Pourquoi la sécurité de votre serveur Linux est non négociable
En 2024, une cyberattaque survient toutes les 39 secondes en moyenne (source : University of Maryland). Les serveurs Linux, qui hébergent plus de 96 % des sites web mondiaux, sont des cibles privilégiées. Un serveur mal configuré peut être compromis en moins de 24 heures après sa mise en ligne.
Bonne nouvelle : en appliquant méthodiquement cette checklist, vous éliminez la majorité des vecteurs d’attaque courants.
Étape 1 : Verrouiller l’accès SSH
Le protocole SSH est la porte d’entrée principale de votre serveur. C’est aussi la première cible des attaques par force brute.
Actions essentielles
- Désactiver le login root : éditez
/etc/ssh/sshd_configet passezPermitRootLoginàno - Changer le port par défaut (22) vers un port personnalisé (ex. : 2222) pour réduire de 98 % les tentatives automatisées
- Utiliser des clés SSH au lieu des mots de passe :
PasswordAuthentication no - Limiter les utilisateurs autorisés avec la directive
AllowUsers
# Exemple de configuration durcie dans /etc/ssh/sshd_config
Port 2222
PermitRootLogin no
PasswordAuthentication no
AllowUsers deployer admin
MaxAuthTries 3Après modification, redémarrez le service : sudo systemctl restart sshd.
Étape 2 : Configurer un pare-feu strict
Un serveur sans pare-feu, c’est une maison sans porte. Utilisez UFW (simple) ou iptables (avancé) pour n’ouvrir que les ports nécessaires.
- Port 443 (HTTPS) : ouvert
- Port 80 (HTTP) : ouvert (redirection vers HTTPS)
- Port SSH personnalisé : ouvert, limité par IP si possible
- Tout le reste : fermé par défaut
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 443/tcp
sudo ufw allow 80/tcp
sudo ufw allow from 203.0.113.50 to any port 2222
sudo ufw enableÉtape 3 : Automatiser les mises à jour de sécurité
85 % des vulnérabilités exploitées concernent des failles pour lesquelles un correctif existe déjà. N’attendez pas.
- Activez les mises à jour automatiques de sécurité avec
unattended-upgradessur Debian/Ubuntu - Planifiez un redémarrage supervisé si un patch kernel l’exige
- Maintenez un inventaire des paquets installés pour réduire la surface d’attaque
sudo apt install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgradesÉtape 4 : Installer Fail2Ban et surveiller les logs
Fail2Ban : votre garde du corps automatique
Fail2Ban analyse les logs en temps réel et bannit les IP suspectes. Après installation, un serveur typique bloque entre 200 et 500 tentatives d’intrusion par jour.
sudo apt install fail2ban
sudo systemctl enable fail2banConfigurez une jail SSH personnalisée dans /etc/fail2ban/jail.local :
[sshd]
enabled = true
port = 2222
maxretry = 3
bantime = 3600Surveillance continue
- Centralisez vos logs avec rsyslog ou Journald
- Mettez en place des alertes par email en cas de connexion root ou d’échec répété
- Auditez les fichiers critiques avec AIDE ou rkhunter
Étape 5 : Bonnes pratiques complémentaires
| Mesure | Impact | Difficulté |
|---|---|---|
| Désactiver IPv6 si inutilisé | Réduit la surface d’attaque | Faible |
| Configurer des sauvegardes chiffrées | Protection contre ransomware | Moyenne |
| Activer SELinux ou AppArmor | Isolation des processus | Élevée |
| Certificats SSL Let’s Encrypt | Chiffrement des échanges | Faible |
Chez Lueur Externe, certifié AWS Solutions Architect, nous appliquons systématiquement ces mesures — et bien d’autres — sur chaque serveur que nous déployons pour nos clients depuis 2003.
Conclusion : la sécurité est un processus, pas un état
Cette checklist couvre les fondamentaux, mais chaque infrastructure a ses spécificités. Un audit régulier (trimestriel au minimum) est indispensable pour rester protégé face à des menaces en constante évolution.
Vous n’avez pas le temps ou l’expertise en interne ? Lueur Externe accompagne les entreprises dans la sécurisation et l’administration de leurs serveurs Linux, du simple VPS aux architectures cloud complexes sur AWS.
👉 Contactez-nous pour un audit de sécurité de votre serveur et dormez enfin sur vos deux oreilles.