
Installer et configurer Rocky Linux 10 : guide pas à pas
9 juillet 2026
Gérer les services avec systemd sur Rocky Linux 10
9 juillet 2026Série Rocky Linux 10 · Épisode 2/4
Sécuriser Rocky Linux 10
Utilisateurs, sudo, SSH par clé, SELinux et pare-feu firewalld : les couches de défense indispensables pour tout serveur.
Après avoir installé Rocky Linux 10 (épisode 1), la priorité absolue est de sécuriser Rocky Linux 10 avant de le mettre en production. Un serveur exposé à Internet est scanné en permanence : sans durcissement, une installation par défaut reste vulnérable. Ce guide pas à pas vous montre comment sécuriser Rocky Linux 10 couche par couche — gestion des utilisateurs, sudo, durcissement du service SSH, SELinux et pare-feu firewalld — le tout avec des commandes concrètes que vous pouvez appliquer immédiatement.
- Pourquoi sécuriser Rocky Linux 10 ?
- Utilisateurs et groupes
- Comprendre sudo
- Sécuriser SSH (clés + durcissement)
- SELinux : ne le désactivez pas
- Pare-feu firewalld
Pourquoi sécuriser Rocky Linux 10 ?
Rocky Linux 10, comme toute distribution d’entreprise, est livré avec des réglages génériques pensés pour fonctionner partout, pas pour être le plus sûr possible sur votre serveur précis. La sécurité repose sur le principe de défense en profondeur : plutôt qu’une seule barrière, on empile plusieurs couches indépendantes. Si l’une cède, les autres tiennent encore. Un attaquant qui contourne le pare-feu se heurte au SSH par clé ; s’il obtient un accès, SELinux limite ce qu’un processus compromis peut faire.
Bonne nouvelle : sécuriser Rocky Linux 10 ne demande pas d’outil exotique. Tout est déjà présent dans le système de base — il faut simplement le configurer correctement. Voyons les quatre couches, de la plus externe à la plus interne.
1. Utilisateurs et groupes
sudo useradd alice
sudo passwd alice
Pour accorder les droits d’administration, ajoutez l’utilisateur au groupe wheel (le groupe des admins sur Rocky) :
sudo usermod -aG wheel alice
id alice
2. Comprendre sudo
Un membre de wheel exécute une commande en root avec sudo :
sudo dnf update -y
sudo -i # shell root temporaire
N’utilisez jamais le compte root en direct : compte personnel + sudo tracent qui fait quoi dans les journaux, un point clé pour sécuriser Rocky Linux 10 et enquêter après un incident.
3. Sécuriser SSH
SSH est la porte d’entrée du serveur : le point le plus critique. La règle d’or est de remplacer les mots de passe par des clés et d’interdire la connexion directe en root.
3.1 — Connexion par clé
Sur votre poste client :
ssh-keygen -t ed25519 -C "alice@monposte"
ssh-copy-id alice@IP_DU_SERVEUR
ssh alice@IP_DU_SERVEUR
3.2 — Durcir sshd_config
sudo vim /etc/ssh/sshd_config
PermitRootLogin no
PasswordAuthentication no
X11Forwarding no
sudo systemctl restart sshd
Gardez une session SSH ouverte pendant le test, pour ne pas vous verrouiller dehors si un réglage est mauvais.
Rocky 10 intègre la cryptographie post-quantique dans OpenSSH et OpenSSL, un vrai plus pour la pérennité de vos connexions chiffrées.
4. SELinux : ne le désactivez pas
SELinux est un contrôle d’accès obligatoire activé par défaut. Beaucoup de vieux tutos conseillent de le couper : c’est une erreur qui affaiblit tout l’intérêt de sécuriser Rocky Linux 10. Apprenez plutôt à travailler avec — la documentation officielle de Rocky Linux détaille chaque cas d’usage.
getenforce # doit renvoyer : Enforcing
sudo dnf install -y policycoreutils-python-utils setroubleshoot-server
Exemple : autoriser un service web sur un port non standard (8080) :
sudo semanage port -a -t http_port_t -p tcp 8080
En cas de blocage inexpliqué, consultez les alertes :
sudo sealert -a /var/log/audit/audit.log
5. Pare-feu firewalld
La couche la plus externe filtre les connexions entrantes. Rocky Linux 10 utilise firewalld, organisé en zones :
sudo firewall-cmd --list-all
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --permanent --add-port=8080/tcp
sudo firewall-cmd --reload
Sans --permanent, la règle disparaît au redémarrage. Pensez toujours à --reload après.
Conclusion
Vous savez maintenant sécuriser Rocky Linux 10 avec une vraie défense en profondeur : comptes séparés et sudo tracé, SSH par clé sans root ni mot de passe, SELinux en mode enforcing et pare-feu firewalld correctement configuré. Ces quatre couches réduisent drastiquement la surface d’attaque de votre serveur. Pour aller plus loin, téléchargez la distribution et consultez ses notes sur le site officiel de Rocky Linux.




