Pourquoi passer par un bastion SSH ?
Un bastion réduit la surface d'attaque : au lieu d'ouvrir SSH sur chaque serveur, vous concentrez l'accès sur une machine dédiée. Les clés, les utilisateurs et les journaux sont plus simples à contrôler, et les serveurs internes peuvent rester fermés au réseau public.
Ce que ce template apporte
- Un point d’entrée unique pour les accès SSH administrateurs.
- Des clés nominatives plutôt qu’un mot de passe partagé.
- Une base simple pour journaliser les connexions et les commandes sensibles.
- Une exposition réseau réduite pour les serveurs applicatifs derrière le bastion.
- Un socle compatible avec les outils classiques : OpenSSH, ProxyJump, UFW et Fail2Ban.
Prérequis avant de l’ouvrir à l’équipe
Prévoyez un VPS léger mais isolé, une liste claire des personnes autorisées, des clés SSH individuelles et une règle de pare-feu qui n’ouvre que le port SSH nécessaire. Pour une équipe distribuée, documentez aussi le format des noms d’utilisateurs et la procédure de révocation.
Déployer un bastion proprement
Créer le VPS dédié
Sélectionnez le template Bastion Host dans le Marketplace ServOrbit ou partez d’un Ubuntu minimal. Gardez ce serveur dédié à l’accès SSH : pas de site web, pas de base de données, pas de services annexes.
Poser les clés nominatives
Ajoutez une clé par administrateur dans ~/.ssh/authorized_keys. Évitez les comptes partagés : en cas de départ ou de rotation, vous devez pouvoir retirer une seule clé sans bloquer toute l’équipe.
Durcir OpenSSH
Désactivez l’authentification par mot de passe, bloquez la connexion root directe et limitez les utilisateurs autorisés avec AllowUsers ou AllowGroups dans sshd_config.
Configurer ProxyJump
Sur les postes administrateurs, ajoutez une entrée ProxyJump dans ~/.ssh/config. Les serveurs internes restent accessibles par SSH via le bastion, sans port public ouvert.
Surveiller et révoquer
Activez Fail2Ban si le port SSH reste exposé et vérifiez régulièrement /var/log/auth.log. Retirez immédiatement les clés qui ne sont plus utilisées.
Conseil ServOrbit
Gardez le bastion petit, prévisible et séparé du reste. Sa valeur vient de sa simplicité : moins il héberge de services, plus il est facile à auditer.
La documentation officielle
Pour la configuration avancée, les options propres à l’outil et les changements de version, référez-vous à la documentation officielle de OpenSSH. Ce guide couvre la mise en ligne sur VPS ServOrbit ; la documentation éditeur reste la référence pour les réglages fins.