Comment sécuriser (un minimum) son VPS 🛡️

par | Août 30, 2025 | AdminSys, CyberSécurité

Plutôt que de payer un cloud managé hors de prix — et finir avec une facture de 3 000 € pour héberger une simple todo list — beaucoup choisissent de louer un VPS (chez Hetzner, OVH, Scaleway, DigitalOcean, etc.). C’est économique, flexible… mais livré nu, exposé directement à Internet.
Résultat : dans les minutes qui suivent l’activation, des bots vont scanner vos ports et tenter des attaques.

Avant que ça n’arrive, voici quelques gestes simples pour ne pas transformer votre VPS en botnet à crypto-mining.

🚀 Quick tips

  • DĂ©sactivez l’authentification par mot de passe → utilisez uniquement des clĂ©s SSH (souvent activĂ© par dĂ©faut, mais vĂ©rifiez).
  • Installez fail2ban → bloque automatiquement les IP qui forcent l’entrĂ©e sur SSH.
  • Activez les mises Ă  jour automatiques avec unattended-upgrades + redĂ©marrage planifiĂ©.
  • Activez le firewall (ufw/iptables ou celui du fournisseur) et ouvrez uniquement ce qui est vital : 443 (HTTPS) et votre port SSH.
  • Option hardcore : restreignez SSH Ă  votre IP fixe. Si vous voyagez → alternative : installez Tailscale et n’acceptez que les IPs de votre rĂ©seau privĂ©.
  • Certificat SSL gratuit avec Let’s Encrypt / Certbot.
  • Changez le port SSH. Ça n’arrĂŞte pas les attaques, mais ça coupe 80 % du bruit.
  • PrĂ©fĂ©rez Nginx Ă  Apache pour la lĂ©gèretĂ© et la simplicitĂ© TLS.
  • Faites auditer rĂ©gulièrement votre code (IA comme Cursor/Claude pour un premier filtre, mais rien ne remplace un humain).
  • Avant de manipuler de vraies donnĂ©es : faites appel Ă  un auditeur sĂ©curitĂ© pro. SĂ©rieusement.

đź”’ Bonus tips (si vous voulez aller plus loin)

  • Installez un VPN WireGuard → n’exposez presque rien au public. Le script d’Angristan rend l’install facile.
  • Ne travaillez pas toujours en root → crĂ©ez un utilisateur dĂ©diĂ© avec sudo.
  • Surveillez vos logs (journalctl, ou mieux : Graylog, Loki, ELK…).
  • Activez le 2FA sur votre compte fournisseur (Hetzner, OVH, etc.).
  • Sauvegardez rĂ©gulièrement (et testez vos sauvegardes).
  • DĂ©sactivez les services inutiles et supprimez les paquets obsolètes.
  • Chiffrez vos volumes (LUKS) si vos donnĂ©es sont sensibles.
  • Ne commitez jamais vos clĂ©s privĂ©es dans un repo Git.

👉 Ces astuces ne transforment pas votre VPS en forteresse imprenable, mais elles suffisent à décourager 99 % des attaques automatisées.