général pour sécuriser SSH (et pour le coup je pense qu'on trouve des milliers de pages sur le web qui décrivent la même chose) :
- on crée une paire de clés (publique / privée) ED25519.
- on désactive la connexion par mot de passe et toutes les méthodes, sauf par clé.
- on désactive la connexion de root.
ca c ' est ce qu' il est conseillé de faire .
Si tu n' as pas interdit " root " il te reste ce point .
ok, mais pour dire les choses clairement, mon accès par clé (ssh-keygen -b 4096) et ma neutralisation des mots de passe (PasswordAuthentication no), c'est la bonne pratique ?
je ne vais pas re re repeter 
...
Quand a la différence entre des clés crypter en 4096 / des clés ED25519 , je ne connais pas les détails en terme de sécurité .
Sinon oui , c ' est la bonne manière de faire .
Dernière modification par iznobe (Le 14/11/2025, à 18:02)
Hors ligne
#8 Le 14/11/2025, à 18:29
- Christophe C
Re : [Résolu] Serveur en accès SSH
ok. Donc :
sudo nano /etc/ssh/sshd_config
puis : PermitRootLogin no
et enfin : service ssh restart
Merci !
Juste une inquiétude : j'ai des tâches cron lancées via sudo crontab -e, donc avec des droits root (genre reboot et autres). Ces tâches vont-elles continuer à se lancer ?
Sinon je peux tester.
Dernière modification par Christophe C (Le 14/11/2025, à 18:31)
Faite un petit don, ponctuel ou récurent, pour soutenir le développement de XFCE.
Timeshift - Sécurité : pensez à paramétrer des points de restauration système.
Euclide : « Ce qui est affirmé sans preuve peut être nié sans preuve ».
Hors ligne
#9 Le 14/11/2025, à 18:47
- krodelabestiole
Re : [Résolu] Serveur en accès SSH
systemctl restart sshdsinon c'est que la doc que tu suis est sûrement ancienne (d'où aussi l'absence de ed25519, qui est plus sécu et plus pratique parce que beaucoup plus court que les clés RSA, surtout 4096).
ça ne touche bien sûr pas à tes crontab, root, su et autres sudo, ça concerne seulement la connexion SSH.
nouveau forum ubuntu-fr on en parle là : refonte du site / nouveau design
profil - sujets récurrents - sources du site
Hors ligne
#10 Le 14/11/2025, à 18:52
- iznobe
Re : [Résolu] Serveur en accès SSH
Ces tâches vont-elles continuer à se lancer ?
oui , bien sûr .
Hors ligne
Pages : 1