wiki/concepts/checklist-securite-vps.md

---
title: Checklist Sécurité VPS
created: 2026-06-06
updated: 2026-06-06
type: recipe
tags: [security, auto-hébergement, tech]
confidence: high
contested: false
sources: [synthesized]
---
# ✅ Checklist Sécurité VPS

Sécurisation d'un serveur exposé sur internet (VPS, serveur dédié, ou machine auto-hébergée avec port forwarding).

## 🚫 Accès SSH
- [ ] Désactiver la connexion root (`PermitRootLogin no` dans `/etc/ssh/sshd_config`).
- [ ] Utiliser uniquement des clés SSH (désactiver `PasswordAuthentication yes`).
- [ ] Changer le port SSH par défaut (22) pour réduire le bruit des bots.
- [ ] Activer [[openssh]] en mode post-quantique si possible.
- [ ] Limiter les utilisateurs pouvant se connecter (`AllowGroups ssh-users`).

## 🛡️ Pare-feu
- [ ] Politique par défaut : tout bloquer (`ufw default deny incoming` ou `nftables`).
- [ ] N'ouvrir QUE les ports strictement nécessaires (80, 443, et SSH personnalisé).
- [ ] Activer le rate limiting sur les services web (via [[traefik]]).

## 🔄 Mises à jour
- [ ] Activer les mises à jour de sécurité automatiques (`unattended-upgrades` sur Debian/Ubuntu).
- [ ] Auditer régulièrement les paquets installés (pas de logiciels inutiles).
- [ ] Surveiller les CVE sur les images Docker utilisées.

## 👁️ Détection
- [ ] Installer [[fail2ban]] ou [[crowdsec]].
- [ ] Configurer des alertes sur les nouveaux comptes administrateurs.
- [ ] Surveiller les logs d'authentification (`/var/log/auth.log`).

## 💾 Post-Incident
- [ ] Disposer d'un snapshot/image système de référence (à jour).
- [ ] Connaître la procédure de réinitialisation des clés SSH perdues via la console provider.
- [ ] Avoir un canal de communication de secours (email) en cas de perte d'accès SSH.

## Liens
- [[checklist-sauvegardes-restauration]]
- [[checklist-monitoring-minimal]]
- [[openssh]], [[fail2ban]], [[crowdsec]]
- [[firewall]]
- [[cles-ssh]]
- [[rotation-secrets]]
- [[attaque-chaine-approvisionnement]]