Installez un serveur Linux et sécurisez son accès distant

Table des matières

Table des matières

Sécurisez l’accès distant au serveur avec SSH

Votre serveur est connecté, mais dans la réalité de notre entreprise, vous n'allez pas rester physiquement devant la machine ! L'administration s'effectue au quotidien depuis votre bureau grâce à un outil incontournable : SSH (pour Secure Shell).

Cependant, ouvrir un accès réseau expose inévitablement votre système à l'extérieur. Votre mission est donc de configurer cette porte d'entrée virtuelle, puis de la verrouiller rigoureusement. Pour cela, vous allez établir une première connexion à distance, mettre en place une authentification par clés SSH et renforcer la configuration du service.

Accédez au serveur à distance avec SSH

Le protocole SSH (pour Secure Shell) est l’outil standard pour ouvrir cette fameuse porte d'entrée virtuelle. 

Schéma montrant une machine cliente connectée à un serveur distant via une connexion SSH chiffrée.
Connexion chiffrée entre le client et le serveur

En pratique, SSH vous donne accès à un terminal distant : vous pouvez exécuter des commandes sur le serveur sans être physiquement devant lui.

Pour vous connecter, vous devez utiliser la commande  ssh  suivie du nom d'utilisateur et de l'adresse IP de votre serveur (par exemple,  ssh admin@192.168.1.50  ). 

Lors de votre toute première connexion, le système vous demande d’accepter l’empreinte de la clé hôte du serveur. Cette étape permet à votre machine locale de mémoriser l’identité cryptographique du serveur. Lors des prochaines connexions, elle pourra vous avertir si cette identité change.

Une fois connecté, une nouvelle difficulté apparaît : comment différencier votre terminal local de votre terminal distant, puisqu’ils se ressemblent beaucoup ?

Pour éviter toute confusion, prenez le réflexe de vérifier l’invite de commande avant d’exécuter une action importante. Le nom de l’utilisateur et le nom de la machine affichés avant le curseur vous indiquent sur quel système vos commandes vont s’exécuter.

Découvrez maintenant comment réaliser votre première connexion SSH vers le serveur.

Dans cette vidéo, on a :

  • installé le serveur SSH,

  • initié une connexion depuis la machine cliente vers le serveur distant avec la commandessh,

  • accepté l'empreinte de la clé hôte pour valider et mémoriser l'identité du serveur,

  • identifié la bascule entre l'environnement local et distant grâce à l'affichage de l'invite de commande.

Vous avez maintenant pris le contrôle de votre machine à distance. Mais taper un mot de passe à chaque nouvelle session n’est ni très pratique, ni la méthode la plus robuste face aux attaques automatisées. Vous allez maintenant remplacer cette authentification par un mécanisme plus sûr : les clés SSH.

Sécurisez l’accès avec des clés SSH

Taper un mot de passe à chaque connexion est fastidieux et expose davantage le serveur aux tentatives automatisées. En entreprise, on privilégie donc l’authentification par clés SSH.

Schéma du chiffrement SSH avec clé privée côté client et clé publique sur le serveur distant.
Authentification par clés SSH

 Le principe repose sur une paire de clés cryptographiques :

En pratique, la clé publique est ajoutée sur le serveur dans la configuration SSH de l’utilisateur autorisé, généralement dans   ~/.ssh/authorized_keys  . La clé privée, elle, ne doit jamais quitter votre machine.

Alex insiste systématiquement sur ce point auprès des nouvelles recrues :

Partager sa clé privée revient à donner un accès personnel au serveur. Elle doit donc rester protégée, dans votre répertoire  .ssh  , avec des permissions strictes. Si ces fichiers sont trop largement accessibles, SSH peut refuser d’utiliser la clé ou ignorer la configuration d’authentification.

Pour générer une paire de clés moderne, vous utiliserez l’algorithme  Ed25519  , recommandé pour sa sécurité et sa simplicité.

Découvrez comment générer votre paire de clés, localiser vos fichiers de sécurité et configurer le serveur pour qu'il vous reconnaisse automatiquement.

Dans cette vidéo, on a :

  • généré une paire de clés SSH avec la commandessh-keygenl’algorithmeEd25519,

  • identifié l’emplacement de la clé privée et de la clé publique dans le répertoire local.ssh,

  • rappelé que la clé privée ne doit jamais être partagée,

  • copié la clé publique sur le serveur avecssh-copy-id

  • validé une connexion SSH sans mot de passe du compte distant, 

  • vérifié, sur le serveur, la présence de la clé. 

Une clé SSH bien configurée est plus sûre et plus pratique qu’un mot de passe pour l’accès distant. Maintenant que la connexion par clé fonctionne avec l’utilisateur  admin  , vous pouvez renforcer le service SSH : désactiver l’authentification par mot de passe et interdire la connexion directe au compte  root  , sans perdre votre accès administrateur.

Renforcez la configuration du service SSH

Le comportement du serveur SSH est défini dans le fichier :   /etc/ssh/sshd_config  . C’est dans ce fichier que vous pouvez désactiver l’authentification par mot de passe pour les connexions SSH et interdire la connexion directe au compte  root  .

Dans ce fichier, plusieurs directives clés permettent de durcir l'accès :

  • PermitRootLogin no: interdit la connexion SSH directe avec le compteroot. Pour administrer le serveur, vous devrez vous connecter avecadmin, puis utilisersudo.

  • PasswordAuthentication no: désactive l’authentification par mot de passe pour SSH. Cette règle ne doit être appliquée qu’après avoir vérifié que la connexion par clé fonctionne correctement.

Vous pouvez également vérifier que l’authentification par clé publique est autorisée avec :  PubkeyAuthentication yes

Avant d’appliquer la configuration, testez toujours la syntaxe du fichier. Si la syntaxe est correcte, vous pouvez recharger le service SSH, puis ouvrir une nouvelle session pour vérifier que la connexion fonctionne toujours. Ne fermez pas votre session actuelle tant que ce test n’a pas réussi.

Découvrez maintenant comment modifier ces directives sans risquer de perdre l’accès au serveur.

Dans cette vidéo, on a :

  • ouvert une connexion et on l’a gardée ouverte, 

  • modifié le fichier/etc/ssh/sshd_configpour interdire l’accès direct àroot,

  • vérifié que l’authentification par clé est active,

  • désactivé l’authentification SSH par mot de passe,

  • testé la syntaxe de la configuration avant application avecsudo sshd -t,

  • rechargé le service SSH,

  • validé l’accès dans une nouvelle session sans fermer la session initiale.

À vous de jouer

Contexte 

Votre serveur est accessible sur le réseau, mais pour l'intégrer pleinement à l'infrastructure de l'entreprise, il doit maintenant être administré à distance de manière sécurisée. Votre mission consiste à mettre en place un accès SSH fiable, puis à renforcer progressivement sa sécurité afin d’éviter toute connexion non autorisée.

Consignes

1. Depuis votre machine cliente, testez l’accès SSH au serveur avec l’utilisateuradmin. Lors de la première connexion, acceptez l’empreinte de la clé hôte du serveur.

2. Mettez en place une authentification par clé SSH pour l’utilisateuradmin, puis vérifiez que la connexion par clé fonctionne sans demander le mot de passe du compte  adminsur le serveur.

3. Avant de modifier la configuration SSH, gardez votre session SSH actuelle ouverte.

4. Modifiez la configuration du service SSH afin de renforcer l’accès distant :

  • interdisez la connexion directe du compte  root

  • vérifiez que l’authentification par clé publique est autorisée

  • désactivez l’authentification SSH par mot de passe uniquement après avoir validé la connexion par clé.

5. Testez la syntaxe de la configuration SSH avant de l’appliquer.

6. Rechargez le service SSH, puis ouvrez un nouveau terminal pour vérifier que l’accès SSH reste possible avec l’utilisateuradmin.

7. Ne fermez votre session initiale qu’une fois la nouvelle connexion validée.

En résumé

  • Le protocole SSH permet d’établir une connexion chiffrée entre une machine cliente et un serveur distant afin d’administrer celui-ci en ligne de commande sans accès physique.

  • La première connexion SSH nécessite l’acceptation de l’empreinte de la clé hôte du serveur, ce qui permet de mémoriser son identité cryptographique et de détecter toute modification ultérieure.

  • L’authentification par clés SSH repose sur une paire de clés cryptographiques dont la clé publique est déposée sur le serveur et la clé privée reste strictement protégée sur la machine cliente.

  • Le renforcement de la configuration dans le fichier/etc/ssh/sshd_configpermet d’interdire la connexion directe au compte root et de désactiver l’authentification par mot de passe après validation de l’accès par clé.

  • Toute modification de la configuration SSH doit être testée avecsshd -t, appliquée en rechargeant le service, puis validée dans une nouvelle session avant de fermer la connexion active afin d’éviter toute perte d’accès.

Votre accès distant est désormais verrouillé ! Mais attention, ouvrir votre serveur sur le réseau l'expose inévitablement aux connexions indésirables. Dans la prochaine étape, vous apprendrez à filtrer ces accès avec un pare-feu, à bloquer les attaques et à transférer vos fichiers en toute sécurité.

Avez-vous une suggestion pour nous ?
Et si vous obteniez un diplôme OpenClassrooms ?
  • Formations jusqu’à 100 % financées
  • Date de début flexible
  • Projets professionnalisants
  • Mentorat individuel
Trouvez la formation et le financement faits pour vous
Être orientéComparez nos types de formation