wiki/concepts/checklist-securite-vps.md

title, created, updated, type, tags, confidence, contested, sources

title	created	updated	type	tags	confidence	contested	sources
Checklist Sécurité VPS	2026-06-06	2026-06-06	recipe	security auto-hébergement tech	high	false	synthesized

✅ Checklist Sécurité VPS

Sécurisation d'un serveur exposé sur internet (VPS, serveur dédié, ou machine auto-hébergée avec port forwarding).

🚫 Accès SSH

• Désactiver la connexion root (PermitRootLogin no dans /etc/ssh/sshd_config).
• Utiliser uniquement des clés SSH (désactiver PasswordAuthentication yes).
• Changer le port SSH par défaut (22) pour réduire le bruit des bots.
• Activer openssh en mode post-quantique si possible.
• Limiter les utilisateurs pouvant se connecter (AllowGroups ssh-users).

🛡️ Pare-feu

• Politique par défaut : tout bloquer (ufw default deny incoming ou nftables).
• N'ouvrir QUE les ports strictement nécessaires (80, 443, et SSH personnalisé).
• Activer le rate limiting sur les services web (via traefik).

🔄 Mises à jour

• Activer les mises à jour de sécurité automatiques (unattended-upgrades sur Debian/Ubuntu).
• Auditer régulièrement les paquets installés (pas de logiciels inutiles).
• Surveiller les CVE sur les images Docker utilisées.

👁️ Détection

• Installer fail2ban ou crowdsec.
• Configurer des alertes sur les nouveaux comptes administrateurs.
• Surveiller les logs d'authentification (/var/log/auth.log).

💾 Post-Incident

• Disposer d'un snapshot/image système de référence (à jour).
• Connaître la procédure de réinitialisation des clés SSH perdues via la console provider.
• Avoir un canal de communication de secours (email) en cas de perte d'accès SSH.

Liens

• checklist-sauvegardes-restauration
• checklist-monitoring-minimal
• openssh, fail2ban, crowdsec
• firewall
• cles-ssh
• rotation-secrets
• attaque-chaine-approvisionnement