Dans les articles précédents de cette série, j’ai progressivement durci mon VPS OVH : stack LEMP sécurisé, PHP 8.3 renforcé, Fail2ban actif, AIDE pour la détection d’intrusion fichiers. Tout ça c’est bien, mais ça reste de la défense passive. Il me manquait un composant essentiel : un outil capable de centraliser les événements de sécurité de toute mon infrastructure, de les corréler et de m’alerter en temps réel.
(suite…)Catégorie : Linux
-
Sauvegarder son serveur VPS
Avoir un serveur en production sans stratégie de sauvegarde, c’est comme rouler sans ceinture. Ça fonctionne… jusqu’au jour où ça ne fonctionne plus. Cet article détaille la mise en place d’une solution de sauvegarde automatisée, sécurisée et multicouche pour un VPS Ubuntu hébergeant des sites WordPress.
(suite…) -
Surveiller l’intégrité de son système avec AIDE
Dans la série des articles consacrés à la sécurisation de mon VPS, j’ai déjà couvert Fail2ban pour bloquer les attaques par force brute, les en-têtes HTTP pour durcir nginx, ou encore les mises à jour automatiques pour colmater les failles connues. Ces mesures sont essentiellement réactives ou préventives. Mais comment détecter qu’un attaquant a quand même réussi à passer, et qu’il a modifié des fichiers système pour maintenir un accès discret ?
C’est le rôle d’AIDE: Advanced Intrusion Detection Environment, un outil de surveillance de l’intégrité du système de fichiers.
(suite…) -
Sécuriser PHP pour WordPress sur une stack LEMP
PHP est la surface d’attaque la plus exposée d’un hébergement WordPress. Par défaut, son comportement est orienté développement : il bavarde, il autorise, il expose. En production, l’objectif est inverse — réduire la surface d’attaque, taire les informations utiles à un attaquant, et limiter ce qu’un éventuel code malveillant peut faire sur le système.
Ce billet fait le tour des directives essentielles, regroupées par catégorie.
(suite…) -
Sécuriser les en-têtes HTTP avec nginx / protection contre les attaques web courantes
Un serveur web bien configuré ne se contente pas de servir des pages, il communique aussi avec le navigateur du visiteur via des en-têtes HTTP. Ces en-têtes peuvent soit révéler des informations sensibles sur l’infrastructure, soit au contraire instruire le navigateur sur la manière de traiter le contenu de façon sécurisée. Configurer les bons en-têtes de sécurité est une mesure simple, rapide à mettre en place et efficace contre plusieurs catégories d’attaques web courantes.
(suite…) -
Mises à jour de sécurité automatiques sur Ubuntu Server
Un serveur non patché est une invitation ouverte. Les failles de sécurité sont souvent exploitées dans les heures qui suivent leur publication, le temps entre la découverte d’une vulnérabilité et son exploitation massive par des bots peut se compter en heures. Sur un serveur de production, attendre de trouver le temps de faire les mises à jour manuellement est un risque inacceptable. unattended-upgrades règle ce problème en appliquant automatiquement les correctifs de sécurité, sans intervention humaine.
(suite…) -
Protéger un serveur Linux avec Fail2ban
Un serveur exposé sur internet est une cible permanente. Bots, scanners automatisés, tentatives de force brute. Le rapport Logwatch du premier jour après mise en production peut être édifiant : des milliers de tentatives de connexion SSH en quelques heures, des centaines de scans de fichiers sensibles sur le serveur web. Fail2ban est la première ligne de défense active contre ces attaques.
(suite…) -
Surveiller son serveur Linux avec Logwatch
Administrer un serveur sans surveillance, c’est naviguer à l’aveugle. Logwatch est un outil simple qui analyse chaque nuit les logs de ton serveur et t’envoie un résumé par email: tentatives d’intrusion SSH, requêtes HTTP suspectes, tâches cron, erreurs système. Un coup d’œil quotidien dans ta boîte mail suffit pour garder un œil sur ce qui se passe réellement sur ta machine.
(suite…)