Changer le port d'écoute de SSH, sur Ubuntu 24.04 LTS

Changement de port de SSH, pour limiter d'être la cible des attaques sur le port 22 est une bonne pratique (le port TCP 22 est le port par défaut sur lequel écoute SSH).

Depuis Ubuntu 22.10, cela ne se fait plus de la même façon, c'est systemd qui contrôle le port d'écoute de SSH : modifier le port sur /etc/ssh/sshd_config ne sert plus à rien.

Voici donc comment changer le port de SSH : (édit : Tutoriel modifié suite aux retours ci-dessous)

• Ubuntu 23.10 / Ubuntu 24.04 LTS Le port d'écoute de SSH se configure dans systemd :
  sudo systemctl edit ssh.socket
  Ajouter les 3 lignes suivantes :
  [Socket]
  ListenStream=
  ListenStream=2222 (En remplaçant 2222 par le port de votre choix, prendre de préférence un port au-dessus de 10 000)
  
  Application des paramètres : sudo systemctl daemon-reload puis sudo systemctl restart ssh, mais vous pouvez simplement redémarrer le PC.

• Ubuntu 18.04 LTS / 20.04 LTS / 22.04 LTS Le port d'écoute de SSH se configure dans sshd_config
  sudo nano /etc/ssh/sshd_config
  Changer la ligne #Port 22 par Port 2222, puis redémarrez le PC.

Non, je suis sous Ubuntu 23.10, mais peu de personnes utilisent les versions intermédiaires d'Ubuntu pour les serveurs.

Par contre, la question sera posée régulièrement lors de la sortie d'Ubuntu 24.04 LTS, d'où mon idée d'indiquer directement Ubuntu 24.04 LTS pour que les utilisateurs puissent trouver une réponse.

C'est arrivé avec Ubuntu 22.10. J'ai pensé à un bug. Quand j'ai vu qu'il n'était pas non plus possible de changer le port SSH avec Ubuntu 23.10, je me suis dit que cela n'était plus un bug, mais une modification de la méthode pour changer le port SSH mal documenté.

Je sens que certains vont encore taper sur systemd. À chaque nouvelle version, il prend en charge de nouvelles choses (avec Ubuntu 22.04 LTS c'était le DNS, perte du DNS quand on réalisait la mise à jour d'un serveur Ubuntu 20.04 => 24.04)

c'est à se demande à quoi va finir par servir le /etc si çe ne sert que de path pour les fichiers de conf auto générés. 

Le principe de 'activation socket' de systemd est que le service pour ce port n'est pas lancé tant qu'une connexion n'a pas eu lieu, ce qui en pratique est bien (moins de conso mémoire, moins de process qui tournent). C'est surtout utile quand a  de nombreuses petites instances (containers lxd par exemple).

Sur archlinux ils ont désactivé l'utilisation de ssh.socket a cause d'un risque de DoS (voir https://wiki.archlinux.org/title/OpenSSH#Daemon_management )

la méthode pour désactiver cela sur Debian/Ubuntu :
systemctl disable --now ssh.socket
rm -f /etc/systemd/system/ssh.service.d/00-socket.conf
rm -f /etc/systemd/system/ssh.socket.d/addresses.conf
systemctl daemon-reload
systemctl enable --now ssh.service

et ensuite on met le port classiquement dans /etc/ssh/sshd_config (ou le .d)

Apres une bonne pratique c'est plutôt de ne pas utiliser de mots de passe pour ssh, c'est bien plus robuste que de changer le port.

ps: le coupable ici n'est pas systemd mais les distribs qui ont voulu utiliser la feature "socket activation" pour sshd

Oui mais malgré la correction du bug, les devs d'ArchLinux ne sont pas revenu a sshd.socket.

En pratique c'est au sysadmin de choisir, sur une machine ou il est sur que ssh sera utilisé il n'y a peu d'intérêt a sshd.socket, autant démarrer sshd au boot.
Sur une machine ou l'utilisation de ssh reste exceptionnelle (par exemple de temps a autre pour pousser une config/maj avec Ansible), l'activation par le socket a plus de sens.

Le changement vers sshd.socket impacte d'autres choses ,notamment les noms dans les logs, etc. Dans les environnements fortement monitoré avec des outils de centralisation et de supervision , des adaptations sont nécessaires.

L'important c'est d'être bien informé de tout ca.