C'est le job de l'excellent Ansible, mais il faut l'utiliser très souvent pour être à l'aise et assuré. So, ici c'est une procédure manuelle (pour le vieux débile que je suis ).

• Changer le port d'écoute. Ne pas oublier d'ouvrir le nouveau port sur le firewall.
• Supprimer l'accès ssh à root.

# nano /etc/ssh/sshd_config
# Port 22
Port wxyz
 
# nano /etc/ssh/sshd_config
#PermitRootLogin yes
PermitRootLogin no
 
#PasswordAuthentication yes
PasswordAuthentication no
 
#X11Forwarding yes
X11Forwarding no

Redémarrer le service sshd et tester la connexion sur le nouveau port depuis un second terminal.

systemctl restart sshd.service

Des fournisseurs proposent des images vraiment minimalistes qu'il faut initialiser avant de pouvoir installer des softs.

apt update
apt upgrade

apt install fail2ban

Ajouter le port ssh modifié précédement.

# nano /etc/fail2ban/jail.d/custom.conf
[sshd]
port=22,wxyz
maxretry = 2

Créer un user s'il n'existe pas. Certaines images proposent un user debian par défaut, d'autre pas.

On va créer un user avec un tout autre nom, qui sera sudoer et qu'il faudra connaître pour se connecter en ssh (on va supprimer accès root ssh).

# useradd [options] LOGIN
# -m, --create-home create the user's home directory
# -U, --user-group  create a group with the same name as the user
useradd -m -U -s /bin/bash tintin
 
# adduser USER GROUP
#   Add an existing user to an existing group
adduser tintin sudo
 Adding user 'tintin' to group 'sudo' ...
 Done.

su tintin -c "mkdir /home/tintin/.ssh"
su tintin -c "chmod o-x,o-r /home/tintin/.ssh"
cp .ssh/authorized_keys /home/tintin/.ssh/
chown tintin:tintin /home/polux/.ssh/authorized_keys

Tester le login avec ce user …