La sécurisation d’un serveur implique des choix mesurés et une application régulière des règles. La mise en place d’un plan pragmatique réduit nettement la surface d’attaque et les incidents opérationnels.
Ce guide propose des actions concrètes pour sécuriser serveur Linux progressivement et de façon reproductible. Les points essentiels suivent pour prioriser les tâches et préparer un déploiement sûr.
A retenir :
- Mises à jour système planifiées et correctifs critiques automatisés
- Accès SSH par clés uniquement et désactivation du login root
- Pare-feu restrictif, blocage des ports inutiles et filtrage par service
- Gestion des droits via sudo, politiques fines et journalisation centralisée
Mise à jour système et gestion des correctifs pour Linux
Relier la gestion des correctifs à une politique claire réduit les fenêtres d’exposition aux vulnérabilités. Selon NIST, l’application rapide des correctifs limite le risque d’exploitation connu et diminue les conséquences opérationnelles.
Les distributions offrent des outils natifs pour automatiser les correctifs tout en conservant des phases de test en pré-production. Ces préparations facilitent ensuite le durcissement de l’accès distant via SSH sécurisé.
Mesures recommandées système :
- Automatisation des correctifs critiques uniquement
- Fenêtre de maintenance planifiée pour redémarrages maîtrisés
- Environnements de test pour validations pré-déploiement rigoureuses
Selon OWASP, centraliser les dépôts et signer les paquets améliore la chaîne d’approvisionnement logicielle. Cette pratique réduit le risque d’introduction de paquets compromis ou malveillants.
Distribution
Gestionnaire
Commande d’installation
Remarque
Debian / Ubuntu
apt
sudo apt install unattended-upgrades
paquet officiel pour correctifs automatiques
Red Hat / CentOS
dnf / yum
sudo yum install dnf-automatic
option pour patch live du noyau selon distribution
Fedora
dnf
sudo dnf install dnf-automatic
configuration via systemd timer
SUSE
zypper
sudo zypper install yast2-online-update-configuration
configuration via YaST en CLI ou graphique
« J’ai automatisé les mises à jour critiques, ce choix a réduit nos incidents et le temps de maintenance. »
Alice N.
Automatisation des correctifs et outils
Ce point relie la politique de sécurité aux outils concrets pour les administrateurs. Selon NIST, l’automatisation contrôlée limite les erreurs humaines et améliore la rapidité d’intervention.
Déployer unattended-upgrades ou dnf-automatic nécessite des jeux de règles de test et des backups réguliers. L’usage d’Ansible ou de Puppet permet de reproduire la configuration sur l’ensemble des serveurs.
« L’automatisation a stabilisé notre parc, tout en laissant des phases de validation indispensables. »
Marc N.
Stratégies de déploiement et validations
Cette section détaille les méthodes pour limiter l’impact des patchs en production et sécuriser l’infrastructure. Selon ANSSI, le déploiement par anneaux réduit fortement les risques opérationnels lors d’un déploiement massif.
Options opérationnelles habituelles incluent des tests automatisés, validations de services après patch, et procédures documentées de rollback. Ces règles soutiennent ensuite la mise en place d’un SSH sécurisé.
SSH sécurisé et gestion des clés pour accès distant
Après la stabilisation des correctifs, sécuriser l’accès distant devient prioritaire pour réduire les compromissions. Selon OWASP, l’authentification par clés publiques reste la méthode la plus robuste pour l’accès SSH.
La mise en œuvre d’une gestion de clés cohérente et l’intégration d’un MFA améliorent la résilience des accès. Ces actions préparent la configuration du pare-feu et la protection contre attaques réseau.
Paramètres SSH recommandés :
- Générer clés ed25519 et déployer avec ssh-copy-id
- Désactivation de PermitRootLogin et PasswordAuthentication
- Limiter l’accès SSH à des groupes spécifiques
Pour les administrateurs, la génération de clés ed25519 avec ssh-keygen assure une empreinte cryptographique moderne. L’usage de ssh-copy-id simplifie le déploiement et évite les erreurs de configuration manuelle.
Action
Commande
But
Générer clé
ssh-keygen -t ed25519
authentification forte et performante
Déployer clé
ssh-copy-id -i ~/.ssh/id_ed25519.pub remote@host
installation automatique des autorisations
Désactiver root
PermitRootLogin no
réduction des attaques par privilège
Désactiver mot de passe
PasswordAuthentication no
forçage des clés uniquement
« La configuration des clés SSH m’a évité plusieurs tentatives d’intrusion sur mon VPS. »
Marc N.
Gestion des clés et configuration sshd
Ce point explique comment ajuster /etc/ssh/sshd_config sans perdre l’accès distant essentiel. Modifier PermitRootLogin et PasswordAuthentication réduit la surface d’attaque tout en conservant sudo pour l’administration.
L’intégration d’un fichier ~/.ssh/config côté administrateur facilite la maintenance et les connexions répétées. Le repérage de ports non standards peut aider au filtrage mais ne remplace pas un pare-feu.
Authentification MFA et surveillance des accès
L’ajout d’un second facteur, via PAM ou YubiKey, augmente notablement la sécurité des sessions SSH. Selon SANS, la corrélation des logs SSH accélère la détection des accès anormaux.
Associer fail2ban à une stratégie de bannissement et à CrowdSec apporte une protection active contre les forces brutes. Cette surveillance active prépare le déploiement d’un pare-feu Linux adapté.
Pare-feu Linux, surveillance serveur et audit de sécurité
Le passage du contrôle des accès vers une protection réseau cohérente renforce la défense en profondeur. Configurer un configuration firewall rigoureuse et des mécanismes de détection maximise la résilience du serveur.
Installer et ajuster ufw ou firewalld en fonction de la distribution réduit l’exposition aux scans automatiques. Selon SANS, une corrélation efficace des logs accélère la réponse aux incidents détectés.
Surveillance et audit :
- Activation des logs système et centralisation vers SIEM
- Détection d’intégrité avec AIDE et vérifications périodiques
- Protection collaborative avec CrowdSec et détection de scans
Les outils comme PSAD et Fail2Ban analysent le trafic et bannissent les adresses malveillantes en temps réel. La mise en place d’un fichier de log iptables dédié facilite ensuite l’analyse et le forensique.
Outil
Fonction
Commande de base
UFW
pare-feu simple pour distributions Debian
ufw enable
Fail2Ban
blocage automatique d’IP malveillantes
fail2ban-client status
AIDE
vérification d’intégrité des fichiers
aideinit puis aide –check
CrowdSec
prévention collaborative des intrusions
cscli decisions list
« L’utilisation de fail2ban et d’un pare-feu a réduit le bruit des scans automatisés. »
Paul N.
Détection d’intrusion et réponse opérationnelle
Ce volet décrit la chaîne de détection depuis l’analyse des logs jusqu’à la réponse manuelle ou automatisée. L’intégration de PSAD, OSSEC et d’un SIEM améliore la visibilité sur les comportements anormaux.
Les exercices de simulation et les procédures de rollback doivent être testés régulièrement pour garantir la résilience. La vérification finale mène naturellement à la formalisation des sauvegardes et des plans de restauration.
Audit, conformité et revues régulières
Les audits réguliers avec Lynis et les revues manuelles des logs assurent le maintien d’un niveau de sécurité adapté. Selon OWASP, des revues fréquentes réduisent les risques liés à la chaîne d’approvisionnement logicielle.
Documenter les configurations, consigner les accès sudo et conserver des états de référence facilite les enquêtes post-incident. Une politique de sauvegarde complète garantit une reprise rapide après compromission.
« L’équipe a retrouvé un accès après un audit qui a révélé des droits sudo excessifs. »
Sophie N.
Source : NIST, « Guide des correctifs », NIST ; ANSSI, « Guide d’hygiène informatique », ANSSI ; OWASP, « Software Supply Chain », OWASP.