apprenez à sécuriser votre serveur dédié avec un pare-feu ufw, fail2ban pour la prévention des intrusions, et l'authentification par clés ssh pour renforcer la sécurité.

Sécuriser un dédié : firewall ufw + Fail2ban + clés SSH

Jimmy LEURTON

27 mars 2026

Sophie, administratrice d’une petite startup, reçoit un VPS OVH et doit sécuriser son serveur. Son objectif prioritaire est la sécurisation serveur dédié avec firewall ufw, Fail2ban et clés SSH.


La méthode retenue combine configuration ufw stricte, authentification par clé SSH et surveillance active. Les étapes suivantes détaillent l’installation, la mise en service et la gestion des accès.


A retenir :


  • Accès SSH par clés publiques et port non standard
  • UFW en politique deny incoming et allow outgoing
  • Fail2ban actif pour protection brute force et bannissements automatiques
  • Mises à jour automatiques pour corriger vulnérabilités critiques rapidement

Installer et configurer UFW pour sécurisation serveur dédié


Partant des objectifs définis, l’étape initiale installe et configure le firewall ufw. La configuration ufw impose une politique par défaut refuse entrée et autorise sortie.


Avant toute activation, vérifier les règles et laisser la session SSH existante ouverte. Ce garde-fou évite tout blocage accidentel lors de la mise en service.


Préparer le serveur avant activation de UFW


En lien avec la configuration précédente, préparer le serveur réduit les risques d’erreur. Mettre à jour paquets, installer UFW, puis définir règles essentielles avant activation.

A lire :  Sauvegarde base de données : mysqldump vs mariabackup

Commandes UFW essentielles :


  • sudo apt update && sudo apt upgrade
  • sudo apt install ufw
  • sudo ufw default deny incoming
  • sudo ufw default allow outgoing
  • sudo ufw allow ssh

Service Port Commande UFW Remarques
SSH 22 / port custom sudo ufw allow 22/tcp Prévoir autorisation du port custom avant activation
HTTP 80 sudo ufw allow 80/tcp Autoriser pour redirection vers HTTPS
HTTPS 443 sudo ufw allow 443/tcp Nécessaire pour Certbot et Nginx
OpenClaw 18789 sudo ufw deny 18789 Garder le gateway en localhost uniquement
Bases de données 3306, 27017, 6379 sudo ufw deny 3306/tcp Bloquer accès externe aux services internes


« J’ai évité un blocage total en laissant une session SSH ouverte avant d’activer UFW, le secours a sauvé la journée. »

Alice N.


Vérifier et activer la configuration ufw


Cette étape valide les règles et active UFW sans interrompre les services critiques. Utiliser sudo ufw enable après avoir autorisé SSH et services web essentiels.


Checklist activation UFW :


  • sudo ufw status verbose pour vérifier règles
  • sudo ufw allow 2273/tcp pour SSH custom
  • sudo ufw allow 80/tcp et 443/tcp pour Nginx
  • sudo ufw –force enable pour activer sans prompt

Après activation, surveiller les journaux pour ajuster les règles en fonction du trafic normal. Avec le firewall en place, l’étape suivante renforce l’accès SSH par clés et durcissement.

A lire :  Comment utiliser Outlook sur mobile Android ou iOS

Renforcer l’authentification SSH et gestion des accès


Fort du pare-feu actif, il faut maintenant sécuriser l’accès SSH pour limiter les risques. L’objectif vise l’authentification par clé SSH et la suppression des mots de passe.


Générer et déployer des clés SSH


Ce volet détaille la génération de clés et l’installation sur le serveur. Sur la machine locale, ssh-keygen ed25519 puis ssh-copy-id pour déposer la clé publique.


Bonnes pratiques SSH :


  • Utiliser ed25519 pour clés plus courtes et sûres
  • Protéger la clé privée par une passphrase solide
  • Ne pas partager la clé privée hors de votre poste sécurisé
  • Limiter comptes autorisés via AuthorizedKeysCommand si nécessaire

« J’ai perdu l’accès après avoir désactivé root, mais la clé utilisateur fonctionnait, apprentissage utile. »

Marc N.


Modifier sshd_config et tests de connexion


Ce point explique les directives sshd_config à modifier pour sécuriser SSH. Exemples recommandés : Port non standard, PermitRootLogin no, PasswordAuthentication no.


Directive Valeur recommandée Pourquoi
Port 2273 Réduit la visibilité face aux scans automatiques
PermitRootLogin no Évite accès root direct
PasswordAuthentication no Forcer l’authentification par clé SSH
MaxAuthTries 3 Limiter tentatives pour réduire succès bruteforce

A lire :  Analyser ses performances SEO avec Google Search Console

Tester la nouvelle configuration dans une session séparée avant de fermer l’actuelle. Une fois SSH durci, la prochaine étape installe Fail2ban et automatise les mises à jour.


Déployer Fail2ban et automatiser les mises à jour pour protection brute force


Après avoir sécurisé SSH, la défense automatique contre la protection brute force devient prioritaire. Fail2ban bloque adresses répétitives et renforce la gestion des accès.


Configurer Fail2ban pour bloquer les attaques par force brute


Cette sous-partie décrit la création de jail.local et les paramètres essentiels de Fail2ban. Recommandations courantes : bantime, findtime, maxretry et logpath adaptés au système.


Paramètres recommandés :


  • bantime = 3600 pour blocage d’une heure
  • findtime = 600 fenêtre de dix minutes
  • maxretry = 3 nombre maximal de tentatives
  • ignoreip = 127.0.0.1/8 garder loopback exempté

« La mise en place de Fail2ban a significativement réduit les tentatives répétées contre notre SSH. »

Julien N.


Automatiser les mises à jour et maintien de la sécurité réseau


Enfin, automatiser les updates réduit fenêtres d’exposition et maintient la sécurité réseau. Sur Ubuntu utiliser unattended-upgrades, sur Rocky utiliser dnf-automatic pour correctifs de sécurité.


Mécanismes de MAJ :


  • unattended-upgrades pour mises à jour automatiques Ubuntu
  • dnf-automatic pour correctifs sécurité sur Rocky
  • reboots planifiés si nécessaire par kernel updates
  • vérifier journaux systemd et apt pour anomalies

« Je me sens plus serein depuis l’automatisation des mises à jour sur nos VPS de production. »

Claire N.


Avec Fail2ban et les mises à jour, la plateforme gagne en résilience opérationnelle. Pensez à vérifier les logs et à ajuster les jails en fonction des faux positifs.


Selon OVHcloud, un contrôle initial rigoureux facilite la gestion à long terme des VPS et des services exposés. Selon GitHub, la documentation officielle de Fail2ban détaille les jails et filtres utiles à déployer.


Selon Let’s Encrypt, l’automatisation des certificats via Certbot est complémentaire à la sécurité réseau et au reverse proxy Nginx. Ces approches combinées améliorent la posture globale de sécurité.


Source : Fail2ban, « fail2ban », GitHub ; Certbot, « Certbot documentation », Let’s Encrypt ; OVHcloud, « Documentation VPS », OVHcloud.

Laisser un commentaire