Un VPS frais reçoit 1.000+ tentatives de brute-force SSH par jour venant de botnets. Cette configuration de 10 minutes les bloque toutes. Testée sur Ubuntu 22.04/24.04 — l'OS par défaut de Hostiger VPS Hosting.
1. Créer un utilisateur non-root (2 min)
adduser deploy
usermod -aG sudo deploy
mkdir -p /home/deploy/.ssh
chmod 700 /home/deploy/.ssh
# copier votre clé publique
echo "ssh-ed25519 AAAA... you@laptop" > /home/deploy/.ssh/authorized_keys
chmod 600 /home/deploy/.ssh/authorized_keys
chown -R deploy:deploy /home/deploy/.ssh
2. Désactiver login par mot de passe et root SSH (2 min)
Éditez /etc/ssh/sshd_config :
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
X11Forwarding no
ClientAliveInterval 300
Puis redémarrez SSH — mais gardez la session actuelle ouverte dans un autre terminal au cas où :
systemctl restart ssh
3. Activer le pare-feu ufw (1 min)
ufw default deny incoming
ufw default allow outgoing
ufw allow 22/tcp # SSH
ufw allow 80/tcp # HTTP
ufw allow 443/tcp # HTTPS
ufw enable
ufw status verbose
4. Installer fail2ban (2 min)
Fail2ban surveille les logs d'auth et bannit auto les IPs après des tentatives échouées.
apt install fail2ban -y
cat > /etc/fail2ban/jail.local << EOF
[DEFAULT]
bantime = 24h
findtime = 10m
maxretry = 5
[sshd]
enabled = true
EOF
systemctl restart fail2ban
fail2ban-client status sshd
5. Mises à jour de sécurité automatiques (2 min)
apt install unattended-upgrades -y
dpkg-reconfigure --priority=low unattended-upgrades
Répondre "Oui". Seules les mises à jour de sécurité s'installent auto.
6. Changer le port SSH par défaut (optionnel, 1 min)
N'apporte pas de sécurité réelle mais réduit le spam de logs. Dans sshd_config :
Port 2222
Tout vérifier
ss -tlnp— ne devrait montrer que les services attendusfail2ban-client status sshd— montre "Currently failed" et "Total banned"ufw status— montre vos ports autorisés
Si la sécurité est prioritaire : Serveurs dédiés Hostiger — isolation matérielle totale sans hyperviseur partagé.