Debian sur serveur : pourquoi c'est le choix des pros

Quand on me demande quel OS installer sur un serveur de production, ma réponse est presque toujours la même : Debian. Pas Ubuntu Server, pas CentOS (qui a changé de direction de façon discutable), pas Arch — Debian. Voici pourquoi, et surtout comment ça fonctionne concrètement.

Pourquoi Debian et pas Ubuntu Server ?

La question revient souvent. Ubuntu Server est basé sur Debian — ce n'est pas une distribution indépendante, c'est Debian avec une couche Canonical par-dessus. Le problème avec Ubuntu en production, c'est le cycle de release : une version LTS tous les 2 ans, avec 5 ans de support standard. C'est correct, mais Debian va plus loin.

Debian Stable sort environ tous les 2 ans aussi, mais avec une philosophie radicalement différente : on ne sort pas une version avant qu'elle soit prête. Pas de deadline marketing. Résultat : Debian Stable est d'une solidité rare. Je gère des serveurs Debian qui tournent depuis 7 ans sans reinstall, avec uniquement des upgrades en place.

Les 3 branches Debian : Stable (production, paquets éprouvés), Testing (futur Stable, instable par définition), Unstable/Sid (rolling release, à éviter en prod). En production : Stable uniquement.

apt : la gestion des paquets qui fait la différence

Le gestionnaire de paquets apt (Advanced Package Tool) est l'un des atouts majeurs de Debian. Installer Apache, PHP, MariaDB, Nginx — tout passe par apt, les dépendances sont résolues automatiquement, et les mises à jour de sécurité arrivent de façon centralisée.

# Mettre à jour la liste des paquets apt update # Appliquer les mises à jour de sécurité disponibles apt upgrade # Installer un stack LAMP complet apt install apache2 mariadb-server php php-mysql libapache2-mod-php # Voir tous les paquets installés avec leur version dpkg -l | grep "^ii"

Les paquets Debian Stable sont volontairement conservateurs : on n'aura pas toujours la dernière version de PHP ou de MariaDB, mais on aura une version stable avec les patches de sécurité backportés. Pour un serveur web professionnel, c'est exactement ce qu'on veut.

Sécurité : les bases indispensables sur un Debian fraîchement installé

Un serveur Debian frais n'est pas sécurisé par défaut. Voici les premières choses que je fais systématiquement à chaque nouvelle installation.

Désactiver la connexion root en SSH

# Éditer la configuration SSH nano /etc/ssh/sshd_config # Modifier ces lignes : PermitRootLogin no PasswordAuthentication no # (utiliser uniquement les clés SSH) # Redémarrer SSH pour appliquer systemctl restart sshd

Configurer le pare-feu avec ufw ou nftables

# ufw est plus simple pour commencer apt install ufw ufw default deny incoming ufw default allow outgoing ufw allow 22/tcp # SSH ufw allow 80/tcp # HTTP ufw allow 443/tcp # HTTPS ufw enable ufw status verbose

Mises à jour de sécurité automatiques

apt install unattended-upgrades dpkg-reconfigure -plow unattended-upgrades # Répondre "Oui" — les paquets de sécurité # seront installés automatiquement

systemd : gérer les services

Debian utilise systemd comme init system depuis Debian 8. C'est la façon standard de gérer les services, les logs et les timers.

# Voir l'état d'un service systemctl status nginx # Démarrer / arrêter / redémarrer systemctl start nginx systemctl stop nginx systemctl restart nginx # Activer au démarrage systemctl enable nginx # Voir les logs d'un service (live) journalctl -u nginx -f # Voir les services qui ont échoué systemctl --failed

Surveiller son serveur : les commandes essentielles

# Utilisation CPU, RAM, charge système — rafraîchi toutes les 2s htop # Espace disque par partition df -h # Quels répertoires prennent le plus de place ? du -sh /* 2>/dev/null | sort -rh | head -20 # Connexions réseau actives ss -tulpn # Dernières lignes du log système journalctl -n 50 --no-pager

Mise à jour majeure : passer de Debian 11 à Debian 12

L'un des avantages de Debian, c'est la possibilité de faire une montée de version majeure en place, sans réinstallation. Ça marche rarement parfaitement et ça demande de la préparation, mais c'est possible et documenté officiellement.

# 1. Mettre à jour Debian 11 complètement apt update && apt upgrade && apt full-upgrade # 2. Remplacer bullseye par bookworm dans les sources sed -i 's/bullseye/bookworm/g' /etc/apt/sources.list # 3. Mise à jour vers Debian 12 apt update apt full-upgrade # 4. Rebooter reboot

Important : faites toujours un snapshot ou une sauvegarde complète avant une montée de version majeure. En production, testez d'abord sur un environnement de staging.

Debian est ma distribution de référence pour tous les serveurs que j'administre. La stabilité, la documentation exhaustive, la communauté active et la philosophie du projet en font le choix le plus sûr pour un serveur infogéré de production professionnel. Si vous avez besoin d'un hébergement serveur sécurisé et maintenu, je propose des solutions adaptées à chaque projet.