Gérer les secrets et variables d’environnement dans systemd services en 2026.

Variables inline (mauvais)

[Service]
Environment="API_KEY=secret123"

Visible dans systemctl show. Évitez pour secrets.

EnvironmentFile (bon)

[Service]
EnvironmentFile=/etc/myapp/secrets.env

# /etc/myapp/secrets.env
API_KEY=secret123
DB_PASSWORD=...

chmod 600 /etc/myapp/secrets.env
chown myapp:myapp /etc/myapp/secrets.env

[Service]
LoadCredential=api_key:/etc/myapp/api_key
LoadCredential=db_password:/etc/myapp/db_password

Les secrets sont disponibles dans $CREDENTIALS_DIRECTORY (tmpfs RAM uniquement, jamais sur disque accessible au service).

# Dans votre app
const apiKey = await fs.readFile(`${process.env.CREDENTIALS_DIRECTORY}/api_key`, "utf8");

Pour secrets plus sensibles, utilisez systemd-creds (chiffré par TPM ou clef hôte) :

echo "secret" | systemd-creds encrypt - /etc/myapp/api_key.cred --name=api_key

Auditer la sécurité d'un VPS avec Lynis : score hardening, warnings, suggestions, cron hebdomadaire et améliorations courantes.

Cybersécurité avril 27, 2026

Configurer un backup VPS complet avec Restic vers Backblaze B2 : pre-backup PostgreSQL, exclusions, rétention, monitoring Uptime Kuma.

Cybersécurité avril 27, 2026

Sécuriser Docker en production : mode rootless, capabilities, read-only FS, no-new-privileges, scan d'images Trivy/Scout.