Sécuriser un VPS (bonnes pratiques)

Ce guide propose une checklist de sécurisation pour un VPS (Linux et Windows) : mises à jour, mot de passe et clés SSH, pare-feu, fail2ban (Linux), désactivation de root (Linux), audits et bonnes pratiques. Liens vers les guides détaillés : setup-windows, ssh-linux, use-ssh-linux, icmp-windows, windows-firewall.

Prérequis

• Accès root ou administrateur au VPS
• Connexion console (KVM) ou SSH/RDP déjà en place

1. Mises à jour

• Linux : apt update && apt full-upgrade -y (Debian/Ubuntu) ; dnf update (Fedora/RHEL). Configurer les mises à jour de sécurité automatiques (unattended-upgrades) si possible.
• Windows : Windows Update ; sconfig (option 6) sur Server Core. Planifier les redémarrages.

2. Authentification

Linux

• Clés SSH : utiliser des clés au lieu des mots de passe. use-ssh-linux : ssh-keygen, ssh-copy-id, PasswordAuthentication no (une fois les clés en place).
• Désactiver la connexion root en SSH : PermitRootLogin no dans /etc/ssh/sshd_config. Se connecter avec un utilisateur standard puis sudo.
• Mot de passe : si conservé, fort (16+ caractères, complexité).

Windows

• Mot de passe fort pour les comptes admin. setup-windows : créer un compte admin dédié, désactiver ou renommer Administrator pour l’usage quotidien.
• RDP : changer le port ( rdp-fix-login) ; NLA activé. Restreindre par IP si possible.

3. Pare-feu

• Linux (ufw) : n’autoriser que les ports nécessaires (22 SSH, 80, 443, 25565, 30120, etc.).
  ufw allow 22/tcp ; ufw allow 80/tcp ; ufw allow 443/tcp ; ufw enable.
• Windows : windows-firewall — règles Inbound pour RDP, HTTP/HTTPS, jeux. Bloquer le reste par défaut.
• Hébergeur : ouvrir les mêmes ports dans le security group / pare-feu du provider.

4. fail2ban (Linux)

• fail2ban : bannit les IP après X échecs (SSH, Nginx, etc.).
  apt install fail2ban ; configurer jail.local pour sshd (et d’autres services si besoin).
• Réduit les attaques par force brute sur SSH (et RDP si un service équivalent existe ; sur Windows, pas de fail2ban natif — compter sur le pare-feu et le changement de port RDP).

5. Services inutiles

• Linux : désactiver les services non utilisés : systemctl list-unit-files ; systemctl disable service_name.
• Windows : désactiver les services inutiles (Paramètres, Gestionnaire des services). setup-windows.

6. Logs et surveillance

• Linux : journalctl, /var/log/auth.log, /var/log/syslog. logwatch ou auditd pour des rapports et audits.
• Windows : Observateur d’événements (connexions RDP, échecs d’ouverture de session). Exporter ou centraliser les logs si possible.

7. Audit rapide

• Ports ouverts : ss -tlnp (Linux) ; netstat -an (Windows). Vérifier qu’aucun service inutile n’est exposé.
• Utilisateurs : cat /etc/passwd (Linux) ; Gestionnaire des utilisateurs (Windows). Supprimer ou désactiver les comptes inutiles.
• Mots de passe / clés : rotation des clés SSH, changement des mots de passe admin périodique.

8. Linux vs Windows (résumé)

Dépannage

• Plus d’accès SSH : garder un accès KVM ou Console pour corriger sshd_config ou les clés. Ne pas désactiver PasswordAuthentication avant d’avoir testé les clés.
• Plus d’accès RDP : console KVM/VNC ; vérifier le port et le pare-feu ; rdp-fix-login, rdp-windows.

Bonnes pratiques

• Principe du moindre privilège : un compte par usage ; pas de root/Administrator pour le quotidien.
• Sauvegardes : configs, données ; restauration testée.
• Documentation : noter les changements (ports, utilisateurs, règles) pour la maintenance.

Ressources

• CIS Benchmarks (référentiels durcissement)
• ssh-linux, use-ssh-linux, setup-windows, windows-firewall, icmp-windows, rdp-fix-login

Cet article s’inscrit dans notre série de guides hébergement et gaming. Pour un serveur sur-mesure, contact.