Objectif :
Renforcer la sécurité SSH en interdisant la connexion root par mot de passe.
Prérequis
- Disposer d’un compte administrateur alternatif
- Avoir validé une connexion SSH par clé ou via un utilisateur avec sudo
Créer un utilisateur administrateur si nécessaire
adduser digisyncadmin
usermod -aG sudo digisyncadmin
Modifier la configuration SSH
nano /etc/ssh/sshd_config
Adapter les paramètres suivants :
PermitRootLogin prohibit-password
PasswordAuthentication no
PubkeyAuthentication yes
Explication
- PermitRootLogin prohibit-password : root possible uniquement par clé
- PasswordAuthentication no : désactive les mots de passe SSH
- PubkeyAuthentication yes : autorise l’authentification par clé
Vérifier la configuration
sshd -t
Redémarrer le service
systemctl restart ssh
Tester la connexion
Avant de fermer la session actuelle, tester :
- connexion avec l’utilisateur administrateur
- connexion root par clé si utilisée
- exécution sudo
Bonnes pratiques
- Éviter l’administration quotidienne en root
- Utiliser sudo pour les actions privilégiées
- Conserver une procédure de secours documentée
