Les 10 commandes de sécurité Linux essentielles que tout administrateur système doit connaître en 2026

En 2026, la sécurité n'est plus une option pour les administrateurs système : c'est une question de survie. Face aux attaques de ransomware qui coûtent des milliards chaque année et aux techniques toujours plus sophistiquées employées par les cybercriminels, la maîtrise des commandes de sécurité Linux est essentielle pour dormir sur ses deux oreilles. Voici les 10 commandes de sécurité Linux les plus importantes que tout administrateur système se doit de connaître.

1. ss — Statistiques des sockets (Le nouveau netstat)

Oubliez netstat — ss est plus rapide, plus précis et affiche plus de détails sur les sockets ouverts et les ports d'écoute.

# Show all listening ports with process info
ss -tlnp

# Show all connections (established + listening)
ss -tunap

# Find what's listening on port 443
ss -tlnp | grep :443

# Show only IPv4 UDP sockets
ss -u4np state established

Pourquoi c'est important : Les ports ouverts inattendus représentent des failles de sécurité potentielles. Exécutez cette commande après chaque installation de logiciel et lors d'une intervention en cas d'incident.

2. auditd — Le démon d'audit Linux

L'outil d'audit natif le plus puissant sous Linux. Il enregistre les appels système, les accès aux fichiers et l'activité des utilisateurs au niveau du noyau.

# Install
sudo apt install auditd audispd-plugins -y

# Watch for writes to /etc/passwd
sudo auditctl -w /etc/passwd -p wa -k passwd_changes

# Watch for sudo usage
sudo auditctl -a always,exit -F arch=b64 -S execve -F euid=0 -k root_commands

# Search audit logs for specific key
sudo ausearch -k passwd_changes --start today

# Generate summary report
sudo aureport --summary

3. Trouver — Rechercher les fichiers suspects

La commande find est incroyablement puissante pour localiser les fichiers suspects : les binaires SUID, les fichiers récemment modifiés, les répertoires accessibles en écriture à tous.

# Find SUID binaries (potential privilege escalation vectors)
sudo find / -perm -4000 -type f 2>/dev/null

# Find SGID binaries
sudo find / -perm -2000 -type f 2>/dev/null

# Files modified in last 24 hours
find /etc /var /usr -newer /tmp/timestamp -type f 2>/dev/null

# World-writable files (security risk)
find / -xdev -perm -0002 -type f 2>/dev/null | grep -v /proc

# Files with no owner (orphaned/potentially malicious)
find / -nouser -nogroup 2>/dev/null

4. fail2ban-client — Prévention des intrusions

Fail2ban bloque automatiquement les adresses IP présentant un comportement malveillant. Indispensable pour tout serveur exposé à Internet.

# Check status of all jails
sudo fail2ban-client status

# Check SSH jail specifically
sudo fail2ban-client status sshd

# Manually ban an IP
sudo fail2ban-client set sshd banip 192.168.1.100

# Unban an IP
sudo fail2ban-client set sshd unbanip 192.168.1.100

# Check your own ban status (useful after lockout)
sudo fail2ban-client get sshd banlist

5. last / lastb — Analyse forensique de l'historique de connexion

# Show recent successful logins
last -F | head -30

# Show FAILED login attempts (requires root)
sudo lastb | head -30

# Show logins from a specific user
last rh1nux

# Show current logged-in users
who -a

# Detailed process list per logged-in user
w

Conseil de pro : automatisez une vérification quotidienne de lastb via cron et alertez-vous si les tentatives infructueuses dépassent un seuil.

6. chkrootkit / rkhunter — Détection de rootkits

# Install both
sudo apt install chkrootkit rkhunter -y

# Run chkrootkit
sudo chkrootkit

# Update rkhunter database and run check
sudo rkhunter --update
sudo rkhunter --check --sk

# rkhunter in quiet mode (only show warnings)
sudo rkhunter --check --sk --report-warnings-only

7. iptables / nftables — Gestion du pare-feu

# List all iptables rules with line numbers
sudo iptables -L -v -n --line-numbers

# Block specific IP immediately
sudo iptables -I INPUT -s 45.33.32.156 -j DROP

# Allow only specific ports (minimal exposure)
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT
sudo iptables -P INPUT DROP  # Drop everything else

# Save rules (Debian/Ubuntu)
sudo iptables-save > /etc/iptables/rules.v4

8. Lynis — Outil d'audit de sécurité

Lynis est un outil d'audit de sécurité complet qui analyse votre système et fournit des recommandations pour le renforcer.

# Install
sudo apt install lynis -y

# Full system audit
sudo lynis audit system

# Quick pentest scan
sudo lynis audit system --pentest

# Show only warnings and suggestions
sudo lynis audit system | grep -E "WARNING|SUGGESTION"

9. journalctl — Analyse avancée des journaux

# Follow live system logs
sudo journalctl -f

# Show logs for specific service
sudo journalctl -u sshd -n 100

# Show logs since last boot
sudo journalctl -b

# Show only errors and above
sudo journalctl -p err -n 50

# Search for specific string in logs
sudo journalctl | grep -i "failed\|error\|denied"

# Show logs in time range
sudo journalctl --since "2026-03-01" --until "2026-03-13 16:00"

10. openssl — Boîte à outils de certificats et de chiffrement

# Check SSL certificate expiry
openssl s_client -connect rootpilot.fr:443 2>/dev/null | openssl x509 -noout -dates

# Generate strong random password
openssl rand -base64 32

# Verify certificate chain
openssl verify -CAfile /etc/ssl/certs/ca-certificates.crt /path/to/cert.pem

# Check TLS versions supported by server
nmap --script ssl-enum-ciphers -p 443 rootpilot.fr

# Generate self-signed cert (for internal use)
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

Bonus : Créez un résumé quotidien de la sécurité

Combinez ces commandes dans un script de vérification de sécurité matinale rapide :

#!/bin/bash
echo "=== Daily Security Check ==="
echo "--- Failed logins (last 24h) ---"
sudo lastb | head -20
echo "--- Listening ports ---"
ss -tlnp
echo "--- Recent auth failures ---"
sudo journalctl -u sshd --since "yesterday" | grep -i "failed\|invalid"
echo "--- SUID binaries ---"
sudo find /usr/bin /usr/sbin -perm -4000 2>/dev/null
echo "Done."

Conclusion

La sécurité est une pratique continue, et non une action ponctuelle. Ces 10 commandes constituent la base d'une approche proactive en matière de sécurité. Exécutez-les régulièrement, automatisez-les autant que possible et enquêtez immédiatement sur les anomalies. En 2026, l'administrateur système qui automatise ses contrôles de sécurité dormira sur ses deux oreilles tandis que les attaquants se tourneront vers des cibles plus faciles.

Vous souhaitez renforcer la sécurité de votre serveur ? Consultez notre guide sur la configuration d’un VPN WireGuard et notre checklist complète pour le renforcement de la sécurité des VPS afin d’adopter une approche globale de la sécurité de votre serveur.