Vous venez de déployer votre nouveau VPS Linux. Il est rapide, puissant et prêt à héberger vos projets. Mais avant de plonger dans le développement, il y a une étape cruciale à ne jamais négliger : la sécurité.
Un serveur avec une configuration par défaut est comme une maison avec la porte d’entrée laissée grande ouverte. Il constitue une cible potentielle pour les bots et les acteurs malveillants qui scannent le web en permanence.
Heureusement, mettre en place une première ligne de défense solide n’est pas si compliqué. Ce guide vous présente 10 étapes fondamentales pour transformer votre VPS en une forteresse numérique. Suivez cette checklist pour avoir l’esprit tranquille.
Prérequis :
- Un VPS fonctionnant sous une distribution Linux (Debian, Ubuntu, AlmaLinux).
- Un accès à votre serveur via SSH avec l’utilisateur
root.
Étape 1 : Mettre à jour le système
La toute première chose à faire. Les mises à jour contiennent les derniers correctifs de sécurité qui protègent votre serveur contre les vulnérabilités connues.
Bash
# Pour Debian / Ubuntu
apt update && apt upgrade -y
# Pour AlmaLinux
dnf upgrade -y
Étape 2 : Créer un nouvel utilisateur avec les privilèges sudo
Utiliser le compte root pour les tâches quotidiennes est risqué. Une seule erreur de commande peut avoir des conséquences désastreuses. Nous allons créer un nouvel utilisateur et lui donner les droits d’administrateur via sudo.
Bash
# Remplacez 'votreutilisateur' par le nom de votre choix
adduser votreutilisateur
# Donnez les droits sudo à ce nouvel utilisateur
usermod -aG sudo votreutilisateur
Ensuite, déconnectez-vous et reconnectez-vous avec ce nouvel utilisateur.
Étape 3 : Configurer le pare-feu (Firewall UFW)
Un pare-feu contrôle le trafic entrant et sortant. UFW (Uncomplicated Firewall) est l’outil le plus simple pour cela sur Debian et Ubuntu.
Bash
# Autoriser uniquement les connexions dont nous avons besoin (SSH, HTTP, HTTPS)
ufw allow OpenSSH
ufw allow http
ufw allow https
# Activer le pare-feu
ufw enable
Attention : Assurez-vous d’avoir bien autorisé OpenSSH avant d’activer le pare-feu, sinon vous perdrez l’accès à votre serveur !
Étape 4 : Protéger SSH contre les attaques « Brute Force » avec Fail2Ban
Fail2Ban scanne les journaux de votre serveur et bannit automatiquement les adresses IP qui montrent des signes de comportement malveillant (comme des tentatives de connexion répétées).
Bash
# Installer Fail2Ban
apt install fail2ban -y
# Activer le service pour qu'il se lance au démarrage
systemctl enable fail2ban
systemctl start fail2ban
Par défaut, Fail2Ban protège déjà le service SSH. Son installation seule est une immense amélioration de la sécurité.
Étape 5 : Changer le port SSH par défaut
La plupart des bots ciblent le port SSH par défaut (le port 22). Le changer réduit considérablement le nombre d’attaques automatisées.
Bash
# Éditer le fichier de configuration SSH
nano /etc/ssh/sshd_config
Trouvez la ligne #Port 22, retirez le # et remplacez 22 par un numéro de port de votre choix entre 1024 et 65535. Par exemple : Port 2244.
N’oubliez pas d’autoriser ce nouveau port dans votre pare-feu (ufw allow 2244) avant de redémarrer le service SSH !
Étape 6 : Désactiver la connexion root via SSH
Maintenant que nous avons un utilisateur sudo, il n’y a plus de raison de permettre à root de se connecter directement via SSH. C’est une mesure de sécurité majeure.
Bash
# Toujours dans le fichier /etc/ssh/sshd_config
nano /etc/ssh/sshd_config
Trouvez la ligne #PermitRootLogin prohibit-password ou PermitRootLogin yes et changez-la pour : PermitRootLogin no
Étape 7 (Recommandé) : Utiliser des clés SSH au lieu des mots de passe
C’est la méthode la plus sécurisée pour se connecter à un serveur. Une clé SSH est un fichier cryptographique quasi impossible à pirater, contrairement à un mot de passe. La configuration est plus longue mais en vaut largement la peine pour les serveurs critiques.
Étape 8 : Mettre en place les mises à jour automatiques
Pour être sûr que votre serveur reste à jour, vous pouvez automatiser l’installation des patchs de sécurité.
Bash
# Installer le paquet nécessaire
apt install unattended-upgrades -y
# L'activer
dpkg-reconfigure -plow unattended-upgrades
Étape 9 : Supprimer les services inutiles
Un service qui tourne est une porte d’entrée potentielle. Si vous n’utilisez pas de serveur mail ou FTP, par exemple, assurez-vous que les services correspondants sont désactivés pour réduire la surface d’attaque.
Étape 10 : Planifier des sauvegardes régulières
La sécurité, c’est aussi savoir se relever après un problème. Une bonne stratégie de sauvegarde est votre meilleure assurance. Assurez-vous de mettre en place des backups réguliers de vos données importantes, de préférence sur un stockage externe.
Votre VPS est maintenant une forteresse
Félicitations ! En suivant ces 10 étapes, vous avez transformé votre VPS d’une installation par défaut en un environnement activement sécurisé. Cette base solide vous permettra de développer vos projets en toute sérénité.
Chez ElypseCloud, la sécurité est notre priorité. C’est pourquoi toute notre infrastructure est protégée par un système Anti-DDoS robuste. En combinant nos protections réseau avec les bonnes pratiques de ce guide, vous mettez toutes les chances de votre côté pour garantir l’intégrité et la disponibilité de vos services.
[-> Déployez un VPS Linux sécurisé et performant avec ElypseCloud <-]