Etape 1 : Installer et configurer OpenSSH sur le serveur

autre que le port par défaut 22.

L’utilisation d’un port autre 22 fait que les intrus ont beaucoup de mal à détecter le serveur OpenSSH moyennant un simple balayage des ports de la machine. Les intrus s’attendent à un serveur SSH à l’écoute sur le port 22 et donc, si vous le déplacez sur un autre port, il leur sera beaucoup plus difficile de trouver quel service est à l’écoute sur ce port. Pour changer le port par défaut, allez au répertoire d’installation OpenSSH et naviguez jusqu’au sous-répertoire etc. Modifiez le fichier sshd_config et choisissez un numéro de port inutilisé sur le système.

Dans cet article, j’utilise le port 422. Si vous ne connaissez pas bien les ports disponibles, utilisez la commande netstat-an pour voir tous les ports ouverts. Tout port ne figurant pas dans la liste pourrait probablement être utilisé pour OpenSSH. Notez le numéro du port parce que vous en aurez besoin pour vous connecter ultérieurement au serveur OpenSSH. Vous devez également créer un fichier de groupes et un fichier passwd (mot de passe) qui, tous deux, déterminent qui a le droit de se connecter au serveur OpenSSH. Le fichier de groupes contient une liste des groupes extraite du registre Windows du système local, que OpenSSH utilise pour associer les permissions de la même manière que le fait Windows.

Le fichier passwd contient la liste des utilisateurs, également extraite du registre du système local, qui sont autorisés à se connecter au serveur OpenSSH. Pour créer le fichier de groupes, changez pour passer au sous-répertoire bin OpenSSH et tapez la commande suivante: mkgroup -l >> ..\etc\group Cette commande transfère les groupes du registre local dans le fichier de groupes dans le sous-répertoire etc. Ensuite, utilisez la commande suivante pour créer le fichier passwd qui autorise les utilisateurs à se connecter au serveur OpenSSH: mkpasswd -l -u XYZ >> ..\etc\passwd où XYZ est votre nom de logon local. Cette commande transfère les références de l’utilisateur XYZ du registre local dans le fichier etc\passwd. Faites cela pour chaque utilisateur pour lequel vous accorderez l’accès.

Si vous voulez utiliser les comptes domaine Windows pour l’authentification, utilisez les deux mêmes commandes avec un commutateur -d au lieu du commutateur -1 et spécifiez le domaine Windows approprié. La commande mkgroup contactera votre PDC pour le domaine spécifié, afin d’obtenir la liste des groupes et des comptes. Ces deux fichiers sont faciles à créer mais, si nécessaire, vous pouvez consulter la documentation OpenSSH. Si la méthode de connexion par nom d’utilisateur et mot de passe est trop faible pour vos besoins, vous pouvez utiliser une authentification encore plus stricte grâce à des clés de cryptage sur vos installations OpenSSH. Je n’ai pas la place de couvrir ce sujet ici, mais vous trouverez des instructions détaillées dans le fichier key_authentication.txt situé dans le répertoire docs\OpenSSH de OpenSSH. C’est une opération relativement simple.

A noter que OpenSSH s’installe lui-même comme un service Windows qui démarre automatiquement à chaque initialisation du système. Si vous ne voulez pas de ce démarrage automatique, il vous faudra ajuster les propriétés du service en faveur d’un démarrage manuel. Sur des systèmes Windows Server 2003, Windows XP et Windows 2000, vous pouvez ajuster les propriétés du service en utilisant l’outil Computer Management dans Administrative Tools. Allez à Services and Applications\Services, faites un clic droit sur OpenSSH service, sélectionnez Properties puis ajustez le modèle de démarrage à votre gré.