Securiser SSH sur un VPS Linux : guide sshd_config

13 min de lecture·Matthieu|

Verrouillez SSH sur votre VPS Debian 12 ou Ubuntu 24.04. Generation de cles Ed25519, durcissement sshd_config, bastion ProxyJump, chiffrement renforce et verification ssh-audit. Chaque modification testee avant de passer a la suite.

SSH est la porte d'entree de votre serveur. Les bots automatises commencent a marteler le port 22 quelques minutes apres la mise en ligne d'un VPS. Ce guide passe en revue chaque modification de sshd_config necessaire pour verrouiller SSH sur Debian 12 (OpenSSH 9.2) et Ubuntu 24.04 (OpenSSH 9.6), avec une etape de verification apres chaque changement pour confirmer que tout fonctionne.

Prerequis

Vous avez besoin de :

  • Un VPS sous Debian 12 ou Ubuntu 24.04 (neuf ou existant)
  • Un utilisateur non-root avec acces sudo
  • Un second terminal ou une seconde session SSH ouverte sur le serveur (indispensable pour tester les changements sans vous bloquer)

Ce guide fait partie de la serie Linux VPS Security: Threats, Layers, and Hardening Guide. Apres avoir durci SSH ici, mettez en place une protection automatique contre le brute-force avec .

Comment generer une cle SSH securisee pour mon VPS ?

Generez une cle Ed25519 sur votre machine locale (votre laptop ou poste de travail, pas le serveur). Ed25519 produit une cle de 256 bits offrant 128 bits de securite, equivalent a RSA-3072, tout en etant plus rapide a generer et a verifier. Les signatures sont deterministes : elles ne dependent pas d'un generateur de nombres aleatoires au moment de la signature. Cela elimine toute une classe d'attaques d'implementation qui affectent RSA.

ssh-keygen -t ed25519 -C "yourname@yourmachine"

Vous verrez une sortie de ce type :

Generating public/private ed25519 key pair.
Enter file in which to save the key (/home/yourname/.ssh/id_ed25519):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/yourname/.ssh/id_ed25519
Your public key has been saved in /home/yourname/.ssh/id_ed25519.pub
The key fingerprint is:
SHA256:xR5xGk3TOs4mEfW8sBv7g7LkE2PLxYae2TqfGxpfM3Q yourname@yourmachine

Definissez une passphrase. Si quelqu'un vole votre fichier de cle privee, la passphrase est le seul rempart entre cette personne et vos serveurs.

Ed25519 vs RSA : quelle cle choisir ?

Ed25519 RSA-4096
Taille de cle 256 bits 4096 bits
Force de securite ~128 bits ~140 bits
Generation de cle Instantanee 1-5 secondes
Verification de signature Plus rapide Plus lente
Taille du fichier de cle privee 464 octets ~3.3 Ko
Dependance au RNG a la signature Non (deterministe) Oui
Compatibilite OpenSSH 6.5+ (2014) Universelle

Utilisez Ed25519 sauf si vous devez vous connecter a des systemes utilisant OpenSSH plus ancien que 6.5, ce qui est rare en 2026.

Copier votre cle publique sur le serveur

Depuis votre machine locale :

ssh-copy-id -i ~/.ssh/id_ed25519.pub youruser@your-server-ip

Si ssh-copy-id n'est pas disponible (certaines configurations macOS), copiez manuellement :

cat ~/.ssh/id_ed25519.pub | ssh youruser@your-server-ip "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"

Verification : Connectez-vous depuis un nouveau terminal avec l'authentification par cle :

ssh -i ~/.ssh/id_ed25519 youruser@your-server-ip

Si vous obtenez un shell sans entrer le mot de passe du serveur (seulement la passphrase de votre cle), l'authentification par cle fonctionne.

Comprendre la directive Include

Avant de modifier sshd_config, sachez ceci : Debian 12 et Ubuntu 24.04 incluent Include /etc/ssh/sshd_config.d/*.conf en haut de /etc/ssh/sshd_config. OpenSSH utilise la premiere valeur trouvee pour la plupart des directives. Tout fichier .conf dans sshd_config.d/ a la priorite sur les parametres du fichier principal.

Verifiez ce qui est deja configure :

ls -la /etc/ssh/sshd_config.d/

Sur Ubuntu 24.04, vous trouverez generalement 50-cloud-init.conf si cloud-init est actif. Lisez les fichiers existants avant de faire des modifications :

cat /etc/ssh/sshd_config.d/*.conf 2>/dev/null

Nous allons placer notre durcissement dans un seul fichier charge en premier :

sudo touch /etc/ssh/sshd_config.d/00-hardening.conf
sudo chmod 600 /etc/ssh/sshd_config.d/00-hardening.conf

Le prefixe 00- garantit que notre fichier est lu avant les autres fragments de configuration. Le chmod 600 restreint l'acces en lecture a root uniquement, puisque ce fichier controle qui peut se connecter.

Toutes les modifications sshd_config de ce guide vont dans /etc/ssh/sshd_config.d/00-hardening.conf sauf indication contraire.

Comment desactiver l'authentification SSH par mot de passe ?

Desactiver l'authentification par mot de passe force la connexion par cle uniquement. Les attaques par brute-force deviennent inutiles puisqu'il n'y a pas de mot de passe a deviner.

Ouvrez le fichier de durcissement :

sudo nano /etc/ssh/sshd_config.d/00-hardening.conf

Ajoutez :

PasswordAuthentication no
KbdInteractiveAuthentication no

KbdInteractiveAuthentication remplace le deprecie ChallengeResponseAuthentication dans OpenSSH 9.x. Desactivez les deux pour fermer tous les chemins de connexion par mot de passe.

Avant de redemarrer sshd, validez toujours la configuration et gardez votre session en cours ouverte.

sudo sshd -t

Si aucune sortie n'apparait, la configuration est valide. Les erreurs s'affichent dans le terminal.

Redemarrez sshd :

sudo systemctl restart sshd

Verification depuis un second terminal (ne fermez pas votre session en cours) :

ssh -o PreferredAuthentications=password -o PubkeyAuthentication=no youruser@your-server-ip

Vous devriez voir :

youruser@your-server-ip: Permission denied (publickey).

Cela confirme que l'authentification par mot de passe est desactivee. Notez que le message indique (publickey) comme seule methode autorisee. C'est exactement ce que nous voulons.

Confirmez maintenant que la connexion par cle fonctionne toujours depuis ce meme second terminal :

ssh youruser@your-server-ip

Si les deux tests passent, l'authentification par mot de passe est desactivee et la connexion par cle fonctionne. Si la connexion par cle echoue, retournez dans votre premiere session toujours ouverte et corrigez la configuration avant de vous retrouver bloque.

Comment desactiver la connexion SSH root sur Ubuntu et Debian ?

La connexion root directe via SSH doit etre desactivee. Meme avec l'authentification par cle uniquement, une cle compromise pour root donne un acces total au systeme sans trace d'audit de qui s'est connecte. Utilisez un utilisateur standard avec sudo a la place.

Ajoutez a /etc/ssh/sshd_config.d/00-hardening.conf :

PermitRootLogin no

Validez et redemarrez :

sudo sshd -t && sudo systemctl restart sshd

Verification depuis un second terminal :

ssh root@your-server-ip

Sortie attendue :

root@your-server-ip: Permission denied (publickey).

Verifiez que le parametre est pris en compte avec sshd -T (le T majuscule affiche la configuration active) :

sudo sshd -T | grep -i permitrootlogin

permitrootlogin no

Comment restreindre l'acces SSH a des utilisateurs specifiques ?

AllowUsers et AllowGroups limitent la connexion SSH a une liste explicite. Toute personne absente de la liste est rejetee, meme si elle possede des cles valides. C'est un filet de securite contre le deploiement accidentel de cles ou les nouveaux utilisateurs crees par des paquets.

Ajoutez a /etc/ssh/sshd_config.d/00-hardening.conf :

AllowUsers youruser

Remplacez youruser par votre nom d'utilisateur reel. Pour autoriser plusieurs utilisateurs :

AllowUsers youruser deployer

Autre option : l'acces par groupe (preferable pour les equipes) :

sudo groupadd sshusers
sudo usermod -aG sshusers youruser

Puis dans la configuration :

AllowGroups sshusers

Ordre de traitement

OpenSSH evalue l'acces dans cet ordre : DenyUsers, AllowUsers, DenyGroups, AllowGroups. Un refus a n'importe quelle etape bloque l'utilisateur. Si vous utilisez AllowUsers, seuls les utilisateurs listes peuvent se connecter. Si vous utilisez AllowGroups, seuls les membres des groupes listes peuvent se connecter. Vous pouvez combiner les deux, mais AllowUsers est evalue en premier.

Validez et redemarrez :

sudo sshd -t && sudo systemctl restart sshd

Verification depuis un second terminal :

ssh youruser@your-server-ip

Confirmez que votre utilisateur peut toujours se connecter. Puis verifiez qu'un utilisateur non liste serait rejete :

sudo sshd -T | grep -i allowusers

allowusers youruser

Quelles limites de session SSH configurer ?

Ces directives limitent les tentatives d'authentification, les delais de connexion et les connexions non authentifiees. Elles ralentissent les attaques par brute-force et nettoient les sessions inactives.

Ajoutez a /etc/ssh/sshd_config.d/00-hardening.conf :

MaxAuthTries 3
LoginGraceTime 20
MaxStartups 10:30:60
MaxSessions 3
ClientAliveInterval 300
ClientAliveCountMax 2

Voici ce que fait chaque parametre :

Directive Valeur Effet
MaxAuthTries 3 Deconnecte apres 3 tentatives d'authentification echouees par connexion
LoginGraceTime 20 Accorde 20 secondes pour s'authentifier avant deconnexion
MaxStartups 10:30:60 Au-dela de 10 connexions non authentifiees, rejette aleatoirement 30 % des nouvelles. A 60, rejette toutes les nouvelles connexions.
MaxSessions 3 Maximum 3 sessions multiplexees par connexion
ClientAliveInterval 300 Envoie un paquet keepalive toutes les 300 secondes (5 minutes)
ClientAliveCountMax 2 Deconnecte apres 2 reponses keepalive manquees

Calcul du ClientAliveInterval : le delai d'inactivite reel est ClientAliveInterval x ClientAliveCountMax. Avec ces valeurs : 300 x 2 = 600 secondes = 10 minutes. Une session inactive se deconnecte apres 10 minutes sans reponse.

Validez et redemarrez :

sudo sshd -t && sudo systemctl restart sshd

Verification :

sudo sshd -T | grep -E "maxauthtries|logingracetime|maxstartups|maxsessions|clientaliveinterval|clientalivecountmax"

maxauthtries 3
logingracetime 20
maxstartups 10:30:60
maxsessions 3
clientaliveinterval 300
clientalivecountmax 2

Desactiver les fonctionnalites de transfert inutiles

Les fonctionnalites de transfert (forwarding) etendent la surface d'attaque de SSH. Desactivez tout ce que vous n'utilisez pas activement.

Ajoutez a /etc/ssh/sshd_config.d/00-hardening.conf :

AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no
PermitTunnel no

Validez et redemarrez :

sudo sshd -t && sudo systemctl restart sshd

Verification :

sudo sshd -T | grep -E "allowagentforwarding|allowtcpforwarding|x11forwarding|permittunnel"

allowagentforwarding no
allowtcpforwarding no
x11forwarding no
permittunnel no

Pourquoi desactiver le transfert d'agent SSH ?

Le transfert d'agent (agent forwarding) permet a un serveur distant d'utiliser vos cles SSH locales pour s'authentifier sur d'autres serveurs. Ca semble pratique pour naviguer entre machines. Le probleme : toute personne ayant les droits root sur ce serveur distant peut detourner votre socket d'agent et utiliser vos cles.

Le scenario d'attaque :

  1. Vous activez le transfert d'agent et vous connectez en SSH au Serveur A.
  2. OpenSSH cree un socket a /tmp/ssh-XXXX/agent.YYYY sur le Serveur A.
  3. Un attaquant avec les droits root sur le Serveur A lit la variable d'environnement SSH_AUTH_SOCK de votre session.
  4. L'attaquant se connecte a ce socket : SSH_AUTH_SOCK=/tmp/ssh-XXXX/agent.YYYY ssh user@server-b.
  5. Le Serveur B voit une authentification valide avec votre cle. L'attaquant est entre.

L'attaquant n'a jamais touche votre cle privee. Il avait juste besoin des droits root sur le serveur intermediaire pendant que votre session etait active.

Utilisez ProxyJump a la place (section suivante). Il offre le meme acces multi-sauts sans exposer votre socket d'agent a aucun serveur intermediaire.

Comment configurer SSH ProxyJump pour l'acces via un bastion ?

ProxyJump (saut par proxy) achemine votre connexion SSH a travers un serveur de rebond (bastion) sans transfert d'agent. Vos cles ne quittent jamais votre machine locale. La connexion est chiffree de bout en bout : le bastion ne voit que du trafic chiffre qui transite.

Utilisation en ligne de commande

ssh -J jumpuser@bastion.example.com targetuser@10.0.1.50

Le flag -J indique a SSH de se connecter d'abord au bastion, puis de tunneliser vers la cible. Vous pouvez enchainer plusieurs sauts avec des virgules :

ssh -J jump1@bastion1,jump2@bastion2 targetuser@10.0.1.50

Configuration du fichier SSH config

Pour une utilisation reguliere, ajoutez des entrees a ~/.ssh/config sur votre machine locale :

Host bastion
    HostName bastion.example.com
    User jumpuser
    IdentityFile ~/.ssh/id_ed25519

Host internal-app
    HostName 10.0.1.50
    User appuser
    ProxyJump bastion
    IdentityFile ~/.ssh/id_ed25519

Host internal-db
    HostName 10.0.2.100
    User dbadmin
    ProxyJump bastion
    IdentityFile ~/.ssh/id_ed25519

Connectez-vous maintenant aux serveurs internes directement :

ssh internal-app

SSH gere le saut par le bastion automatiquement.

Durcir le serveur bastion

Sur le bastion, restreignez ce que les utilisateurs de saut peuvent faire. Ajoutez au sshd_config du bastion :

Match User jumpuser
    PermitTTY no
    X11Forwarding no
    PermitTunnel no
    ForceCommand /usr/sbin/nologin
    AllowTcpForwarding yes

Cela autorise le transfert TCP (necessaire pour ProxyJump) mais empeche l'utilisateur de saut d'obtenir un shell, d'executer des commandes ou d'utiliser X11. Si le bastion est compromis, l'attaquant obtient un compte de transfert uniquement, sans acces shell.

Quels chiffrements et algorithmes d'echange de cles SSH sont surs ?

Les listes de chiffrement par defaut d'OpenSSH incluent des algorithmes conserves pour la retrocompatibilite. Supprimer les plus faibles reduit votre surface d'attaque. Ces recommandations ciblent OpenSSH 9.2+ (Debian 12) et 9.6+ (Ubuntu 24.04).

D'abord, regenerez les cles d'hote en Ed25519 uniquement et supprimez les cles DSA ou ECDSA :

sudo rm -f /etc/ssh/ssh_host_*key*
sudo ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key -N ""
sudo ssh-keygen -t rsa -b 4096 -f /etc/ssh/ssh_host_rsa_key -N ""

Nous conservons une cle d'hote RSA pour les clients qui ne supportent pas Ed25519 (rare, mais ca evite les blocages).

Ensuite, supprimez les moduli Diffie-Hellman faibles (groupes inferieurs a 3072 bits) :

sudo awk '$5 >= 3071' /etc/ssh/moduli > /tmp/moduli.safe
sudo mv /tmp/moduli.safe /etc/ssh/moduli
sudo chown root:root /etc/ssh/moduli
sudo chmod 644 /etc/ssh/moduli

Ajoutez a /etc/ssh/sshd_config.d/00-hardening.conf :

HostKeyAlgorithms ssh-ed25519-cert-v01@openssh.com,ssh-ed25519,rsa-sha2-512,rsa-sha2-256
KexAlgorithms sntrup761x25519-sha512@openssh.com,curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com
Categorie Algorithmes Notes
Echange de cles sntrup761x25519, curve25519, DH group16/18 sntrup761 est un hybride post-quantique. curve25519 est le standard actuel.
Chiffrements ChaCha20-Poly1305, AES-256-GCM, AES-128-GCM, AES-CTR ChaCha20 en premier : plus rapide en logiciel sans AES-NI. GCM est du chiffrement authentifie.
MACs HMAC-SHA2 ETM, UMAC-128 ETM ETM (Encrypt-then-MAC) uniquement. Les modes non-ETM sont plus faibles.
Cles d'hote Ed25519, RSA (SHA-2) Pas de DSA (casse). Pas d'ECDSA (doutes sur les courbes NIST).

Validez et redemarrez :

sudo sshd -t && sudo systemctl restart sshd

Verifiez depuis un second terminal que vous pouvez toujours vous connecter. Si votre client SSH ne supporte aucun de ces algorithmes (client tres ancien), vous obtiendrez une erreur « no matching cipher ». Dans ce cas, mettez a jour votre client ou rajoutez temporairement l'algorithme necessaire.

Configurer une banniere de connexion

Masquez les informations de version SSH et affichez une banniere d'avertissement legal :

sudo nano /etc/ssh/banner.txt

Authorized access only. All activity is monitored and logged.

Restez bref. Les bannieres longues contenant des informations systeme aident les attaquants a identifier votre OS.

Ajoutez a /etc/ssh/sshd_config.d/00-hardening.conf :

Banner /etc/ssh/banner.txt
DebianBanner no

DebianBanner no supprime la chaine de version Debian/Ubuntu de la banniere du protocole SSH. La divulgation de version aide les attaquants a cibler les vulnerabilites connues pour votre build specifique d'OpenSSH.

Validez et redemarrez :

sudo sshd -t && sudo systemctl restart sshd

Verification depuis votre machine locale :

ssh -v youruser@your-server-ip 2>&1 | grep "banner"

Reference complete : sshd_config durci

Voici le fichier /etc/ssh/sshd_config.d/00-hardening.conf complet avec tous les parametres de ce guide :

# Authentication
PermitRootLogin no
PasswordAuthentication no
KbdInteractiveAuthentication no
AuthenticationMethods publickey

# Access control
AllowUsers youruser

# Session limits
MaxAuthTries 3
LoginGraceTime 20
MaxStartups 10:30:60
MaxSessions 3
ClientAliveInterval 300
ClientAliveCountMax 2

# Forwarding restrictions
AllowAgentForwarding no
AllowTcpForwarding no
X11Forwarding no
PermitTunnel no

# Cryptography
HostKeyAlgorithms ssh-ed25519-cert-v01@openssh.com,ssh-ed25519,rsa-sha2-512,rsa-sha2-256
KexAlgorithms sntrup761x25519-sha512@openssh.com,curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com

# Banner
Banner /etc/ssh/banner.txt
DebianBanner no

# Logging
LogLevel VERBOSE

LogLevel VERBOSE enregistre des details supplementaires, y compris les empreintes de cles utilisees pour l'authentification. Utile pour auditer qui s'est connecte avec quelle cle.

Apres avoir ecrit ce fichier, validez toujours avant de redemarrer :

sudo sshd -t && sudo systemctl restart sshd

Verifiez la configuration effective complete :

sudo sshd -T

Cela affiche chaque parametre actif, y compris les valeurs par defaut. Filtrez avec grep pour verifier des valeurs specifiques :

sudo sshd -T | grep -E "permitrootlogin|passwordauthentication|allowusers"

permitrootlogin no
passwordauthentication no
allowusers youruser

Comment verifier mon durcissement SSH avec ssh-audit ?

ssh-audit analyse votre serveur et evalue chaque algorithme comme bon, avertissement ou echec. Lancez-le apres le durcissement pour confirmer que tout passe.

Installez-le sur votre machine locale ou un serveur separe (pas la cible) :

pip3 install ssh-audit

Ou avec apt sur Debian/Ubuntu :

sudo apt update && sudo apt install -y ssh-audit

Analysez votre serveur :

ssh-audit your-server-ip

Avec le durcissement de ce guide, vous ne devriez voir aucune entree [fail]. La sortie commence par la version OpenSSH detectee, puis liste chaque categorie d'algorithmes :

# general
(gen) banner: SSH-2.0-OpenSSH_9.6
(gen) software: OpenSSH 9.6
(gen) compression: enabled (zlib@openssh.com)

# key exchange algorithms
(kex) sntrup761x25519-sha512@openssh.com  -- [info] available since OpenSSH 8.5
(kex) curve25519-sha256                   -- [info] available since OpenSSH 7.4
...

# encryption algorithms (ciphers)
(enc) chacha20-poly1305@openssh.com       -- [info] available since OpenSSH 6.5
(enc) aes256-gcm@openssh.com              -- [info] available since OpenSSH 6.2
...

Si vous voyez des entrees [fail], verifiez que votre 00-hardening.conf est bien charge (rappelez-vous l'ordre de Include) et qu'aucun autre fichier dans sshd_config.d/ ne surcharge vos parametres.

ssh-audit dispose aussi de guides de durcissement integres :

ssh-audit --list-hardening-guides

Depannage

Je suis bloque dehors

Si vous ne pouvez plus vous connecter en SSH apres un changement de configuration :

  1. Utilisez la console web de votre fournisseur VPS (KVM/VNC) pour vous connecter directement.
  2. Corrigez /etc/ssh/sshd_config.d/00-hardening.conf.
  3. Lancez sshd -t pour valider.
  4. Redemarrez : systemctl restart sshd.

C'est pour cette raison que nous insistons : ne fermez jamais votre session active avant de tester depuis un second terminal.

sshd refuse de demarrer apres un changement de configuration

sudo sshd -t

Cela affiche la ligne et le fichier exacts contenant l'erreur. Problemes frequents :

  • Faute de frappe dans un nom d'algorithme (pas d'espaces autorises dans les listes separees par des virgules)
  • Directives dupliquees dans plusieurs fichiers (verifiez sshd_config.d/ et le sshd_config principal)
  • AllowUsers avec un nom d'utilisateur inexistant (sshd demarre, mais personne ne peut se connecter)

Connexion refusee apres le durcissement des chiffrements

Votre client SSH local ne supporte peut-etre pas les chiffrements configures. Verifiez les chiffrements supportes par votre client :

ssh -Q cipher

Comparez avec la liste du serveur. Ajoutez le chiffrement necessaire a votre client, ou mettez votre client a jour.

Consulter les logs SSH

sudo journalctl -u sshd -f

Observez les logs en temps reel pendant une tentative de connexion depuis un autre terminal. Les echecs d'authentification, erreurs de configuration et coupures de connexion apparaissent ici.

Verifier quel fichier de configuration definit une directive

sudo sshd -T | grep passwordauthentication

Si la valeur ne correspond pas a ce que vous avez defini, un autre fichier dans sshd_config.d/ surcharge le votre. Les fichiers sont charges par ordre alphabetique. Notre 00-hardening.conf est charge en premier, donc il gagne pour la plupart des directives. Mais verifiez si cloud-init ou d'autres outils de gestion ecrivent leurs propres configurations.

Liste de verification

Passez en revue chaque point apres avoir termine toutes les etapes de durcissement :

  1. Authentification par mot de passe desactivee : ssh -o PreferredAuthentications=password -o PubkeyAuthentication=no youruser@server retourne « Permission denied »
  2. Connexion root desactivee : ssh root@server retourne « Permission denied »
  3. Authentification par cle fonctionnelle : ssh youruser@server donne un shell
  4. AllowUsers actif : sudo sshd -T | grep allowusers affiche votre utilisateur
  5. Limites de session definies : sudo sshd -T | grep maxauthtries affiche 3
  6. Transfert desactive : sudo sshd -T | grep allowagentforwarding affiche no
  7. Chiffrements forts uniquement : ssh-audit server-ip n'affiche aucune entree [fail]
  8. Logs fonctionnels : sudo journalctl -u sshd -n 20 affiche les entrees d'authentification recentes

Apres avoir durci SSH, configurez pour bannir automatiquement les adresses IP en echec d'authentification. Pour le controle d'acces SSH au niveau reseau, consultez .

Copyright 2026 Virtua.Cloud. Tous droits reserves. Ce contenu est une creation originale de l'equipe Virtua.Cloud. Toute reproduction, republication ou redistribution sans autorisation ecrite est interdite.

Prêt à essayer ?

Déployez votre serveur en quelques secondes. Linux, Windows ou FreeBSD.

Voir les offres VPS
Securiser SSH sur un VPS Linux : guide sshd_config