Ou tapez /linux-security-hardener dans une session Claude Code, ou décrivez simplement votre besoin — le skill se déclenche automatiquement via le skill-router.
🔑 Déclencheurs automatiques
Le skill s'active automatiquement quand votre demande contient :
sécurité Linuxhardening LinuxSSH sécuriséfail2banSELinuxaudit Linux
Audit de sécurité initial — scanner le système avec lynis audit system pour obtenir un score de sécurité global, identifier les points faibles, vérifier les ports ouverts avec ss -tulnp, et lister les utilisateurs avec des shells interactifs dans /etc/passwd.
Durcissement SSH — modifier /etc/ssh/sshd_config pour désactiver l'accès root (PermitRootLogin no), imposer l'authentification par clé (PasswordAuthentication no), changer le port par défaut, limiter les utilisateurs autorisés (AllowUsers), et configurer MaxAuthTries, ClientAliveInterval et ClientAliveCountMax.
Configuration fail2ban — installer et configurer fail2ban pour protéger SSH et autres services, définir les paramètres maxretry, bantime, findtime dans /etc/fail2ban/jail.local, créer des filtres personnalisés si nécessaire, et vérifier les bans actifs avec fail2ban-client status sshd.
Gestion des utilisateurs et privilèges — appliquer le principe du moindre privilège, configurer sudo avec des règles granulaires dans /etc/sudoers.d/, désactiver les comptes inutilisés (usermod -L), imposer des politiques de mots de passe forts avec pam_pwquality, et configurer l'expiration avec chage.
Configuration SELinux/AppArmor — activer SELinux en mode enforcing (ou AppArmor sur Ubuntu), vérifier les contextes avec ls -Z, résoudre les AVC denials avec ausearch -m AVC et audit2allow, créer des politiques personnalisées si nécessaire, et utiliser sestatus pour vérifier l'état.
Audit et surveillance — configurer auditd avec des règles dans /etc/audit/rules.d/ pour surveiller les fichiers critiques (/etc/passwd, /etc/shadow, /etc/sudoers), les commandes privilégiées, et les accès réseau, puis analyser avec ausearch et aureport.
Mises à jour et gestion des vulnérabilités — configurer les mises à jour automatiques de sécurité avec unattended-upgrades (Debian) ou dnf-automatic (RHEL), vérifier les CVE avec apt list --upgradable ou yum updateinfo, et planifier les redémarrages pour les mises à jour noyau.
Règles
Appliquer le principe de défense en profondeur — ne jamais compter sur une seule mesure de sécurité, combiner pare-feu, contrôle d'accès, chiffrement et surveillance.
Tester chaque modification de sécurité avant de verrouiller l'accès — garder toujours une session SSH ouverte pendant la modification de sshd_config pour éviter de se retrouver exclu.
Ne jamais désactiver SELinux/AppArmor pour résoudre un problème — identifier et corriger la politique plutôt que de contourner la protection.
Automatiser les audits de sécurité avec des scans réguliers (Lynis, OpenSCAP) et alerter sur les régressions.
Documenter toutes les exceptions de sécurité avec une justification, un responsable et une date de révision.