cartx_child

Tu as 0 Articles dans votre panier

Sécurisation de vos VPS

Guide complet pour protéger vos serveurs virtuels hébergés chez CLOUDSTORE.AFRICA contre les menaces modernes.

🐧 Linux / Ubuntu / Debian 🔐 SSH Hardening 🛡️ Pare-feu UFW 📊 Monitoring

Votre VPS est livré avec une installation minimale. Il est de votre responsabilité de le sécuriser. Suivez ce guide étape par étape pour une protection optimale.

01
🔑
Configurer l'accès SSH avec clé publique Essentiel
Remplacer l'authentification par mot de passe par une clé SSH

L'accès SSH par mot de passe est la principale cible des attaques par force brute. La première mesure est de passer à une authentification par clé publique/privée.

Étape 1 — Générer votre paire de clés sur votre machine locale :

# Sur votre machine locale (macOS/Linux) ssh-keygen -t ed25519 -C "votre@email.com" # Suivez les instructions et définissez une passphrase forte

Étape 2 — Copier la clé publique sur le VPS :

ssh-copy-id -i ~/.ssh/id_ed25519.pub root@votre-ip-vps

Étape 3 — Désactiver l'authentification par mot de passe :

# Éditer la configuration SSH nano /etc/ssh/sshd_config # Modifier ces paramètres : PasswordAuthentication no PermitRootLogin no PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys
# Redémarrer le service SSH systemctl restart sshd
⚠️ Testez la connexion avec votre clé dans un nouveau terminal AVANT de fermer la session actuelle, pour éviter de vous retrouver bloqué.
02
👤
Créer un utilisateur non-root Essentiel
Ne jamais administrer un VPS connecté en root

Travailler en tant que root expose l'ensemble du système en cas de compromission. Créez un utilisateur dédié avec privilèges sudo.

# Créer un utilisateur adduser admin_cloudstore # Ajouter au groupe sudo usermod -aG sudo admin_cloudstore # Copier les clés SSH vers le nouveau compte rsync --archive --chown=admin_cloudstore:admin_cloudstore ~/.ssh /home/admin_cloudstore
💡 Choisissez un nom d'utilisateur non générique (évitez "admin", "ubuntu", "user"). Un nom personnalisé rend l'attaque par enumération plus difficile.
03
🔒
Changer le port SSH Essentiel
Réduire l'exposition aux scans automatiques

Le port 22 est le premier ciblé par les bots. Le changer vers un port non standard réduit drastiquement le bruit dans vos logs.

nano /etc/ssh/sshd_config # Changer la ligne Port : Port 2222 # Choisissez un port entre 1024 et 65535 systemctl restart sshd
📌 N'oubliez pas d'ouvrir ce nouveau port dans votre pare-feu avant de redémarrer SSH, et de mettre à jour votre commande de connexion : ssh -p 2222 user@ip
04
🛡️
Configurer le pare-feu UFW Essentiel
N'autoriser que le trafic strictement nécessaire

UFW (Uncomplicated Firewall) est la solution de pare-feu recommandée sous Ubuntu/Debian. Appliquez le principe du moindre privilège : bloquer tout par défaut, n'ouvrir que ce qui est nécessaire.

# Installer UFW si absent apt install ufw -y # Politique par défaut : tout bloquer en entrée ufw default deny incoming ufw default allow outgoing # Autoriser SSH sur votre nouveau port ufw allow 2222/tcp # Autoriser HTTP/HTTPS si vous hébergez un site web ufw allow 80/tcp ufw allow 443/tcp # Activer le pare-feu ufw enable # Vérifier le statut ufw status verbose
💡 Si vous utilisez une IP fixe pour vous connecter, vous pouvez restreindre SSH à cette IP uniquement : ufw allow from VOTRE_IP to any port 2222
05
🤖
Installer Fail2Ban Essentiel
Bannir automatiquement les IPs malveillantes

Fail2Ban surveille les logs système et bannit temporairement les IPs qui effectuent trop de tentatives d'authentification échouées.

apt install fail2ban -y # Créer une configuration locale cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local nano /etc/fail2ban/jail.local # Configurer ces paramètres dans [DEFAULT] : bantime = 3600 # Durée du ban (1 heure) findtime = 600 # Fenêtre d'observation (10 min) maxretry = 5 # Tentatives avant ban # Configurer la prison SSH : [sshd] enabled = true port = 2222 logpath = /var/log/auth.log systemctl enable fail2ban && systemctl restart fail2ban fail2ban-client status sshd
06
🔄
Maintenir le système à jour Essentiel
Appliquer les correctifs de sécurité régulièrement

Les mises à jour de sécurité corrigent des vulnérabilités connues. Une politique de mise à jour rigoureuse est indispensable.

# Mettre à jour manuellement apt update && apt upgrade -y && apt autoremove -y # Activer les mises à jour de sécurité automatiques apt install unattended-upgrades -y dpkg-reconfigure --priority=low unattended-upgrades
💡 Configurez les mises à jour automatiques uniquement pour les patchs de sécurité. Pour les mises à jour majeures (ex: nouvelle version de PHP, MySQL), planifiez une fenêtre de maintenance.
07
📦
Gérer les services actifs Intermédiaire
Désactiver les services inutiles pour réduire la surface d'attaque

Chaque service actif est une porte d'entrée potentielle. Désactivez tout ce qui n'est pas strictement nécessaire.

# Lister les services actifs systemctl list-units --type=service --state=active # Désactiver un service inutile (exemple : Bluetooth sur un VPS) systemctl disable bluetooth.service systemctl stop bluetooth.service # Vérifier les ports ouverts ss -tuln
  • Désactivez les services de bureau (cups, avahi-daemon) sur les VPS headless.
  • N'installez que les logiciels strictement nécessaires.
  • Utilisez netstat -tuln ou ss -tuln régulièrement pour auditer les ports ouverts.
08
💾
Mettre en place une stratégie de sauvegarde Intermédiaire
La sauvegarde est votre dernière ligne de défense

Les ransomwares et les erreurs humaines peuvent mettre fin à votre service en quelques secondes. Des sauvegardes régulières sont non négociables.

  • Activez les snapshots automatiques depuis votre espace client CLOUDSTORE.AFRICA (quotidien/hebdomadaire)
  • Configurez une sauvegarde hors-site sur un second VPS ou un stockage objet
  • Testez la restauration de vos sauvegardes régulièrement (au moins une fois par trimestre)
  • Appliquez la règle 3-2-1 : 3 copies, 2 supports différents, 1 hors site
  • Chiffrez vos sauvegardes si elles contiennent des données sensibles
# Exemple : sauvegarde d'une base MySQL avec compression mysqldump --all-databases | gzip > /backup/mysql_$(date +%Y%m%d).sql.gz # Exemple : rsync vers un stockage distant rsync -avz --delete /var/www/ backup_user@backup-server:/backups/www/
09
📊
Surveiller votre VPS Intermédiaire
Détecter les anomalies avant qu'elles deviennent des incidents

La surveillance proactive permet de détecter les intrusions, les surcharges de ressources et les comportements anormaux.

# Installer Netdata pour le monitoring temps réel (gratuit) bash <(curl -Ss https://my-netdata.io/kickstart.sh) # Installer logwatch pour les rapports logs quotidiens apt install logwatch -y logwatch --output mail --mailto votre@email.com --detail high
  • Surveillez l'utilisation CPU, RAM et disque.
  • Configurez des alertes sur des seuils critiques (CPU > 90%, disque > 80%).
  • Consultez régulièrement /var/log/auth.log et /var/log/syslog.
  • Utilisez le monitoring intégré de votre espace client CLOUDSTORE.AFRICA.
10
🔏
Sécuriser vos applications web Avancé
HTTPS, en-têtes de sécurité et configurations renforcées

Si votre VPS héberge des applications web, appliquez ces mesures complémentaires :

  • Installez un certificat SSL/TLS (Let's Encrypt gratuit ou SSL commercial via CLOUDSTORE.AFRICA)
  • Configurez la redirection HTTP vers HTTPS
  • Activez les en-têtes de sécurité HTTP (HSTS, X-Frame-Options, CSP, X-Content-Type-Options)
  • Mettez à jour régulièrement WordPress, Joomla, et autres CMS
  • Installez un WAF (Web Application Firewall) comme ModSecurity avec Nginx/Apache
  • Désactivez l'affichage des erreurs PHP en production (display_errors = Off)
  • Utilisez des mots de passe forts pour les bases de données et ne les exposez pas publiquement

✅ Checklist de sécurisation rapide

  • Authentification SSH par clé publique (désactiver le mot de passe)
  • Compte utilisateur non-root pour l'administration
  • Port SSH changé (non 22)
  • Pare-feu UFW activé avec règles minimales
  • Fail2Ban installé et configuré
  • Système mis à jour (mises à jour automatiques de sécurité)
  • Services inutiles désactivés
  • Sauvegardes automatiques activées et testées
  • Monitoring en place
  • Certificat SSL installé pour les services web

Besoin d'aide pour sécuriser votre VPS ?

Notre équipe d'experts peut auditer et configurer votre serveur pour vous. Contactez-nous pour un devis personnalisé.