Interdire les connexions SSH de l’utilisateur root

I. Présentation

L'accès SSH à une machine permet de manager cette dernière via un terminal (CLI). Par défaut, on peut utiliser tous les utilisateurs présents sur le système pour s'y authentifier. Néanmoins, il peut être dangereux de laisser l'utilisateur root se loguer en SSH car cela peut ouvrir la porte à des brute force qui donneront un accès direct au plus au niveau de privilège de la machine, c'est pour cela que nous allons voir comment interdire les connexions SSH en tant que root dans ce tutoriel.

II. Procédure

Si SSH est déjà installé (apt-get ou yum install openssh-server si ce n'est pas le cas), sa configuration se trouvera dans "/etc/ssh/sshd_config". Nous allons dans un premier temps nous y rendre puis y trouver et décommenter la ligne suivante :

PermitRootLogin yes

Après l'avoir décommentée, nous passerons sa valeur "yes" à "no". Enfin, nous pourrons redémarrer notre service SSH, pour Debian :

service ssh restart

pour CentOS :

service sshd restart

Voila, vous pourrez à présent essayer de vous connecter en root via SSH pour voir que ce n'est plus possible. Si vous souhaitez avoir plus de conseil sur la sécurisation du protocol SSH, suivez le guide : Sécuriser l'accès SSH

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Mickael Dorigny

Fondateur d'IT-Connect.fr et d'Information-security.fr. Auditeur sécurité chez Amossys.

    mickael a publié 475 articles sur IT-Connect.See all posts by mickael

    4 réactions sur “Interdire les connexions SSH de l’utilisateur root

      • 06/08/2014 à 08:59
        Permalink

        Bonjour marc,

        Oui je suis d’accord avoir toi, il s’agit d’une protection plutôt légère, mais la sécurité est suffisament absente dans certaines politiques de sécurité en entreprises pour que de petits trucs comme celui-ci fasses la différence. L’avantage de couper l’utilisateur root est qu’il est le seul à être présent sur 100% des machines alors que les autres login sont à trouver au contraire de root. Dans un environnements d’entreprise, la meilleur sécurité reste Fail2ban, mais attention au mauvaises surprises, dans la précipitation il est parfois rapide de se tromper X fois de mots de passe.

        Merci du partage ! A bientôt 😉
        Mickael

        Répondre
    • 06/08/2014 à 09:31
      Permalink

      Utiliser la directive ‘AllowUsers’ est également intéressante.
      Elle n’autorise l’accès SSH qu’aux utilisateurs nommés explicitement. tant pis pour les autres. 😉

      AllowUsers user1 user2

      Cordialement

      Répondre
    • 18/09/2014 à 00:43
      Permalink

      En règle générale, j’interdis également toujours les connexions root en ssh, et j’utilise également la variable AllowUsers….

      Après on peut également également désactiver le compte root avec la commande « sudo passwd -l root » et se connecter uniquement avec un compte utilisateur et utiliser la commande « sudo » pour effectuer les taches administratives….

      Répondre

    Laisser un commentaire

    Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *