From d0a243509d27e14f38d7bb23db59f324b1f0fa31 Mon Sep 17 00:00:00 2001
From: isUnknown <adrien.payet@outlook.com>
Date: Fri, 13 Feb 2026 14:58:13 +0100
Subject: [PATCH] =?UTF-8?q?Refonte=20compl=C3=A8te=20des=20guides=20VPS=20?=
 =?UTF-8?q?et=20ajout=20guides=20Kirby/CI-CD?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

- Restructuration VPS : guides rapide et complet séparés
- Nouveau guide Vim essentiel pour administration serveur
- Guide déploiement Kirby (VirtualHost, multi-sites, permissions)
- Guide CI/CD Kirby (GitLab CI, Forgejo Actions, Docker)
- Anonymisation complète (sécurité pour publication publique)
- Priorité aux solutions libres (Forgejo, GitLab)
- README général et navigation améliorée

Co-Authored-By: Claude Sonnet 4.5 <noreply@anthropic.com>
---
 README.md                                     |  156 ++
 serveur/README.md                             |   63 +-
 serveur/kirby-ci-cd-deploy.md                 | 1007 ++++++++++++
 serveur/kirby-vps-deploy.md                   |  700 ++++++++
 serveur/linux-essentials/README.md            |   14 +-
 .../linux-essentials/vim-guide-essentiel.md   |  605 +++++++
 serveur/vps-setup-complet.md                  | 1462 +++++++++++++++++
 serveur/vps-setup-rapide.md                   |  477 ++++++
 serveur/vps-setup.md                          |   68 +
 9 files changed, 4546 insertions(+), 6 deletions(-)
 create mode 100644 README.md
 create mode 100644 serveur/kirby-ci-cd-deploy.md
 create mode 100644 serveur/kirby-vps-deploy.md
 create mode 100644 serveur/linux-essentials/vim-guide-essentiel.md
 create mode 100644 serveur/vps-setup-complet.md
 create mode 100644 serveur/vps-setup-rapide.md
 create mode 100644 serveur/vps-setup.md

diff --git a/README.md b/README.md
new file mode 100644
index 0000000..7cc7817
--- /dev/null
+++ b/README.md
@@ -0,0 +1,156 @@
+# 📚 Guides techniques
+
+Collection de guides et conventions pour le développement et l'administration système.
+
+---
+
+## 📁 Structure
+
+```
+guides/
+├── serveur/          Guides d'administration serveur Linux
+└── conventions/      Conventions de code et bonnes pratiques
+```
+
+---
+
+## 🚀 Démarrage rapide
+
+### Configuration d'un VPS
+Vous avez un nouveau serveur VPS à configurer ?
+👉 **[serveur/vps-setup-rapide.md](serveur/vps-setup-rapide.md)** - Setup rapide (30-50 min)
+👉 **[serveur/vps-setup-complet.md](serveur/vps-setup-complet.md)** - Guide détaillé (1-2h)
+
+### Administration serveur
+Votre disque est plein, des bots attaquent votre serveur, ou vous cherchez un fichier ?
+👉 **[serveur/](serveur/)** - Tous les guides Linux essentiels
+
+### Conventions de code
+Vous développez une application SvelteKit ?
+👉 **[conventions/svelte-kit-frontend-conventions.md](conventions/svelte-kit-frontend-conventions.md)**
+
+---
+
+## 📖 Tous les guides
+
+### [serveur/](serveur/) - Administration serveur
+
+**Configuration VPS :**
+- **[vps-setup-rapide.md](serveur/vps-setup-rapide.md)** - Setup VPS rapide (30-50 min)
+- **[vps-setup-complet.md](serveur/vps-setup-complet.md)** - Setup VPS détaillé (1-2h)
+- **[kirby-vps-deploy.md](serveur/kirby-vps-deploy.md)** - Déployer Kirby CMS sur VPS
+- **[kirby-ci-cd-deploy.md](serveur/kirby-ci-cd-deploy.md)** - CI/CD automatique pour Kirby
+
+**Linux essentials :**
+- **[vim-guide-essentiel.md](serveur/linux-essentials/vim-guide-essentiel.md)** - Maîtriser Vim (éditeur universel)
+- **[architecture-filesystem.md](serveur/linux-essentials/architecture-filesystem.md)** - Comprendre /etc, /var, /lib
+- **[diagnostic-espace-disque.md](serveur/linux-essentials/diagnostic-espace-disque.md)** - Résoudre les problèmes d'espace
+- **[analyse-logs-detection-bots.md](serveur/linux-essentials/analyse-logs-detection-bots.md)** - Analyser les logs et bloquer les bots
+- **[comprendre-commandes-find-du.md](serveur/linux-essentials/comprendre-commandes-find-du.md)** - Maîtriser find, du, grep
+
+**Forgejo (forge Git) :**
+- **[forgejo/QUICK-START.md](serveur/forgejo/QUICK-START.md)** - Sécuriser Forgejo en 15 min
+- **[forgejo/bloquer-telechargements-abusifs.md](serveur/forgejo/bloquer-telechargements-abusifs.md)** - Fail2ban, rate limiting
+
+### [conventions/](conventions/) - Bonnes pratiques
+
+- **[svelte-kit-frontend-conventions.md](conventions/svelte-kit-frontend-conventions.md)** - Structure et conventions pour SvelteKit
+
+---
+
+## 🎯 Par besoin
+
+### Je viens d'avoir un VPS
+1. **[Apprendre Vim](serveur/linux-essentials/vim-guide-essentiel.md)** - Éditeur essentiel (15 min)
+2. **[Configuration VPS complète](serveur/vps-setup.md)** - Sécurité, serveur web, SSL
+3. **[Architecture Linux](serveur/linux-essentials/architecture-filesystem.md)** - Comprendre où sont les fichiers
+4. **[Commandes essentielles](serveur/linux-essentials/comprendre-commandes-find-du.md)** - find, du, grep
+
+### Mon serveur a un problème
+- **Disque plein** → [diagnostic-espace-disque.md](serveur/linux-essentials/diagnostic-espace-disque.md)
+- **Attaque de bots** → [analyse-logs-detection-bots.md](serveur/linux-essentials/analyse-logs-detection-bots.md)
+- **Forgejo saturé** → [bloquer-telechargements-abusifs.md](serveur/forgejo/bloquer-telechargements-abusifs.md)
+
+### Je développe une application
+- **SvelteKit** → [svelte-kit-frontend-conventions.md](conventions/svelte-kit-frontend-conventions.md)
+
+---
+
+## 🔍 Recherche rapide
+
+### Commandes serveur
+```bash
+# Espace disque
+df -h                                    # Vue globale
+du -sh /* | sort -h | tail -10           # Top 10 dossiers
+
+# Recherche de fichiers
+find /path -name "*.log" -size +100M     # Gros fichiers logs
+grep -r "erreur" /var/log/               # Chercher dans les logs
+
+# Services
+systemctl status apache2                 # État d'un service
+journalctl -u service -n 50              # Logs d'un service
+```
+
+### SSH et déploiement
+```bash
+# Connexion
+ssh user@host
+
+# Déploiement avec rsync
+rsync -avhP ./dist/ user@host:/var/www/site/
+
+# Certificat SSL
+certbot --apache -d example.com
+```
+
+### Pare-feu et sécurité
+```bash
+# UFW
+ufw status verbose                       # État du pare-feu
+ufw allow 80/tcp                         # Autoriser un port
+
+# Fail2ban
+fail2ban-client status                   # Vue d'ensemble
+fail2ban-client status sshd              # IPs bannies SSH
+```
+
+---
+
+## 🛠️ Outils utiles
+
+- **[Explain Shell](https://explainshell.com/)** - Décompose les commandes shell
+- **[SSL Labs](https://www.ssllabs.com/ssltest/)** - Teste la configuration SSL
+- **[Security Headers](https://securityheaders.com/)** - Teste les en-têtes de sécurité
+
+---
+
+## 📝 Notes
+
+Ces guides sont créés à partir d'expériences réelles en production. Ils sont conçus pour être :
+- **Pratiques** : Des solutions concrètes à des problèmes réels
+- **Pédagogiques** : Explications détaillées pour comprendre ce qu'on fait
+- **Rapides** : Temps de lecture/application indiqué pour chaque guide
+
+**Structure des guides :**
+- 📋 Table des matières pour navigation rapide
+- ✅ Checklists pour ne rien oublier
+- ⚠️ Avertissements sur les points critiques
+- 💡 Tips et bonnes pratiques
+- 🔍 Sections troubleshooting
+
+---
+
+## 🌱 Contribuer
+
+Améliorations bienvenues :
+- Nouveaux guides
+- Corrections et clarifications
+- Scripts d'automatisation
+- Traductions
+
+**Organisation :**
+- Guides serveur → `serveur/`
+- Guides spécifiques à un service → `serveur/nom-service/`
+- Conventions de code → `conventions/`
diff --git a/serveur/README.md b/serveur/README.md
index 236dd33..a21320d 100644
--- a/serveur/README.md
+++ b/serveur/README.md
@@ -6,6 +6,7 @@ Collection de guides pratiques pour administrer des serveurs Linux et services a
 
 ```
 serveur/
+├── vps-setup.md          Configuration complète d'un VPS depuis zéro
 ├── linux-essentials/     Guides généralistes Linux
 └── forgejo/             Guides spécifiques Forgejo
 ```
@@ -14,6 +15,9 @@ serveur/
 
 ## 🚀 Démarrage rapide
 
+### Vous avez un nouveau VPS ?
+👉 Suivez [vps-setup.md](vps-setup.md) pour le configurer et sécuriser
+
 ### Vous débutez sur Linux ?
 👉 Commencez par [linux-essentials/architecture-filesystem.md](linux-essentials/architecture-filesystem.md)
 
@@ -27,10 +31,20 @@ serveur/
 
 ## 📚 Tous les guides
 
+### Configuration VPS
+
+| Guide | Description | Niveau | Temps |
+|-------|-------------|--------|-------|
+| **[vps-setup-rapide.md](vps-setup-rapide.md)** | Setup VPS rapide et sécurisé (SSH, UFW, Fail2ban, Apache, SSL) | Débutant | 30-50 min |
+| **[vps-setup-complet.md](vps-setup-complet.md)** | Guide détaillé avec explications approfondies | Débutant | 1-2h |
+| **[kirby-vps-deploy.md](kirby-vps-deploy.md)** | Déployer Kirby CMS sur VPS (VirtualHost, multi-sites, déploiement) | Intermédiaire | 20-30 min |
+| **[kirby-ci-cd-deploy.md](kirby-ci-cd-deploy.md)** | CI/CD pour Kirby (GitLab CI, Forgejo Actions, Docker) | Avancé | 1-2h setup |
+
 ### [linux-essentials/](linux-essentials/) - Bases Linux
 
 | Guide | Description | Niveau | Temps |
 |-------|-------------|--------|-------|
+| **[vim-guide-essentiel.md](linux-essentials/vim-guide-essentiel.md)** | Maîtriser Vim pour éditer les fichiers de configuration | Débutant | 15-30 min |
 | **[architecture-filesystem.md](linux-essentials/architecture-filesystem.md)** | Comprendre /etc, /var, /lib et l'organisation Linux | Débutant | 30-45 min |
 | **[diagnostic-espace-disque.md](linux-essentials/diagnostic-espace-disque.md)** | Identifier et résoudre les problèmes d'espace disque | Débutant | 15-30 min |
 | **[analyse-logs-detection-bots.md](linux-essentials/analyse-logs-detection-bots.md)** | Analyser les logs, détecter et bloquer les bots | Intermédiaire | 20-40 min |
@@ -47,6 +61,16 @@ serveur/
 
 ## 🎯 Par problème
 
+### Nouveau VPS à configurer
+
+**Parcours rapide (30-50 min) :**
+1. Setup de base → [vps-setup-rapide.md](vps-setup-rapide.md)
+2. Déployer Kirby → [kirby-vps-deploy.md](kirby-vps-deploy.md)
+
+**Parcours détaillé (2-3h) :**
+1. Setup complet → [vps-setup-complet.md](vps-setup-complet.md)
+2. Déployer Kirby → [kirby-vps-deploy.md](kirby-vps-deploy.md)
+
 ### Disque saturé (100%)
 
 **Diagnostic :**
@@ -62,14 +86,45 @@ serveur/
 ### Apprendre Linux
 
 **Parcours :**
-1. Architecture système → [architecture-filesystem.md](linux-essentials/architecture-filesystem.md)
-2. Commandes essentielles → [comprendre-commandes-find-du.md](linux-essentials/comprendre-commandes-find-du.md)
-3. Pratique → [diagnostic-espace-disque.md](linux-essentials/diagnostic-espace-disque.md)
+1. Éditeur Vim → [vim-guide-essentiel.md](linux-essentials/vim-guide-essentiel.md) ⭐ Essentiel
+2. Architecture système → [architecture-filesystem.md](linux-essentials/architecture-filesystem.md)
+3. Commandes essentielles → [comprendre-commandes-find-du.md](linux-essentials/comprendre-commandes-find-du.md)
+4. Pratique → [diagnostic-espace-disque.md](linux-essentials/diagnostic-espace-disque.md)
 
 ---
 
 ## 🔧 Commandes les plus utiles
 
+### Configuration VPS
+```bash
+# Première connexion
+ssh root@IP_DU_VPS
+
+# Créer un utilisateur
+adduser monuser && usermod -aG sudo monuser
+
+# Configurer le pare-feu
+ufw allow 22/tcp && ufw allow 80/tcp && ufw allow 443/tcp
+ufw enable
+
+# Vérifier les services
+systemctl status apache2
+systemctl status fail2ban
+fail2ban-client status sshd
+```
+
+### Déploiement
+```bash
+# Avec rsync
+rsync -avhP ./dist/ user@IP:/var/www/site/
+
+# Recharger Apache après déploiement
+ssh user@IP 'sudo systemctl reload apache2'
+
+# Obtenir un certificat SSL
+sudo certbot --apache -d example.com
+```
+
 ### Espace disque
 ```bash
 df -h                                    # Vue globale
@@ -106,7 +161,7 @@ du -sh /var/lib/docker                   # Données Docker
 
 | Dossier | Rôle | Exemple typique |
 |---------|------|-----------------|
-| `/etc` | Configurations | `/etc/nginx/nginx.conf` |
+| `/etc` | Configurations | `/etc/apache2/apache2.conf` |
 | `/var/log` | Logs | `/var/log/syslog` |
 | `/var/lib` | Données d'état | `/var/lib/docker/` |
 | `/home` | Dossiers utilisateurs | `/home/debian/` |
diff --git a/serveur/kirby-ci-cd-deploy.md b/serveur/kirby-ci-cd-deploy.md
new file mode 100644
index 0000000..ea01459
--- /dev/null
+++ b/serveur/kirby-ci-cd-deploy.md
@@ -0,0 +1,1007 @@
+# CI/CD pour déployer Kirby
+
+Automatiser le déploiement de Kirby CMS avec GitLab CI ou Forgejo Actions (alternatives libres).
+
+**🆓 Philosophie :** Ce guide privilégie les solutions **libres et open-source** :
+- **Forgejo** : Alternative libre à GitHub, auto-hébergeable
+- **GitLab** : Solution mature avec version Community (libre)
+- Pas de dépendance aux services propriétaires
+
+---
+
+## 📋 Table des matières
+
+1. [Concepts de base](#concepts-de-base)
+2. [GitLab CI (SSH/rsync)](#gitlab-ci-sshrsync)
+3. [Forgejo Actions (SSH/rsync)](#forgejo-actions-sshrsync)
+4. [Forgejo Actions (FTP)](#forgejo-actions-ftp)
+5. [Image Docker optimisée](#image-docker-optimisée-pour-kirby)
+6. [Configuration des secrets](#configuration-des-secrets)
+7. [Troubleshooting](#troubleshooting)
+
+---
+
+## Concepts de base
+
+### Workflow typique
+
+```
+1. Push sur main/master
+   ↓
+2. CI/CD se déclenche
+   ↓
+3. Stage BUILD
+   - Installer les dépendances (Composer)
+   - Optimiser (autoloader, assets)
+   ↓
+4. Stage DEPLOY
+   - Se connecter au VPS (SSH ou FTP)
+   - Synchroniser les fichiers
+   - Exclure les dossiers sensibles (cache, sessions, accounts)
+   ↓
+5. ✅ Site déployé
+```
+
+### Prérequis VPS
+
+- VPS configuré → [vps-setup-rapide.md](vps-setup-rapide.md)
+- Site Kirby fonctionnel → [kirby-vps-deploy.md](kirby-vps-deploy.md)
+- Clé SSH configurée (pour déploiement SSH)
+
+---
+
+## GitLab CI (SSH/rsync)
+
+### Avantages
+- ✅ Rapide (rsync ne transfère que les modifications)
+- ✅ Sécurisé (SSH)
+- ✅ Contrôle total (permissions, exclusions)
+- ✅ Logs détaillés
+
+### Configuration complète
+
+**.gitlab-ci.yml** à la racine du projet :
+
+```yaml
+stages:
+  - build
+  - deploy
+
+variables:
+  COMPOSER_ALLOW_SUPERUSER: "1"
+
+# ===== STAGE BUILD =====
+build_prod:
+  stage: build
+  only:
+    - main  # Déclencher uniquement sur la branche main
+  image: composer:2  # Image officielle Composer
+  script:
+    # Installer les dépendances Kirby
+    - composer install --no-dev --optimize-autoloader --ignore-platform-req=ext-gd
+  artifacts:
+    # Fichiers à passer au stage deploy
+    paths:
+      - vendor/
+      - kirby/
+      - site/
+      - assets/
+      - content/
+      - media/
+      - index.php
+      - .htaccess
+    expire_in: 1 hour  # Les artifacts expirent après 1h
+
+# ===== STAGE DEPLOY =====
+deploy_prod:
+  stage: deploy
+  image: alpine:latest
+  only:
+    - main
+  dependencies:
+    - build_prod  # Récupère les artifacts du build
+  before_script:
+    # Installer rsync et SSH
+    - apk add --no-cache rsync openssh
+
+    # Configurer la clé SSH
+    - mkdir -p ~/.ssh
+    - echo -e "$SSH_PRIVATE_KEY" > ~/.ssh/id_ed25519
+    - chmod 600 ~/.ssh/id_ed25519
+
+    # Configuration SSH (désactiver la vérification de l'host)
+    - |
+      cat > ~/.ssh/config <<EOF
+      Host *
+          StrictHostKeyChecking no
+          UserKnownHostsFile /dev/null
+          BatchMode yes
+          IdentitiesOnly yes
+      EOF
+    - chmod 600 ~/.ssh/config
+
+  script:
+    - echo "🚀 Déploiement sur le serveur de production..."
+
+    # Fonction rsync réutilisable
+    - |
+      rsync_deploy() {
+        src="$1"
+        dst="$2"
+        shift 2
+        cmd="rsync -az --delete --no-perms --no-owner --no-group"
+        for excl in "$@"; do
+          cmd="$cmd --exclude=$excl"
+        done
+        cmd="$cmd -e 'ssh -p ${SSH_PORT:-22} -i ~/.ssh/id_ed25519' $src $USERNAME@$HOST:$dst"
+        echo "$cmd"
+        eval $cmd
+      }
+
+    # Déployer les dossiers buildés
+    - rsync_deploy site/ "$PROD_PATH/site/" "accounts/" "cache/" "sessions/"
+    - rsync_deploy vendor/ "$PROD_PATH/vendor/"
+    - rsync_deploy kirby/ "$PROD_PATH/kirby/"
+    - rsync_deploy assets/ "$PROD_PATH/assets/"
+    - rsync_deploy content/ "$PROD_PATH/content/"
+    - rsync_deploy media/ "$PROD_PATH/media/"
+    - rsync_deploy .htaccess "$PROD_PATH/"
+    - rsync_deploy index.php "$PROD_PATH/"
+
+    - echo "✅ Déploiement terminé !"
+```
+
+### Variables CI/CD à configurer
+
+**GitLab → Settings → CI/CD → Variables :**
+
+| Variable | Valeur | Protégé | Masqué |
+|----------|--------|---------|--------|
+| `SSH_PRIVATE_KEY` | Contenu de `~/.ssh/id_ed25519` | ✅ | ✅ |
+| `HOST` | `203.0.113.10` (IP du VPS) | ✅ | ❌ |
+| `USERNAME` | `debian` | ✅ | ❌ |
+| `SSH_PORT` | `22` (ou autre si modifié) | ❌ | ❌ |
+| `PROD_PATH` | `/var/www/monsite.com` | ✅ | ❌ |
+
+**Obtenir la clé SSH privée :**
+
+```bash
+cat ~/.ssh/id_ed25519
+# Copiez TOUT le contenu (-----BEGIN ... -----END)
+```
+
+---
+
+## Forgejo Actions (SSH/rsync)
+
+### Avantages
+- ✅ **Libre** : Alternative open-source à GitHub
+- ✅ Auto-hébergé : Vos données restent chez vous
+- ✅ Compatible : Syntaxe proche de GitHub Actions
+- ✅ Rapide : rsync incrémental
+
+### Configuration
+
+**.forgejo/workflows/deploy.yml** :
+
+```yaml
+name: Deploy to VPS
+
+on:
+  push:
+    branches:
+      - main
+
+jobs:
+  deploy:
+    name: Build and Deploy
+    runs-on: docker
+
+    container:
+      image: php:8.2-cli  # Image PHP avec Composer
+
+    steps:
+      - name: Checkout code
+        uses: actions/checkout@v4
+
+      - name: Install Composer
+        run: |
+          curl -sS https://getcomposer.org/installer | php
+          mv composer.phar /usr/local/bin/composer
+
+      - name: Install dependencies
+        run: composer install --no-dev --optimize-autoloader
+
+      - name: Deploy to VPS
+        env:
+          SSH_PRIVATE_KEY: ${{ secrets.SSH_PRIVATE_KEY }}
+          HOST: ${{ secrets.HOST }}
+          USERNAME: ${{ secrets.USERNAME }}
+          PROD_PATH: ${{ secrets.PROD_PATH }}
+        run: |
+          # Installer rsync et SSH
+          apt-get update -qq
+          apt-get install -y -qq rsync openssh-client
+
+          # Configurer SSH
+          mkdir -p ~/.ssh
+          echo "$SSH_PRIVATE_KEY" > ~/.ssh/id_ed25519
+          chmod 600 ~/.ssh/id_ed25519
+
+          cat > ~/.ssh/config <<EOF
+          Host *
+              StrictHostKeyChecking no
+              UserKnownHostsFile /dev/null
+              BatchMode yes
+              IdentitiesOnly yes
+          EOF
+          chmod 600 ~/.ssh/config
+
+          # Déployer avec rsync
+          echo "🚀 Déploiement..."
+
+          rsync -avz --delete \
+            --exclude 'site/accounts/' \
+            --exclude 'site/cache/' \
+            --exclude 'site/sessions/' \
+            --exclude '.git' \
+            --exclude '.github' \
+            --exclude '.forgejo' \
+            --exclude 'node_modules' \
+            -e "ssh -i ~/.ssh/id_ed25519" \
+            ./ $USERNAME@$HOST:$PROD_PATH/
+
+          echo "✅ Déploiement terminé !"
+```
+
+### Secrets à configurer
+
+**Dans Forgejo :** Settings → Secrets → Actions
+
+| Secret | Valeur |
+|--------|--------|
+| `SSH_PRIVATE_KEY` | Clé privée SSH complète |
+| `HOST` | IP ou domaine du VPS |
+| `USERNAME` | Utilisateur SSH |
+| `PROD_PATH` | Chemin absolu sur le VPS |
+
+**💡 Note :** Si vous utilisez GitLab, la configuration des secrets est identique (Settings → CI/CD → Variables)
+
+---
+
+## Forgejo Actions (FTP)
+
+### Quand utiliser FTP ?
+
+- ✅ Hébergement mutualisé (pas d'accès SSH)
+- ✅ Hébergeur impose FTP uniquement
+- ❌ Plus lent que SSH/rsync
+- ❌ Moins sécurisé (sauf FTPS/SFTP)
+
+### Configuration
+
+**.forgejo/workflows/deploy-ftp.yml** :
+
+```yaml
+name: Deploy via FTP
+
+on:
+  push:
+    branches:
+      - main
+
+jobs:
+  deploy:
+    name: Deploy to FTP
+    runs-on: docker
+    container:
+      image: forgejo-ci-php:latest  # Image custom (voir ci-dessous)
+
+    steps:
+      - name: Checkout code
+        run: |
+          git clone --depth 1 --branch main \
+            https://forge.example.com/${{ github.repository }}.git .
+
+      - name: Install dependencies
+        run: composer install --no-dev --optimize-autoloader
+
+      - name: Deploy via FTP
+        env:
+          FTP_USERNAME: ${{ secrets.FTP_USERNAME }}
+          FTP_PASSWORD: ${{ secrets.FTP_PASSWORD }}
+          FTP_HOST: ${{ secrets.FTP_HOST }}
+        run: |
+          # Installer lftp (client FTP puissant)
+          apt-get update -qq && apt-get install -y -qq lftp
+
+          # Script lftp
+          cat > /tmp/lftp-script.txt <<SCRIPT
+          set ftp:ssl-allow no
+          open -u $FTP_USERNAME,$FTP_PASSWORD $FTP_HOST
+
+          # Synchroniser les dossiers (mirror --reverse = upload)
+          mirror --reverse --verbose --ignore-time --parallel=10 \
+            -x accounts/ -x cache/ -x sessions/ \
+            site site
+
+          mirror --reverse --verbose --ignore-time --parallel=10 \
+            kirby kirby
+
+          mirror --reverse --verbose --ignore-time --parallel=10 \
+            vendor vendor
+
+          mirror --reverse --verbose --ignore-time --parallel=10 \
+            assets assets
+
+          mirror --reverse --verbose --ignore-time --parallel=10 \
+            content content
+
+          # Upload des fichiers individuels
+          put .htaccess
+          put index.php
+
+          quit
+          SCRIPT
+
+          # Exécuter
+          lftp -f /tmp/lftp-script.txt
+
+          echo "✅ Déploiement FTP terminé !"
+```
+
+### Secrets FTP
+
+| Secret | Valeur |
+|--------|--------|
+| `FTP_HOST` | `ftp.example.com` |
+| `FTP_USERNAME` | Utilisateur FTP |
+| `FTP_PASSWORD` | Mot de passe FTP |
+
+---
+
+## Image Docker optimisée pour Kirby
+
+### Pourquoi créer une image custom ?
+
+**Sans image custom :**
+```
+Chaque CI installe : Composer + dépendances + rsync/lftp
+→ Temps : 2-5 minutes
+→ Bande passante gaspillée
+```
+
+**Avec image custom :**
+```
+Image pré-configurée avec tout installé
+→ Temps : 30 secondes - 1 minute
+→ CI plus rapide et stable
+```
+
+### Créer l'image Docker
+
+**Dockerfile** :
+
+```dockerfile
+FROM php:8.2-cli
+
+# Métadonnées
+LABEL maintainer="votre-email@example.com"
+LABEL description="Image PHP optimisée pour CI Kirby CMS"
+
+# Installation des extensions PHP nécessaires pour Kirby
+RUN apt-get update && apt-get install -y \
+    # Extensions PHP
+    libzip-dev \
+    libpng-dev \
+    libjpeg-dev \
+    libfreetype6-dev \
+    # Outils de déploiement
+    rsync \
+    openssh-client \
+    lftp \
+    git \
+    unzip \
+    # Nettoyage
+    && rm -rf /var/lib/apt/lists/*
+
+# Configurer GD (images)
+RUN docker-php-ext-configure gd --with-freetype --with-jpeg \
+    && docker-php-ext-install -j$(nproc) gd zip
+
+# Installer Composer
+RUN curl -sS https://getcomposer.org/installer | php -- \
+    --install-dir=/usr/local/bin --filename=composer
+
+# Définir Composer en mode superuser (pour CI)
+ENV COMPOSER_ALLOW_SUPERUSER=1
+
+# Optimisations Composer
+RUN composer global config --no-plugins allow-plugins.composer/installers true
+
+# Version et vérification
+RUN php -v && composer --version && rsync --version
+
+WORKDIR /workspace
+
+CMD ["/bin/bash"]
+```
+
+### Builder et publier l'image
+
+**Option 1 : Forgejo Container Registry** (recommandé - auto-hébergé)
+
+```bash
+# Builder l'image
+docker build -t forge.example.com/votre-user/kirby-ci:latest .
+
+# Tester localement
+docker run --rm -it forge.example.com/votre-user/kirby-ci:latest bash
+composer --version
+rsync --version
+
+# Login sur votre registry Forgejo
+docker login forge.example.com
+
+# Publier
+docker push forge.example.com/votre-user/kirby-ci:latest
+```
+
+**Option 2 : GitLab Container Registry**
+
+```bash
+# Builder
+docker build -t registry.gitlab.com/votre-user/kirby-ci:latest .
+
+# Login GitLab
+docker login registry.gitlab.com
+
+# Publier
+docker push registry.gitlab.com/votre-user/kirby-ci:latest
+```
+
+**Option 3 : Docker Hub** (public)
+
+```bash
+# Builder
+docker build -t votre-user/kirby-ci:latest .
+
+# Login Docker Hub
+docker login
+
+# Publier
+docker push votre-user/kirby-ci:latest
+```
+
+### Utiliser l'image dans la CI
+
+**GitLab CI :**
+
+```yaml
+build_prod:
+  stage: build
+  image: registry.gitlab.com/votre-user/kirby-ci:latest  # Votre image custom
+  script:
+    - composer install --no-dev --optimize-autoloader
+```
+
+**Forgejo Actions :**
+
+```yaml
+jobs:
+  deploy:
+    runs-on: docker
+    container:
+      image: forge.example.com/votre-user/kirby-ci:latest
+    steps:
+      - name: Install dependencies
+        run: composer install --no-dev --optimize-autoloader
+```
+
+**Gain de temps :**
+- Avant : ~3-5 min (install PHP + Composer + tools)
+- Après : ~30s - 1 min (juste `composer install`)
+
+---
+
+## Configuration des secrets
+
+### Clé SSH pour la CI
+
+**1. Générer une clé dédiée à la CI (recommandé) :**
+
+```bash
+# Sur votre machine locale
+ssh-keygen -t ed25519 -C "ci-deploy-kirby" -f ~/.ssh/ci_deploy
+
+# Deux fichiers créés :
+# ~/.ssh/ci_deploy       (PRIVÉE - pour la CI)
+# ~/.ssh/ci_deploy.pub   (PUBLIQUE - pour le VPS)
+```
+
+**2. Ajouter la clé publique au VPS :**
+
+```bash
+# Copier la clé publique
+cat ~/.ssh/ci_deploy.pub
+
+# Sur le VPS
+ssh debian@VPS
+vim ~/.ssh/authorized_keys
+# Collez la clé publique sur une nouvelle ligne
+```
+
+**3. Ajouter la clé privée dans les secrets CI :**
+
+```bash
+# Afficher la clé PRIVÉE
+cat ~/.ssh/ci_deploy
+
+# Copiez TOUT (-----BEGIN ... -----END)
+# Puis ajoutez dans les secrets CI sous le nom SSH_PRIVATE_KEY
+```
+
+### Vérification
+
+**Tester la clé depuis votre machine :**
+
+```bash
+ssh -i ~/.ssh/ci_deploy debian@VPS
+# Doit fonctionner sans mot de passe
+```
+
+---
+
+## Déploiement multi-environnements
+
+### Staging + Production
+
+**.gitlab-ci.yml** :
+
+```yaml
+stages:
+  - build
+  - deploy-staging
+  - deploy-production
+
+build:
+  stage: build
+  image: votre-user/kirby-ci:latest
+  script:
+    - composer install --no-dev --optimize-autoloader
+  artifacts:
+    paths:
+      - vendor/
+      - kirby/
+      - site/
+      - assets/
+      - .htaccess
+      - index.php
+
+# Déploiement automatique sur staging (toutes les branches)
+deploy_staging:
+  stage: deploy-staging
+  image: alpine:latest
+  only:
+    - branches
+  except:
+    - main
+  before_script:
+    - apk add --no-cache rsync openssh
+    - mkdir -p ~/.ssh
+    - echo "$SSH_PRIVATE_KEY" > ~/.ssh/id_ed25519
+    - chmod 600 ~/.ssh/id_ed25519
+  script:
+    - rsync -avz --delete \
+        --exclude 'site/accounts/' \
+        --exclude 'site/cache/' \
+        --exclude 'site/sessions/' \
+        -e "ssh -i ~/.ssh/id_ed25519" \
+        ./ $STAGING_USERNAME@$STAGING_HOST:$STAGING_PATH/
+
+# Déploiement manuel sur production (branche main uniquement)
+deploy_production:
+  stage: deploy-production
+  image: alpine:latest
+  only:
+    - main
+  when: manual  # Nécessite une action manuelle
+  before_script:
+    - apk add --no-cache rsync openssh
+    - mkdir -p ~/.ssh
+    - echo "$SSH_PRIVATE_KEY" > ~/.ssh/id_ed25519
+    - chmod 600 ~/.ssh/id_ed25519
+  script:
+    - rsync -avz --delete \
+        --exclude 'site/accounts/' \
+        --exclude 'site/cache/' \
+        --exclude 'site/sessions/' \
+        -e "ssh -i ~/.ssh/id_ed25519" \
+        ./ $PROD_USERNAME@$PROD_HOST:$PROD_PATH/
+```
+
+**Variables supplémentaires :**
+
+| Variable | Staging | Production |
+|----------|---------|------------|
+| `STAGING_HOST` | `staging.example.com` | - |
+| `STAGING_USERNAME` | `debian` | - |
+| `STAGING_PATH` | `/var/www/staging.example.com` | - |
+| `PROD_HOST` | - | `example.com` |
+| `PROD_USERNAME` | - | `debian` |
+| `PROD_PATH` | - | `/var/www/example.com` |
+
+---
+
+## Optimisations
+
+### Cache Composer
+
+**GitLab CI :**
+
+```yaml
+build_prod:
+  stage: build
+  image: composer:2
+  cache:
+    key: composer-cache
+    paths:
+      - vendor/
+  script:
+    - composer install --no-dev --optimize-autoloader
+```
+
+**Forgejo Actions :**
+
+```yaml
+- name: Cache Composer
+  uses: actions/cache@v4
+  with:
+    path: vendor
+    key: ${{ runner.os }}-composer-${{ hashFiles('**/composer.lock') }}
+
+- name: Install dependencies
+  run: composer install --no-dev --optimize-autoloader
+```
+
+**💡 Note :** Forgejo Actions supporte la syntaxe GitHub Actions (compatibilité)
+
+### Déploiement incrémental (rsync optimisé)
+
+```bash
+# Ne synchroniser que les fichiers modifiés
+rsync -avz --delete --checksum \
+  --exclude 'site/accounts/' \
+  --exclude 'site/cache/' \
+  --exclude 'site/sessions/' \
+  --exclude 'media/' \
+  -e "ssh -i ~/.ssh/id_ed25519" \
+  ./ $USERNAME@$HOST:$PROD_PATH/
+```
+
+**Options rsync importantes :**
+
+| Option | Description |
+|--------|-------------|
+| `-a` | Mode archive (préserve tout) |
+| `-v` | Verbeux (affiche les fichiers) |
+| `-z` | Compression pendant le transfert |
+| `--delete` | Supprime les fichiers distants en trop |
+| `--checksum` | Compare par checksum (plus précis) |
+| `--dry-run` | Simulation (ne fait rien) |
+
+### Rollback rapide
+
+**Script de rollback :**
+
+```yaml
+rollback:
+  stage: deploy
+  when: manual
+  script:
+    - ssh $USERNAME@$HOST "cd $PROD_PATH && git reset --hard HEAD~1"
+```
+
+---
+
+## Notifications
+
+### Slack
+
+**GitLab CI :**
+
+```yaml
+after_script:
+  - |
+    curl -X POST -H 'Content-type: application/json' \
+    --data "{\"text\":\"✅ Déploiement de $CI_PROJECT_NAME réussi !\"}" \
+    $SLACK_WEBHOOK_URL
+```
+
+**Variables :**
+- `SLACK_WEBHOOK_URL` : URL du webhook Slack
+
+### Discord
+
+```yaml
+after_script:
+  - |
+    curl -X POST -H 'Content-Type: application/json' \
+    -d "{\"content\":\"✅ **$CI_PROJECT_NAME** déployé sur production !\"}" \
+    $DISCORD_WEBHOOK_URL
+```
+
+---
+
+## Troubleshooting
+
+### Erreur "Permission denied (publickey)"
+
+**Cause :** La clé SSH n'est pas reconnue par le VPS.
+
+**Solutions :**
+
+1. Vérifier que la clé publique est bien dans `~/.ssh/authorized_keys` sur le VPS
+2. Vérifier les permissions :
+   ```bash
+   chmod 700 ~/.ssh
+   chmod 600 ~/.ssh/authorized_keys
+   ```
+3. Vérifier le format de la clé privée dans les secrets (doit inclure `-----BEGIN` et `-----END`)
+
+### Erreur "Host key verification failed"
+
+**Cause :** Le serveur SSH demande une confirmation.
+
+**Solution :** Désactiver la vérification dans la config SSH :
+
+```yaml
+before_script:
+  - |
+    cat > ~/.ssh/config <<EOF
+    Host *
+        StrictHostKeyChecking no
+        UserKnownHostsFile /dev/null
+    EOF
+```
+
+### Composer install échoue
+
+**Erreur :** `ext-gd is missing`
+
+**Solution 1 :** Ignorer les requirements de plateforme :
+
+```bash
+composer install --no-dev --optimize-autoloader --ignore-platform-req=ext-gd
+```
+
+**Solution 2 :** Utiliser une image avec GD pré-installé (image custom)
+
+### rsync trop lent
+
+**Optimisations :**
+
+```bash
+# Paralléliser avec --partial-dir
+rsync -avz --delete --partial-dir=.rsync-partial \
+  --exclude 'media/' \
+  ./ $USERNAME@$HOST:$PROD_PATH/
+
+# Ou exclure les gros dossiers (uploads manuels)
+rsync -avz --delete \
+  --exclude 'media/' \
+  --exclude 'assets/tiles/' \
+  ./ $USERNAME@$HOST:$PROD_PATH/
+```
+
+### FTP trop lent
+
+**Optimisation lftp :**
+
+```bash
+mirror --reverse --verbose --parallel=20 \
+  --exclude-glob cache/ \
+  --exclude-glob sessions/ \
+  site site
+```
+
+**Augmenter `--parallel` (jusqu'à 20-30 connexions simultanées)**
+
+---
+
+## Comparaison des méthodes
+
+| Critère | SSH/rsync | FTP/lftp |
+|---------|-----------|----------|
+| **Vitesse** | ⭐⭐⭐⭐⭐ Très rapide | ⭐⭐⭐ Moyen |
+| **Sécurité** | ⭐⭐⭐⭐⭐ SSH chiffré | ⭐⭐ FTP non chiffré (FTPS mieux) |
+| **Fiabilité** | ⭐⭐⭐⭐⭐ Très stable | ⭐⭐⭐ Dépend du serveur FTP |
+| **Compatibilité** | ⭐⭐⭐ VPS/dédié | ⭐⭐⭐⭐⭐ Tous hébergements |
+| **Facilité** | ⭐⭐⭐⭐ Simple avec clés SSH | ⭐⭐⭐⭐⭐ Très simple |
+| **Bande passante** | ⭐⭐⭐⭐⭐ Optimisée (delta) | ⭐⭐⭐ Retransfère tout |
+
+**Recommandation :**
+- VPS/Serveur dédié → **SSH/rsync** (meilleure option)
+- Hébergement mutualisé → **FTP/lftp** (seule option souvent)
+
+---
+
+## Exemple complet GitLab CI (production-ready)
+
+**.gitlab-ci.yml** :
+
+```yaml
+stages:
+  - build
+  - test
+  - deploy
+
+variables:
+  COMPOSER_ALLOW_SUPERUSER: "1"
+
+# ===== BUILD =====
+build:
+  stage: build
+  image: votre-user/kirby-ci:latest
+  cache:
+    key: composer-$CI_COMMIT_REF_SLUG
+    paths:
+      - vendor/
+  script:
+    - composer install --no-dev --optimize-autoloader
+  artifacts:
+    paths:
+      - vendor/
+      - kirby/
+      - site/
+      - assets/
+      - content/
+      - index.php
+      - .htaccess
+    expire_in: 1 hour
+
+# ===== TEST =====
+test:
+  stage: test
+  image: votre-user/kirby-ci:latest
+  dependencies:
+    - build
+  script:
+    - echo "🧪 Vérification de la structure Kirby..."
+    - test -d kirby || exit 1
+    - test -f index.php || exit 1
+    - test -f .htaccess || exit 1
+    - echo "✅ Structure OK"
+
+# ===== DEPLOY PRODUCTION =====
+deploy_production:
+  stage: deploy
+  image: alpine:latest
+  only:
+    - main
+  when: manual  # Déploiement manuel sur prod
+  dependencies:
+    - build
+  before_script:
+    - apk add --no-cache rsync openssh
+    - mkdir -p ~/.ssh
+    - echo "$SSH_PRIVATE_KEY" > ~/.ssh/id_ed25519
+    - chmod 600 ~/.ssh/id_ed25519
+    - |
+      cat > ~/.ssh/config <<EOF
+      Host *
+          StrictHostKeyChecking no
+          UserKnownHostsFile /dev/null
+          BatchMode yes
+          IdentitiesOnly yes
+      EOF
+    - chmod 600 ~/.ssh/config
+  script:
+    - echo "🚀 Déploiement sur $PROD_HOST..."
+    - |
+      rsync -avz --delete --checksum \
+        --exclude 'site/accounts/' \
+        --exclude 'site/cache/' \
+        --exclude 'site/sessions/' \
+        --exclude '.git' \
+        --exclude '.gitlab-ci.yml' \
+        -e "ssh -p ${SSH_PORT:-22} -i ~/.ssh/id_ed25519" \
+        ./ $USERNAME@$PROD_HOST:$PROD_PATH/
+    - echo "✅ Déploiement terminé !"
+  after_script:
+    - |
+      curl -X POST -H 'Content-type: application/json' \
+      --data "{\"text\":\"✅ $CI_PROJECT_NAME déployé en production\"}" \
+      $SLACK_WEBHOOK_URL || true
+```
+
+---
+
+## Checklist déploiement CI/CD
+
+Avant de mettre en place la CI/CD :
+
+- [ ] VPS configuré et accessible en SSH
+- [ ] Clé SSH dédiée générée pour la CI
+- [ ] Clé publique ajoutée sur le VPS (`~/.ssh/authorized_keys`)
+- [ ] Connexion SSH testée depuis votre machine
+- [ ] Secrets CI configurés (SSH_PRIVATE_KEY, HOST, USERNAME, PROD_PATH)
+- [ ] Fichier `.gitlab-ci.yml` ou `.forgejo/workflows/deploy.yml` créé
+- [ ] Test de déploiement sur branche de test
+- [ ] Vérification du site après déploiement
+- [ ] Notifications configurées (optionnel)
+- [ ] Documentation de rollback prête
+
+---
+
+## Pour aller plus loin
+
+### Docker Compose pour tests locaux
+
+**docker-compose.yml** :
+
+```yaml
+version: '3.8'
+
+services:
+  kirby:
+    build: .
+    volumes:
+      - ./:/workspace
+    working_dir: /workspace
+    command: php -S 0.0.0.0:8000
+    ports:
+      - "8000:8000"
+```
+
+```bash
+# Tester localement
+docker-compose up
+# Ouvrir http://localhost:8000
+```
+
+### Tests automatisés
+
+```yaml
+test:
+  stage: test
+  image: votre-user/kirby-ci:latest
+  script:
+    - composer require --dev phpunit/phpunit
+    - vendor/bin/phpunit tests/
+```
+
+### Monitoring post-déploiement
+
+```yaml
+after_script:
+  # Vérifier que le site répond
+  - |
+    STATUS=$(curl -s -o /dev/null -w "%{http_code}" https://example.com)
+    if [ "$STATUS" != "200" ]; then
+      echo "❌ Le site ne répond pas (HTTP $STATUS)"
+      exit 1
+    fi
+    echo "✅ Site accessible (HTTP 200)"
+```
+
+---
+
+## Ressources
+
+**Docker :**
+- [Docker Hub](https://hub.docker.com/) - Registry d'images
+- [Dockerfile reference](https://docs.docker.com/engine/reference/builder/)
+
+**CI/CD (solutions libres) :**
+- [Forgejo Actions](https://forgejo.org/docs/latest/user/actions/) - Alternative libre auto-hébergée
+- [GitLab CI](https://docs.gitlab.com/ee/ci/) - Solution mature et complète
+- [Woodpecker CI](https://woodpecker-ci.org/) - CI/CD minimaliste et libre
+
+**Déploiement :**
+- [rsync manual](https://linux.die.net/man/1/rsync)
+- [lftp manual](https://lftp.yar.ru/lftp-man.html)
+
+---
+
+**Temps de mise en place :** 1-2h pour la première configuration, puis déploiements en 2-5 minutes ! 🚀
diff --git a/serveur/kirby-vps-deploy.md b/serveur/kirby-vps-deploy.md
new file mode 100644
index 0000000..1ebf966
--- /dev/null
+++ b/serveur/kirby-vps-deploy.md
@@ -0,0 +1,700 @@
+# Déployer Kirby CMS sur VPS
+
+Guide pour déployer un ou plusieurs sites Kirby sur un VPS Apache.
+
+---
+
+## 📋 Prérequis
+
+- VPS configuré avec Apache et SSL → [vps-setup.md](vps-setup.md)
+- Nom de domaine pointant vers le VPS (DNS configuré)
+- Projet Kirby en local (ou à créer)
+- Accès SSH au VPS
+
+---
+
+## 🚀 Déploiement rapide (TL;DR)
+
+```bash
+# 1. Configurer Apache sur le VPS
+ssh user@vps 'sudo vim /etc/apache2/sites-available/monsite.com.conf'
+# [Coller la config VirtualHost ci-dessous]
+
+# 2. Activer le site
+ssh user@vps 'sudo a2ensite monsite.com.conf && sudo systemctl reload apache2'
+
+# 3. Cloner le projet sur le VPS
+ssh user@vps
+cd /var/www/monsite.com
+git clone https://github.com/votre-user/monsite.git .
+composer install --no-dev
+
+# 4. Obtenir le SSL
+sudo certbot --apache -d monsite.com -d www.monsite.com
+```
+
+**Temps total :** 15-20 minutes
+
+---
+
+## Étape 1 : Créer la structure sur le VPS
+
+### 1.1 Créer le dossier du site
+
+```bash
+# Se connecter au VPS
+ssh debian@IP-DU-VPS
+
+# Créer le dossier (remplacer monsite.com)
+sudo mkdir -p /var/www/monsite.com
+
+# Donner les bons droits
+sudo chown -R debian:www-data /var/www/monsite.com
+```
+
+**Explications des droits :**
+- `debian` : votre utilisateur peut modifier les fichiers (déploiement)
+- `www-data` : groupe Apache peut lire et écrire (cache, uploads, panel)
+- `-R` : récursif (tous les sous-dossiers)
+
+**Pourquoi ces droits ?**
+- Kirby a besoin d'écrire dans `/content`, `/site/sessions`, `/media`, `/site/cache`
+- Vous devez pouvoir déployer via Git sans sudo
+
+---
+
+## Étape 2 : Configuration Apache
+
+### 2.1 Créer le VirtualHost
+
+```bash
+sudo vim /etc/apache2/sites-available/monsite.com.conf
+```
+
+**Configuration pour Kirby :**
+
+```apache
+<VirtualHost *:80>
+    ServerName monsite.com
+    ServerAlias www.monsite.com
+
+    DocumentRoot /var/www/monsite.com
+
+    <Directory /var/www/monsite.com>
+        # IMPORTANT pour Kirby : permet l'utilisation de .htaccess
+        AllowOverride All
+
+        Options -Indexes +FollowSymLinks
+        Require all granted
+    </Directory>
+
+    # Logs séparés par site (facilite le debug)
+    ErrorLog ${APACHE_LOG_DIR}/monsite.com_error.log
+    CustomLog ${APACHE_LOG_DIR}/monsite.com_access.log combined
+
+    # Redirection automatique vers HTTPS (après installation SSL)
+    # RewriteEngine on
+    # RewriteCond %{SERVER_NAME} =monsite.com [OR]
+    # RewriteCond %{SERVER_NAME} =www.monsite.com
+    # RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
+</VirtualHost>
+```
+
+**Points importants :**
+- `AllowOverride All` : **OBLIGATOIRE** pour Kirby (URL propres via .htaccess)
+- `-Indexes` : Empêche la liste des fichiers si pas d'index
+- Redirection HTTPS commentée (sera ajoutée automatiquement par Certbot)
+
+### 2.2 Activer le site
+
+```bash
+# Activer le module rewrite (si pas déjà fait)
+sudo a2enmod rewrite
+
+# Activer le site
+sudo a2ensite monsite.com.conf
+
+# Tester la configuration
+sudo apache2ctl configtest
+# Résultat attendu : "Syntax OK"
+
+# Recharger Apache
+sudo systemctl reload apache2
+```
+
+### 2.3 Vérifier (avant déploiement)
+
+```bash
+# Depuis votre machine locale
+curl -I http://monsite.com
+
+# Résultat attendu :
+# HTTP/1.1 403 Forbidden (normal, pas encore de fichiers)
+# ou
+# HTTP/1.1 200 OK (si fichiers index.html par défaut)
+```
+
+---
+
+## Étape 3 : Déployer Kirby avec Git
+
+**Sur le VPS :**
+
+```bash
+cd /var/www/monsite.com
+
+# Cloner le dépôt
+git clone https://github.com/votre-user/monsite.git .
+
+# Ou initialiser et tirer
+git init
+git remote add origin https://github.com/votre-user/monsite.git
+git pull origin main
+
+# Installer les dépendances Composer (si nécessaire)
+composer install --no-dev
+
+# Mettre à jour le site
+git pull origin main
+```
+
+---
+
+## Étape 4 : Configuration Kirby
+
+### 4.1 Permissions des dossiers
+
+Kirby a besoin d'écrire dans certains dossiers :
+
+```bash
+# Sur le VPS
+cd /var/www/monsite.com
+
+# Dossiers qui doivent être inscriptibles par Apache
+sudo chown -R debian:www-data content/ media/ site/sessions/ site/cache/
+sudo chmod -R 775 content/ media/ site/sessions/ site/cache/
+
+# Le reste peut rester en lecture seule pour Apache
+sudo chmod -R 755 kirby/ site/blueprints/ site/templates/
+```
+
+**Pourquoi 775 ?**
+- `7` (propriétaire debian) : lecture, écriture, exécution
+- `7` (groupe www-data) : lecture, écriture, exécution
+- `5` (autres) : lecture, exécution uniquement
+
+### 4.2 Fichier .htaccess
+
+Kirby fournit un `.htaccess` par défaut. Vérifiez qu'il est bien présent :
+
+```bash
+# Sur le VPS
+ls -la /var/www/monsite.com/.htaccess
+```
+
+**Si absent, créez-le :**
+
+```apache
+# Kirby .htaccess
+# Rewrite rules
+<IfModule mod_rewrite.c>
+
+RewriteEngine On
+
+# Redirection www (optionnel)
+# RewriteCond %{HTTP_HOST} ^www\.(.+)$ [NC]
+# RewriteRule ^(.*)$ https://%1/$1 [R=301,L]
+
+# Block files and folders
+RewriteRule ^content/(.*) index.php [L]
+RewriteRule ^site/(.*) index.php [L]
+RewriteRule ^kirby/(.*) index.php [L]
+
+# Rewrite to index.php
+RewriteCond %{REQUEST_FILENAME} !-f
+RewriteCond %{REQUEST_FILENAME} !-d
+RewriteRule ^(.*) index.php [L]
+
+</IfModule>
+
+# Additional security headers
+<IfModule mod_headers.c>
+  Header set X-Content-Type-Options "nosniff"
+  Header set X-Frame-Options "SAMEORIGIN"
+  Header set X-XSS-Protection "1; mode=block"
+</IfModule>
+```
+
+---
+
+## Étape 5 : SSL avec Let's Encrypt
+
+```bash
+# Sur le VPS
+sudo certbot --apache -d monsite.com -d www.monsite.com
+
+# Questions de Certbot :
+# Email : votre-email@example.com
+# Terms of Service : (A)gree
+# Redirect : 2 (rediriger HTTP vers HTTPS)
+```
+
+**Certbot va automatiquement :**
+1. Créer le certificat SSL
+2. Modifier le VirtualHost pour HTTPS
+3. Ajouter la redirection HTTP → HTTPS
+4. Configurer le renouvellement automatique
+
+**Vérifier le SSL :**
+
+```bash
+# Le certificat
+sudo certbot certificates | grep monsite.com
+
+# Tester le renouvellement automatique
+sudo certbot renew --dry-run
+```
+
+**Résultat attendu :**
+- `http://monsite.com` → redirige vers `https://monsite.com` 🔒
+- Panel Kirby accessible : `https://monsite.com/panel`
+
+---
+
+## Étape 6 : Multi-sites (plusieurs Kirby)
+
+Héberger plusieurs sites Kirby sur le même VPS.
+
+### 6.1 Structure recommandée
+
+```
+/var/www/
+├── monsite.com/        # Premier site
+├── autresite.fr/       # Deuxième site
+└── blog.monsite.com/   # Sous-domaine
+```
+
+### 6.2 Ajouter un nouveau site
+
+**Répéter les étapes 1-5 pour chaque site :**
+
+```bash
+# 1. Créer le dossier
+sudo mkdir -p /var/www/autresite.fr
+sudo chown -R debian:www-data /var/www/autresite.fr
+
+# 2. Créer le VirtualHost
+sudo vim /etc/apache2/sites-available/autresite.fr.conf
+# [Coller la config en changeant ServerName et DocumentRoot]
+
+# 3. Activer
+sudo a2ensite autresite.fr.conf
+sudo systemctl reload apache2
+
+# 4. Déployer
+cd /var/www/autresite.fr
+git clone https://github.com/votre-user/autresite.git .
+composer install --no-dev
+
+# 5. SSL
+sudo certbot --apache -d autresite.fr -d www.autresite.fr
+```
+
+### 6.3 Sous-domaines
+
+**Configuration DNS :**
+```
+Type    Nom           Valeur
+A       blog          IP-DU-VPS
+```
+
+**VirtualHost :**
+```apache
+<VirtualHost *:80>
+    ServerName blog.monsite.com
+    DocumentRoot /var/www/blog.monsite.com
+    # [Reste identique]
+</VirtualHost>
+```
+
+---
+
+## Configuration avancée
+
+### Optimisations Apache pour Kirby
+
+**Activer la compression :**
+
+```bash
+# Activer mod_deflate
+sudo a2enmod deflate
+
+# Créer /etc/apache2/conf-available/compression.conf
+sudo vim /etc/apache2/conf-available/compression.conf
+```
+
+```apache
+<IfModule mod_deflate.c>
+    # Compress HTML, CSS, JavaScript, Text, XML
+    AddOutputFilterByType DEFLATE text/plain
+    AddOutputFilterByType DEFLATE text/html
+    AddOutputFilterByType DEFLATE text/xml
+    AddOutputFilterByType DEFLATE text/css
+    AddOutputFilterByType DEFLATE application/xml
+    AddOutputFilterByType DEFLATE application/xhtml+xml
+    AddOutputFilterByType DEFLATE application/rss+xml
+    AddOutputFilterByType DEFLATE application/javascript
+    AddOutputFilterByType DEFLATE application/x-javascript
+    AddOutputFilterByType DEFLATE image/svg+xml
+</IfModule>
+```
+
+```bash
+# Activer la configuration
+sudo a2enconf compression
+sudo systemctl reload apache2
+```
+
+**Cache navigateur :**
+
+```bash
+sudo vim /etc/apache2/conf-available/browser-cache.conf
+```
+
+```apache
+<IfModule mod_expires.c>
+    ExpiresActive On
+
+    # Images
+    ExpiresByType image/jpeg "access plus 1 year"
+    ExpiresByType image/png "access plus 1 year"
+    ExpiresByType image/gif "access plus 1 year"
+    ExpiresByType image/webp "access plus 1 year"
+    ExpiresByType image/svg+xml "access plus 1 year"
+
+    # CSS et JavaScript
+    ExpiresByType text/css "access plus 1 month"
+    ExpiresByType application/javascript "access plus 1 month"
+
+    # Fonts
+    ExpiresByType font/woff2 "access plus 1 year"
+</IfModule>
+```
+
+```bash
+sudo a2enmod expires
+sudo a2enconf browser-cache
+sudo systemctl reload apache2
+```
+
+### Sécuriser le Panel Kirby
+
+**Option 1 : Changer l'URL du panel**
+
+```php
+// site/config/config.php
+return [
+    'panel' => [
+        'slug' => 'admin-secret-2024'
+    ]
+];
+```
+
+Accès : `https://monsite.com/admin-secret-2024`
+
+**Option 2 : Restreindre par IP**
+
+```apache
+# Dans le VirtualHost
+<Location /panel>
+    Require ip 203.0.113.0/24  # Votre IP
+    # Ou pour plusieurs IPs :
+    # Require ip 1.2.3.4
+    # Require ip 5.6.7.8
+</Location>
+```
+
+**Option 3 : Authentification HTTP basique (double protection)**
+
+```bash
+# Créer un fichier de mots de passe
+sudo htpasswd -c /etc/apache2/.htpasswd admin
+
+# Dans le VirtualHost
+<Location /panel>
+    AuthType Basic
+    AuthName "Administration"
+    AuthUserFile /etc/apache2/.htpasswd
+    Require valid-user
+</Location>
+```
+
+---
+
+## Maintenance
+
+### Sauvegardes
+
+**Script de sauvegarde automatique :**
+
+```bash
+vim ~/backup-kirby.sh
+```
+
+```bash
+#!/bin/bash
+
+DATE=$(date +%Y-%m-%d)
+BACKUP_DIR="/home/debian/backups"
+SITE_DIR="/var/www/monsite.com"
+SITE_NAME="monsite"
+
+# Créer le dossier de sauvegarde
+mkdir -p "$BACKUP_DIR"
+
+# Sauvegarder les fichiers (surtout /content)
+tar -czf "$BACKUP_DIR/${SITE_NAME}-${DATE}.tar.gz" \
+    -C "$SITE_DIR" \
+    content/ site/config/ media/
+
+# Garder seulement les 7 dernières sauvegardes
+find "$BACKUP_DIR" -name "${SITE_NAME}-*.tar.gz" -mtime +7 -delete
+
+echo "✅ Sauvegarde créée : ${SITE_NAME}-${DATE}.tar.gz"
+```
+
+**Automatiser avec cron :**
+
+```bash
+# Éditer la crontab
+crontab -e
+
+# Ajouter : sauvegarde quotidienne à 3h du matin
+0 3 * * * /home/debian/backup-kirby.sh
+```
+
+### Mises à jour Kirby
+
+**Avec Composer :**
+
+```bash
+cd /var/www/monsite.com
+composer update getkirby/cms
+```
+
+**Manuel (téléchargement) :**
+
+```bash
+# Télécharger la dernière version
+wget https://github.com/getkirby/kirby/archive/refs/tags/4.x.x.zip
+
+# Remplacer le dossier kirby/
+unzip 4.x.x.zip
+rm -rf kirby/
+mv kirby-4.x.x/ kirby/
+```
+
+### Logs
+
+**Voir les logs Apache :**
+
+```bash
+# Logs d'erreur
+sudo tail -f /var/log/apache2/monsite.com_error.log
+
+# Logs d'accès
+sudo tail -f /var/log/apache2/monsite.com_access.log
+
+# Filtrer les erreurs 404
+grep "404" /var/log/apache2/monsite.com_access.log
+
+# Filtrer les erreurs PHP
+grep "PHP" /var/log/apache2/monsite.com_error.log
+```
+
+---
+
+## Troubleshooting
+
+### Erreur 500 (Internal Server Error)
+
+**Causes fréquentes :**
+
+1. **Problème de .htaccess**
+   ```bash
+   # Vérifier la syntaxe
+   sudo apache2ctl configtest
+
+   # Temporairement désactiver .htaccess
+   sudo vim /etc/apache2/sites-available/monsite.com.conf
+   # Changer : AllowOverride None
+   ```
+
+2. **Erreur PHP**
+   ```bash
+   # Voir les logs
+   sudo tail -50 /var/log/apache2/monsite.com_error.log
+   ```
+
+3. **Permissions**
+   ```bash
+   # Vérifier les droits
+   ls -la /var/www/monsite.com/
+
+   # Corriger si nécessaire
+   sudo chown -R debian:www-data /var/www/monsite.com
+   sudo chmod -R 775 content/ media/
+   ```
+
+### Le Panel ne fonctionne pas
+
+**Vérifications :**
+
+```bash
+# 1. mod_rewrite activé ?
+apache2ctl -M | grep rewrite
+# Si absent : sudo a2enmod rewrite
+
+# 2. AllowOverride All ?
+grep "AllowOverride" /etc/apache2/sites-available/monsite.com.conf
+
+# 3. Sessions inscriptibles ?
+ls -la /var/www/monsite.com/site/sessions/
+sudo chmod 775 /var/www/monsite.com/site/sessions/
+```
+
+### Les images ne s'affichent pas
+
+**Vérifier les permissions du dossier media :**
+
+```bash
+sudo chown -R debian:www-data /var/www/monsite.com/media
+sudo chmod -R 775 /var/www/monsite.com/media
+```
+
+### Problème de cache
+
+**Vider le cache Kirby :**
+
+```bash
+rm -rf /var/www/monsite.com/site/cache/*
+```
+
+**Vider le cache Apache (si mod_cache activé) :**
+
+```bash
+sudo systemctl restart apache2
+```
+
+---
+
+## Checklist de déploiement
+
+Avant de mettre en production :
+
+- [ ] DNS configuré et propagé (`nslookup monsite.com`)
+- [ ] VirtualHost Apache créé et activé
+- [ ] Fichiers déployés (`git clone`)
+- [ ] Permissions correctes (`debian:www-data`, 775 sur content/media)
+- [ ] `.htaccess` présent
+- [ ] `mod_rewrite` activé (`sudo a2enmod rewrite`)
+- [ ] SSL installé (`certbot --apache`)
+- [ ] Redirection HTTP → HTTPS active
+- [ ] `debug => false` dans `config.php`
+- [ ] Panel accessible (`https://monsite.com/panel`)
+- [ ] Test création de page (vérifier écriture dans /content)
+- [ ] Test upload d'image (vérifier /media)
+- [ ] Logs propres (pas d'erreurs dans `/var/log/apache2/`)
+- [ ] Sauvegarde configurée (cron)
+
+---
+
+## Exemple de configuration complète
+
+Voici un exemple tiré d'un VPS réel (example.com) :
+
+**VirtualHost HTTP (auto-généré, redirige vers HTTPS) :**
+```apache
+<VirtualHost *:80>
+    ServerName example.com
+    ServerAlias www.example.com
+
+    DocumentRoot /var/www/example.com
+
+    <Directory /var/www/example.com>
+        AllowOverride All
+        Require all granted
+    </Directory>
+
+    ErrorLog ${APACHE_LOG_DIR}/example.com_error.log
+    CustomLog ${APACHE_LOG_DIR}/example.com_access.log combined
+
+    # Redirection automatique vers HTTPS
+    RewriteEngine on
+    RewriteCond %{SERVER_NAME} =example.com [OR]
+    RewriteCond %{SERVER_NAME} =www.example.com
+    RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
+</VirtualHost>
+```
+
+**VirtualHost HTTPS (généré par Certbot) :**
+```apache
+<VirtualHost *:443>
+    ServerName example.com
+    ServerAlias www.example.com
+
+    DocumentRoot /var/www/example.com
+
+    <Directory /var/www/example.com>
+        AllowOverride All
+        Require all granted
+    </Directory>
+
+    ErrorLog ${APACHE_LOG_DIR}/example.com_error.log
+    CustomLog ${APACHE_LOG_DIR}/example.com_access.log combined
+
+    # SSL géré par Certbot
+    SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
+    SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pem
+    Include /etc/letsencrypt/options-ssl-apache.conf
+</VirtualHost>
+```
+
+**Structure des fichiers :**
+```
+/var/www/example.com/
+├── .htaccess          # Règles de réécriture Kirby
+├── index.php          # Point d'entrée
+├── kirby/             # Core Kirby
+├── content/           # Contenu (debian:www-data 775)
+├── media/             # Images générées (debian:www-data 775)
+├── site/              # Configuration et templates
+│   ├── config/
+│   ├── templates/
+│   ├── sessions/      # (debian:www-data 775)
+│   └── cache/         # (debian:www-data 775)
+└── vendor/            # Dépendances Composer
+```
+
+---
+
+## Ressources
+
+**Documentation Kirby :**
+- [Installation](https://getkirby.com/docs/guide/quickstart)
+- [Configuration](https://getkirby.com/docs/reference/system/options)
+- [.htaccess](https://getkirby.com/docs/guide/troubleshooting/debugging#check-your-htaccess)
+
+**Outils :**
+- [Kirby CLI](https://github.com/getkirby/cli) - Commandes en ligne
+- [Kirby Plainkit](https://github.com/getkirby/plainkit) - Template de départ
+
+**Communauté :**
+- [Forum Kirby](https://forum.getkirby.com/)
+- [Discord Kirby](https://chat.getkirby.com/)
+
+---
+
+**Temps total de déploiement :** 20-30 minutes par site (après le premier)
+
+**Prochaines étapes :** Configurez vos templates, créez vos blueprints, et profitez de Kirby ! 🚀
diff --git a/serveur/linux-essentials/README.md b/serveur/linux-essentials/README.md
index 6a59dcd..c3323a9 100644
--- a/serveur/linux-essentials/README.md
+++ b/serveur/linux-essentials/README.md
@@ -28,6 +28,12 @@ Guides généralistes pour comprendre et administrer un système Linux.
 
 ### 📖 Apprendre les commandes
 
+**[vim-guide-essentiel.md](vim-guide-essentiel.md)**
+- **Objectif :** Maîtriser Vim, l'éditeur présent sur tous les serveurs Linux
+- **Contenu :** Modes, navigation, édition, chercher/remplacer, cas d'usage admin
+- **Niveau :** Débutant
+- **Temps :** 15-30 min de lecture + pratique
+
 **[comprendre-commandes-find-du.md](comprendre-commandes-find-du.md)**
 - **Objectif :** Maîtriser les commandes `find`, `du`, pipes et grep
 - **Contenu :** Explications détaillées, exemples progressifs, cas pratiques
@@ -39,8 +45,12 @@ Guides généralistes pour comprendre et administrer un système Linux.
 ## 🎯 Par besoin
 
 ### Je débute sur Linux
-1. Lire : [architecture-filesystem.md](architecture-filesystem.md)
-2. Pratiquer avec : [comprendre-commandes-find-du.md](comprendre-commandes-find-du.md)
+1. Apprendre Vim : [vim-guide-essentiel.md](vim-guide-essentiel.md) (essentiel pour éditer les fichiers)
+2. Comprendre l'organisation : [architecture-filesystem.md](architecture-filesystem.md)
+3. Maîtriser les commandes : [comprendre-commandes-find-du.md](comprendre-commandes-find-du.md)
+
+### Je configure un serveur
+1. **Obligatoire :** [vim-guide-essentiel.md](vim-guide-essentiel.md) (pour éditer les configs)
 
 ### Mon disque est plein
 1. Diagnostiquer : [diagnostic-espace-disque.md](diagnostic-espace-disque.md)
diff --git a/serveur/linux-essentials/vim-guide-essentiel.md b/serveur/linux-essentials/vim-guide-essentiel.md
new file mode 100644
index 0000000..ed7309e
--- /dev/null
+++ b/serveur/linux-essentials/vim-guide-essentiel.md
@@ -0,0 +1,605 @@
+# Guide essentiel Vim
+
+Guide de survie Vim pour l'administration serveur. Apprenez le minimum vital en 15 minutes.
+
+---
+
+## Pourquoi Vim ?
+
+**Vim est installé par défaut** sur 99% des serveurs Linux. Quand vous vous connectez à un serveur distant :
+- **nano** n'est pas toujours installé
+- **vim/vi** est TOUJOURS là
+- C'est l'éditeur standard Unix depuis 1976
+
+**Avantages :**
+- Ultra-rapide (pas d'interface graphique)
+- Puissant (édition avec le clavier uniquement)
+- Universel (même syntaxe sur tous les systèmes)
+
+---
+
+## Les 3 modes de Vim
+
+Vim fonctionne avec **3 modes distincts** (c'est ça qui déroute au début) :
+
+### 1. Mode Normal (par défaut)
+- **Navigation** dans le fichier
+- **Commandes** (copier, coller, supprimer)
+- **Touche `Esc`** pour revenir en mode Normal
+
+### 2. Mode Insertion
+- **Éditer** du texte (comme un éditeur classique)
+- **Touche `i`** pour entrer en mode Insertion
+- **Touche `Esc`** pour revenir en mode Normal
+
+### 3. Mode Commande
+- **Sauvegarder**, quitter, chercher/remplacer
+- **Touche `:`** pour entrer en mode Commande
+- Taper la commande puis **Entrée**
+
+---
+
+## Premiers pas : Ouvrir et quitter
+
+### Ouvrir un fichier
+
+```bash
+# Ouvrir un fichier existant
+vim /etc/ssh/sshd_config
+
+# Créer un nouveau fichier
+vim nouveau-fichier.txt
+
+# Ouvrir directement à la ligne 42
+vim +42 fichier.txt
+
+# Ouvrir avec sudo (fichiers système)
+sudo vim /etc/apache2/apache2.conf
+```
+
+### Quitter Vim
+
+**Mode Normal** → Tapez `:` puis :
+
+```vim
+:q          " Quitter (si pas de modifications)
+:q!         " Quitter SANS sauvegarder (force)
+:w          " Sauvegarder (write)
+:wq         " Sauvegarder ET quitter
+:x          " Sauvegarder ET quitter (raccourci)
+ZZ          " Sauvegarder ET quitter (sans :)
+```
+
+**🆘 Vous êtes bloqué ?**
+```
+Esc Esc Esc :q! Entrée
+```
+
+---
+
+## Éditer du texte
+
+### Entrer en mode Insertion
+
+**Depuis le mode Normal :**
+
+```vim
+i           " Insert : insérer AVANT le curseur
+a           " Append : insérer APRÈS le curseur
+o           " Open : créer une nouvelle ligne EN DESSOUS
+O           " Open : créer une nouvelle ligne AU DESSUS
+
+I           " Insérer au DÉBUT de la ligne
+A           " Insérer à la FIN de la ligne
+```
+
+**💡 Astuce :** `i` et `a` sont les plus utilisés (90% du temps)
+
+### Modifier du texte
+
+**En mode Normal :**
+
+```vim
+x           " Supprimer le caractère sous le curseur
+dd          " Supprimer toute la ligne
+dw          " Supprimer un mot (delete word)
+d$          " Supprimer jusqu'à la fin de la ligne
+D           " Supprimer jusqu'à la fin de la ligne (raccourci)
+
+u           " Annuler (undo)
+Ctrl+r      " Refaire (redo)
+
+yy          " Copier la ligne (yank)
+p           " Coller après le curseur (paste)
+P           " Coller avant le curseur
+```
+
+### Remplacer du texte
+
+```vim
+r           " Remplacer UN caractère (puis taper le nouveau)
+cw          " Remplacer un mot (change word)
+cc          " Remplacer toute la ligne (change)
+C           " Remplacer jusqu'à la fin de la ligne
+```
+
+---
+
+## Naviguer dans le fichier
+
+### Déplacements de base
+
+**Mode Normal :**
+
+```vim
+" Flèches directionnelles (fonctionnent aussi)
+h           " Gauche  ←
+j           " Bas     ↓
+k           " Haut    ↑
+l           " Droite  →
+
+" Déplacements par mot
+w           " Mot suivant (word)
+b           " Mot précédent (back)
+e           " Fin du mot (end)
+
+" Déplacements dans la ligne
+0           " Début de la ligne
+$           " Fin de la ligne
+^           " Premier caractère non-blanc de la ligne
+
+" Déplacements dans le fichier
+gg          " Début du fichier
+G           " Fin du fichier
+42G         " Aller à la ligne 42
+:42         " Aller à la ligne 42 (alternative)
+```
+
+### Défilement
+
+```vim
+Ctrl+d      " Défiler d'une demi-page vers le bas (down)
+Ctrl+u      " Défiler d'une demi-page vers le haut (up)
+Ctrl+f      " Défiler d'une page vers le bas (forward)
+Ctrl+b      " Défiler d'une page vers le haut (back)
+```
+
+---
+
+## Chercher et remplacer
+
+### Chercher
+
+**Mode Normal :**
+
+```vim
+/motif      " Chercher "motif" vers le bas
+?motif      " Chercher "motif" vers le haut
+
+n           " Résultat suivant (next)
+N           " Résultat précédent
+
+*           " Chercher le mot sous le curseur (vers le bas)
+#           " Chercher le mot sous le curseur (vers le haut)
+```
+
+**💡 Exemple :** Chercher "PasswordAuthentication" dans sshd_config
+```vim
+/PasswordAuthentication
+" Appuyez sur 'n' pour voir les occurrences suivantes
+```
+
+### Remplacer
+
+**Mode Commande** (taper `:`) :
+
+```vim
+" Format général : :[plage]s/ancien/nouveau/[options]
+
+:s/ancien/nouveau/          " Remplacer sur la ligne courante (1ère occurrence)
+:s/ancien/nouveau/g         " Remplacer sur la ligne courante (toutes)
+
+:%s/ancien/nouveau/         " Remplacer dans tout le fichier (1ère par ligne)
+:%s/ancien/nouveau/g        " Remplacer dans tout le fichier (toutes)
+:%s/ancien/nouveau/gc       " Avec confirmation (c = confirm)
+
+:10,20s/ancien/nouveau/g    " Remplacer des lignes 10 à 20
+```
+
+**💡 Exemples pratiques :**
+
+```vim
+" Remplacer tous les "no" par "yes"
+:%s/no/yes/g
+
+" Commenter toutes les lignes (ajouter # au début)
+:%s/^/#/
+
+" Décommenter (supprimer # au début)
+:%s/^#//
+
+" Remplacer avec confirmation
+:%s/PermitRootLogin yes/PermitRootLogin no/gc
+```
+
+---
+
+## Cas d'usage : Administration serveur
+
+### 1. Éditer sshd_config
+
+```bash
+sudo vim /etc/ssh/sshd_config
+```
+
+**Workflow typique :**
+
+1. Chercher le paramètre :
+   ```vim
+   /PermitRootLogin
+   ```
+
+2. Aller en mode Insertion :
+   ```vim
+   i
+   ```
+
+3. Modifier la valeur :
+   ```
+   PermitRootLogin no
+   ```
+
+4. Sauvegarder et quitter :
+   ```vim
+   Esc :wq
+   ```
+
+### 2. Éditer un VirtualHost Apache
+
+```bash
+sudo vim /etc/apache2/sites-available/monsite.conf
+```
+
+**Ajouter une ligne à la fin :**
+
+```vim
+G               " Aller à la fin du fichier
+o               " Créer une nouvelle ligne
+" Taper votre texte
+Esc :wq         " Sauvegarder et quitter
+```
+
+### 3. Décommenter plusieurs lignes
+
+**Exemple :** Décommenter 5 lignes consécutives
+
+```vim
+" Méthode 1 : Chercher/remplacer
+:10,15s/^#//    " Décommenter lignes 10 à 15
+
+" Méthode 2 : Visual block (avancé)
+Ctrl+v          " Mode visuel block
+jjjj            " Sélectionner 5 lignes vers le bas
+x               " Supprimer les # sélectionnés
+```
+
+### 4. Copier/coller une configuration
+
+**Dupliquer un bloc de configuration :**
+
+```vim
+" Se placer sur la première ligne
+V               " Mode visuel ligne (Visual)
+jjjj            " Sélectionner 5 lignes
+y               " Copier (yank)
+p               " Coller après
+```
+
+---
+
+## Configuration utile de Vim
+
+### Créer un .vimrc minimal
+
+```bash
+vim ~/.vimrc
+```
+
+**Configuration recommandée :**
+
+```vim
+" Activer la numérotation des lignes
+set number
+
+" Activer la coloration syntaxique
+syntax on
+
+" Indentation automatique
+set autoindent
+set smartindent
+
+" Taille des tabulations (4 espaces)
+set tabstop=4
+set shiftwidth=4
+set expandtab
+
+" Afficher la position du curseur
+set ruler
+
+" Recherche intelligente (insensible à la casse)
+set ignorecase
+set smartcase
+
+" Highlighting des résultats de recherche
+set hlsearch
+set incsearch
+
+" Désactiver le swap (fichiers .swp)
+set noswapfile
+
+" Sauvegarder l'historique des annulations
+set undofile
+set undodir=~/.vim/undodir
+```
+
+**Appliquer immédiatement :**
+```bash
+mkdir -p ~/.vim/undodir
+```
+
+---
+
+## Commandes avancées utiles
+
+### Indentation
+
+```vim
+>>          " Indenter la ligne (vers la droite)
+<<          " Désindenter (vers la gauche)
+
+" Indenter un bloc
+V           " Mode visuel
+jjjj        " Sélectionner des lignes
+>           " Indenter
+```
+
+### Nombres et répétitions
+
+**Format :** `[nombre][commande]`
+
+```vim
+3dd         " Supprimer 3 lignes
+5yy         " Copier 5 lignes
+10j         " Descendre de 10 lignes
+3w          " Avancer de 3 mots
+.           " Répéter la dernière commande
+```
+
+### Buffers (fichiers multiples)
+
+```vim
+:e fichier2.txt     " Ouvrir un autre fichier
+:bn                 " Buffer suivant (next)
+:bp                 " Buffer précédent (previous)
+:bd                 " Fermer le buffer courant
+:ls                 " Lister tous les buffers ouverts
+```
+
+### Split (fenêtres)
+
+```vim
+:sp fichier.txt     " Split horizontal
+:vsp fichier.txt    " Split vertical
+
+Ctrl+w w            " Naviguer entre les splits
+Ctrl+w q            " Fermer le split courant
+Ctrl+w =            " Égaliser la taille des splits
+```
+
+---
+
+## Aide et ressources
+
+### Aide intégrée
+
+```vim
+:help           " Aide générale
+:help dd        " Aide sur une commande spécifique
+:help modes     " Aide sur les modes
+```
+
+### Tutoriel interactif
+
+```bash
+# Depuis votre terminal
+vimtutor        # Tutoriel interactif (30 min)
+```
+
+---
+
+## Cheat Sheet : L'essentiel
+
+### Ouvrir/Fermer
+```vim
+vim fichier     " Ouvrir
+:w              " Sauvegarder
+:wq ou :x       " Sauvegarder et quitter
+:q!             " Quitter sans sauvegarder
+```
+
+### Modes
+```vim
+Esc             " Mode Normal
+i               " Mode Insertion (avant curseur)
+a               " Mode Insertion (après curseur)
+:               " Mode Commande
+```
+
+### Édition
+```vim
+dd              " Supprimer la ligne
+yy              " Copier la ligne
+p               " Coller
+u               " Annuler
+Ctrl+r          " Refaire
+```
+
+### Navigation
+```vim
+gg              " Début du fichier
+G               " Fin du fichier
+0               " Début de la ligne
+$               " Fin de la ligne
+:42             " Aller ligne 42
+```
+
+### Recherche
+```vim
+/motif          " Chercher
+n               " Suivant
+:%s/old/new/g   " Remplacer tout
+```
+
+---
+
+## Erreurs courantes et solutions
+
+### "E45: 'readonly' option is set"
+**Cause :** Fichier en lecture seule (souvent fichiers système)
+**Solution :**
+```vim
+:w !sudo tee %      " Sauvegarder avec sudo
+" Ou quitter et réouvrir avec sudo
+:q!
+sudo vim /etc/fichier
+```
+
+### "E37: No write since last change"
+**Cause :** Modifications non sauvegardées
+**Solution :**
+```vim
+:w              " Sauvegarder
+" Ou forcer à quitter
+:q!
+```
+
+### "Found a swap file"
+**Cause :** Vim a crashé ou fichier ouvert ailleurs
+**Solution :**
+```vim
+" Taper 'r' pour récupérer le fichier
+" Ou 'd' pour supprimer le swap file
+" Puis supprimer manuellement :
+rm .fichier.swp
+```
+
+### Bloqué en mode Insertion
+**Solution :**
+```
+Appuyez sur Esc plusieurs fois
+```
+
+### Impossible de quitter
+**Solution :**
+```vim
+Esc Esc Esc
+:q!
+```
+
+---
+
+## Mémo pour débuter
+
+**1. Ouvrir un fichier :**
+```bash
+vim fichier.txt
+```
+
+**2. Entrer en mode Insertion :**
+```
+Appuyez sur 'i'
+```
+
+**3. Modifier le texte :**
+```
+Tapez normalement
+```
+
+**4. Revenir en mode Normal :**
+```
+Appuyez sur Esc
+```
+
+**5. Sauvegarder et quitter :**
+```
+:wq puis Entrée
+```
+
+---
+
+## Progression recommandée
+
+### Semaine 1 : Bases
+- Ouvrir/fermer des fichiers
+- Modes Normal et Insertion
+- Sauvegarder avec `:w` et `:wq`
+- Navigation de base (hjkl, gg, G)
+
+### Semaine 2 : Édition
+- Supprimer avec `dd`, `x`
+- Copier/coller avec `yy`, `p`
+- Annuler/refaire avec `u`, `Ctrl+r`
+- Chercher avec `/`
+
+### Semaine 3 : Efficacité
+- Remplacer avec `:s///`
+- Mouvements rapides (`w`, `b`, `$`, `0`)
+- Répétitions avec nombres (`3dd`, `5yy`)
+- Visual mode avec `V`
+
+### Mois 2+ : Maîtrise
+- Configuration `.vimrc`
+- Buffers et splits
+- Macros
+- Plugins
+
+---
+
+## Pourquoi persévérer ?
+
+**Après 2 semaines :** Vous éditez aussi vite qu'avec nano
+**Après 1 mois :** Vous éditez plus vite qu'avec un éditeur graphique
+**Après 3 mois :** Vous ne pouvez plus vous en passer
+
+**Vim est un investissement :** Difficile au début, incroyablement efficace après.
+
+---
+
+## Ressources complémentaires
+
+- **vimtutor** : Tutoriel interactif inclus avec Vim (30 min)
+- **[Vim Adventures](https://vim-adventures.com/)** : Apprendre Vim en jouant
+- **[OpenVim](https://www.openvim.com/)** : Tutoriel interactif en ligne
+- **`:help` dans Vim** : Documentation complète intégrée
+
+**Cheat sheets :**
+- [Vim Cheat Sheet (PDF)](https://vim.rtorr.com/)
+- [Devhints Vim](https://devhints.io/vim)
+
+---
+
+## TL;DR : Minimum vital
+
+```vim
+vim fichier         # Ouvrir
+i                   # Éditer
+Esc                 # Arrêter d'éditer
+:wq                 # Sauvegarder et quitter
+:q!                 # Quitter sans sauvegarder (si erreur)
+
+/chercher           # Chercher
+dd                  # Supprimer ligne
+u                   # Annuler
+```
+
+**C'est tout ce dont vous avez besoin pour 80% des cas d'administration serveur !**
diff --git a/serveur/vps-setup-complet.md b/serveur/vps-setup-complet.md
new file mode 100644
index 0000000..75973b8
--- /dev/null
+++ b/serveur/vps-setup-complet.md
@@ -0,0 +1,1462 @@
+# Mettre en place un serveur VPS
+
+Guide complet pour configurer et sécuriser un serveur VPS depuis zéro.
+
+---
+
+## 📋 Table des matières
+
+1. [Prérequis](#prérequis)
+2. [Première connexion](#première-connexion)
+3. [Sécurisation de base](#sécurisation-de-base)
+4. [Installation d'un serveur web](#installation-dun-serveur-web)
+5. [Déploiement](#déploiement)
+6. [Maintenance](#maintenance)
+7. [Ressources](#ressources)
+
+---
+
+## Prérequis
+
+### Ce dont vous avez besoin
+
+- Un VPS chez un hébergeur (OVH, Hetzner, DigitalOcean, Infomaniak, etc.)
+- Une adresse IP publique (fournie par l'hébergeur)
+- Un terminal (macOS/Linux)
+- 1h-2h devant vous
+
+**📝 Note sur Vim :** Ce guide utilise **vim** pour éditer les fichiers de configuration. Vim est l'éditeur standard présent sur tous les serveurs Linux.
+
+**Débutant avec Vim ?** → Consultez [vim-guide-essentiel.md](linux-essentials/vim-guide-essentiel.md) (15 min de lecture)
+
+**Commandes minimales pour suivre ce guide :**
+- `i` : Passer en mode édition
+- `Esc` : Sortir du mode édition
+- `:wq` : Sauvegarder et quitter
+- `:q!` : Quitter sans sauvegarder
+
+### Informations à noter
+
+Avant de commencer, notez ces informations fournies par votre hébergeur :
+
+```
+IP du VPS : _______________
+Utilisateur initial : _______ (root, ubuntu, admin, ou autre)
+Mot de passe/clé SSH : _______________
+Distribution : Debian / Ubuntu (recommandé)
+```
+
+### ⚠️ Deux types d'accès VPS
+
+Votre configuration initiale dépend de votre hébergeur :
+
+**Type A - Accès root direct** (OVH, Hetzner, DigitalOcean)
+- Connexion : `ssh root@IP`
+- Vous devez créer vous-même un utilisateur non-root
+- Suivez toutes les étapes ci-dessous
+
+**Type B - Utilisateur sudo pré-configuré** (Infomaniak, hébergeurs managed)
+- Connexion : `ssh ubuntu@IP` (ou autre utilisateur fourni)
+- L'utilisateur a déjà les droits sudo
+- **Sautez l'étape 3** (création d'utilisateur)
+- Pour les commandes root, utilisez `sudo` devant chaque commande
+
+---
+
+## Première connexion
+
+### Étape 1 : Se connecter au VPS
+
+**Pourquoi ?** Établir la première connexion sécurisée à votre serveur et vérifier que tout fonctionne.
+
+**Type A - Connexion root :**
+```bash
+ssh root@<adresse-IP>
+# Entrez le mot de passe fourni par l'hébergeur
+```
+
+**Type B - Connexion utilisateur sudo (Infomaniak, etc.) :**
+```bash
+ssh ubuntu@<adresse-IP>
+# Ou : ssh admin@<adresse-IP>
+# Selon l'utilisateur fourni par votre hébergeur
+```
+
+**Première connexion :**
+```bash
+# Le serveur vous demande de confirmer son empreinte SSH
+The authenticity of host 'xxx.xxx.xxx.xxx' can't be established.
+ED25519 key fingerprint is SHA256:...
+Are you sure you want to continue connecting (yes/no)?
+
+# Tapez "yes" et Entrée
+# Ceci enregistre le serveur comme connu et évite les attaques MITM
+```
+
+**Si vous êtes connecté en root (Type A), changez le mot de passe :**
+```bash
+passwd
+# Entrez un mot de passe FORT (20+ caractères, complexe)
+# Pourquoi ? Le mot de passe initial est souvent simple ou envoyé par email (non sécurisé)
+```
+
+**Si vous avez un utilisateur sudo (Type B), vérifiez vos droits :**
+```bash
+sudo -v
+# Doit répondre sans erreur
+# Si demandé, entrez le mot de passe sudo fourni par l'hébergeur
+```
+
+### Étape 2 : Mettre à jour le système
+
+**Pourquoi ?** Les images serveur contiennent souvent des paquets obsolètes avec des failles de sécurité. La première chose à faire est de tout mettre à jour.
+
+**Type A (root) :**
+```bash
+# Mettre à jour la liste des paquets disponibles
+apt update
+
+# Installer toutes les mises à jour de sécurité et correctifs
+apt upgrade -y
+
+# Supprimer les paquets obsolètes qui ne sont plus nécessaires
+apt autoremove -y
+```
+
+**Type B (sudo) :**
+```bash
+# Même chose mais avec sudo devant chaque commande
+sudo apt update
+sudo apt upgrade -y
+sudo apt autoremove -y
+```
+
+**💡 Astuce :** Combinez les commandes pour gagner du temps :
+```bash
+sudo apt update && sudo apt upgrade -y && sudo apt autoremove -y
+```
+
+---
+
+## Sécurisation de base
+
+### Étape 3 : Créer un utilisateur non-root
+
+**⚠️ Type B (Infomaniak, etc.) : SAUTEZ CETTE ÉTAPE** - vous avez déjà un utilisateur sudo
+
+**Type A uniquement (accès root direct) :**
+
+**Pourquoi ?** Le compte root a tous les privilèges sans restriction. Une simple erreur de commande (ex: `rm -rf /`) peut détruire tout le système. Un utilisateur non-root avec sudo est plus sûr :
+- Vous devez taper `sudo` avant chaque commande sensible (temps de réflexion)
+- Les logs montrent qui a fait quoi (traçabilité)
+- Les scripts ne peuvent pas accidentellement tout casser
+
+**Création de l'utilisateur :**
+
+```bash
+# Créer un utilisateur (remplacez "monuser" par votre nom)
+adduser monuser
+
+# Le système vous demande :
+# - Un mot de passe (FORT, 20+ caractères)
+# - Des infos optionnelles (nom complet, etc.) - appuyez sur Entrée pour ignorer
+
+# Ajouter l'utilisateur au groupe sudo (droits administrateur)
+usermod -aG sudo monuser
+
+# Vérifier que l'utilisateur est bien dans le groupe sudo
+groups monuser
+# Sortie attendue : monuser : monuser sudo
+```
+
+**💡 Note :** Choisissez un nom d'utilisateur :
+- Simple et court (ex: votre prénom)
+- Pas "admin" ou "user" (trop prévisible pour les attaquants)
+- Sans caractères spéciaux
+
+### Étape 4 : Configurer l'authentification par clé SSH
+
+**Pourquoi ?** Les mots de passe peuvent être :
+- Devinés par force brute (des milliers de tentatives par jour)
+- Interceptés sur un réseau compromis
+- Oubliés ou réutilisés
+
+Les clés SSH sont :
+- Mathématiquement impossibles à deviner (256 bits d'entropie)
+- Jamais transmises sur le réseau (seule une signature l'est)
+- Uniques par machine (pas de réutilisation)
+
+**⚠️ Si votre hébergeur (Type B) a déjà configuré une clé SSH à la création du VPS, SAUTEZ CETTE ÉTAPE**
+
+---
+
+**1️⃣ Sur votre machine locale (pas le VPS) : Créer ou vérifier votre clé SSH**
+
+```bash
+# Vérifier si vous avez déjà une clé SSH
+ls -la ~/.ssh/id_*.pub
+
+# Si vous voyez "id_ed25519.pub" ou "id_rsa.pub", vous avez déjà une clé ✅
+# Sinon, créez-en une :
+
+ssh-keygen -t ed25519 -C "votre-email@example.com"
+
+# Questions posées :
+# "Enter file in which to save the key" → Appuyez sur Entrée (emplacement par défaut)
+# "Enter passphrase" → Appuyez sur Entrée (pas de passphrase, ou tapez-en une si vous voulez plus de sécurité)
+# "Enter same passphrase again" → Appuyez sur Entrée
+
+# Afficher votre clé publique
+cat ~/.ssh/id_ed25519.pub
+# Copiez TOUTE la ligne (commence par "ssh-ed25519 AAAA..." et finit par votre email)
+```
+
+**💡 Passphrase ou pas ?**
+- **Sans passphrase** : Connexion automatique (pratique pour scripts)
+- **Avec passphrase** : Protection supplémentaire si quelqu'un vole votre ordinateur
+
+---
+
+**2️⃣ Sur le VPS : Ajouter votre clé publique**
+
+**Type A (connecté en root) :**
+```bash
+# Passer à votre utilisateur
+su - monuser
+
+# Créer le dossier .ssh avec les bons droits
+mkdir -p ~/.ssh
+chmod 700 ~/.ssh
+
+# Créer le fichier authorized_keys
+vim ~/.ssh/authorized_keys
+# Appuyez sur 'i' pour passer en mode insertion
+# Collez votre clé publique (Cmd+V ou Ctrl+Shift+V)
+# Appuyez sur Esc puis tapez :wq et Entrée pour sauvegarder et quitter
+
+# Définir les bons droits (important pour la sécurité SSH)
+chmod 600 ~/.ssh/authorized_keys
+
+# Retour à root
+exit
+```
+
+**Type B (connecté avec votre utilisateur sudo) :**
+```bash
+# Vous êtes déjà votre utilisateur, pas besoin de su -
+
+# Créer le dossier .ssh avec les bons droits
+mkdir -p ~/.ssh
+chmod 700 ~/.ssh
+
+# Créer le fichier authorized_keys
+vim ~/.ssh/authorized_keys
+# Appuyez sur 'i' pour passer en mode insertion
+# Collez votre clé publique (Cmd+V ou Ctrl+Shift+V)
+# Appuyez sur Esc puis tapez :wq et Entrée pour sauvegarder et quitter
+
+# Définir les bons droits
+chmod 600 ~/.ssh/authorized_keys
+```
+
+---
+
+**3️⃣ Tester la connexion par clé SSH**
+
+```bash
+# Depuis votre machine locale (ouvrez un NOUVEAU terminal)
+ssh monuser@<adresse-IP>
+# Ou : ssh ubuntu@<adresse-IP> (selon votre utilisateur)
+
+# ✅ Vous devriez être connecté SANS taper de mot de passe
+# ❌ Si on vous demande un mot de passe, vérifiez :
+#    - Les droits : chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys
+#    - Que la clé publique est bien copiée (une seule ligne, pas de retour à la ligne)
+```
+
+**💡 Astuce :** Gardez votre ancienne session SSH ouverte au cas où quelque chose ne fonctionne pas !
+
+### Étape 5 : Sécuriser SSH
+
+**Pourquoi ?** Par défaut, SSH accepte :
+- Les connexions root (cible n°1 des attaquants)
+- Les mots de passe (vulnérables aux attaques par force brute)
+- Le port 22 (scanné en permanence par des bots)
+
+En durcissant SSH, vous bloquez 99% des attaques automatisées.
+
+---
+
+**1️⃣ Éditer la configuration SSH**
+
+```bash
+# Type A (root)
+vim /etc/ssh/sshd_config
+
+# Type B (sudo)
+sudo vim /etc/ssh/sshd_config
+```
+
+**2️⃣ Modifications à faire**
+
+Cherchez ces lignes dans le fichier (Ctrl+W pour chercher) et modifiez-les :
+
+```bash
+# Désactiver la connexion root par SSH
+PermitRootLogin no
+# Pourquoi ? 'root' est le seul nom d'utilisateur connu de tous les attaquants
+
+# Désactiver l'authentification par mot de passe
+PasswordAuthentication no
+# Pourquoi ? Les bots tentent des milliers de mots de passe par jour
+
+# Désactiver l'authentification par défi-réponse
+ChallengeResponseAuthentication no
+# Pourquoi ? Autre méthode d'authentification par mot de passe à désactiver
+
+# S'assurer que l'authentification par clé est activée
+PubkeyAuthentication yes
+# Pourquoi ? C'est la seule méthode sûre que nous autorisons
+
+# (Optionnel) Changer le port SSH
+# Port 2222
+# Pourquoi ? Les bots scannent le port 22 en priorité
+# ⚠️ Si vous faites ça, pensez à autoriser le nouveau port dans le pare-feu !
+```
+
+**💡 Conseil :** Ne changez le port SSH que si vous comprenez bien ce que vous faites. C'est plus contraignant qu'utile pour un VPS personnel.
+
+**Type B uniquement** - Si vous voulez désactiver le mot de passe mais garder root pour sudo :
+```bash
+# Gardez root activé mais seulement sans mot de passe
+PermitRootLogin prohibit-password
+```
+
+---
+
+**3️⃣ Redémarrer SSH**
+
+```bash
+# Type A (root)
+systemctl restart sshd
+systemctl status sshd
+
+# Type B (sudo)
+sudo systemctl restart sshd
+sudo systemctl status sshd
+```
+
+---
+
+**4️⃣ ⚠️ TESTER AVANT DE FERMER LA SESSION**
+
+**CRITIQUE** : Si vous fermez votre session SSH actuelle avant de tester, vous risquez de vous enfermer dehors !
+
+```bash
+# GARDEZ votre session SSH actuelle OUVERTE
+# Ouvrez un NOUVEAU terminal et testez :
+
+ssh monuser@<adresse-IP>
+# Ou : ssh ubuntu@<adresse-IP>
+# Si port modifié : ssh -p 2222 monuser@<adresse-IP>
+
+# ✅ Connexion OK ? Vous pouvez fermer l'ancienne session
+# ❌ Connexion refuse ? Retournez dans l'ancienne session et corrigez
+```
+
+**Si vous êtes bloqué :**
+- La plupart des hébergeurs ont une "console VNC" dans leur interface web
+- Connectez-vous via la console et corrigez `/etc/ssh/sshd_config`
+
+### Étape 6 : Installer et configurer le pare-feu (UFW)
+
+**Pourquoi ?** Sans pare-feu, tous les ports de votre serveur sont exposés à Internet. N'importe qui peut :
+- Scanner vos services (base de données, admin panels)
+- Exploiter des vulnérabilités
+- Accéder à des services non sécurisés
+
+**UFW (Uncomplicated Firewall)** = pare-feu simple qui bloque tout sauf ce que vous autorisez explicitement.
+
+---
+
+**1️⃣ Installer UFW**
+
+```bash
+# Type A (root)
+apt install ufw -y
+
+# Type B (sudo)
+sudo apt install ufw -y
+```
+
+---
+
+**2️⃣ Configurer les règles (IMPORTANT : dans cet ordre !)**
+
+```bash
+# Ajouter sudo si Type B
+
+# Définir la politique par défaut : TOUT BLOQUER
+ufw default deny incoming
+# Pourquoi ? Principe de sécurité : interdire par défaut, autoriser au cas par cas
+
+# Autoriser les connexions sortantes (pour apt, wget, etc.)
+ufw default allow outgoing
+# Pourquoi ? Votre serveur doit pouvoir se connecter à Internet (mises à jour, APIs)
+
+# ⚠️ CRITIQUE : Autoriser SSH AVANT d'activer UFW
+ufw allow 22/tcp
+# Si vous avez changé le port SSH (étape 5) :
+# ufw allow 2222/tcp
+# 🚨 Si vous oubliez ça, vous serez bloqué dehors !
+
+# Autoriser HTTP et HTTPS (si vous installez un serveur web)
+ufw allow 80/tcp
+ufw allow 443/tcp
+# Pourquoi ? Les visiteurs doivent pouvoir accéder à votre site
+
+# Afficher les règles avant activation (vérification)
+ufw show added
+```
+
+---
+
+**3️⃣ Activer le pare-feu**
+
+```bash
+# Activer UFW
+ufw enable
+# Il vous demande confirmation (la connexion SSH peut être interrompue)
+# Tapez 'y' puis Entrée
+
+# Vérifier que tout fonctionne
+ufw status verbose
+
+# Résultat attendu :
+# Status: active
+# To                         Action      From
+# --                         ------      ----
+# 22/tcp                     ALLOW       Anywhere
+# 80/tcp                     ALLOW       Anywhere
+# 443/tcp                    ALLOW       Anywhere
+```
+
+**✅ Si vous voyez ce résultat, c'est bon !**
+**❌ Si votre connexion SSH se coupe, vous avez oublié `ufw allow 22/tcp`**
+
+---
+
+**4️⃣ Commandes utiles UFW**
+
+```bash
+# Voir les règles numérotées
+sudo ufw status numbered
+
+# Supprimer une règle (ex: règle n°3)
+sudo ufw delete 3
+
+# Autoriser un port spécifique (ex: pour une app Node.js)
+sudo ufw allow 8080/tcp
+
+# Autoriser une IP spécifique (ex: votre IP fixe pour un service admin)
+sudo ufw allow from 203.0.113.0/24 to any port 3306
+# Utile pour restreindre l'accès à MySQL/PostgreSQL
+
+# Désactiver temporairement UFW
+sudo ufw disable
+
+# Réactiver
+sudo ufw enable
+
+# Réinitialiser (supprime toutes les règles)
+sudo ufw reset
+```
+
+**💡 Bonne pratique :** N'ouvrez que les ports dont vous avez besoin. Si vous installez un nouveau service plus tard, ajoutez la règle à ce moment-là.
+
+### Étape 7 : Installer Fail2ban
+
+**Pourquoi ?** Même avec SSH sécurisé, des bots vont :
+- Scanner votre serveur 24/7
+- Tenter des milliers de connexions SSH
+- Essayer des mots de passe courants
+- Saturer vos logs et ralentir le serveur
+
+**Fail2ban** surveille les logs et bannit automatiquement les IP malveillantes.
+
+**Exemple concret :**
+```
+2026-02-13 10:23:45 Failed password for root from 185.220.101.23
+2026-02-13 10:23:47 Failed password for root from 185.220.101.23
+2026-02-13 10:23:49 Failed password for root from 185.220.101.23
+→ Fail2ban bannit 185.220.101.23 pendant 10 minutes (ou plus)
+```
+
+---
+
+**1️⃣ Installer Fail2ban**
+
+```bash
+# Type A (root)
+apt install fail2ban -y
+
+# Type B (sudo)
+sudo apt install fail2ban -y
+```
+
+---
+
+**2️⃣ Créer une configuration personnalisée**
+
+**Pourquoi jail.local et pas jail.conf ?**
+- `jail.conf` = fichier par défaut (écrasé lors des mises à jour)
+- `jail.local` = votre config personnalisée (prioritaire, jamais écrasé)
+
+```bash
+# Copier le fichier par défaut
+# Type A
+cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
+
+# Type B
+sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
+
+# Éditer votre configuration
+# Type A
+vim /etc/fail2ban/jail.local
+
+# Type B
+sudo vim /etc/fail2ban/jail.local
+```
+
+---
+
+**3️⃣ Configuration recommandée**
+
+Cherchez et modifiez ces sections dans `jail.local` :
+
+```ini
+[DEFAULT]
+# Durée de bannissement (10 minutes = 600 secondes)
+bantime  = 600
+# Augmentez à 3600 (1h) ou 86400 (24h) pour être plus strict
+
+# Période d'observation (10 minutes)
+findtime  = 600
+# Sur 10 min, si on dépasse maxretry → ban
+
+# Nombre de tentatives autorisées avant ban
+maxretry = 5
+# Réduisez à 3 pour être plus strict
+
+# Email de notification (optionnel - nécessite un serveur mail configuré)
+# destemail = votre-email@example.com
+# sendername = Fail2ban-VPS
+# action = %(action_mwl)s
+
+[sshd]
+enabled = true
+port = 22
+# Si vous avez changé le port SSH :
+# port = 2222
+
+# Par défaut, Fail2ban surveille déjà les tentatives SSH
+# Pas besoin d'ajouter d'autres paramètres
+```
+
+**💡 Explication des paramètres :**
+- `bantime = 600` : Bloquer l'IP pendant 10 minutes
+- `findtime = 600` : Observer sur les 10 dernières minutes
+- `maxretry = 5` : Si 5 échecs en 10 min → ban 10 min
+
+---
+
+**4️⃣ Démarrer Fail2ban**
+
+```bash
+# Type A (root)
+systemctl start fail2ban
+systemctl enable fail2ban
+systemctl status fail2ban
+
+# Type B (sudo)
+sudo systemctl start fail2ban
+sudo systemctl enable fail2ban
+sudo systemctl status fail2ban
+
+# Vérifier que Fail2ban fonctionne
+# Type A
+fail2ban-client status
+
+# Type B
+sudo fail2ban-client status
+
+# Résultat attendu :
+# Status
+# |- Number of jail:      1
+# `- Jail list:   sshd
+
+# Voir les détails de la jail SSH
+sudo fail2ban-client status sshd
+# Affiche : nombre d'IPs bannies, liste des IPs bannies
+```
+
+---
+
+**5️⃣ Commandes utiles Fail2ban**
+
+```bash
+# Voir toutes les jails actives
+sudo fail2ban-client status
+
+# Voir les IPs bannies pour SSH
+sudo fail2ban-client status sshd
+
+# Débannir manuellement une IP (si vous vous êtes bloqué)
+sudo fail2ban-client set sshd unbanip 203.0.113.45
+
+# Bannir manuellement une IP
+sudo fail2ban-client set sshd banip 185.220.101.23
+
+# Recharger la configuration après modifications
+sudo fail2ban-client reload
+
+# Voir les logs Fail2ban en temps réel
+sudo tail -f /var/log/fail2ban.log
+```
+
+**🎯 Résultat :** Vous verrez les attaques en temps réel dans les logs, et Fail2ban les bloquera automatiquement !
+
+### Étape 8 : Configurer les mises à jour automatiques
+
+**Pourquoi ?** En 2026, des dizaines de nouvelles vulnérabilités sont découvertes chaque mois :
+- Failles zero-day dans le noyau Linux
+- Bugs critiques dans OpenSSH, Apache, etc.
+- Exploits rendus publics (CVE)
+
+**Sans mises à jour régulières**, votre serveur devient vulnérable en quelques semaines.
+
+**Avec unattended-upgrades :**
+- Les correctifs de sécurité s'installent automatiquement
+- Vous dormez tranquille
+- Redémarrage automatique aux heures creuses si nécessaire
+
+---
+
+**1️⃣ Installer unattended-upgrades**
+
+```bash
+# Type A (root)
+apt install unattended-upgrades -y
+
+# Type B (sudo)
+sudo apt install unattended-upgrades -y
+```
+
+---
+
+**2️⃣ Activer la configuration automatique**
+
+```bash
+# Type A
+dpkg-reconfigure -plow unattended-upgrades
+
+# Type B
+sudo dpkg-reconfigure -plow unattended-upgrades
+
+# Interface graphique → Sélectionnez "Oui" avec les flèches puis Entrée
+```
+
+---
+
+**3️⃣ Personnaliser la configuration (optionnel mais recommandé)**
+
+```bash
+# Type A
+vim /etc/apt/apt.conf.d/50unattended-upgrades
+
+# Type B
+sudo vim /etc/apt/apt.conf.d/50unattended-upgrades
+```
+
+**Configuration recommandée :**
+
+```bash
+# Quelles mises à jour installer automatiquement ?
+Unattended-Upgrade::Allowed-Origins {
+    "${distro_id}:${distro_codename}-security";
+    # Ne mettre à jour QUE les paquets de sécurité (recommandé)
+
+    # Décommentez pour installer TOUTES les mises à jour (moins prudent) :
+    # "${distro_id}:${distro_codename}-updates";
+};
+
+# Redémarrer automatiquement si une mise à jour le nécessite ?
+Unattended-Upgrade::Automatic-Reboot "true";
+# Pourquoi ? Certaines mises à jour du noyau nécessitent un reboot
+
+# Heure du redémarrage automatique
+Unattended-Upgrade::Automatic-Reboot-Time "03:00";
+# 3h du matin = heure creuse (peu de visiteurs)
+# Changez selon votre fuseau horaire et trafic
+
+# Notifications par email (nécessite un serveur mail configuré)
+# Unattended-Upgrade::Mail "votre-email@example.com";
+# Unattended-Upgrade::MailReport "on-change";
+# Utile pour être notifié des mises à jour importantes
+
+# Supprimer automatiquement les paquets inutilisés
+Unattended-Upgrade::Remove-Unused-Dependencies "true";
+Unattended-Upgrade::Remove-Unused-Kernel-Packages "true";
+# Libère de l'espace disque automatiquement
+```
+
+---
+
+**4️⃣ Tester la configuration**
+
+```bash
+# Simulation (ne fait rien, juste un test)
+# Type A
+unattended-upgrades --dry-run --debug
+
+# Type B
+sudo unattended-upgrades --dry-run --debug
+
+# Affiche ce qui SERAIT mis à jour
+# Vérifiez qu'il n'y a pas d'erreurs
+```
+
+**💡 Fréquence des vérifications :**
+- Par défaut : vérifie chaque jour
+- Installe automatiquement les mises à jour de sécurité
+- Redémarre si nécessaire à 3h du matin
+
+**⚠️ Important pour les sites critiques :**
+Si vous avez un site haute disponibilité, configurez plutôt `Automatic-Reboot "false"` et faites les redémarrages manuellement pendant les maintenances planifiées.
+
+---
+
+## Installation d'un serveur web
+
+### Étape 9 : Installer Apache
+
+**Pourquoi Apache ?**
+- **Robuste** : Utilisé depuis 1995, tourne sur 30% des sites web mondiaux
+- **Mature** : Énormément de documentation et tutoriels
+- **Compatible** : .htaccess, mod_rewrite, intégration PHP native
+- **Flexible** : Modules pour tout (SSL, compression, cache, proxy)
+
+**Alternative :** Nginx est plus performant pour du contenu statique et proxy inverse, mais Apache est plus simple pour débuter.
+
+---
+
+**1️⃣ Installer Apache**
+
+```bash
+# Type A (root)
+apt install apache2 -y
+
+# Type B (sudo)
+sudo apt install apache2 -y
+```
+
+**2️⃣ Démarrer et activer Apache**
+
+```bash
+# Type A
+systemctl start apache2      # Démarre Apache maintenant
+systemctl enable apache2     # Active au démarrage du serveur
+systemctl status apache2     # Vérifie que tout fonctionne
+
+# Type B
+sudo systemctl start apache2
+sudo systemctl enable apache2
+sudo systemctl status apache2
+
+# Résultat attendu :
+# ● apache2.service - The Apache HTTP Server
+#    Loaded: loaded
+#    Active: active (running)
+```
+
+---
+
+**3️⃣ Tester Apache**
+
+**Depuis votre navigateur :**
+- Allez sur `http://<adresse-IP-du-VPS>`
+- Vous devriez voir la page "Apache2 Debian Default Page"
+
+**✅ Ça fonctionne ?** Parfait, Apache écoute sur le port 80 !
+
+**❌ Erreur de connexion ?** Vérifiez :
+```bash
+# Le pare-feu autorise-t-il le port 80 ?
+sudo ufw status | grep 80
+
+# Apache est-il bien démarré ?
+sudo systemctl status apache2
+
+# Apache écoute-t-il sur le port 80 ?
+sudo netstat -tlnp | grep :80
+```
+
+---
+
+### Étape 10 : Configurer un nom de domaine
+
+**Pourquoi ?** Une adresse IP (`185.123.45.67`) c'est difficile à retenir et peu professionnel. Un nom de domaine (`monsite.com`) :
+- Est mémorable pour vos visiteurs
+- Permet d'obtenir un certificat SSL
+- Donne une image professionnelle
+- Facilite les migrations de serveur (changez l'IP sans changer l'URL)
+
+**Prérequis :** Avoir acheté un nom de domaine chez un registrar (OVH, Infomaniak, Namecheap, Gandi, etc.)
+
+---
+
+**1️⃣ Configurer les DNS chez votre registrar**
+
+Connectez-vous à votre registrar et créez ces enregistrements DNS :
+
+```
+Type    Nom    Valeur                TTL
+A       @      <adresse-IP-du-VPS>   3600
+A       www    <adresse-IP-du-VPS>   3600
+```
+
+**Explications :**
+- **Type A** : Associe un nom de domaine à une adresse IPv4
+- **@** : Représente le domaine racine (example.com)
+- **www** : Sous-domaine (www.example.com)
+- **TTL** : Durée de cache (3600 = 1 heure)
+
+**💡 Astuce :** Certains registrars proposent un enregistrement CNAME pour `www` qui pointe vers `@`. Ça fonctionne aussi !
+
+---
+
+**2️⃣ Attendre la propagation DNS**
+
+**Pourquoi attendre ?** Les DNS sont distribués mondialement. Votre modification doit :
+- Se propager aux serveurs DNS racine
+- Se propager aux serveurs DNS de votre FAI
+- Se propager aux DNS publics (Google, Cloudflare, etc.)
+
+**Durée :** 5 minutes à 24 heures (généralement 30 min)
+
+**Vérifier la propagation depuis votre machine locale :**
+
+```bash
+# Vérifier que le domaine pointe vers votre VPS
+nslookup example.com
+
+# Résultat attendu :
+# Address: <IP-de-votre-VPS>
+
+# Alternative avec dig (plus détaillé)
+dig example.com +short
+# Doit afficher : <IP-de-votre-VPS>
+
+# Vérifier www aussi
+nslookup www.example.com
+```
+
+**✅ Ça affiche votre IP ?** Vous pouvez passer à l'étape suivante
+**❌ Ça affiche une autre IP ou rien ?** Attendez encore un peu ou vérifiez votre configuration DNS
+
+### Étape 11 : Configurer un site avec Apache
+
+**Pourquoi un VirtualHost ?** Apache peut héberger plusieurs sites sur le même serveur. Chaque site a son propre VirtualHost (configuration séparée). C'est comme avoir plusieurs appartements dans un immeuble.
+
+---
+
+**1️⃣ Créer le dossier du site**
+
+```bash
+# Type A (root)
+mkdir -p /var/www/monsite
+chown -R monuser:monuser /var/www/monsite
+echo "<h1>Mon site fonctionne !</h1>" > /var/www/monsite/index.html
+
+# Type B (sudo) - Remplacez "ubuntu" par votre utilisateur
+sudo mkdir -p /var/www/monsite
+sudo chown -R ubuntu:ubuntu /var/www/monsite
+echo "<h1>Mon site fonctionne !</h1>" > /var/www/monsite/index.html
+```
+
+**Pourquoi chown ?** Par défaut, les fichiers créés par root appartiennent à root. `chown` change le propriétaire pour que VOTRE utilisateur puisse modifier les fichiers sans sudo.
+
+---
+
+**2️⃣ Créer la configuration Apache (VirtualHost)**
+
+```bash
+# Type A
+vim /etc/apache2/sites-available/monsite.conf
+
+# Type B
+sudo vim /etc/apache2/sites-available/monsite.conf
+```
+
+**Copiez-collez cette configuration :**
+
+```apache
+<VirtualHost *:80>
+    # Nom de domaine principal
+    ServerName example.com
+
+    # Alias (www.example.com pointe vers le même site)
+    ServerAlias www.example.com
+
+    # Dossier racine du site
+    DocumentRoot /var/www/monsite
+
+    # Configuration du dossier
+    <Directory /var/www/monsite>
+        # Options :
+        # -Indexes : NE PAS lister les fichiers si pas d'index.html (sécurité)
+        # +FollowSymLinks : Autoriser les liens symboliques
+        Options -Indexes +FollowSymLinks
+
+        # AllowOverride All : Permet l'utilisation de fichiers .htaccess
+        # (utile pour WordPress, Laravel, etc.)
+        AllowOverride All
+
+        # Require all granted : Autoriser l'accès public
+        Require all granted
+    </Directory>
+
+    # Fichiers de logs séparés par site (facilite le debug)
+    ErrorLog ${APACHE_LOG_DIR}/monsite-error.log
+    CustomLog ${APACHE_LOG_DIR}/monsite-access.log combined
+</VirtualHost>
+```
+
+**Esc** puis **:wq** et **Entrée** pour sauvegarder et quitter.
+
+---
+
+**3️⃣ Activer le site et les modules nécessaires**
+
+```bash
+# Activer le module rewrite (URL propres : /article/titre au lieu de /index.php?page=article&id=123)
+# Type A
+a2enmod rewrite
+
+# Type B
+sudo a2enmod rewrite
+
+# Activer votre site
+# Type A
+a2ensite monsite.conf
+
+# Type B
+sudo a2ensite monsite.conf
+
+# Désactiver le site par défaut d'Apache (page "Apache2 Debian Default Page")
+# Type A
+a2dissite 000-default.conf
+
+# Type B
+sudo a2dissite 000-default.conf
+
+# Tester la configuration (vérifie les erreurs de syntaxe)
+# Type A
+apache2ctl configtest
+
+# Type B
+sudo apache2ctl configtest
+
+# Résultat attendu : "Syntax OK"
+
+# Recharger Apache pour appliquer les changements
+# Type A
+systemctl reload apache2
+
+# Type B
+sudo systemctl reload apache2
+```
+
+---
+
+**4️⃣ Tester votre site**
+
+**Depuis votre navigateur :**
+- Allez sur `http://example.com`
+- Vous devriez voir "Mon site fonctionne !"
+
+**✅ Ça fonctionne ?** Parfait, passez à l'étape suivante pour sécuriser avec HTTPS !
+
+**❌ Erreur 404 ou 403 ?**
+```bash
+# Vérifier les droits du dossier
+ls -la /var/www/monsite
+
+# Vérifier les logs d'erreur
+sudo tail -20 /var/log/apache2/monsite-error.log
+
+# Vérifier que le VirtualHost est bien activé
+ls -la /etc/apache2/sites-enabled/
+```
+
+### Étape 12 : Installer un certificat SSL (HTTPS)
+
+**Pourquoi HTTPS est obligatoire en 2026 ?**
+- **Sécurité** : Chiffre les données entre le visiteur et le serveur (mots de passe, infos personnelles)
+- **SEO** : Google pénalise les sites en HTTP depuis 2014
+- **Confiance** : Les navigateurs affichent "Non sécurisé" sur les sites HTTP
+- **Standards** : La plupart des APIs modernes nécessitent HTTPS
+- **Gratuit** : Let's Encrypt offre des certificats SSL gratuits à vie
+
+**Sans HTTPS :** ❌ "Non sécurisé" - Visiteurs méfiants - Mauvais SEO
+**Avec HTTPS :** ✅ 🔒 Cadenas vert - Confiance - Bon référencement
+
+---
+
+**1️⃣ Installer Certbot**
+
+```bash
+# Type A
+apt install certbot python3-certbot-apache -y
+
+# Type B
+sudo apt install certbot python3-certbot-apache -y
+```
+
+**Certbot** = outil officiel Let's Encrypt qui :
+- Génère automatiquement le certificat SSL
+- Configure Apache pour HTTPS
+- Renouvelle automatiquement le certificat tous les 90 jours
+
+---
+
+**2️⃣ Obtenir le certificat SSL**
+
+```bash
+# Type A
+certbot --apache -d example.com -d www.example.com
+
+# Type B
+sudo certbot --apache -d example.com -d www.example.com
+```
+
+**Certbot vous pose des questions :**
+
+1. **Enter email address** : Votre email (pour les alertes d'expiration)
+   ```
+   votre-email@example.com
+   ```
+
+2. **Terms of Service** : Acceptez les conditions (A)
+   ```
+   (A)gree/(C)ancel: A
+   ```
+
+3. **Share email with EFF** : Newsletter (optionnel)
+   ```
+   (Y)es/(N)o: N
+   ```
+
+4. **Redirect HTTP to HTTPS ?** : TOUJOURS choisir Redirect
+   ```
+   1: No redirect - Make no further changes
+   2: Redirect - Make all requests redirect to HTTPS
+   Select: 2
+   ```
+
+**Pourquoi "Redirect" ?**
+- Force tous les visiteurs en HTTPS
+- Améliore le SEO (évite le duplicate content)
+- Meilleure sécurité
+
+**Résultat attendu :**
+```
+Successfully received certificate.
+Certificate is saved at: /etc/letsencrypt/live/example.com/fullchain.pem
+Key is saved at: /etc/letsencrypt/live/example.com/privkey.pem
+```
+
+---
+
+**3️⃣ Vérifier le renouvellement automatique**
+
+**Pourquoi ?** Les certificats Let's Encrypt expirent après 90 jours. Certbot installe automatiquement une tâche qui les renouvelle.
+
+```bash
+# Test de renouvellement (simulation, ne fait rien)
+# Type A
+certbot renew --dry-run
+
+# Type B
+sudo certbot renew --dry-run
+
+# Résultat attendu :
+# Congratulations, all simulated renewals succeeded
+
+# Vérifier que la tâche automatique est bien programmée
+systemctl list-timers | grep certbot
+
+# Résultat attendu :
+# certbot.timer ... left ... certbot.service
+```
+
+**💡 Fonctionnement :** Certbot vérifie 2 fois par jour si le certificat expire dans moins de 30 jours, et le renouvelle automatiquement si nécessaire.
+
+---
+
+**4️⃣ Tester HTTPS**
+
+**Depuis votre navigateur :**
+
+1. Allez sur `http://example.com`
+   → Devrait automatiquement rediriger vers `https://example.com` ✅
+
+2. Vérifiez le cadenas 🔒 dans la barre d'adresse
+   → Cliquez dessus : "Connection is secure"
+
+3. Testez aussi `https://www.example.com`
+   → Doit afficher le même site avec le cadenas
+
+**Tester la qualité du certificat :**
+- Allez sur [SSL Labs](https://www.ssllabs.com/ssltest/)
+- Entrez votre domaine
+- Attendez l'analyse (2-3 min)
+- **Objectif :** Note A ou A+
+
+**❌ Erreur "Your connection is not private" ?**
+- Vérifiez que le DNS pointe bien vers votre VPS : `nslookup example.com`
+- Attendez quelques minutes (Let's Encrypt vérifie le domaine)
+- Vérifiez les logs : `sudo tail -50 /var/log/letsencrypt/letsencrypt.log`
+
+---
+
+**🎉 Félicitations !** Votre site est maintenant sécurisé en HTTPS avec un certificat SSL qui se renouvelle automatiquement !
+
+---
+
+## Déploiement
+
+### Étape 13 : Déployer avec rsync
+
+**rsync** = outil de synchronisation efficace (ne transfère que les modifications).
+
+**Depuis votre machine locale :**
+
+```bash
+# Synchroniser un dossier local vers le VPS
+rsync -avhP ./mon-site-local/ monuser@<adresse-IP>:/var/www/monsite/
+
+# Options expliquées :
+# -a : mode archive (préserve permissions, timestamps, etc.)
+# -v : mode verbeux (affiche les fichiers transférés)
+# -h : tailles lisibles (Ko, Mo, etc.)
+# -P : affiche la progression + reprend les transferts interrompus
+
+# Avec suppression des fichiers distants en trop
+rsync -avhP --delete ./mon-site-local/ monuser@<adresse-IP>:/var/www/monsite/
+```
+
+**Script de déploiement automatique :**
+
+```bash
+# Créer un fichier deploy.sh
+vim deploy.sh
+```
+
+```bash
+#!/bin/bash
+
+# Configuration
+LOCAL_DIR="./dist/"
+REMOTE_USER="monuser"
+REMOTE_HOST="123.45.67.89"
+REMOTE_DIR="/var/www/monsite/"
+
+# Déploiement
+echo "🚀 Déploiement en cours..."
+rsync -avhP --delete \
+  --exclude 'node_modules' \
+  --exclude '.git' \
+  --exclude '.env' \
+  "$LOCAL_DIR" "$REMOTE_USER@$REMOTE_HOST:$REMOTE_DIR"
+
+echo "✅ Déploiement terminé !"
+
+# Recharger Apache (optionnel)
+ssh "$REMOTE_USER@$REMOTE_HOST" "sudo systemctl reload apache2"
+```
+
+```bash
+# Rendre le script exécutable
+chmod +x deploy.sh
+
+# Utiliser le script
+./deploy.sh
+```
+
+### Étape 14 : Déployer avec Git
+
+**Alternative à rsync :** déployer directement depuis un dépôt Git.
+
+**Sur le VPS :**
+
+```bash
+# Installer Git
+apt install git -y
+
+# Aller dans le dossier du site
+cd /var/www/monsite
+
+# Cloner le dépôt
+git clone https://github.com/votre-user/votre-repo.git .
+
+# Ou initialiser Git
+git init
+git remote add origin https://github.com/votre-user/votre-repo.git
+git pull origin main
+```
+
+**Script de déploiement :**
+
+```bash
+vim /home/monuser/deploy.sh
+```
+
+```bash
+#!/bin/bash
+
+cd /var/www/monsite
+
+# Récupérer les dernières modifications
+git pull origin main
+
+# Si projet Node.js / SvelteKit
+# npm install
+# npm run build
+
+# Recharger Apache
+sudo systemctl reload apache2
+
+echo "✅ Déploiement terminé !"
+```
+
+**Déployer depuis votre machine locale :**
+
+```bash
+ssh monuser@<adresse-IP> 'bash /home/monuser/deploy.sh'
+```
+
+---
+
+## Maintenance
+
+### Commandes utiles
+
+**Surveiller l'espace disque :**
+```bash
+df -h                                   # Vue globale
+du -sh /var/www/*                       # Taille des sites
+```
+
+**Surveiller les logs Apache :**
+```bash
+tail -f /var/log/apache2/access.log     # Logs d'accès en temps réel
+tail -f /var/log/apache2/error.log      # Logs d'erreur
+```
+
+**Surveiller les tentatives SSH :**
+```bash
+fail2ban-client status sshd             # IPs bannies
+journalctl -u sshd -n 50                # Dernières connexions SSH
+```
+
+**Mettre à jour le système :**
+```bash
+apt update && apt upgrade -y
+apt autoremove -y
+```
+
+**Redémarrer les services :**
+```bash
+systemctl restart apache2
+systemctl restart fail2ban
+systemctl reboot                        # Redémarrer le serveur
+```
+
+### Tâches régulières
+
+**Hebdomadaire :**
+- Vérifier l'espace disque : `df -h`
+- Vérifier les logs d'erreur : `tail -50 /var/log/apache2/error.log`
+
+**Mensuel :**
+- Vérifier les IPs bannies : `fail2ban-client status`
+- Vérifier les mises à jour manuelles : `apt list --upgradable`
+
+**Annuel :**
+- Renouveler le certificat SSL (automatique avec Certbot)
+- Auditer les règles du pare-feu : `ufw status verbose`
+
+---
+
+## Ressources
+
+### Documentation officielle
+
+- **OVH VPS :** [Débuter avec un VPS](https://docs.ovh.com/fr/vps/debuter-avec-vps/)
+- **OVH Sécurité :** [Sécuriser un VPS](https://docs.ovh.com/fr/vps/conseils-securisation-vps/)
+- **Apache :** [Documentation officielle](https://httpd.apache.org/docs/)
+- **Let's Encrypt :** [Certbot](https://certbot.eff.org/)
+- **UFW :** [Documentation Ubuntu](https://help.ubuntu.com/community/UFW)
+- **Fail2ban :** [Documentation officielle](https://www.fail2ban.org/)
+
+### Tutoriels vidéo
+
+- **Grafikart :** [Playlist Serveur Web](https://www.youtube.com/playlist?list=PLjwdMgw5TTLUnvhOKLcpCG8ORQsfE7uB4)
+- **Yves Rougy :** [Apprendre SSH](https://www.youtube.com/watch?v=QGixbJ9prEc&list=PLQqbP89HgbbYIarPqOU8DdC2jC3P3L7a6)
+
+### Outils utiles
+
+- **Explain Shell :** [https://explainshell.com/](https://explainshell.com/) - Décompose les commandes shell
+- **SSL Labs :** [https://www.ssllabs.com/ssltest/](https://www.ssllabs.com/ssltest/) - Teste la config SSL
+- **Security Headers :** [https://securityheaders.com/](https://securityheaders.com/) - Teste les en-têtes de sécurité
+
+### Commandes de référence
+
+**rsync :**
+```bash
+# Synchronisation de base
+rsync -avhP source/ destination/
+
+# Avec exclusions
+rsync -avhP --exclude 'node_modules' source/ destination/
+
+# Avec suppression
+rsync -avhP --delete source/ destination/
+
+# Mode dry-run (simulation)
+rsync -avhPn source/ destination/
+```
+
+**SSH :**
+```bash
+# Connexion standard
+ssh user@host
+
+# Avec port personnalisé
+ssh -p 2222 user@host
+
+# Exécuter une commande à distance
+ssh user@host 'commande'
+
+# Copier un fichier (scp)
+scp fichier.txt user@host:/path/
+scp -r dossier/ user@host:/path/
+```
+
+**Git :**
+```bash
+# Cloner un dépôt
+git clone https://github.com/user/repo.git
+
+# Mettre à jour
+git pull origin main
+
+# Vérifier le statut
+git status
+```
+
+---
+
+## Checklist de sécurité
+
+Avant de mettre votre VPS en production, vérifiez :
+
+- [ ] Mot de passe root changé
+- [ ] Utilisateur non-root créé avec sudo
+- [ ] Authentification SSH par clé configurée
+- [ ] Authentification SSH par mot de passe désactivée
+- [ ] Connexion root SSH désactivée
+- [ ] Pare-feu UFW activé et configuré
+- [ ] Fail2ban installé et actif
+- [ ] Mises à jour automatiques activées
+- [ ] Apache installé et fonctionnel
+- [ ] Certificat SSL installé (HTTPS)
+- [ ] DNS configuré correctement
+- [ ] Logs vérifiés (pas d'erreurs)
+
+---
+
+## Troubleshooting
+
+### Impossible de se connecter en SSH
+
+**Symptôme :** `Connection refused` ou `Connection timed out`
+
+**Solutions :**
+1. Vérifier que SSH écoute sur le bon port :
+   ```bash
+   sudo netstat -tlnp | grep ssh
+   ```
+2. Vérifier le pare-feu :
+   ```bash
+   sudo ufw status
+   ```
+3. Vérifier le service SSH :
+   ```bash
+   sudo systemctl status sshd
+   ```
+
+### Apache ne démarre pas
+
+**Symptôme :** `systemctl status apache2` montre une erreur
+
+**Solutions :**
+1. Tester la configuration :
+   ```bash
+   sudo apache2ctl configtest
+   ```
+2. Lire les logs :
+   ```bash
+   sudo journalctl -u apache2 -n 50
+   ```
+3. Vérifier qu'un autre service n'utilise pas le port 80/443 :
+   ```bash
+   sudo netstat -tlnp | grep :80
+   sudo netstat -tlnp | grep :443
+   ```
+
+### Let's Encrypt échoue
+
+**Symptôme :** `certbot` retourne une erreur
+
+**Solutions :**
+1. Vérifier que le DNS pointe vers le VPS :
+   ```bash
+   nslookup example.com
+   ```
+2. Vérifier qu'Apache fonctionne et est accessible en HTTP :
+   ```bash
+   curl http://example.com
+   ```
+3. Vérifier les logs Certbot :
+   ```bash
+   sudo journalctl -u certbot -n 50
+   ```
+
+---
+
+## Pour aller plus loin
+
+Une fois votre VPS configuré, vous pouvez :
+
+- **Installer Docker** pour conteneuriser vos applications
+- **Configurer un reverse proxy** pour gérer plusieurs sites
+- **Mettre en place une CI/CD** avec GitHub Actions
+- **Installer une base de données** (PostgreSQL, MySQL)
+- **Configurer un serveur mail** (Postfix, Dovecot)
+- **Monitorer votre serveur** (Netdata, Prometheus + Grafana)
+- **Optimiser Apache** (compression, cache, rate limiting)
+- **Renforcer la sécurité** (AppArmor, SELinux, 2FA SSH)
+
+Consultez les autres guides dans [linux-essentials/](linux-essentials/) pour la maintenance et le diagnostic !
diff --git a/serveur/vps-setup-rapide.md b/serveur/vps-setup-rapide.md
new file mode 100644
index 0000000..d52fdc6
--- /dev/null
+++ b/serveur/vps-setup-rapide.md
@@ -0,0 +1,477 @@
+# Setup VPS rapide
+
+Configuration sécurisée d'un VPS en 30-45 minutes.
+
+**Vous voulez comprendre en détail ?** → [vps-setup-complet.md](vps-setup-complet.md)
+
+---
+
+## 🎯 Vue d'ensemble
+
+```
+1. Connexion SSH         (5 min)
+2. Mises à jour          (5 min)
+3. Utilisateur           (5 min) - Type A uniquement
+4. Clés SSH              (10 min)
+5. Sécuriser SSH         (5 min)
+6. Pare-feu UFW          (5 min)
+7. Fail2ban              (5 min)
+8. Mises à jour auto     (5 min)
+9. Apache                (5 min)
+10. SSL (Let's Encrypt)  (5 min)
+────────────────────────────────
+Total: 30-50 min
+```
+
+---
+
+## Prérequis
+
+- VPS avec IP publique
+- Terminal (macOS/Linux)
+- [Vim basics](linux-essentials/vim-guide-essentiel.md) : `i` pour éditer, `Esc :wq` pour sauvegarder
+
+**Types d'accès :**
+- **Type A** (OVH, Hetzner) : accès `root` direct
+- **Type B** (Infomaniak) : utilisateur `debian`/`ubuntu` avec sudo → **Sautez étape 3**
+
+---
+
+## 1. Première connexion (5 min)
+
+```bash
+# Type A
+ssh root@IP-DU-VPS
+
+# Type B
+ssh debian@IP-DU-VPS  # ou ubuntu, admin selon l'hébergeur
+```
+
+**Type A seulement - Changer le mot de passe root :**
+```bash
+passwd  # Mot de passe fort (20+ caractères)
+```
+
+---
+
+## 2. Mises à jour (5 min)
+
+```bash
+# Type A
+apt update && apt upgrade -y && apt autoremove -y
+
+# Type B
+sudo apt update && sudo apt upgrade -y && sudo apt autoremove -y
+```
+
+---
+
+## 3. Créer un utilisateur (5 min)
+
+**⚠️ Type B : SAUTEZ cette étape**
+
+**Type A uniquement :**
+
+```bash
+# Créer l'utilisateur (remplacez "monuser")
+adduser monuser
+
+# Ajouter au groupe sudo
+usermod -aG sudo monuser
+
+# Vérifier
+groups monuser  # Doit afficher : monuser sudo
+```
+
+---
+
+## 4. Clés SSH (10 min)
+
+**Sur votre machine locale :**
+
+```bash
+# Vérifier si vous avez déjà une clé
+ls ~/.ssh/id_*.pub
+
+# Si non, créer une clé
+ssh-keygen -t ed25519 -C "votre-email@example.com"
+# Appuyez sur Entrée 3 fois
+
+# Afficher la clé
+cat ~/.ssh/id_ed25519.pub
+# Copiez la ligne complète
+```
+
+**Sur le VPS :**
+
+```bash
+# Type A - passer à votre utilisateur
+su - monuser
+
+# Type B - déjà votre utilisateur
+
+# Créer le dossier .ssh
+mkdir -p ~/.ssh && chmod 700 ~/.ssh
+
+# Ajouter la clé
+vim ~/.ssh/authorized_keys
+# Appuyez sur 'i', collez la clé, Esc puis :wq
+
+# Droits
+chmod 600 ~/.ssh/authorized_keys
+
+# Type A - retour à root
+exit
+```
+
+**Tester (nouveau terminal) :**
+
+```bash
+ssh monuser@IP-DU-VPS  # Doit marcher SANS mot de passe
+```
+
+---
+
+## 5. Sécuriser SSH (5 min)
+
+```bash
+# Éditer la config
+# Type A
+vim /etc/ssh/sshd_config
+
+# Type B
+sudo vim /etc/ssh/sshd_config
+```
+
+**Modifier ces lignes :**
+
+```
+PermitRootLogin no
+PasswordAuthentication no
+```
+
+**Redémarrer SSH :**
+
+```bash
+# Type A
+systemctl restart sshd
+
+# Type B
+sudo systemctl restart sshd
+```
+
+**⚠️ IMPORTANT : Tester dans un NOUVEAU terminal avant de fermer l'ancien !**
+
+```bash
+ssh monuser@IP-DU-VPS  # Doit marcher
+```
+
+---
+
+## 6. Pare-feu UFW (5 min)
+
+```bash
+# Type A
+apt install ufw -y
+ufw default deny incoming
+ufw default allow outgoing
+ufw allow 22/tcp
+ufw allow 80/tcp
+ufw allow 443/tcp
+ufw enable
+ufw status verbose
+
+# Type B (ajoutez sudo partout)
+sudo apt install ufw -y
+sudo ufw default deny incoming
+sudo ufw default allow outgoing
+sudo ufw allow 22/tcp
+sudo ufw allow 80/tcp
+sudo ufw allow 443/tcp
+sudo ufw enable
+sudo ufw status verbose
+```
+
+---
+
+## 7. Fail2ban (5 min)
+
+```bash
+# Installer
+# Type A
+apt install fail2ban -y
+
+# Type B
+sudo apt install fail2ban -y
+
+# Configuration minimale
+# Type A
+cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
+vim /etc/fail2ban/jail.local
+
+# Type B
+sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
+sudo vim /etc/fail2ban/jail.local
+```
+
+**Dans le fichier, trouver et vérifier :**
+
+```ini
+[DEFAULT]
+bantime  = 600
+findtime  = 600
+maxretry = 5
+
+[sshd]
+enabled = true
+```
+
+**Démarrer :**
+
+```bash
+# Type A
+systemctl start fail2ban
+systemctl enable fail2ban
+fail2ban-client status
+
+# Type B
+sudo systemctl start fail2ban
+sudo systemctl enable fail2ban
+sudo fail2ban-client status
+```
+
+---
+
+## 8. Mises à jour automatiques (5 min)
+
+```bash
+# Installer
+# Type A
+apt install unattended-upgrades -y
+dpkg-reconfigure -plow unattended-upgrades
+
+# Type B
+sudo apt install unattended-upgrades -y
+sudo dpkg-reconfigure -plow unattended-upgrades
+
+# Sélectionnez "Oui"
+```
+
+---
+
+## 9. Apache (5 min)
+
+```bash
+# Installer
+# Type A
+apt install apache2 -y
+systemctl start apache2
+systemctl enable apache2
+
+# Type B
+sudo apt install apache2 -y
+sudo systemctl start apache2
+sudo systemctl enable apache2
+```
+
+**Tester :**
+- Allez sur `http://IP-DU-VPS` dans votre navigateur
+- Vous devriez voir "Apache2 Debian Default Page"
+
+---
+
+## 10. Configurer un site (10 min)
+
+### DNS
+
+Chez votre registrar :
+```
+Type    Nom    Valeur
+A       @      IP-DU-VPS
+A       www    IP-DU-VPS
+```
+
+Attendre 5-30 min, puis vérifier :
+```bash
+nslookup monsite.com  # Doit retourner votre IP
+```
+
+### VirtualHost Apache
+
+```bash
+# Créer le dossier
+# Type A
+mkdir -p /var/www/monsite.com
+chown -R monuser:monuser /var/www/monsite.com
+echo "<h1>Ça marche !</h1>" > /var/www/monsite.com/index.html
+
+# Type B (remplacez debian par votre user)
+sudo mkdir -p /var/www/monsite.com
+sudo chown -R debian:debian /var/www/monsite.com
+echo "<h1>Ça marche !</h1>" > /var/www/monsite.com/index.html
+
+# Créer le VirtualHost
+# Type A
+vim /etc/apache2/sites-available/monsite.com.conf
+
+# Type B
+sudo vim /etc/apache2/sites-available/monsite.com.conf
+```
+
+**Contenu du fichier :**
+
+```apache
+<VirtualHost *:80>
+    ServerName monsite.com
+    ServerAlias www.monsite.com
+    DocumentRoot /var/www/monsite.com
+
+    <Directory /var/www/monsite.com>
+        Options -Indexes +FollowSymLinks
+        AllowOverride All
+        Require all granted
+    </Directory>
+
+    ErrorLog ${APACHE_LOG_DIR}/monsite.com_error.log
+    CustomLog ${APACHE_LOG_DIR}/monsite.com_access.log combined
+</VirtualHost>
+```
+
+**Activer le site :**
+
+```bash
+# Type A
+a2enmod rewrite
+a2ensite monsite.com.conf
+a2dissite 000-default.conf
+apache2ctl configtest  # Doit dire "Syntax OK"
+systemctl reload apache2
+
+# Type B
+sudo a2enmod rewrite
+sudo a2ensite monsite.com.conf
+sudo a2dissite 000-default.conf
+sudo apache2ctl configtest
+sudo systemctl reload apache2
+```
+
+**Tester :**
+- Allez sur `http://monsite.com`
+- Vous devriez voir "Ça marche !"
+
+---
+
+## 11. SSL (Let's Encrypt) (5 min)
+
+```bash
+# Installer Certbot
+# Type A
+apt install certbot python3-certbot-apache -y
+certbot --apache -d monsite.com -d www.monsite.com
+
+# Type B
+sudo apt install certbot python3-certbot-apache -y
+sudo certbot --apache -d monsite.com -d www.monsite.com
+
+# Répondre aux questions :
+# Email : votre-email@example.com
+# Terms : (A)gree
+# Redirect : 2 (forcer HTTPS)
+```
+
+**Tester :**
+- Allez sur `http://monsite.com` → redirige vers `https://monsite.com` 🔒
+
+---
+
+## ✅ Checklist finale
+
+- [ ] Connexion SSH par clé fonctionne
+- [ ] Mot de passe SSH désactivé
+- [ ] Root SSH désactivé
+- [ ] UFW actif (ports 22, 80, 443)
+- [ ] Fail2ban actif
+- [ ] Apache fonctionne
+- [ ] Site accessible en HTTP
+- [ ] SSL installé et HTTPS fonctionne
+- [ ] Redirection HTTP → HTTPS active
+
+---
+
+## 🚀 Prochaines étapes
+
+### Déployer votre site
+
+- **Kirby CMS** → [kirby-vps-deploy.md](kirby-vps-deploy.md)
+- **Autre site statique** → Utilisez rsync :
+  ```bash
+  rsync -avhP ./mon-site/ user@IP:/var/www/monsite.com/
+  ```
+
+### Maintenance de base
+
+```bash
+# Voir les logs Apache
+sudo tail -f /var/log/apache2/monsite.com_error.log
+
+# Voir les IPs bannies par Fail2ban
+sudo fail2ban-client status sshd
+
+# Espace disque
+df -h
+
+# Mettre à jour
+sudo apt update && sudo apt upgrade -y
+```
+
+---
+
+## 📚 Pour aller plus loin
+
+- **Guide complet** → [vps-setup-complet.md](vps-setup-complet.md)
+- **Vim** → [vim-guide-essentiel.md](linux-essentials/vim-guide-essentiel.md)
+- **Diagnostic** → [diagnostic-espace-disque.md](linux-essentials/diagnostic-espace-disque.md)
+
+---
+
+## Commandes de référence rapide
+
+```bash
+# SSH
+ssh user@host
+ssh -i ~/.ssh/cle user@host
+
+# UFW
+sudo ufw status
+sudo ufw allow 8080/tcp
+sudo ufw delete 3
+
+# Fail2ban
+sudo fail2ban-client status
+sudo fail2ban-client status sshd
+sudo fail2ban-client set sshd unbanip IP
+
+# Apache
+sudo systemctl status apache2
+sudo systemctl reload apache2
+sudo apache2ctl configtest
+sudo a2ensite site.conf
+sudo a2dissite site.conf
+
+# Certbot
+sudo certbot certificates
+sudo certbot renew --dry-run
+
+# Logs
+sudo tail -f /var/log/apache2/error.log
+sudo journalctl -u apache2 -n 50
+
+# Système
+df -h
+du -sh /var/www/*
+systemctl list-units --type=service --state=running
+```
+
+---
+
+**Temps total :** 30-50 minutes pour un VPS sécurisé et fonctionnel ! 🎉
diff --git a/serveur/vps-setup.md b/serveur/vps-setup.md
new file mode 100644
index 0000000..aecb428
--- /dev/null
+++ b/serveur/vps-setup.md
@@ -0,0 +1,68 @@
+# Setup VPS
+
+Deux guides selon vos besoins :
+
+---
+
+## 🚀 [Guide Rapide](vps-setup-rapide.md) (30-50 min)
+
+**Pour ceux qui veulent :**
+- Démarrer rapidement
+- Configuration fonctionnelle sans détails
+- Checklist actionnable
+
+**Contenu :**
+- Connexion SSH et sécurité
+- Pare-feu (UFW) et Fail2ban
+- Apache + SSL (Let's Encrypt)
+- Mises à jour automatiques
+
+👉 **[Commencer le setup rapide](vps-setup-rapide.md)**
+
+---
+
+## 📚 [Guide Complet](vps-setup-complet.md) (1-2h)
+
+**Pour ceux qui veulent :**
+- Comprendre chaque étape en profondeur
+- Explications du "pourquoi"
+- Troubleshooting détaillé
+- Guide de référence
+
+**Contenu :**
+- Tout le guide rapide +
+- Explications détaillées
+- Cas d'usage multiples (Type A / Type B)
+- Sections troubleshooting
+- Optimisations avancées
+
+👉 **[Voir le guide complet](vps-setup-complet.md)**
+
+---
+
+## 📦 Après le setup : Déployer votre site
+
+### Kirby CMS
+👉 **[Guide Kirby](kirby-vps-deploy.md)** - Déployer un ou plusieurs sites Kirby
+
+### Autre projet
+- Site statique : utilisez rsync
+- Application Node.js : configurez un reverse proxy
+- Forgejo : voir [forgejo/](forgejo/)
+
+---
+
+## 🆘 Problèmes ?
+
+- **SSH ne fonctionne plus** → [Guide complet - Troubleshooting SSH](vps-setup-complet.md#impossible-de-se-connecter-en-ssh)
+- **Apache ne démarre pas** → [Guide complet - Troubleshooting Apache](vps-setup-complet.md#apache-ne-démarre-pas)
+- **Disque plein** → [Diagnostic espace disque](linux-essentials/diagnostic-espace-disque.md)
+- **Bots qui attaquent** → [Analyse logs et Fail2ban](linux-essentials/analyse-logs-detection-bots.md)
+
+---
+
+## 📖 Guides complémentaires
+
+- **[Vim (éditeur)](linux-essentials/vim-guide-essentiel.md)** - Essentiel pour éditer les configs
+- **[Architecture Linux](linux-essentials/architecture-filesystem.md)** - Comprendre /etc, /var, /lib
+- **[Commandes find/du](linux-essentials/comprendre-commandes-find-du.md)** - Recherche et diagnostic