pare-feu
Comment configurer un pare-feu sur votre VPS (et pourquoi vous en avez besoin)
Un serveur tout neuf est joignable par l'Internet entier en quelques minutes — bots compris. Un pare-feu décide quelles portes restent ouvertes. Voici ce qu'il fait, l'unique règle qui vous garde en sécurité et l'erreur qui vous enferme dehors.
Au moment où votre serveur se connecte, il possède une adresse publique, et l'Internet entier peut l'atteindre. C'est précisément le but — vous voulez que les gens visitent votre site. Mais « l'Internet entier » comprend aussi des bots automatisés qui ne font rien d'autre à longueur de journée que frapper à chaque porte de chaque serveur qu'ils parviennent à trouver, en quête d'une porte laissée ouverte.
Vous n'avez pas besoin d'être une cible pour que cela compte. Les bots ne sont pas difficiles : ils scannent tout, en permanence. Un pare-feu, c'est le moyen de vous assurer que les seules portes qui s'ouvrent sont celles que vous vouliez laisser ouvertes.
Ce que fait vraiment un pare-feu
Imaginez votre serveur comme un immeuble aux milliers de portes numérotées — on les appelle des ports. Chaque service qui tourne sur la machine écoute sur l'un d'eux : un site web sur les ports 80 et 443, l'accès à distance avec lequel vous gérez le serveur sur le port 22, une base de données sur un autre encore.
Un pare-feu, c'est le portier. Il examine chaque coup frappé à la porte et décide : le laisser passer, ou le refouler. Sans lui, chaque porte peut potentiellement répondre. Avec lui, c'est vous qui choisissez la courte liste de portes qui s'ouvrent, et toutes les autres ne répondent tout simplement pas — comme s'il n'y avait rien à trouver.
Pourquoi un serveur neuf en a besoin dès le premier jour
Un serveur neuf a souvent plus de portes ouvertes que vous ne l'imaginez. Vous installez un logiciel et il peut se mettre discrètement à écouter sur un port auquel vous ne penserez plus jamais. Chaque porte ouverte est une chose à maintenir à jour et verrouillée — et une voie d'entrée si vous ne le faites pas.
Un pare-feu inverse le réglage par défaut. Au lieu de « tout est ouvert sauf ce que je ferme », vous obtenez « tout est fermé sauf ce que j'ouvre ». Ce seul changement fait passer le nombre de voies d'accès à votre serveur de plusieurs milliers aux deux ou trois que vous utilisez réellement.
L'unique règle : n'ouvrez que ce que vous utilisez
Une bonne configuration de pare-feu est presque ennuyeuse, et c'est justement là tout l'intérêt. La règle est simple : tout fermé par défaut, ouvrez les quelques portes dont vos services ont besoin.
Pour un serveur classique, c'est une liste courte :
- 80 et 443 — le trafic web, pour que les visiteurs puissent atteindre votre site (443 est celui du HTTPS, derrière le cadenas),
- 22 — l'accès à distance que vous utilisez pour gérer la machine.
C'est souvent tout. Tout le reste demeure fermé. Si vous ajoutez plus tard un service qui a besoin de sa propre porte, vous ouvrez cette porte-là, à dessein — et rien d'autre.
L'erreur qui vous enferme dehors
Il existe une façon classique de gâcher votre après-midi : fermer la porte dans laquelle vous êtes assis. L'accès à distance sur le port 22, c'est par là que vous atteignez le serveur. Activez le pare-feu avec cette porte fermée et vous vous êtes enfermé dehors, hors de votre propre machine — sans aucun moyen de revenir, si ce n'est la console d'urgence de votre hébergeur.
L'ordre compte donc : assurez-vous que votre propre voie d'entrée reste ouverte avant de fermer tout le reste. C'est la seule chose qui mérite une double vérification, à chaque fois.
Le raccourci
Vous pouvez tout configurer à la main — sur la plupart des serveurs il existe un outil de pare-feu standard, avec sa propre syntaxe à apprendre et sa propre manière de vous enfermer dehors si vous vous trompez dans l'ordre. Ou vous pouvez laisser Server Manager s'en charger : il vous montre quelles portes sont ouvertes à l'instant, ferme celles dont vous n'avez pas besoin, garde votre voie d'entrée en sécurité et ne vous laisse pas bloqué dehors. Vous dites à quoi sert le serveur ; lui détermine quelles portes doivent rester ouvertes.
Et si un site cesse un jour de se charger juste après une modification, une porte fermée est l'une des premières choses à vérifier — c'est l'une des trois couches qui décident si votre site est joignable.
Une sécurité silencieuse
Un pare-feu n'a rien d'exaltant, et c'est exactement pour ça qu'il fonctionne. Bien configuré, vous cessez d'y penser : les bots continuent de frapper, toutes les portes sauf la vôtre restent fermées, et votre serveur se contente de faire son travail.
Il va de pair avec l'autre habitude peu glamour qui vous sauve un mauvais jour — garder des sauvegardes que vous pouvez réellement restaurer. Ensemble, ces deux choses représentent l'essentiel de ce que « sécuriser un serveur » veut vraiment dire. Les guides d'aide approfondissent la question dès que vous en voulez les détails.