Aujourd'hui je vais vous montrer comment configurer votre Raspberry et le sécuriser un peu plus.
Note : Si la ligne est commentée (commence par #), dé-commentez la en enlevant le #
L' utilisateur root est commun à tout les linux. C'est pourquoi les personnels malintentionnées vont l' utiliser pour essayer de vous hacker, du moins en priorité.
Pour sécuriser le SSH, nous allons empêcher un utilisateur de se connecter directement via root.
Il devra alors se connecter avec l' utilisateur pi (ou autre) et taper la commande su pour passer root.
Pour effectuer cette manipulation, éditez le fichier de configuration SSH:
sudo nano /etc/ssh/sshd_config
Cherchez la ligne qui commence par PermitRootLogin.
Remplacez l' option activée par PermitRootLogin no
Cherchez ensuite LoginGraceTime 2m et remplacez le par LoginGraceTime 1m. Cela réduira le temps qu' à un utilisateur pour se connecter. Au delà de se délai, il sera déconnecté.
Comme alternative à la solution de changer pi (conseillé), vous pouvez demander le mot de passe sudo lors de son usage avec l' utilisateur pi. Pour cela, faites :
sudo cp /etc/sudoers /etc/sudoers.back
sudo nano /etc/sudoers
Changez la ligne commençant par pi par pi ALL=(ALL) PASSWD: ALL
Pour que le ssh soit coupé si on essaye votre mot de passe plusieurs fois, vous pouvez ajouter la ligne suivante au fichier /etc/ssh/sshd_config :
MaxAuthTries 2
En remplaçant 2 par le nombre d' essais autorisés.
Pour augmenter encore la sécurité, vous ne pouvez autoriser la connexion que depuis certains utilisateurs. Pour cela, ajoutez au fichier la ligne ci-dessous :
AllowUsers nomutilisateurautorisé
En remplacant nomutilisateurautorisé par votre nom d' utilisateur.
Pour appliquer les modifications, effectuez la commande ci-dessous :
sudo systemctl restart ssh
C'est une mesure radicale mais qui a le mérite de fonctionner.
En effet, laisser sur son système un tel utilisateur cause des risques (le hacker connaît à l' avance le nom d' utilisateur).
Nous pouvons alors créer un autre utilisateur à la place de pi que nous allons supprimer.
Pour cela, vérifiez que vous êtes bien connecté en root. Sinon ,tapez suou sudo -isi cela ne marche pas.
Effectuez la commande sudo adduser monuser en replaçant monuser par le nom souhaité.
On vous demandera un nouveau mot de passe.
Pour ceci :
Enter the new value, or press ENTER for the default
Full Name []:
Room Number []:
Work Phone []:
Home Phone []:
Other []:
Cette information est-elle correcte ? [O/n] O
Vous pouvez laisser vide et validez en tapant O ou Y.
Reconnectez-vous avec l' utilisateur créé. Tapez de nouveau su.
Effectuez ensuite la commande sudo deluser --remove-all-files pi. Cela effacera l' utilisateur pi ainsi que son répertoire /home/pi.