Aller au contenu
EdgeServers
Blog

Checklist de durcissement Ubuntu Server 24.04 fresh-install

16 mai 2026 · 1 min de lecture · par Sudhanshu K.

Chaque hôte Ubuntu 24.04 qui rejoint notre flotte managée passe par la même passe de durcissement avant qu'aucune charge ne soit autorisée à atterrir dessus. Les défauts de l'image cloud sont décents — ils n'étaient pas décents il y a cinq ans — mais « décent » n'est pas un baseline de sécurité. Il y a un petit ensemble de changements qui décalent matériellement le threat model, et un ensemble encore plus petit d'ajouts qui attrapent l'incident rare quand quelque chose passe quand même.

Voici la checklist que nous faisons tourner comme rôle Ansible sur chaque nouvel hôte.

La passe de la première heure

# SSH — clés uniquement, restreindre les ciphers, désactiver root + password
sed -i 's/^#PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
sed -i 's/^#PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
cat >> /etc/ssh/sshd_config.d/00-hardening.conf <<EOF
KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
EOF
systemctl restart ssh
 
# UFW — deny par défaut, n'autoriser que ce qui est nécessaire
ufw default deny incoming
ufw default allow outgoing
ufw allow from <bastion-cidr> to any port 22
ufw enable
 
# fail2ban — jail brute force SSH
apt install -y fail2ban
systemctl enable --now fail2ban

Après ça, l'hôte n'est joignable que via le bastion, uniquement avec des clés SSH, uniquement sur des ciphers modernes.

L'article complet couvre :

  • Profils AppArmor en mode enforce (les défauts qui devraient être activés)
  • Configuration auditd — intégrité de fichiers pour /etc, /usr/sbin, monitoring de syscalls
  • La passe de durcissement sysctl kernel (net.ipv4.tcp_syncookies, rp_filter, etc.)
  • needrestart pour attraper les libraries qui ont besoin de reboot-après-upgrade
  • chrony pour la sync de temps (parce que Kerberos et TLS en dépendent)
  • Le beacon d'inventaire qui auto-enregistre l'hôte avec notre config management

Nous faisons tourner cette checklist sur chaque hôte Ubuntu 24.04 au jour zéro.

Article complet disponible

Lire l'article complet