Installation du pare-feu
sudo apt install ufw nftables
sudo ufw allow 22/tcp comment 'SSH default'
Le port de connexion (22 par défaut) est à modifier. Vérifier les ports en cours d'utilisation
sudo ss -tulnp
Le port libre ici choisi est 4444, l'ajouter à UFW
sudo ufw allow 4444/tcp comment 'SSH custom'
sudo nano /etc/ufw/ufw.conf
Ajouter en fin de fichier
# kernel 6.18.x fix: nftables migration
Backend=nftables
Puis exécuter
sudo update-alternatives --set iptables /usr/sbin/iptables-nft
sudo update-alternatives --set ip6tables /usr/sbin/ip6tables-nft
Activation du pare-feu
sudo ufw enable
Modifier le fichier de configuration du pare-feu.
sudo nano /etc/ssh/sshd_config
Ajouter, modifier ou retirer le commentaire des lignes suivantes ; on en profite pour interdire la connexion root
Port 4444
PermitRootLogin no
Redémarrer SSH
sudo ufw reload
Se déconnecter du terminal
exit
Se reconnecter sur le port custom
ssh -p 4444 mountdoom@192.168.x.y
Effacer règle UFW désormais inutile
sudo ufw delete allow 22/tcp
Redémarrer SSH
sudo ufw reload
Installer Fail2ban
sudo apt install fail2ban
Créer le fichier de configuration personnalisé
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
L'ouvrir
sudo nano /etc/fail2ban/jail.local
Et modifier ces lignes
[DEFAULT]
bantime = 1h
findtime = 15m
maxretry = 3
backend = systemd
banaction = ufw
[sshd]
enabled = true
Redémarrer fail2ban
sudo systemctl restart fail2ban
Vérifier son fonctionnement et les erreurs de mot de passe archivées
sudo fail2ban-client status sshd
La personnalisation du port de connexion SSH active automatiquement l'utilisation d'OpenSSH. Arrêter le service et supprimer Dropbear
sudo systemctl stop dropbear && sudo apt remove dropbear
Si un message d'erreur apparaît concernant les locales, relancer l'outil de configuration et choisir seulement celles utilisées
sudo dpkg-reconfigure locales