Hub de Connaissances DevOps
Hub de Connaissances DevOps

Conflits de ports SSH : Comment les identifier et changer de port

Résolvez les problèmes frustrants de connexion SSH causés par des conflits de ports. Ce guide détaille comment identifier de manière définitive le port SSH actif à l'aide de commandes système (`ss`/`netstat`) et fournit une méthodologie sûre et étape par étape pour modifier le fichier de configuration (`sshd_config`) et mettre à jour les pare-feu afin de passer à un nouveau numéro de port, prévenant ainsi les blocages.

41 vues

Conflits de Port SSH : Comment Identifier et Changer les Ports

Le protocole Secure Shell (SSH) est la pierre angulaire de l'accès et de la gestion sécurisés à distance pour les serveurs du monde entier. Par défaut, SSH fonctionne sur le port TCP 22. Cependant, dans des environnements réseau complexes, des configurations multi-serveurs, ou des environnements privilégiant la sécurité par obscurité, ce port par défaut peut être réattribué. Lorsqu'un système tente de se connecter à un serveur SSH qui fonctionne sur un port non standard – ou lorsque deux services différents essaient de se lier au même port – un conflit de port se produit, entraînant souvent des erreurs frustrantes comme "Connexion refusée" ou des timeouts.

Ce guide vous guidera à travers les étapes essentielles pour diagnostiquer si un conflit de port SSH est à l'origine de vos problèmes de connectivité. Plus important encore, nous fournissons des instructions pratiques et exploitables pour vérifier en toute sécurité le port SSH actif actuel et comment le changer dans le fichier de configuration principal, assurant ainsi une gestion à distance fluide et sécurisée.

Comprendre les Conflits de Port SSH

Un conflit de port survient lorsque deux services réseau distincts tentent d'écouter les connexions entrantes sur le même numéro de port TCP ou UDP. Comme un seul processus peut se lier à un port spécifique sur une adresse IP à un instant donné, le second service tentant de démarrer échouera généralement ou utilisera un port différent s'il est configuré pour le faire.

Pour SSH, si le port par défaut 22 est déjà utilisé par un autre service (bien que rare pour les installations OS standard), le démon SSH (sshd) ne pourra pas démarrer, entraînant des échecs de connexion. Inversement, si vous avez configuré manuellement sshd pour utiliser un port personnalisé (par exemple, 2222) mais que vous essayez toujours de vous connecter en utilisant le port 22, la connexion sera rejetée par le pare-feu ou expirera simplement.

Problèmes de Connexion Courants Liés aux Ports

Lors du dépannage de la connectivité SSH, les problèmes de port se manifestent souvent comme suit :

  1. Connexion Refusée : Cela signifie généralement que la machine cible est joignable, mais qu'aucun service n'écoute activement sur le port spécifié (soit le mauvais port a été utilisé, soit le service SSH n'a pas réussi à démarrer).
  2. Timeout de Connexion : Cela indique souvent que le trafic destiné à ce port est bloqué par un pare-feu (basé sur l'hôte ou sur le réseau) ou que l'hôte lui-même est inaccessible.

Étape 1 : Identifier le Port SSH Actuellement Actif

Avant d'apporter des modifications, vous devez confirmer le port que le démon SSH utilise effectivement. Cela nécessite un accès administratif (généralement via la console ou une connexion existante réussie).

A. Vérification du Fichier de Configuration SSH

L'emplacement principal de la configuration SSH est le fichier sshd_config. La directive Port spécifie sur quel port sshd écoute.

Emplacement : /etc/ssh/sshd_config (Courant sur les systèmes Linux/Unix)

Utilisez un éditeur de texte comme nano ou vim pour inspecter le fichier :

sudo nano /etc/ssh/sshd_config

Recherchez la ligne commençant par Port. Si elle est commentée (commence par un #), elle utilise le port 22 par défaut. Si un nombre est présent, c'est le port actif.

#Port 22  <-- Utilise 22 par défaut si décommenté ou si cette ligne est manquante
Port 2222 <-- Ce serveur est configuré pour utiliser le port 2222

B. Vérification des Sockets d'Écoute avec netstat ou ss

La manière la plus fiable de confirmer sur quel port le service est actuellement lié est de vérifier les sockets d'écoute réseau du système d'exploitation. L'outil moderne est ss, mais netstat est toujours largement disponible.

Utilisation de la commande ss (Recommandé sur les systèmes modernes) :

Cette commande affiche tous les écoutes TCP (-t), y compris les processus (-p), en filtrant pour le service SSH (grep sshd).

# Afficher les ports TCP en écoute, y compris l'ID du processus utilisant le port
sudo ss -tlpn | grep sshd

Exemple de Sortie (Port par Défaut) :

LISTEN 0      128    0.0.0.0:22               0.0.0.0:*    users:(("sshd",pid=1234,fd=3))

Exemple de Sortie (Port Personnalisé 2222) :

LISTEN 0      128    0.0.0.0:2222             0.0.0.0:*    users:(("sshd",pid=1234,fd=3))

Utilisation de netstat (Alternative) :

sudo netstat -tulpn | grep sshd

Une fois que vous avez identifié le port (par exemple, 2222), vous devez utiliser ce numéro de port lors de la connexion à partir d'un client distant.

Étape 2 : Changer le Port SSH en Toute Sécurité

Changer le port SSH est une pratique courante de renforcement de la sécurité. Crucialement, ne changez jamais le port avant de vous assurer que votre nouvelle configuration fonctionne, sinon vous risquez de vous enfermer dehors.

A. La Séquence Sécurisée pour Changer les Ports

Suivez ces étapes précisément pour éviter de perdre l'accès :

  1. Vérifier l'Accès au Pare-feu : Assurez-vous que le nouveau port est ouvert dans votre pare-feu basé sur l'hôte (par exemple, ufw ou firewalld) avant de redémarrer le service SSH.
  2. Modifier la Configuration : Modifiez /etc/ssh/sshd_config avec le nouveau numéro de port.
  3. Tester la Syntaxe de Configuration : Testez la syntaxe de configuration avant de redémarrer.
  4. Redémarrer le Service SSH : Appliquez les changements.
  5. Tester la Connexion à Distance : Tentez immédiatement de vous connecter en utilisant le nouveau port à partir d'une session de terminal séparée.
  6. Supprimer l'Ancienne Règle de Port (Optionnel) : Une fois vérifié, fermez l'ancien port (22) dans le pare-feu.

B. Modification de /etc/ssh/sshd_config

Utilisez votre éditeur préféré pour ouvrir le fichier de configuration :

sudo nano /etc/ssh/sshd_config

Localisez la ligne Port. Changez la valeur existante ou décommentez/ajoutez une nouvelle directive Port. Changeons de 22 à 2222.

# Changez cette ligne :
Port 2222

Enregistrez et fermez le fichier.

C. Mise à Jour des Pare-feux Basés sur l'Hôte (Étape Cruciale)

Si vous sautez cette étape, votre connexion échouera avec un timeout après le redémarrage du service.

Utilisation de UFW (Ubuntu/Debian) :

# 1. Autoriser le nouveau port
sudo ufw allow 2222/tcp

# 2. Si vous souhaitez supprimer l'ancienne règle de port plus tard (après test) :
# sudo ufw delete allow 22/tcp

sudo ufw status verbose

Utilisation de Firewalld (RHEL/CentOS/Fedora) :

# 1. Autoriser le nouveau port de manière permanente
sudo firewall-cmd --permanent --add-port=2222/tcp

# 2. Recharger les règles du pare-feu
sudo firewall-cmd --reload

D. Test et Redémarrage du Démon SSH

Testez toujours la syntaxe du fichier de configuration avant de redémarrer le service. Cela évite que des erreurs de syntaxe ne vous bloquent.

# Tester la syntaxe de configuration (l'implémentation spécifique peut varier selon la distribution)
# Sur les systèmes utilisant systemd, cela n'est souvent pas explicitement requis si le rechargement fonctionne,
# mais un simple redémarrage est plus sûr si vous avez apporté des modifications majeures.

sudo systemctl restart sshd

# Vérifier le statut pour s'assurer qu'il a démarré avec succès sans erreurs
sudo systemctl status sshd

E. Connexion via le Nouveau Port

Depuis votre machine cliente, vous devez maintenant spécifier explicitement le nouveau port en utilisant le drapeau -p avec la commande ssh :

ssh username@votre_ip_serveur -p 2222

Si la connexion réussit, le changement de port a été réussi ! Vous pouvez maintenant supprimer en toute sécurité l'ancienne règle de port de votre pare-feu si nécessaire.

⚠️ Avertissement sur les Changements de Port SSH : Si vous changez le port et que vous ne parvenez pas à l'ouvrir dans le pare-feu, ou si le service sshd ne redémarre pas, vous serez bloqué. Assurez-vous toujours d'avoir un accès console ou un accès administratif alternatif (comme une session VNC) lorsque vous modifiez ces services réseau centraux.

Dépannage des Échecs de Connexion Après Changement de Ports

Si vous recevez une erreur après avoir changé le port, suivez cette liste de contrôle rapide :

Symptôme d'Erreur Cause(s) Probable(s)
Connexion Refusée 1. sshd n'a pas réussi à démarrer (vérifier systemctl status sshd). 2. Vous avez spécifié le mauvais port dans la commande client. 3. Le pare-feu autorise le trafic sur l'ancien port (22) mais bloque le nouveau port (2222).
Timeout de Connexion 1. L'hôte est en panne. 2. Le pare-feu de l'hôte (UFW/firewalld) rejette activement les paquets pour le nouveau port. 3. Le pare-feu de l'infrastructure réseau bloque le port.

Pour confirmer que le démon écoute, réexécutez sudo ss -tlpn | grep sshd côté serveur.

Conclusion

Les conflits de port SSH, bien que parfois subtils, sont facilement résolus en comprenant où se trouve la configuration du service (/etc/ssh/sshd_config) et en vérifiant la liaison de socket active à l'aide d'outils comme ss ou netstat. En suivant une approche prudente et systématique – en particulier concernant les mises à jour du pare-feu avant de redémarrer le service – vous pouvez changer en toute sécurité votre port SSH pour améliorer la sécurité du serveur sans risquer de vous enfermer administrativement.