{"id":1254,"date":"2025-08-30T13:13:30","date_gmt":"2025-08-30T11:13:30","guid":{"rendered":"https:\/\/dyb.fr\/?p=1254"},"modified":"2025-08-30T13:13:30","modified_gmt":"2025-08-30T11:13:30","slug":"comment-securiser-un-minimum-son-vps-%f0%9f%9b%a1%ef%b8%8f","status":"publish","type":"post","link":"https:\/\/dyb.eu\/blog\/comment-securiser-un-minimum-son-vps-%f0%9f%9b%a1%ef%b8%8f\/","title":{"rendered":"Comment s\u00e9curiser (un minimum) son VPS \ud83d\udee1\ufe0f"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Plut\u00f4t que de payer un cloud manag\u00e9 hors de prix \u2014 et finir avec une facture de 3 000 \u20ac pour h\u00e9berger une simple <em>todo list<\/em> \u2014 beaucoup choisissent de louer un <strong>VPS <\/strong>(chez Hetzner, OVH, Scaleway, DigitalOcean, etc.). C\u2019est \u00e9conomique, flexible\u2026 mais livr\u00e9 nu, expos\u00e9 directement \u00e0 Internet.<br>R\u00e9sultat : dans les minutes qui suivent l\u2019activation, des bots vont scanner vos ports et tenter des attaques.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Avant que \u00e7a n\u2019arrive, voici quelques gestes simples pour ne pas transformer votre VPS en botnet \u00e0 crypto-mining.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">\ud83d\ude80 Quick tips<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>D\u00e9sactivez l\u2019authentification par mot de passe<\/strong> \u2192 utilisez uniquement des cl\u00e9s SSH (souvent activ\u00e9 par d\u00e9faut, mais v\u00e9rifiez).<\/li>\n\n\n\n<li><strong>Installez fail2ban<\/strong> \u2192 bloque automatiquement les IP qui forcent l\u2019entr\u00e9e sur SSH.<\/li>\n\n\n\n<li><strong>Activez les mises \u00e0 jour automatiques<\/strong> avec <code>unattended-upgrades<\/code> + red\u00e9marrage planifi\u00e9.<\/li>\n\n\n\n<li><strong>Activez le firewall (ufw\/iptables ou celui du fournisseur)<\/strong> et ouvrez uniquement ce qui est vital : 443 (HTTPS) et votre port SSH.<\/li>\n\n\n\n<li><strong>Option hardcore : restreignez SSH \u00e0 votre IP fixe<\/strong>. Si vous voyagez \u2192 alternative : <strong>installez Tailscale<\/strong> et n\u2019acceptez que les IPs de votre r\u00e9seau priv\u00e9.<\/li>\n\n\n\n<li><strong>Certificat SSL gratuit<\/strong> avec <a>Let\u2019s Encrypt \/ Certbot<\/a>.<\/li>\n\n\n\n<li><strong>Changez le port SSH<\/strong>. \u00c7a n\u2019arr\u00eate pas les attaques, mais \u00e7a coupe 80 % du bruit.<\/li>\n\n\n\n<li><strong>Pr\u00e9f\u00e9rez Nginx \u00e0 Apache<\/strong> pour la l\u00e9g\u00e8ret\u00e9 et la simplicit\u00e9 TLS.<\/li>\n\n\n\n<li><strong>Faites auditer r\u00e9guli\u00e8rement votre code<\/strong> (IA comme Cursor\/Claude pour un premier filtre, mais rien ne remplace un humain).<\/li>\n\n\n\n<li><strong>Avant de manipuler de vraies donn\u00e9es : faites appel \u00e0 un auditeur s\u00e9curit\u00e9 pro.<\/strong> S\u00e9rieusement.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">\ud83d\udd12 Bonus tips (si vous voulez aller plus loin)<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Installez un VPN WireGuard<\/strong> \u2192 n\u2019exposez presque rien au public. Le script d\u2019<a href=\"https:\/\/github.com\/angristan\/wireguard-install?utm_source=chatgpt.com\">Angristan<\/a> rend l\u2019install facile.<\/li>\n\n\n\n<li><strong>Ne travaillez pas toujours en root<\/strong> \u2192 cr\u00e9ez un utilisateur d\u00e9di\u00e9 avec <code>sudo<\/code>.<\/li>\n\n\n\n<li><strong>Surveillez vos logs<\/strong> (<code>journalctl<\/code>, ou mieux : Graylog, Loki, ELK\u2026).<\/li>\n\n\n\n<li><strong>Activez le 2FA sur votre compte fournisseur (Hetzner, OVH, etc.)<\/strong>.<\/li>\n\n\n\n<li><strong>Sauvegardez r\u00e9guli\u00e8rement (et testez vos sauvegardes)<\/strong>.<\/li>\n\n\n\n<li><strong>D\u00e9sactivez les services inutiles<\/strong> et supprimez les paquets obsol\u00e8tes.<\/li>\n\n\n\n<li><strong>Chiffrez vos volumes<\/strong> (LUKS) si vos donn\u00e9es sont sensibles.<\/li>\n\n\n\n<li><strong>Ne commitez jamais vos cl\u00e9s priv\u00e9es dans un repo Git<\/strong>.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p class=\"wp-block-paragraph\">\ud83d\udc49 Ces astuces ne transforment pas votre VPS en forteresse imprenable, mais elles suffisent \u00e0 d\u00e9courager 99 % des attaques automatis\u00e9es.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Plut\u00f4t que de payer un cloud manag\u00e9 hors de prix \u2014 et finir avec une facture de 3 000 \u20ac pour h\u00e9berger une simple todo list \u2014 beaucoup choisissent de louer un VPS (chez Hetzner, OVH, Scaleway, DigitalOcean, etc.). C\u2019est \u00e9conomique, flexible\u2026 mais livr\u00e9 nu, expos\u00e9 directement \u00e0 Internet.R\u00e9sultat : dans les minutes qui suivent [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1255,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26,22],"tags":[21,29],"class_list":["post-1254","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-adminsys","category-cybersecurite","tag-cybersecurite","tag-linux"],"_links":{"self":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/1254","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/comments?post=1254"}],"version-history":[{"count":0,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/posts\/1254\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/media\/1255"}],"wp:attachment":[{"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/media?parent=1254"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/categories?post=1254"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dyb.eu\/blog\/wp-json\/wp\/v2\/tags?post=1254"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}