Sécuriser un serveur Linux à la maison exige des réglages simples et réguliers pour limiter les risques. Les notions clés portent sur l’authentification, le filtrage réseau, la surveillance et la gestion des clés.
Ce guide pédagogique privilégie des actions opérationnelles adaptées au Linux domestique et aux petites infrastructures. Commencez par retenir quelques protections prioritaires ci-dessous avant toute configuration plus fine.
A retenir :
- Authentification par clé publique protection contre attaques par force brute
- Désactivation de root accès direct réduction de la surface d’attaque
- Pare-feu et filtrage UFW Netfilter Firewalld limitation des accès réseau
- Surveillance active logs Auditd fail2ban intégrité et détection rapide
Configurer OpenSSH pour un système sécurisé Linux domestique
Après avoir priorisé les protections, la configuration d’OpenSSH constitue l’étape technique primordiale. Les réglages réduisent immédiatement la surface d’exposition et facilitent la gestion opérationnelle.
Authentification par clé publique : génération et gestion de clés
Cette partie détaille la génération et la protection des paires de clés pour OpenSSH. Selon NIST, des phrases de passe longues et une protection stricte des clés sont recommandées.
Bonnes pratiques clés SSH :
- Générer ed25519 ou RSA 4096 selon compatibilité
- Protéger la clé privée par une phrase d’au moins quatorze caractères
- Stocker fichiers ~/.ssh avec permissions chmod 700 et chmod 600
- Envisager tokens ou HSM pour accès critiques en production
« J’ai migré trois serveurs vers l’authentification par clé en moins d’une semaine et constaté moins d’incidents. »
Alice B.
Gestion des known_hosts et rotation des clés
La maintenance de known_hosts limite les attaques man-in-the-middle et facilite la vérification. Automatiser l’inventaire et planifier la rotation régulière réduisent l’impact en cas de compromission.
Action
But
Outil
Vérifier empreinte serveur
Détecter changement de clé
ssh-keygen -lf
Script d’inventaire
Inventorier clés connues
ssh-keyscan
Provisioning central
Déploiement reproductible
Ansible/Chef
Rotation régulière
Limiter compromissions
Procédures internes
Vérifications clés SSH :
- Contrôler empreinte avant ajout known_hosts
- Automatiser collecte avec ssh-keyscan pour inventaire
- Déployer authorized_keys via gestion de configuration
- Planifier rotation périodique des clés et révocation
Une fois les clés maîtrisées, le filtrage réseau et le pare-feu deviennent la prochaine priorité. Ces contrôles réduisent le bruit d’attaque et facilitent les audits internes.
Source : Selon OpenSSH, selon NIST, selon ANSSI
Contrôles réseau et Pare-feu Linux pour protéger votre Linux maison
Avec les clés robustes, limiter l’exposition réseau réduit notablement les tentatives d’intrusion. Selon ANSSI, combiner pare-feu et filtres réseau renforce significativement la posture de sécurité.
Pare-feu Linux : UFW, Netfilter et Firewalld
Ce chapitre compare UFW, Netfilter et Firewalld pour des usages domestiques et cloud. Le choix dépend du besoin de simplicité, de zones dynamiques ou d’options avancées.
Configuration pare-feu recommandée :
- Autoriser SSH uniquement depuis sous-réseaux approuvés
- Mettre un bastion pour centraliser tous les accès
- Modifier port SSH pour réduire le bruit de balayage
- Coupler pare-feu avec fail2ban pour réponse automatisée
Bastion et limitation par IP pour un accès restreint
Le bastion facilite l’audit et concentre les points d’accès pour mieux tracer. Forcer la clé, activer MFA et archiver les sessions améliore la traçabilité.
Actions pour bastion :
- Installer bastion avec journalisation obligatoire
- Forcer authentification par clé et MFA sur le bastion
- Limiter utilisateurs et règles d’accès strictes
- Archiver sessions pour revue post-incident
« Le bastion central a simplifié l’audit des connexions et réduit la surface d’attaque de l’équipe. »
Clara N.
Après cette mise en place réseau, la surveillance et l’audit deviennent indispensables pour détecter anomalies. La corrélation de logs facilite l’investigation et la remédiation rapide.
Surveillance, audit et remédiation pour un Linux domestique sécurisé
Après la mise en place du pare-feu, la surveillance continue permet de détecter rapidement les incidents. Selon OpenSSH, associer audit et blocage automatique réduit l’impact des attaques automatisées.
Mise en place de fail2ban et centralisation des logs
Fail2ban et la centralisation des logs améliorent la réactivité face aux attaques automatisées. Configurer des règles adaptées et alerter les équipes réduit le temps de réponse.
Actions prévention brute :
- Configurer fail2ban pour bannir IP après plusieurs échecs
- Centraliser logs SSH via rsyslog puis corréler via SIEM
- Créer alertes pour blocage manuel rapide et suivi
- Surveiller timestamps et sources pour détection distribuée
« Depuis l’activation de fail2ban, nos logs montrent des tentatives bloquées toutes les nuits. »
Marc D.
Auditd, Lynis et outils complémentaires pour durcir le système
Auditd, Lynis et outils antivirus complètent la détection et la conformité technique. Lancer des scans périodiques et conserver des preuves facilite l’analyse post-incident.
Outils et contrôles :
- Activer Auditd pour tracer activités sensibles en continu
- Lancer Lynis pour audits réguliers et recommandations
- Déployer SELinux en mode enforcing quand possible
- Scanner périodiquement avec ClamAV selon charge et incidents
« Un audit régulier et une hygiène des clés restent essentiels face aux menaces évolutives. »
Jean P.
La révision périodique et le durcissement continu garantissent une posture opérationnelle durable. Planifier audits, tests de restauration et formations assure la résilience face aux menaces.