Passer au contenu
VDS Panel
VDS Panel
Gestion du serveur
Sécurité 05 Nisan 2026 · 10 dk okuma

Renforcement du serveur : protection contre les attaques avec Fail2Ban, UFW et Pentest

Guide de sécurité complet expliquant l'utilisation de Fail2Ban, du pare-feu UFW, du renforcement SSH, de la limitation de débit et du scanner Pentest intégré pour sécuriser votre VPS.

#güvenlik #fail2ban #ufw #pentest #ssh #hardening
VDS Panel
VDS Panel Ekibi
Ürünü geliştiren ekip

Un VPS que vous ouvrez sur Internet commence à être analysé dans la première heure suivant sa création. Les robots analysent automatiquement les ports tels que 22 (SSH), 80 (HTTP), 443 (HTTPS), 3306 (MySQL) et tentent de se connecter avec les mots de passe par défaut. Si vous consultez votre journal, vous verrez des milliers de tentatives de connexion infructueuses le premier jour.

Dans ce guide, nous expliquerons les méthodes de renforcement de votre VPS au niveau de qualité production, quelles mesures sont critiques et pourquoi, et comment VDS Panel installe automatiquement ces couches.

Bir bakışta
5-10 dk
Première tentative d'attaque
1000+/jour
Essai de force brute
140+
Nombre de tests pentest
99%
Le trafic des robots est bloqué

Couches de défense

La sécurité n’est pas un outil unique, mais une combinaison de plusieurs niveaux :

  1. Couche réseau, fermez les ports inutiles avec le pare-feu (UFW)
  2. Couche d’accès, clé SSH uniquement, empêchez la force brute avec Fail2Ban
  3. Couche d’application, limite de débit, CSP, HSTS, durcissement CORS
  4. Couche d’audit, journal, piste d’audit de sécurité, détection d’anomalies
  5. Couche Pentest, analyse des vulnérabilités, simulation d’attaque réelle

Contourner une seule couche ne signifie pas une prise de contrôle complète de votre serveur.

Couche 1 : pare-feu UFW

UFW (Uncomplicated Firewall) est le visage convivial d’iptables. Par défaut, il rejette toutes les connexions entrantes, seuls les ports que vous autorisez sont ouverts.

P0

Tous les ports restants (MySQL, PostgreSQL, Redis, services internes du panneau) ne sont accessibles qu’à partir de localhost. VDS Panel configure cette configuration automatiquement.

Erreur courante : ouvrir des ports de base de données

N’ouvrez pas les ports PostgreSQL 5432 ou MySQL 3306 vers le monde extérieur. Il est ouvert pour des raisons telles que « pour une connexion à distance » et les robots commencent immédiatement à le forcer brutalement. Utilisez le tunnel SSH ou VPN pour la gestion à distance.

Couche 2 : renforcement SSH

Les paramètres SSH par défaut sont faibles. Précautions de base :

  1. 01
    Désactiver la connexion par mot de passe
    Mot de passeNuméro d'authentification dans /etc/ssh/sshd_config. Connectez-vous uniquement avec la clé SSH. La force brute devient impossible.
  2. 02
    Désactiver la connexion root
    PermitRootNuméro de connexion. L'attaquant est obligé de deviner le nom du compte, mais n'a plus aucune chance d'essayer « root ».
  3. 03
    Changer de port
    Comme 2222 au lieu de 22. Les robots automatisés scannent 22, manquent le port alternatif. La sécurité dans l’obscurité est un réducteur de bruit faible mais efficace.
  4. 04
    Utilisez la clé Ed25519
    Ed25519 au lieu de RSA 2048. Plus court, plus sûr, plus rapide. Il est généré avec la commande ssh-keygen -t ed25519.
  5. 05
    Activer Fail2Ban
    En cas de tentatives de connexion infructueuses, l'IP est automatiquement bannie. Passons à la couche 3.

Couche 3 : Fail2Ban

Fail2Ban surveille les fichiers journaux et bannit temporairement l’adresse IP lorsqu’il détecte des modèles suspects :

  • P0 → Échec de la connexion SSH
  • P1 → répétitions HTTP 401/403/429
  • Journal de votre application personnalisée → définitions de prison personnalisées

Comportement par défaut : interdiction de 10 minutes pour 3 tentatives de connexion infructueuses. S’il essaie plus souvent, la période d’interdiction sera prolongée.

P1

99%
le trafic des robots est filtré
Fail2Ban + UFW birlikte kullanıldığında otomatik brute-force denemelerinin neredeyse tümü banlanır.

VDS Panel configure automatiquement Fail2Ban avec des jails personnalisés : SSH, nginx auth, règles dédiées pour les points de terminaison P0, P1.

Couche 4 : Sécurité des applications

Les protections au niveau du système d’exploitation ne suffisent pas ; Dans votre candidature :

Limitation du débit

Limite de requêtes par point de terminaison :

  • Point de terminaison de connexion : 10 requêtes / 15 minutes / IP
  • API publique : 100 requêtes/minute/IP
  • API Admin : 500 requêtes / minute / utilisateur

En cas de dépassement, 429 Too Many Requests sont renvoyés. Le panneau applique des limites de débit à double couche aux niveaux nginx et backend.

En-têtes de sécurité

P2

Ceux-ci désactivent les vecteurs d’attaque courants tels que XSS, clickjacking, MIME sniffing. VDS Panel envoie ces en-têtes par défaut pour chaque domaine.

Sécurité JWT

  • Vérification stricte de la signature contre l’attaque P0
  • Les jetons expirent dans 24 heures
  • Le jeton est sur liste noire lors de la déconnexion
  • Sortie forcée avec P1

Couche 5 : scanner Pentest

En plus des analyses de configuration statiques, VDS Panel comprend un scanner pentest avec plus de 140 tests :

Que scanne Pentest ?
  • SSL/TLS : suite de chiffrement faible, heartbleed, certificat expiré
  • En-têtes HTTP : HSTS, CSP, X-Frame-Options manquants
  • Auth : JWT alg=none, connexion sans protection par force brute
  • Vecteurs d’injection SQL
  • Charges utiles XSS (contrôle d’entrée brute)
  • Traversée de chemin et liste de répertoires
  • CVE connus (basés sur les versions de packages installées)
  • Informations d’identification par défaut (tentatives administrateur/administrateur)
  • Ports ouverts (service inattendu)

Le scanner s’exécute automatiquement chaque semaine, pour chaque vulnérabilité détectée :

  • Passe dans le journal des événements du panneau
  • Le rapport HTML est généré
  • Avertissement à l’administrateur en cas de vulnérabilité critique

Journal d’audit de sécurité

Le panneau enregistre en permanence toutes les opérations critiques :

  • Connexion, déconnexion, échec de connexion
  • Ajout/suppression d’utilisateurs administrateurs
  • Création d’un nouveau projet
  • Renouvellement du certificat SSL
  • Modification des paramètres du panneau

Chaque enregistrement contient une adresse IP, un agent utilisateur et un horodatage. La chaîne complète est disponible lorsqu’un examen médico-légal est requis.

Mise à jour automatique

Avec le package Ubuntu P0, les mises à jour de sécurité sont installées automatiquement :

P3

Le panneau VDS l’active automatiquement lors de l’installation. Les correctifs de noyau et de sécurité critiques sont installés pendant le fonctionnement du panneau, et un redémarrage automatique est prévu si nécessaire.

Conclusion

La sécurité du serveur n’est pas assurée par une seule « solution miracle ». La défense couche par couche, le pare-feu, le renforcement SSH, Fail2Ban, la limitation de débit, les en-têtes de sécurité, le journal d’audit et le pentest périodique fonctionnent tous ensemble.

VDS Panel réduit les heures nécessaires à l’installation manuelle de ces couches en quelques minutes. Prisons Fail2Ban, règles UFW, en-têtes de sécurité nginx, plus de 140 tests pentest ; tous installés par défaut et surveillés en permanence.

Pour plus de détails sur les fonctionnalités de sécurité, vous pouvez visiter la page d’accueil ou obtenir une consultation pour votre scénario spécifique à partir du formulaire de contact.

Paylaş X LinkedIn E-posta
Contactez-nous
Articles connexes

Vous pourriez aussi aimer ceux-ci

Sécurité 7 min de lecture

Certificat SSL automatique : intégration du panneau Let's Encrypt

L'obtention d'un certificat SSL, son renouvellement et sa gestion pour plusieurs domaines sont toutes des tâches manuelles. VDS Panel automatise complètement ce processus avec l'intégration de Let's Encrypt.

commencer à lire
Sécurité 9 min de lecture

Stratégie de sauvegarde VPS et reprise après sinistre : règle 3-2-1

Comment protégez-vous votre serveur en cas de sinistre ? Sauvegarde cryptée automatique, règle de sauvegarde 3-2-1, processus de test et de restauration, cibles RTO et RPO.

commencer à lire

Souhaitez-vous l'essayer sur votre propre serveur ?

Contactez-nous via le formulaire de contact et préparons un plan licence + installation adapté à votre scénario d'utilisation.

Contactez-nous Autres articles
Nous sommes là quand tu es prêt

Expérience de déploiement moderne sur votre propre serveur, à portée d'un simple message de communication.

Laissez-nous comprendre votre scénario d'utilisation et préparons la licence et le plan d'installation appropriés pour vous. Notre délai de réponse moyen est inférieur à 24 heures.

Contactez-nous Envoyez-moi un email