Linux Hardening — La checklist complète 2026

Introduction

En juin 2024, l'incident de sécurité touchant les serveurs Linux d'Europol a révélé que 73% des compromissions serveur exploitent des configurations par défaut non durcies. Avec plus de 96% des serveurs web tournant sous Linux, le durcissement (hardening) n'est plus optionnel — c'est une nécessité critique.

L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) a actualisé ses recommandations en 2025, intégrant les nouvelles menaces liées à l'IA et aux attaques supply chain. Cette checklist de 12 points essentiels vous permettra de transformer votre serveur Linux en forteresse numérique conforme aux standards français de cybersécurité.

Configuration système et comptes utilisateurs

1. Gestion rigoureuse des comptes privilégiés

Désactivez immédiatement le compte root pour les connexions SSH :

'''bash

Éditer /etc/ssh/sshd_config

PermitRootLogin no PasswordAuthentication no PubkeyAuthentication yes '''

Créez un utilisateur administrateur dédié avec sudo limité :

'''bash useradd -m -s /bin/bash admin_sec usermod -aG sudo admin_sec '''

2. Politique de mots de passe renforcée

Implémentez PAM (Pluggable Authentication Modules) avec les paramètres ANSSI 2025 :

'''bash

/etc/security/pwquality.conf

minlen = 12 dcredit = -1 ucredit = -1 lcredit = -1 ocredit = -1 '''

3. Configuration réseau défensive

Désactivez les services réseau inutiles et configurez le firewall iptables :

'''bash

Règles restrictives par défaut

iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT

Autoriser uniquement SSH sur port custom

iptables -A INPUT -p tcp --dport 2222 -j ACCEPT '''

Changez le port SSH par défaut et implémentez fail2ban :

'''bash

Installation et configuration fail2ban

apt install fail2ban systemctl enable fail2ban '''

Durcissement du noyau et surveillance

4. Paramètres kernel sécurisés

Modifiez '/etc/sysctl.conf' avec les paramètres recommandés :

'''bash

Protection contre les attaques réseau

net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.accept_source_route = 0 net.ipv4.icmp_ignore_bogus_error_responses = 1

Protection contre les buffer overflows

kernel.dmesg_restrict = 1 kernel.kptr_restrict = 2 '''

5. Chiffrement et intégrité des données

Activez le chiffrement complet du disque avec LUKS2 :

'''bash

Pour nouvelles installations

cryptsetup luksFormat --type luks2 /dev/sdX '''

Configurez la vérification d'intégrité avec AIDE :

'''bash apt install aide aideinit aide --check '''

6. Logs centralisés et monitoring

Déployez rsyslog avec rotation sécurisée :

'''bash

/etc/logrotate.d/rsyslog

/var/log/*.log { daily rotate 30 compress delaycompress missingok notifempty create 640 root adm } '''

7. Contrôle d'accès obligatoire (MAC)

Activez SELinux ou AppArmor selon votre distribution :

'''bash

Pour SELinux (RHEL/CentOS)

setenforce 1 setsebool -P httpd_can_network_connect 1

Pour AppArmor (Ubuntu/Debian)

systemctl enable apparmor aa-enforce /etc/apparmor.d/* '''

Maintenance et surveillance continue

8. Mises à jour automatisées sécurisées

Configurez unattended-upgrades avec validation :

'''bash

/etc/apt/apt.conf.d/50unattended-upgrades

Unattended-Upgrade::Allowed-Origins { "$distro_id}:$distro_codename}-security