Ansible UFW : sécuriser un serveur Debian 13 sans couper l’accès SSH

Bot Linux man

il y a 3 semaines

Sécuriser SSH sur Debian 13 avec UFW et Ansible

Ansible · UFW · Sécurité

Réponse rapide : sur Debian 13, tu peux sécuriser ton serveur avec UFW en 10 minutes si tu suis un ordre strict : autoriser SSH, définir les politiques par défaut, ouvrir uniquement les ports nécessaires, activer UFW, puis vérifier les règles.

📋 Au programme

Pourquoi UFW est pertinent sur Debian 13
Installation et premier diagnostic
Ordre de configuration recommandé (critique)
Commandes importantes à connaître
Gestion quotidienne : ajouter, supprimer, auditer
Exemples de profils utiles en production
Astuces pratiques pour éviter les erreurs
UFW et Debian 13 : points d’attention
Checklist de validation après changement
Bonnes pratiques sécurité complémentaires
FAQ
Conclusion

Si tu veux un audit de ta posture réseau avant mise en prod, tu peux nous contacter.

Pourquoi UFW est pertinent sur Debian 13

UFW est utile parce qu’il réduit le risque d’erreur humaine. Tu écris des règles claires (“allow 22/tcp”, “deny incoming”) sans manipuler des chaînes complexes. En entreprise, cette lisibilité fait gagner du temps en incident et pendant les revues sécurité.

courbe d’apprentissage rapide,
syntaxe claire et maintenable,
compatible avec une gestion infra automatisée.

🔴

Toujours autoriser SSH avant d’activer UFW

Si tu actives UFW sans avoir au préalable autorisé le port SSH (22 ou ton port custom), tu vas te couper l’accès à ton serveur. Cette règle doit être la première dans ton playbook.

🔴

Autorise SSH avant d’activer UFW

Si tu actives UFW sans avoir autorisé le port SSH (22 ou ton port custom), tu vas te couper l’accès au serveur. Cette règle doit être la première du playbook.

🔴

Autorise SSH avant d’activer UFW

Si tu actives UFW sans avoir autorisé le port SSH, tu vas te couper l’accès au serveur. Cette règle doit être la première du playbook.

Installation et premier diagnostic

sudo apt update
sudo apt install -y ufw
sudo ufw status verbose

Si le statut indique inactive, c’est normal sur un serveur neuf. L’important est de préparer les règles avant l’activation.

✅

Teste en mode dry-run

Utilise ansible-playbook --check pour simuler l’exécution sans appliquer les changements. Indispensable avant de toucher au firewall d’un serveur de production.

✅

Teste en mode dry-run

Utilise ansible-playbook --check pour simuler sans appliquer. Indispensable avant de toucher au firewall d’un serveur de production.

Ordre de configuration recommandé (critique)

L’erreur classique est d’activer UFW trop tôt et de se couper en SSH. Pour éviter ça, garde cet ordre :

Autoriser SSH
Définir les politiques par défaut
Autoriser les ports applicatifs nécessaires
Activer UFW
Contrôler et tester

💡 Info

Le module community.general.ufw permet de gérer UFW de manière déclarative et idempotente avec Ansible.

💡

UFW vs iptables

UFW est une surcouche d’iptables conçue pour simplifier la gestion des règles. Pour 95% des cas d’usage, UFW suffit largement.

💡

UFW vs iptables

UFW est une surcouche d’iptables simplifiée. Pour 95% des cas d’usage, UFW suffit largement.

Commandes importantes à connaître

1) Autoriser SSH

sudo ufw allow OpenSSH
# ou explicitement
sudo ufw allow 22/tcp

2) Politique par défaut

sudo ufw default deny incoming
sudo ufw default allow outgoing

3) Ouvrir uniquement les ports utiles

# HTTP/HTTPS
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# Exemple application interne
sudo ufw allow from 10.0.0.0/24 to any port 5432 proto tcp

4) Activer le pare-feu

sudo ufw enable

5) Vérifier les règles et l’état

sudo ufw status numbered
sudo ufw status verbose

Gestion quotidienne : ajouter, supprimer, auditer

UFW est efficace si tu fais des changements propres et traçables :

# Supprimer une règle via son numéro
sudo ufw status numbered
sudo ufw delete 3

# Refuser explicitement un port
sudo ufw deny 2375/tcp

# Reset complet (attention en prod)
sudo ufw reset

Avant un reset, valide toujours un accès console/ILO/VNC ou une session SSH de secours.

Exemples de profils utiles en production

Serveur web classique

sudo ufw allow OpenSSH
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable

Serveur applicatif non exposé public

sudo ufw allow OpenSSH
sudo ufw allow from 10.10.0.0/16 to any port 8080 proto tcp
sudo ufw default deny incoming
sudo ufw enable

Bastion / accès restreint

sudo ufw allow from 1.2.3.4 to any port 22 proto tcp
sudo ufw default deny incoming
sudo ufw enable

⚠️ Attention

Activez toujours la règle SSH avant d’activer UFW, sous peine de perdre l’accès à votre serveur !

Astuces pratiques pour éviter les erreurs

Garder une session SSH ouverte pendant les changements.
Tester les règles depuis une deuxième machine.
Documenter chaque port ouvert (pourquoi, pour qui, jusqu’à quand).
Éviter les ouvertures “temporaires” sans date de retrait.
Auditer régulièrement les règles non utilisées.

UFW et Debian 13 : points d’attention

Debian 13 modernise plusieurs briques réseau ; vérifie la cohérence avec ton stack (reverse proxy, VPN, conteneurs, overlay réseau). Si tu utilises Docker, pense à contrôler l’interaction entre chaînes Docker et règles UFW pour éviter les expositions involontaires. Si tu veux aller plus loin sur le socle système, mon guide hardening serveur Debian 13 avec Ansible complète bien cette étape avant mise en production.

Checklist de validation après changement

# état global
sudo ufw status verbose

# écoute locale
sudo ss -tulpen

# test distant (depuis une autre machine)
# nmap -Pn -p 22,80,443 your-server

# test applicatif
curl -I https://ton-domaine.tld

Le but est de confirmer que seuls les services prévus sont exposés et joignables.

🔴 Critique

Ne lancez jamais un playbook UFW en production sans l’avoir testé sur une VM. Un firewall mal configuré peut rendre un serveur inaccessible.

Bonnes pratiques sécurité complémentaires

Activer Fail2ban avec Ansible sur Debian 13 pour réduire le bruit des tentatives.
Maintenir les paquets sécurité à jour.
Séparer les environnements (prod/préprod/dev).
Garder un runbook incident réseau.
Planifier des revues de règles trimestrielles.

FAQ

▶ UFW suffit-il pour sécuriser un serveur Debian 13 ?

UFW est une excellente base de filtrage réseau. Il doit être complété par des pratiques d’exploitation (mises à jour, durcissement SSH, supervision, backups).

▶ Quel est le risque principal au moment de l’activation ?

Se couper l’accès SSH si la règle n’est pas en place avant ufw enable.

▶ Faut-il ouvrir une plage complète de ports ?

Évite. Ouvre le strict minimum, idéalement par IP source et protocole.

▶ Comment industrialiser cette configuration ?

Automatise via Ansible pour garder des règles versionnées, relançables et auditables.

Conclusion

UFW sur Debian 13 est un excellent compromis entre simplicité et efficacité. Avec une méthode propre, tu sécurises vite sans te compliquer la vie. Et si tu veux automatiser tout ça proprement à l’échelle, mon rôle Ansible ansible-role-secure-os applique justement cette logique de manière reproductible. Pour garder ce niveau dans le temps, pense aussi à cadrer la maintenance serveurs Linux qui va avec.

Tu veux sécuriser tes serveurs Linux ?

Je peux t’accompagner sur le durcissement de tes serveurs Debian/Ubuntu — firewall, SSH, mises à jour automatiques.

Contacte-moi →

Quitter la version mobile