Prendre rendez-vous
  1. Accueil
  2. /
  3. Blog
  4. /

  5. Améliorer la sécurité SSH avec Port Knocking

Administration
Linux
Sécurité

Améliorer la sécurité SSH avec Port Knocking

12 octobre 2025

2 min de lecture

Sommaire
Plan de l'article
Principe du port knocking
Installation des outils nécessaires
Configuration avec iptables
Automatisation du client
Bonnes pratiques de sécurité
Conclusion

La sécurité des accès SSH conditionne la résistance aux tentatives d'intrusion. En complément des clés SSH et restrictions, du filtrage IP et de la limitation de connexions, une technique complémentaire existe : le Port Knocking. Cette méthode consiste à garder le port SSH fermé et à ne l'ouvrir qu'après qu'un client a frappé une séquence spécifique de ports.

Plan de l'article

  • Principe du port knocking
  • Installation des outils nécessaires
  • Configuration avec iptables
  • Automatisation du client
  • Bonnes pratiques de sécurité
  • Conclusion

Principe du port knocking

Le serveur garde le port SSH (par ex. 22) fermé par défaut.
Pour y accéder, le client doit envoyer une série de paquets sur des ports définis (ex. 7000, 8000, 9000).
Lorsque la séquence est correcte, une règle du pare-feu ouvre temporairement le port SSH.

Installation des outils nécessaires

Sous Debian/Ubuntu :

sudo apt install knockd

Sous CentOS/RHEL :

sudo yum install knock-server

Configuration avec iptables

Exemple /etc/knockd.conf :

[options]
    logfile = /var/log/knockd.log

[openSSH]
    sequence    = 7000,8000,9000
    seq_timeout = 5
    command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

[closeSSH]
    sequence    = 9000,8000,7000
    seq_timeout = 5
    command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn

Sur Debian/Ubuntu, activez knockd dans /etc/default/knockd :

START_KNOCKD=1
KNOCKD_OPTS="-i eth0"

Puis démarrez le service :

sudo systemctl enable knockd
sudo systemctl start knockd

Automatisation du client

Pour envoyer la séquence depuis un poste client :

knock serveur.exemple.com 7000 8000 9000
ssh utilisateur@serveur.exemple.com

Bonnes pratiques de sécurité

  • Combiner le port knocking avec des clés SSH.
  • Utiliser des séquences longues et non triviales.
  • Surveiller les logs du serveur knockd.
  • Coupler avec Fail2ban pour plus de sécurité.

Conclusion

Le Port Knocking renforce la sécurité SSH en masquant le port d'accès et en réduisant drastiquement les tentatives de brute-force.
La méthode se configure en quelques minutes et complète les autres bonnes pratiques de sécurisation SSH.

Besoin d'aide sur ce sujet ?

Notre équipe d'experts est là pour vous accompagner dans vos projets d'infrastructure et d'infogérance.

Contactez-nous

Articles similaires

YubiKey et FIDO2 : authentification SSH par clé matérielle
Sécurité
Administration
Linux

YubiKey et FIDO2 : authentification SSH par clé matérielle

Configurer SSH avec YubiKey FIDO2/U2F. Clés résidentes, présence physique, intégration bastion, déploiement parc, retour ops sur l'authentification matérielle.

30 mai 2026

Lire plus

Auditer la sécurité d'un serveur Linux en 2026 : outils et méthodologie
Sécurité
Linux
Administration

Auditer la sécurité d'un serveur Linux en 2026 : outils et méthodologie

Méthodologie complète pour auditer la sécurité de vos serveurs Linux. Lynis, OpenSCAP, CIS Benchmarks, auditd et AIDE pour une infrastructure durcie.

3 mars 2026

Lire plus

SELinux 2026 : sécurité obligatoire, policies et hardening Linux
Linux
Sécurité
Administration

SELinux 2026 : sécurité obligatoire, policies et hardening Linux

Guide complet SELinux 2026 : modes enforcing/permissive, contexts, policies, troubleshooting, audit2allow, hardening serveurs et applications.

1 févr. 2026

Lire plus

SHPV, votre partenaire de confiance en infrastructure et infogérance informatique en France.

SHPV
Prendre rendez-vousNous contacter
Expertise
InfrastructureDatacenterInfogéranceCloudHébergementTransit IP
Légales
Conditions Générales de VenteCPS - Contrat de ServicesCPS - Hébergement CloudCPS - Microsoft 365Accord sous-traitance RGPDTarifs interventions

SHPV © 2026 - Tous droits réservés

Mentions légalesPolitiques de confidentialité
SHPV FRANCE - SAS au capital de 16 000 € - 52 Rue Romain Rolland, 71230 Saint-Vallier - SIRET n°80886287400035 - R.C.S. Chalon-sur-Saône. Par téléphone 09 72 310 818 - Email: support@shpv.fr