Les premières étapes après avoir reçu un serveur (qu'il s'agisse d'un VPS, VDS, ou dédié) sont d'une importance cruciale. Une configuration initiale adéquate constitue la base de la sécurité, de la stabilité et des performances des services futurs. Nous détaillerons toutes les étapes nécessaires : du choix du type de serveur et du système d'exploitation à la configuration de sécurité de base. À la fin de ce guide, vous disposerez d'un serveur sécurisé, configuré de manière minimale, prêt à accueillir un serveur web, une base de données ou tout autre logiciel nécessaire.
Choisir le type de serveur et le système d'exploitation
VPS, VDSServeur dédié ? Bref aperçu :
- VPS (Serveur privé virtuel) :
- Un serveur virtuel créé sur un hôte physique à l'aide de technologies de virtualisation (souvent OpenVZ ou KVM). Ressources (CPU, RAM, disque) sont partagés entre plusieurs VPS instances. Il offre un bon rapport qualité-prix pour les startups et les charges de travail moyennes. Le niveau d'isolation dépend du type de virtualisation (KVM est préférable).
- VDS (Serveur dédié virtuel) :
- Essentiellement un synonyme de VPS on KVM Virtualisation, mettant l'accent sur un degré d'isolation plus élevé et des ressources garanties. Souvent utilisé en marketing.
- Serveur dédié:
- Un serveur physique entièrement à votre disposition. Il offre des performances, un contrôle et une isolation optimaux. Il requiert toutefois davantage de compétences administratives et est nettement plus coûteux.
Conclusion pour débuter :
- Pour la plupart des tâches (sites Web, petites applications), le choix optimal est un VPS/VDS on KVM .
Le choix d'un Linux Distribution:
- Ubuntu Serveur LTS (support à long terme) :
- Fortement recommandé. Il bénéficie d'une vaste communauté, d'une documentation complète, de dépôts avec des packages à jour et de mises à jour de sécurité garanties pendant 5 ans. Stabilité et commodité pour les débutants.
- Debian:
- L'incarnation de la stabilité et de la philosophie du logiciel libre. Légèrement plus conservateur dans les versions de paquets que Ubuntu. Une excellente alternative avec un long cycle de support pour les branches stables.
Recommandation:
- Ubuntu Le serveur LTS (par exemple, 22.04 Jammy Jellyfish) est le meilleur choix pour commencer en raison de sa simplicité, de son support et de sa prévalence.
Installation minimale du système d'exploitation
La plupart des fournisseurs proposent une installation automatique du système d'exploitation via un panneau de contrôle (ISPmanager, cPanel, SolusVM, Proxmox ou leur propre solution). Si vous effectuez l'installation à partir d'une image ISO :
- Démarrez à partir du support d'installation (ISO).
- Sélectionnez la langue et la disposition du clavier.
- Configurer le réseau (généralement DHCP est activé par défaut).
- Étape clé : Lors du choix du type d'installation, veillez à sélectionner « Installation minimale » ou une option similaire. Cela installera uniquement le système de base, sans logiciels inutiles (interface graphique, suites bureautiques, etc.).
- Configurez le disque (généralement, le schéma par défaut pour l'ensemble du disque avec ou sans LVM convient).
- Définir le nom du serveur (nom d'hôte), Par exemple, server1.
- Spécifiez votre situation géographique pour le fuseau horaire correct.
- Créer l'utilisateur initial :
- Entrez le nom complet (vous pouvez répéter le nom d'utilisateur).
- Définissez le nom d'utilisateur (par exemple, admin ou votre nom). Souviens-toi-en !
- Définissez un mot de passe fort ! Ce compte aura des droits d'administrateur (sudo). Écrivez le mot de passe dans un endroit sûr !
- Démarrez l'installation. Attendez qu'elle soit terminée et redémarrez le serveur.
Configuration initiale du système d'exploitation (après la première connexion)
Connectez-vous au serveur en utilisant le compte créé lors de l'installation via SSH (Pour Windows, utilisez PuTTY ou Windows Terminal; pour Linux/macOS, utilisez le terminal intégré : ssh votre_utilisateur@adresse_ip_du_serveur).
Mise à jour des référentiels et du système :
Commencez toujours par mettre à jour les listes de paquets et le système. Cela permet de corriger les failles de sécurité connues et d'assurer la stabilité.
sudo apt update && sudo apt upgrade -y- mise à jour de sudo apt: Met à jour les informations sur les packages disponibles dans les référentiels.
- sudo apt mise à niveau -y: Installe les mises à jour pour tous les packages installés (-y confirme automatiquement l'action).
- Si le noyau a été mis à jour, un redémarrage sera nécessaire : sudo redémarrage.
Création et configuration d'un nouvel utilisateur (facultatif mais recommandé) :
Bien que vous ayez déjà un utilisateur avec sudo, créer un utilisateur distinct pour les tâches quotidiennes est une bonne pratique de sécurité.
- Créer un utilisateur (remplacer nouvelutilisateur avec le nom souhaité) :
sudo adduser newuserSuivez les instructions pour définir un mot de passe et des informations supplémentaires (peut être laissé vide).
- Accorder au nouvel utilisateur sudo privilèges :
sudo usermod -aG sudo newuser- Vérifier:
- Déconnexion (sortie) et connectez-vous en tant que nouvel utilisateur (ssh nouvelutilisateur@adresse_ip_du_serveur). Essayez d'exécuter une commande avec sudo (par exemple, sudo ls -l /root). Vous serez invité à saisir le mot de passe du nouvel utilisateur. Si la commande s'exécute, sudo les privilèges fonctionnent.
Pour commencer SSH Authentification par clé (extrêmement importante !) :
Les mots de passe sont vulnérables aux attaques par force brute. L'authentification par clés cryptographiques est bien plus sûre.
- Sur votre ordinateur local (client) : Générez un SSH paire de clés (si vous n'en avez pas déjà une) :
ssh-keygen -t ed25519 -C "your_email@example.com" # Preferred modern algorithm
# OR, if ed25519 is not supported:
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
Appuyez sur Entrée pour accepter les valeurs par défaut (les fichiers seront enregistrés dans ~/.ssh/id_ed25519 et ~/.ssh/id_ed25519.pub or ~/.ssh/id_rsa et ~ / .ssh / id_rsa.pub). Protégez la clé avec une phrase secrète si vous en définissez une.
- Copiez la clé publique sur le serveur :
ssh-copy-id newuser@server_ip_addressEntrez le mot de passe pour le nouvelutilisateur sur le serveur. La clé sera ajoutée au ~ / .ssh / clés_autorisées fichier pour cet utilisateur.
- Si ssh-copie-id n'est pas disponible : Copiez le contenu du ~/.ssh/id_ed25519.pub (ou id_rsa.pub) sur le client et l'ajouter manuellement au ~ / .ssh / clés_autorisées fichier sur le serveur (créer le ~ / .ssh répertoire avec 700 autorisations et les authorised_keys fichier avec 600 autorisations si elles n'existent pas).
- Vérifiez la connexion par clé : essayez de vous connecter au serveur : ssh nouvelutilisateur@adresse_ip_du_serveurSi la clé est correctement configurée, vous devez vous connecter sans être invité à saisir le mot de passe de l'utilisateur (vous pouvez être invité à saisir la phrase secrète de la clé si vous en avez défini une).
- Désactiver l'authentification par mot de passe (uniquement après avoir testé la clé avec succès !) :
Ouvrez le SSH configuration du démon :
sudo nano /etc/ssh/sshd_configRechercher et modifier les directives :
PasswordAuthentication no # Disable password authentication
PermitRootLogin no # Disable root login (should already be set after Ubuntu/Debian installation, but check)
PubkeyAuthentication yes # Enable key authentication (usually 'yes' by default)
Enregistrez le fichier (Ctrl+O, Entrée dans nano). Quitter (Ctrl+X).
- Appliquez les modifications en redémarrant le SSH démon:
sudo systemctl restart ssh
# OR on some systems
sudo systemctl restart sshd
Important ! Ne fermez pas le courant SSH Session ! Ouvrez une nouvelle fenêtre de terminal et essayez de vous reconnecter. Assurez-vous que la connexion par clé fonctionne et que le mot de passe n'est plus demandé. Fermez ensuite la session d'origine.
Configuration de l'heure système (NTP) :
L'heure correcte est essentielle pour les journaux et les opérations de certificat (HTTPS) et la synchronisation des applications. Ubuntu/Debian Usages systemd-timesyncd.
- Vérifiez l'état actuel :
timedatectl statusFaites attention aux lignes Horloge système synchronisée : (devrait être oui) et Service NTP : (devrait être infection).
- Si NTP n’est pas actif :
sudo timedatectl set-ntp on- Assurez-vous que le service est en cours d’exécution et que l’heure est synchronisée :
timedatectl status- Si nécessaire, installez le package (généralement pré-installé) :
sudo apt install systemd-timesyncd(Facultatif) Vérifiez quels serveurs sont utilisés pour la synchronisation horaire : timedatectl show-timesync.
Configuration d'une base Firewall (UFW - Simple Firewall):
UFW est une interface simple pour gérer le pare-feu sur iptables/nftables.
- Installer UFW (s'il n'est pas installé) :
sudo apt install ufw- Définir les politiques par défaut :
sudo ufw default deny incoming # Block ALL incoming connections
sudo ufw default allow outgoing # Allow ALL outgoing connections
- Ouvrir les ports nécessaires :
- SSH (22/TCP) : Il est extrêmement important de l'ouvrir avant d'activer UFW ! Si vous avez modifié la valeur par défaut, SSH port (par exemple, vers 2222), ouvrez plutôt ce port !
sudo ufw allow 22/tcp # For the default SSH port# OU, si vous utilisez un port non standard (par exemple, 2222) :
sudo ufw allow 2222/tcp-
- HTTP (80/TCP) : pour le trafic Web non chiffré.
sudo ufw allow 80/tcp-
- HTTPS (443/TCP) : pour le trafic Web chiffré.
sudo ufw allow 443/tcp(De plus) Si vous prévoyez d'utiliser d'autres services (FTP, SMTP, ports personnalisés), ouvrez-les maintenant de la même manière.
- Activer UFW :
sudo ufw enableConfirmez l'opération en appuyant sur y. Assurez-vous que le SSH le port (22 ou votre port personnalisé) est ouvert, sinon vous perdrez l'accès !
- Vérifiez le statut et les règles :
sudo ufw status verboseLa sortie devrait afficher Statut: actif et la liste des ports autorisés (22, 80, 443/tcp).
Félicitations ! Vous avez terminé avec succès la configuration initiale de votre Linux serveur. Nous avons choisi le type de serveur optimal (VPS/VDS) et le système d'exploitation (Ubuntu Serveur LTS), installé un ensemble minimal de logiciels, mis à jour le système, créé un utilisateur, configuré un serveur sécurisé SSH connexion basée sur une clé, connexion root directe désactivée, synchronisation de l'heure et configuration du pare-feu UFW de base.
Votre serveur est désormais nettement plus protégé contre les attaques courantes (SSH mot de passe par force brute, analyse de port ouvert).
N'oubliez pas de maintenir régulièrement le système à jour :
sudo apt update && sudo apt upgrade -yRecommandations supplémentaires pour améliorer la sécurité :
- Échec2Ban :
- Installer et configurer pour bloquer automatiquement les adresses IP effectuant de nombreuses tentatives de connexion infructueuses (en particulier pour SSH). (sudo apt installer fail2ban).
- Mises à jour de sécurité automatiques :
- Mettre en place le mises à niveau sans assistance package pour l'installation automatique des mises à jour de sécurité critiques.sudo apt installer des mises à niveau sans surveillance et configurer /etc/apt/apt.conf.d/50unattended-upgrades).
- Surveillance des ressources :
- Installer htop (sudo apt installer htop) ou des regards (sudo apt install aperçus) pour une surveillance pratique de CPU, RAM, utilisation du disque et processus.
- Backup:
- Mettez en place une stratégie de sauvegarde régulière des données critiques (fichiers applicatifs, bases de données, configurations) ! Ce n'est pas une option, mais une nécessité.
