Guide de déploiement

Bastion Host sur VPS : sécuriser vos accès SSH

Déployer sur un VPS Cloud →

Sécurité & Monitoring7 min de lecture

Bastion Host sur VPS : sécuriser vos accès SSH

Un bastion SSH évite d'exposer chaque serveur directement sur Internet : les administrateurs passent par un point d'entrée durci, journalisé et facile à auditer. Sur un VPS ServOrbit, ce rôle reste lisible : une IP stable, OpenSSH, des clés nominatives et des règles de pare-feu minimales. Le guide présente une mise en place sobre, utile pour une petite équipe comme pour une agence qui administre plusieurs machines.

Pourquoi passer par un bastion SSH ?

Un bastion réduit la surface d'attaque : au lieu d'ouvrir SSH sur chaque serveur, vous concentrez l'accès sur une machine dédiée. Les clés, les utilisateurs et les journaux sont plus simples à contrôler, et les serveurs internes peuvent rester fermés au réseau public.

Ce que ce template apporte

  • Un point d’entrée unique pour les accès SSH administrateurs.
  • Des clés nominatives plutôt qu’un mot de passe partagé.
  • Une base simple pour journaliser les connexions et les commandes sensibles.
  • Une exposition réseau réduite pour les serveurs applicatifs derrière le bastion.
  • Un socle compatible avec les outils classiques : OpenSSH, ProxyJump, UFW et Fail2Ban.

Prérequis avant de l’ouvrir à l’équipe

Prévoyez un VPS léger mais isolé, une liste claire des personnes autorisées, des clés SSH individuelles et une règle de pare-feu qui n’ouvre que le port SSH nécessaire. Pour une équipe distribuée, documentez aussi le format des noms d’utilisateurs et la procédure de révocation.

Déployer un bastion proprement

01

Créer le VPS dédié

Sélectionnez le template Bastion Host dans le Marketplace ServOrbit ou partez d’un Ubuntu minimal. Gardez ce serveur dédié à l’accès SSH : pas de site web, pas de base de données, pas de services annexes.

02

Poser les clés nominatives

Ajoutez une clé par administrateur dans ~/.ssh/authorized_keys. Évitez les comptes partagés : en cas de départ ou de rotation, vous devez pouvoir retirer une seule clé sans bloquer toute l’équipe.

03

Durcir OpenSSH

Désactivez l’authentification par mot de passe, bloquez la connexion root directe et limitez les utilisateurs autorisés avec AllowUsers ou AllowGroups dans sshd_config.

04

Configurer ProxyJump

Sur les postes administrateurs, ajoutez une entrée ProxyJump dans ~/.ssh/config. Les serveurs internes restent accessibles par SSH via le bastion, sans port public ouvert.

05

Surveiller et révoquer

Activez Fail2Ban si le port SSH reste exposé et vérifiez régulièrement /var/log/auth.log. Retirez immédiatement les clés qui ne sont plus utilisées.

Conseil ServOrbit

Gardez le bastion petit, prévisible et séparé du reste. Sa valeur vient de sa simplicité : moins il héberge de services, plus il est facile à auditer.

La documentation officielle

Pour la configuration avancée, les options propres à l’outil et les changements de version, référez-vous à la documentation officielle de OpenSSH. Ce guide couvre la mise en ligne sur VPS ServOrbit ; la documentation éditeur reste la référence pour les réglages fins.

Centralisez vos accès SSH sur un VPS ServOrbit

Le template Bastion Host vous donne un point d'entrée clair pour administrer vos serveurs sans exposer chaque machine directement sur Internet.

Besoin d'aide ?

Parcourez notre centre d'aide et notre FAQ, ou écrivez à notre équipe — support en anglais, français et arabe.