ITSkillsCenter
Cybersécurité

VPS hardening sécurité 2026 : guide complet (checklist Linux)

2 min de lecture

Un VPS public en 2026 (informations vérifiées en avril 2026, susceptibles d’évoluer) sera scanné en moins de 5 minutes après mise en ligne, et tenté pour brute-force SSH dans l’heure. Le hardening systématique est non négociable. Voici la checklist complète pour sécuriser un VPS Linux en production : SSH, firewall, mises à jour, audit logging, intrusion detection.

Ce guide général couvre tout. Les articles connexes détaillent : SSH hardening complet, fail2ban configuration, mises à jour sécurité auto, audit Lynis.

Checklist hardening initial

  1. Mises à jour système avant tout
  2. Désactiver login root par mot de passe
  3. Authentication SSH par clef uniquement
  4. Firewall (UFW + Hetzner Cloud Firewall)
  5. fail2ban
  6. Mises à jour sécurité automatiques
  7. Disable services inutiles
  8. Auditd pour logs sécurité
  9. 2FA SSH (optionnel mais recommandé)
  10. Audit régulier avec Lynis

Hardening kernel

# /etc/sysctl.d/99-hardening.conf
# Network
net.ipv4.tcp_syncookies = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv6.conf.all.accept_redirects = 0

# Kernel
kernel.dmesg_restrict = 1
kernel.kptr_restrict = 2
kernel.unprivileged_bpf_disabled = 1
fs.protected_hardlinks = 1
fs.protected_symlinks = 1

sysctl --system

SSH

Voir notre tutoriel SSH hardening complet.

Firewall

Double couche : Hetzner Cloud Firewall (avant le VPS) + UFW (sur le VPS). Voir notre guide Hetzner Firewall.

Audit logs (auditd)

apt install auditd

# Règles de base : /etc/audit/rules.d/audit.rules
-w /etc/passwd -p wa -k passwd_changes
-w /etc/shadow -p wa -k shadow_changes
-w /etc/sudoers -p wa -k sudoers_changes
-w /var/log/auth.log -p wa -k auth_log

systemctl restart auditd

# Voir les events
ausearch -k passwd_changes

Détection d’intrusion

  • fail2ban : ban IP brute-force SSH/HTTP
  • AIDE ou Tripwire : intégrité fichiers système
  • Wazuh : SIEM open-source complet (voir notre guide Wazuh)
  • Crowdsec : alternative moderne fail2ban avec blacklist communautaire

Mises à jour automatiques

Voir notre tutoriel unattended-upgrades.

Audit Lynis

Voir notre tutoriel Lynis. Audit complet en 5 minutes, score de sécurité.

Adaptation Afrique de l’Ouest

Pour les PME africaines, le hardening protège contre les bots automatisés (qui ne discriminent pas géographiquement) et limite l’impact d’un potentiel incident. Coût : 1-2 heures de setup initial pour réduire la surface d’attaque drastiquement.

Pour aller plus loin

Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité

Articles Similaires