Sécuriser un VPS Linux

À l'ère numérique, sécuriser votre serveur privé virtuel (VPS) Linux
est indispensable pour protéger vos données et votre infrastructure. Ce
guide complet présente les méthodes pour protéger votre VPS Linux contre
les cybermenaces.

Maintenez votre système
à jour

L'un des aspects les plus importants de la sécurisation de votre VPS Linux est de
vous assurer que votre système est à jour. Les logiciels obsolètes peuvent
contenir des failles que des acteurs malveillants peuvent exploiter. Voici comment
procéder :

Utiliser le gestionnaire de paquets

La plupart des distributions Linux proposent un gestionnaire de paquets. Par exemple, si
vous utilisez un système basé sur Debian, vous pouvez exécuter les commandes suivantes
pour mettre à jour les paquets :

sudo apt update
sudo apt upgrade

Si vous êtes sur un système CentOS, utilisez yum :

sudo yum update

Configurer les mises à
Mises à jour

Configurer les mises à jour automatiques avec unattended-upgrades sur les
systèmes basés sur Debian :

Sur les systèmes basés sur Debian comme Ubuntu, vous pouvez utiliser le paquet
unattended-upgrades pour automatiser le processus de mise à jour.

1. Installer unattended-upgrades :

sudo apt install unattended-upgrades

2. Configurez les paramètres de mise à jour automatique. Modifiez la configuration
   :

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

3. Activez les mises à jour automatiques pour les paquets liés à la sécurité :

Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
    "${distro_id}:${distro_codename}-updates";
    "${distro_id}:${distro_codename}-proposed";
    "${distro_id}:${distro_codename}-backports";
};

4. Activez et démarrez le service unattended-upgrades :

sudo dpkg-reconfigure -plow unattended-upgrades

Cette commande vous demandera de confirmer les modifications. Sélectionnez « Oui » pour
activer les mises à jour automatiques.

Configurer les mises à jour automatiques avec yum-cron sur
CentOS :

Sur CentOS, vous pouvez utiliser yum-cron pour les mises à jour automatiques :

1. Installez yum-cron :

sudo yum install yum-cron

2. Démarrez et activez le service yum-cron :

sudo systemctl enable yum-cron
sudo systemctl start yum-cron

Utilisez
Mots de passe forts et clés SSH pour une authentification sécurisée

Sécuriser votre Linux VPS passe par l'utilisation de méthodes d'authentification solides.
Que vous vous connectiez depuis un client Linux ou Windows, voici comment
utiliser efficacement les mots de passe forts et les clés SSH :

Utiliser des
mots de passe forts

Lors de la création de comptes utilisateurs sur votre VPS, veillez à ce que les mots de passe soient
complexes, en combinant majuscules et minuscules, chiffres et caractères
spéciaux. Évitez les mots de passe faciles à deviner.

Utiliser une clé SSH
Authentification

Pour un client Linux :

1. Pour générer une paire de clés SSH sur votre client Linux, utilisez ssh-keygen
   :

ssh-keygen -t rsa -b 2048

La clé publique sera stockée par défaut dans ~/.ssh/id_rsa.pub.

2. Copiez votre clé publique sur le VPS :

ssh-copy-id user@your_server_ip

3. Désactivez l'authentification par mot de passe via SSH sur le VPS dans le fichier de
   configuration du serveur SSH (/etc/ssh/sshd_config) :

PasswordAuthentication no

Pour le client Windows :

1. Sur Windows, utilisez PowerShell pour une fonctionnalité similaire :

ssh-keygen

2. Copiez votre clé publique vers le VPS via PowerShell. Remplacez
   IP-ADDRESS-OR-FQDN par l'adresse IP ou le nom de domaine du serveur distant
   adresse :

type $env:USERPROFILE\.ssh\id_rsa.pub | ssh root@{IP-ADDRESS-OR-FQDN} "cat >> .ssh/authorized_keys"

3. Désactivez l'authentification par mot de passe via SSH sur le VPS dans le fichier de
   configuration du serveur SSH (/etc/ssh/sshd_config) :

PasswordAuthentication no

Configurer un pare-feu

Sécuriser votre VPS Linux implique la mise en place d'un pare-feu pour contrôler
le trafic entrant et sortant. Voici comment configurer un pare-feu pour
renforcer la sécurité :

Utilisez ufw (Uncomplicated Firewall) sur Debian/Ubuntu ou
firewalld sur CentOS :

1. Installez l'outil de gestion du pare-feu s'il n'est pas déjà installé.

Pour ufw sur Debian/Ubuntu :

sudo apt install ufw

Pour firewalld sur CentOS :

sudo yum install firewalld

2. Ajoutez des règles pour autoriser SSH avant d'activer le pare-feu afin d'éviter de
   vous retrouver bloqué :

Pour ufw sur Debian/Ubuntu :

sudo ufw allow OpenSSH

Pour firewalld sur CentOS :

sudo firewall-cmd --permanent --add-service=ssh

3. Activez le pare-feu et définissez les règles par défaut :

Pour ufw sur Debian/Ubuntu :

sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing

Pour firewalld sur CentOS :

sudo systemctl start firewalld
sudo systemctl enable firewalld

4. Rechargez le pare-feu pour que les modifications prennent effet.

Pour ufw sur Debian/Ubuntu :

sudo ufw reload

Pour firewalld sur CentOS :

sudo systemctl reload firewalld

Désactiver la connexion root

Sécuriser votre VPS Linux implique de restreindre l'accès root. Voici comment
désactiver la connexion root pour renforcer la sécurité :

1. Créer un nouvel utilisateur : connectez-vous à votre VPS en tant que root, puis créez
   un compte utilisateur avec les privilèges sudo. Remplacez newuser par le
   nom d'utilisateur souhaité :

adduser newuser
usermod -aG sudo newuser

2. Créez le répertoire .ssh, le fichier authorized_keys et définissez les permissions pour
   le nouvel utilisateur :

mkdir -p /home/newuser/.ssh
touch /home/newuser/.ssh/authorized_keys
chmod 600 /home/newuser/.ssh/authorized_keys
chown -R newuser:newuser /home/newuser/.ssh

3. Assurez-vous de générer et de copier la clé publique vers votre
   VPS.

4. Connectez-vous en tant que nouvel utilisateur.

5. Déconnectez-vous de VPS (si vous êtes connecté en tant que root) et reconnectez-vous
   avec le nouveau compte utilisateur. Cela vous permettra d'effectuer
   des tâches d'administration via sudo.

6. Modifier la configuration de SSH :

Ouvrez le fichier de configuration du serveur SSH sur votre VPS. Ce fichier se trouve
généralement à l'emplacement /etc/ssh/sshd_config :

sudo nano /etc/ssh/sshd_config

Repérez la ligne PermitRootLogin et définissez-la sur no :

PermitRootLogin no

Enregistrez le fichier et quittez l'éditeur de texte.

7. Redémarrer le service SSH :

Après cette modification, redémarrez le service SSH pour que les
nouveaux paramètres prennent effet :

Sur Debian/Ubuntu :

sudo systemctl restart ssh

Sur CentOS :

sudo systemctl restart sshd

Renforcer SSH
Configuration

Sécuriser votre VPS Linux passe par un renforcement supplémentaire de la configuration
SSH pour plus de sécurité, et par la mise à jour des règles UFW.
Voici comment renforcer vos paramètres SSH et mettre à jour les règles
UFW :

1. Autoriser le nouveau port SSH dans UFW :

Si vous utilisez UFW (Uncomplicated Firewall), commencez par autoriser le nouveau port SSH
avant de modifier le port par défaut :

# Allow the new SSH port (e.g., 2222)
sudo ufw allow 2222/tcp

2. Supprimer OpenSSH des règles UFW :

Après avoir changé le port SSH, supprimez l'ancienne entrée OpenSSH
service (port par défaut 22) des règles UFW afin de garantir que seul le nouveau
Le port SSH est autorisé :

# Remove the old OpenSSH service (default port 22)
sudo ufw delete allow OpenSSH

3. Modifier le port SSH :

Par défaut, SSH utilise le port 22. Changer ce port par défaut peut ajouter une
une couche de sécurité supplémentaire en rendant la détection plus difficile pour les bots automatisés
votre serveur SSH.

Ouvrez le fichier de configuration du serveur SSH :

sudo nano /etc/ssh/sshd_config

Repérez la ligne contenant Port 22 et remplacez le numéro de port par un
un port différent, non utilisé, par exemple 2222 :

Port 2222

4. Activer la réauthentification par clé :

Vous pouvez définir une limite de temps pour la réauthentification des clés afin de renforcer la sécurité.
votre session SSH. Cela signifie que si vous quittez votre session SSH
sans surveillance, il expirera automatiquement après un certain délai.

Ajoutez ou modifiez les lignes suivantes dans la configuration du serveur SSH
fichier, puis enregistrez-le :

ClientAliveInterval 300
ClientAliveCountMax 2

5. Rechargez les règles UFW et le service SSH :

sudo ufw reload
sudo systemctl restart ssh

6. Une fois les modifications nécessaires effectuées, vous pouvez établir un nouveau SSH
   connexion à l'aide de la commande suivante :

ssh -p <new_port> user@your_server_ip

Mettre en place Fail2Ban

Sécuriser votre Linux VPS implique de le protéger contre les attaques par force brute
tentatives de connexion et autres activités malveillantes. Fail2Ban est un outil utile
outil adapté à cet usage. Voici comment implémenter Fail2Ban :

1. Installer Fail2Ban :

Commencez par mettre à jour la liste de vos paquets pour vous assurer d'avoir les dernières
packages disponibles :

Pour les systèmes basés sur Debian (par ex., Ubuntu) :

sudo apt update

Pour CentOS :

sudo yum update

Installer Fail2Ban :

Pour les systèmes basés sur Debian :

sudo apt install fail2ban

Pour CentOS :

sudo yum install fail2ban

2. Configurer Fail2Ban :

Le fichier de configuration principal de Fail2Ban se trouve à
/etc/fail2ban/jail.conf. Vous pouvez créer un fichier de substitution à
fichier à /etc/fail2ban/jail.local pour personnaliser les paramètres
sans modifier la configuration par défaut. Ouvrez ce fichier :

sudo nano /etc/fail2ban/jail.local

Ajoutez la configuration suivante pour bloquer les adresses IP pendant 10 minutes
(600 secondes) après six tentatives de connexion échouées. Ajustez les paramètres selon
vos besoins :

[sshd]
enabled = true
maxretry = 6
findtime = 600
bantime = 600

Enregistrez le fichier et quittez l'éditeur de texte.

3. Démarrer et activer Fail2Ban :

Démarrez Fail2Ban et activez son lancement au démarrage du système :

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

4. Vérifier l'état de Fail2Ban :

Vous pouvez vérifier l'état de Fail2Ban pour vous assurer qu'il fonctionne
correctement :

sudo fail2ban-client status

Vous devriez voir qu'il surveille le service SSH.

Les 6 méthodes essentielles présentées ici forment une défense solide
contre les vulnérabilités potentielles. En maintenant votre système à jour,
en utilisant une authentification forte, en configurant des pare-feux, en durcissant SSH,
et en mettant en place Fail2Ban, vous renforcez votre VPS et gardez l'esprit
tranquille dans un monde toujours connecté. Pour toute question, n'hésitez pas
à contacter notre équipe d'assistance via soumettant une
ticket.