Ansible UFW : sécuriser un serveur Debian 13 sans couper l’accès SSH

Configurer un pare-feu correctement est l’un des premiers réflexes à avoir sur un serveur Debian 13. Le plus simple pour aller vite sans faire d’erreur, c’est UFW (Uncomplicated Firewall) : une couche lisible au-dessus d’iptables/nftables, parfaite pour une exploitation quotidienne.

Sécuriser SSH sur Debian 13 avec UFW et Ansible
Pare-feu UFW sur Debian 13 : sécurisation SSH sans coupure de service.

Réponse rapide : sur Debian 13, tu peux sécuriser ton serveur avec UFW en 10 minutes si tu suis un ordre strict : autoriser SSH, définir les politiques par défaut, ouvrir uniquement les ports nécessaires, activer UFW, puis vérifier les règles.

Si tu veux un audit de ta posture réseau avant mise en prod, tu peux nous contacter.

Pourquoi UFW est pertinent sur Debian 13

UFW est utile parce qu’il réduit le risque d’erreur humaine. Tu écris des règles claires (“allow 22/tcp”, “deny incoming”) sans manipuler des chaînes complexes. En entreprise, cette lisibilité fait gagner du temps en incident et pendant les revues sécurité.

  • courbe d’apprentissage rapide,
  • syntaxe claire et maintenable,
  • compatible avec une gestion infra automatisée.

Installation et premier diagnostic

sudo apt update
sudo apt install -y ufw
sudo ufw status verbose

Si le statut indique inactive, c’est normal sur un serveur neuf. L’important est de préparer les règles avant l’activation.

Ordre de configuration recommandé (critique)

L’erreur classique est d’activer UFW trop tôt et de se couper en SSH. Pour éviter ça, garde cet ordre :

  1. Autoriser SSH
  2. Définir les politiques par défaut
  3. Autoriser les ports applicatifs nécessaires
  4. Activer UFW
  5. Contrôler et tester

Commandes importantes à connaître

1) Autoriser SSH

sudo ufw allow OpenSSH
# ou explicitement
sudo ufw allow 22/tcp

2) Politique par défaut

sudo ufw default deny incoming
sudo ufw default allow outgoing

3) Ouvrir uniquement les ports utiles

# HTTP/HTTPS
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# Exemple application interne
sudo ufw allow from 10.0.0.0/24 to any port 5432 proto tcp

4) Activer le pare-feu

sudo ufw enable

5) Vérifier les règles et l’état

sudo ufw status numbered
sudo ufw status verbose

Gestion quotidienne : ajouter, supprimer, auditer

UFW est efficace si tu fais des changements propres et traçables :

# Supprimer une règle via son numéro
sudo ufw status numbered
sudo ufw delete 3

# Refuser explicitement un port
sudo ufw deny 2375/tcp

# Reset complet (attention en prod)
sudo ufw reset

Avant un reset, valide toujours un accès console/ILO/VNC ou une session SSH de secours.

Exemples de profils utiles en production

Serveur web classique

sudo ufw allow OpenSSH
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable

Serveur applicatif non exposé public

sudo ufw allow OpenSSH
sudo ufw allow from 10.10.0.0/16 to any port 8080 proto tcp
sudo ufw default deny incoming
sudo ufw enable

Bastion / accès restreint

sudo ufw allow from 1.2.3.4 to any port 22 proto tcp
sudo ufw default deny incoming
sudo ufw enable

Astuces pratiques pour éviter les erreurs

  • Garder une session SSH ouverte pendant les changements.
  • Tester les règles depuis une deuxième machine.
  • Documenter chaque port ouvert (pourquoi, pour qui, jusqu’à quand).
  • Éviter les ouvertures “temporaires” sans date de retrait.
  • Auditer régulièrement les règles non utilisées.

UFW et Debian 13 : points d’attention

Debian 13 modernise plusieurs briques réseau ; vérifie la cohérence avec ton stack (reverse proxy, VPN, conteneurs, overlay réseau). Si tu utilises Docker, pense à contrôler l’interaction entre chaînes Docker et règles UFW pour éviter les expositions involontaires.

Checklist de validation après changement

# état global
sudo ufw status verbose

# écoute locale
sudo ss -tulpen

# test distant (depuis une autre machine)
# nmap -Pn -p 22,80,443 your-server

# test applicatif
curl -I https://ton-domaine.tld

Le but est de confirmer que seuls les services prévus sont exposés et joignables.

Bonnes pratiques sécurité complémentaires

  • Activer Fail2ban pour réduire le bruit des tentatives.
  • Maintenir les paquets sécurité à jour.
  • Séparer les environnements (prod/préprod/dev).
  • Garder un runbook incident réseau.
  • Planifier des revues de règles trimestrielles.

FAQ

UFW suffit-il pour sécuriser un serveur Debian 13 ?
UFW est une excellente base de filtrage réseau. Il doit être complété par des pratiques d’exploitation (mises à jour, durcissement SSH, supervision, backups).
Quel est le risque principal au moment de l’activation ?
Se couper l’accès SSH si la règle n’est pas en place avant ufw enable.
Faut-il ouvrir une plage complète de ports ?
Évite. Ouvre le strict minimum, idéalement par IP source et protocole.
Comment industrialiser cette configuration ?
Automatise via Ansible pour garder des règles versionnées, relançables et auditables.

Conclusion

UFW sur Debian 13 est un excellent compromis entre simplicité et efficacité. Avec une méthode propre, tu sécurises vite sans te compliquer la vie. Et si tu veux automatiser tout ça proprement à l’échelle, mon rôle Ansible ansible-role-secure-os applique justement cette logique de manière reproductible.

Laisser un commentaire