Un bastion centralise l’accès: restreignez les capacités et journalisez les sessions.
objectifs d’apprentissage
- Configurer ForceCommand.
- Ajouter Banner.
- Désactiver features non nécessaires.
prérequis
- Accès root au bastion.
- Stockage de logs.
notions clés
- ForceCommand.
- Banner.
- Subsystem sftp internal-sftp.
démonstration guidée
étape 1
Forcer une commande d’accueil et restreindre SFTP.
sudo tee -a /etc/ssh/sshd_config << 'EOF'
ForceCommand /usr/local/bin/welcome.sh
Subsystem sftp internal-sftp
EOF
sudo systemctl reload sshd || trueétape 2
Ajouter une bannière légale.
echo 'Banner /etc/issue.ssh' | sudo tee -a /etc/ssh/sshd_config
echo 'Acces reserve. Activite surveillee.' | sudo tee /etc/issue.ssh
sudo systemctl reload sshd || trueexercice
Ajoutez PrintLastLog yes et IgnoreRhosts yes.
correction
Options supplémentaires.
echo -e 'PrintLastLog yes\nIgnoreRhosts yes' | sudo tee -a /etc/ssh/sshd_config
sudo systemctl reload sshd || truequiz éclair
- Quelle directive affiche une bannière à la connexion ?
- a) Banner
- b) Motd
- c) WelcomeMessage