k-claw
Se connecterCommencer
Back to blog
securityvpsguideinfrastructure

Sécuriser son serveur d'agent IA : pare-feu, SSH et durcissement SSL

Un guide de sécurité pratique pour votre VPS OpenClaw. Couvre l'authentification par clé SSH, les règles de pare-feu UFW, Fail2Ban, les certificats SSL et les bonnes pratiques de durcissement continu.

K-Claw Team·05 novembre 2025·4 min read

Pourquoi la sécurité compte pour un agent IA personnel

Votre serveur d'agent IA contient quelque chose d'exceptionnellement sensible : l'intégralité de l'historique de vos conversations avec une IA. Questions de santé, décisions professionnelles, préoccupations personnelles — tout stocké au même endroit. Un VPS compromis n'expose pas seulement un site web ; il expose votre contexte privé.

La bonne nouvelle, c'est que le durcissement de base couvre la grande majorité des vecteurs d'attaque réels. L'installateur de k-claw gère la plupart de cela automatiquement, mais comprendre ce qu'il fait — et quoi faire ensuite — est précieux.

Étape 1 : authentification SSH par clé

Le SSH par mot de passe est le point d'entrée le plus courant pour les serveurs compromis. Passez immédiatement à l'authentification par clé.

Sur votre machine locale, générez une paire de clés SSH si vous n'en avez pas encore :

ssh-keygen -t ed25519 -C "your-email@example.com"

Copiez votre clé publique sur le serveur :

ssh-copy-id -i ~/.ssh/id_ed25519.pub root@YOUR_SERVER_IP

Désactivez ensuite l'authentification par mot de passe dans /etc/ssh/sshd_config :

PasswordAuthentication no
PubkeyAuthentication yes
PermitRootLogin prohibit-password

Redémarrez SSH : systemctl restart sshd

Important : Testez une nouvelle session SSH avant de fermer la session en cours, pour vous assurer de ne pas vous être verrouillé dehors.

Étape 2 : configuration du pare-feu UFW

UFW (Uncomplicated Firewall) est l'outil standard sous Ubuntu. L'objectif est de n'autoriser que ce dont vous avez explicitement besoin et de bloquer tout le reste.

ufw default deny incoming
ufw default allow outgoing
ufw allow ssh
ufw allow 80/tcp    # HTTP (pour les défis Let's Encrypt)
ufw allow 443/tcp   # HTTPS
ufw enable

L'installateur de k-claw configure UFW automatiquement. Vérifiez que les règles sont actives :

ufw status verbose

Si vous utilisez un bot Telegram, notez qu'OpenClaw interroge l'API Telegram (sortant) plutôt que de nécessiter un port webhook entrant. Aucun port supplémentaire n'est requis pour un fonctionnement standard.

Étape 3 : Fail2Ban pour la protection contre les attaques par force brute

Même avec une authentification SSH par clé, des bots tenteront encore des connexions et rempliront vos journaux. Fail2Ban bannit automatiquement les adresses IP qui déclenchent trop de tentatives infructueuses.

apt install fail2ban -y
systemctl enable fail2ban
systemctl start fail2ban

Créez une configuration locale qui survivra aux mises à jour de paquets :

# /etc/fail2ban/jail.local
[DEFAULT]
bantime = 1h
findtime = 10m
maxretry = 5

[sshd]
enabled = true

L'installateur de k-claw configure Fail2Ban dans le cadre du processus d'installation.

Étape 4 : certificats SSL avec Let's Encrypt

Si vous exposez une partie de votre agent via HTTPS (un panneau d'administration, un endpoint webhook ou une API), utilisez un certificat TLS de Let's Encrypt — jamais des certificats auto-signés en production.

apt install certbot python3-certbot-nginx -y
certbot --nginx -d yourdomain.com

Les certificats Let's Encrypt se renouvellent automatiquement via un minuteur systemd que Certbot installe automatiquement. Vérifiez :

systemctl status certbot.timer

Étape 5 : maintenir le système à jour

Activez les mises à jour de sécurité automatiques pour que les correctifs critiques s'appliquent sans intervention manuelle :

apt install unattended-upgrades -y
dpkg-reconfigure --priority=low unattended-upgrades

Cela applique les mises à jour de sécurité automatiquement tout en retenant les mises à jour de paquets non liées à la sécurité, réduisant le risque de changements disruptifs.

Étape 6 : créer un utilisateur non-root

L'installateur de k-claw crée un utilisateur système dédié (openclaw) avec des permissions restreintes pour exécuter le processus de l'agent. C'est crucial : même si quelqu'un exploite une vulnérabilité dans l'agent, il n'accède qu'à ce compte restreint — pas à root.

Pour votre propre accès SSH, créez un utilisateur sudo non-root et désactivez la connexion SSH root une fois que vous avez vérifié que cela fonctionne :

adduser yourname
usermod -aG sudo yourname

Définissez ensuite PermitRootLogin no dans sshd_config.

Surveillance continue

Après le durcissement initial, des vérifications périodiques vous permettent de rester informé de l'état du serveur :

  • last — Consultez l'historique récent des connexions
  • fail2ban-client status sshd — Voir les bannissements actifs et l'activité récente
  • journalctl -u kclaw-* --since today — Consultez les journaux de l'agent
  • apt list --upgradable — Vérifiez les mises à jour en attente

Un VPS correctement durci exécutant OpenClaw est aussi sécurisé que peut l'être tout serveur Linux connecté à Internet. La surface d'attaque est réduite par conception — aucun port de base de données exposé, aucune interface web par défaut, et toutes les données sensibles chiffrées au repos.

Pick your VPS — we handle everything else.

k-claw installs OpenClaw on any Ubuntu/Debian server. Security hardening, service setup, and configuration — all automatic.

Set up my server

Related articles

Qu'est-ce qu'un agent IA personnel ? Guide complet pour 2026

Découvrez ce que sont les agents IA personnels, comment ils fonctionnent et pourquoi l'auto-hébergement vous offre confidentialité, contrôle et personnalisation illimitée face aux assistants cloud.

Comment installer OpenClaw sur un VPS : guide étape par étape

Un guide complet pour installer OpenClaw sur votre propre VPS. Du choix du serveur à la configuration des modèles IA et des canaux de messagerie.