Aller au contenu
Administration Linux medium

Debian vs Ubuntu vs AlmaLinux : qui couvre vraiment vos paquets

18 min de lecture

Une distribution peut annoncer dix ans de support et laisser fail2ban sans correctif garanti. C'est la découverte centrale de ce comparatif entre Debian 13, Ubuntu Server 26.04 LTS et AlmaLinux 10 : la durée du support gratuit ne dit rien tant qu'on ignore son périmètre, c'est-à-dire la liste des paquets que l'éditeur s'engage réellement à corriger. Trois labs en machine virtuelle ont posé la même question aux trois systèmes, paquet par paquet : nginx, docker.io, redis, fail2ban, certbot. Résultat : les trois ont un trou de couverture, mais il n'est pas au même endroit, et c'est ce trou qui doit décider à votre place.

  • Comparer les durées de support gratuit des trois distributions, et repérer où elles s'arrêtent de l'être.
  • Savoir quels paquets serveur sont réellement couverts : docker.io, redis, fail2ban, certbot, nginx.
  • Déjouer les quatre nuances que les comparatifs escamotent : contrib chez Debian, esm-apps chez Ubuntu, EPEL et l'absence d'EUS chez AlmaLinux.
  • Trancher selon votre parc, votre hyperviseur et votre budget.

Si vous êtes venu chercher une réponse, la voici, sans détour. Ce tableau part de votre situation dominante, pas des mérites supposés de chaque distribution. Lisez la ligne qui vous ressemble ; le reste de la page explique pourquoi, et à quel prix.

Votre situationPrenezCe que vous acceptez en échange
Une pile auto-hébergée : Docker, Redis, fail2ban, certbotDebian 13un cycle de 5 ans, donc une migration à préparer plus tôt
Un parc long et stable, sans budget de souscriptionAlmaLinux 10fail2ban et certbot hors périmètre (EPEL), et un CPU x86-64-v3 exigé
Du cloud public, des images officielles partoutUbuntu 26.04 LTSuniverse non couvert sans Ubuntu Pro, et un userland Rust à retester

Un quatrième cas, le progiciel métier certifié RHEL, se joue sur un terrain contractuel et pas technique : il est traité plus bas, dans les recommandations par cas.

Le support gratuit : le critère que les comparatifs expliquent mal

Section intitulée « Le support gratuit : le critère que les comparatifs expliquent mal »

La vraie question tient en deux temps : combien d'années de correctifs de sécurité recevrez-vous sans payer, et sur quels paquets. Presque tous les comparatifs répondent à la première et ignorent la seconde. C'est pourtant elle qui décide, parce qu'un chiffre d'années sans périmètre ne veut rien dire.

Le périmètre paquet par paquet, celui que personne ne publie

Section intitulée « Le périmètre paquet par paquet, celui que personne ne publie »

Voici le cœur du sujet, et le contenu que vous ne trouverez nulle part ailleurs. Les trois labs ont interrogé les mêmes paquets serveur avec l'outil natif de chaque distribution (apt-cache policy et dnf repoquery), et ont regardé de quel dépôt ils sortent. Le dépôt d'origine détermine qui s'est engagé à publier un correctif en cas de faille, et c'est une information contractuelle, pas une opinion.

PaquetDebian 13Ubuntu 26.04AlmaLinux 10
nginxmain, servi par trixie-securitymainAppStream
docker.iomainuniversen'existe pas (Docker hors distribution)
redismain, servi par trixie-securityuniversen'existe plus (remplacé par valkey, dans AppStream)
fail2banmainuniverseEPEL (Vendor: Fedora Project)
certbotmainuniverseEPEL (Vendor: Fedora Project)
prometheus(non mesuré)universe(non mesuré)
Couverture gratuitetout mainmain seul, environ 2 300 paquets sur plus de 36 000 dans universetout le périmètre distribution, EPEL exclu

Trois lectures s'imposent. Chez Debian, les cinq paquets testés sont tous dans main, donc suivis par l'équipe de sécurité Debian sans rien activer ; redis et nginx sont même effectivement servis par trixie-security, la preuve qu'un correctif y est réellement publié pour eux. Chez Ubuntu, docker.io, redis, fail2ban et prometheus sont dans universe, c'est-à-dire hors engagement de Canonical dès le premier jour. Chez AlmaLinux, nginx et valkey sont couverts par AppStream, mais fail2ban et certbot viennent d'EPEL, un dépôt maintenu par un groupe d'intérêt de la communauté Fedora, sans aucun SLA.

La nuance la plus parlante concerne Ubuntu : containerd est dans main, servi par resolute-security/main, donc il reçoit vraiment des correctifs. Mais docker.io, qui le pilote, est dans universe et n'en reçoit aucun. Le moteur qui exécute vos conteneurs est couvert ; le gestionnaire qui lui donne les ordres ne l'est pas. Aucune documentation ne le présente sous cet angle.

Les années annoncées, celles que tout le monde publie

Section intitulée « Les années annoncées, celles que tout le monde publie »

Le second tableau est public et facile à vérifier : ce sont les engagements officiels des trois projets, tels qu'ils se lisent dans leurs pages de cycle de vie. Notez la colonne de droite : chez Ubuntu, la prolongation existe, mais elle s'achète.

Support gratuitDétail du cycleExtensions payantes
Debian 135 ans3 ans de support complet (jusqu'au 9 août 2028), puis 2 ans de LTS (jusqu'au 30 juin 2030)ELTS de Freexian, au-delà
Ubuntu 26.04 LTS5 ansmaintenance standard de main, jusqu'en 2031ESM jusqu'à 10 ans, puis Legacy jusqu'à 15 ans, via Ubuntu Pro
AlmaLinux 1010 anssupport actif jusqu'au 31 mai 2030, correctifs de sécurité jusqu'au 31 mai 2035aucune : la fondation ne vend rien

Sur ce seul tableau, AlmaLinux gagne d'une longueur : deux fois plus d'années gratuites, sans souscription, et la machine le déclare elle-même dans /etc/os-release (champ SUPPORT_END). Mais croisé avec le tableau du périmètre, le classement change de nature : dix ans sans fail2ban ne valent pas cinq ans qui couvrent toute la pile.

Aucune des trois distributions ne couvre gratuitement tout ce que vous installerez sur un serveur. La différence est l'emplacement du trou, et le fait qu'il soit ou non sur votre chemin.

Sur les paquets serveur testés ici, Debian offre le périmètre gratuit le plus homogène : une pile Docker plus Redis plus fail2ban installée depuis l'archive est suivie d'office, pendant les cinq ans. Ubuntu offre le cycle le plus long, jusqu'à quinze ans, mais payant au-delà de main, et payant dès la première année pour tout ce qui vient de universe. AlmaLinux offre deux fois plus d'années gratuites sur tout le périmètre de la distribution, mais renvoie fail2ban et certbot hors de ce périmètre. Le choix n'est donc pas « qui couvre le plus », c'est « quel trou puis-je assumer », et cela dépend entièrement de ce que vous posez sur la machine.

Un comparatif qui s'arrête aux deux tableaux ci-dessus est encore malhonnête. Chaque distribution traîne une exception ou un contresens répandu qui, découvert trop tard, coûte cher.

Chez Debian, l'archive n'est pas couverte en entier. La FAQ sécurité officielle le dit noir sur blanc : contrib, non-free et non-free-firmware ne font pas partie de la distribution publiée et ne sont pas suivis. Ce qui est vrai, et qui suffit largement : tout ce qui compte pour un serveur est dans main. Le raccourci « Debian couvre toute l'archive » vous exposera le jour où vous activerez contrib pour un pilote ou un firmware propriétaire.

Chez Debian toujours, les années 4 et 5 changent de main. Le LTS n'est pas porté par l'équipe de sécurité de Debian mais par la Debian LTS Team, une équipe distincte, financée par un sponsoring d'entreprises organisé par Freexian. Au-delà, l'ELTS est un service commercial. Autrement dit, l'indépendance de Debian, argument légitime en soi, ne s'étend pas mécaniquement à la fin de son cycle.

Chez Ubuntu, le contresens le plus répandu est de croire qu'ESM prend le relais après cinq ans. C'est vrai pour main, avec esm-infra. C'est faux pour universe : c'est esm-apps qui le couvre, et la page officielle est explicite, ce flux court pendant dix ans à compter de la sortie de la LTS, donc dès la première année. Un serveur qui utilise universe a besoin d'Ubuntu Pro immédiatement, pas dans cinq ans. Ubuntu Pro est gratuit jusqu'à 5 machines en usage personnel (jusqu'à 50 pour les membres officiels de la communauté) ; au-delà, et en usage professionnel, il est payant, à partir de 500 dollars par machine et par an au tarif public affiché en juillet 2026.

Chez AlmaLinux, il n'y a pas d'EUS gratuit. L'EUS (Extended Update Support) est le maintien d'une version mineure figée pendant que la branche avance. AlmaLinux ne le propose pas gratuitement : une version mineure meurt à la sortie de la suivante. Vous ne pouvez donc pas rester sur une 10.2 pendant deux ans en recevant des correctifs, il faut suivre les mineures. Les dix ans sont réels ; ils vous engagent à rester à jour sur la branche, pas à figer un état.

Reste à traduire tout cela en décision. Ces quatre cas couvrent l'essentiel des situations réelles, en gardant en tête que c'est la charge posée sur la machine qui décide, pas la distribution en elle-même.

Une pile applicative auto-hébergée (Docker, Redis, un reverse proxy, fail2ban, certbot) : Debian 13. C'est celle des trois où ces cinq paquets sont couverts gratuitement, et celle où le userland ne réserve aucune surprise. Le prix : un cycle de cinq ans, donc une migration à préparer plus tôt.

Un parc long, stable, sans budget de souscription : AlmaLinux 10, pour ses dix ans gratuits. Vérifiez deux choses avant : que vos hyperviseurs exposent un CPU v3, et que vous acceptez de gérer fail2ban et certbot hors périmètre, ou de les remplacer (le pare-feu applicatif, ou le client ACME de votre reverse proxy, font souvent l'affaire).

Du cloud public, du matériel récent, des images officielles partout : Ubuntu Server 26.04 LTS, la distribution la mieux servie par les fournisseurs. Sachez alors que universe n'est pas couvert : soit vous prenez Ubuntu Pro (gratuit jusqu'à 5 machines, payant ensuite), soit vous installez Docker et Certbot depuis leurs dépôts d'éditeur, ce que tout le monde fait déjà sans savoir pourquoi.

Un progiciel métier certifié RHEL : ni Debian ni Ubuntu, et méfiez-vous d'AlmaLinux aussi. Le logiciel fonctionnera, l'ABI est compatible, mais l'éditeur ne le supportera pas tant que la certification ISV n'existe pas. Le coût du choix est alors contractuel, pas technique, et il se discute avec l'éditeur du progiciel.

Le support n'est pas le seul point où les trois distributions divergent, mais les autres écarts sont documentés en détail dans les trois guides dédiés. En voici l'essentiel, pour vérifier qu'aucun ne disqualifie votre choix.

Ce que la machine envoie sur le réseau. Sous tcpdump, Ubuntu contacte motd.ubuntu.com à chaque connexion SSH (script 50-motd-news, exécuté en root par pam_motd), en transmettant version, noyau, architecture, identifiant cloud et modèle du processeur. Debian et AlmaLinux n'émettent que du NTP. Ce n'est ni une faille ni une malveillance : Canonical le documente, et cela se coupe en une ligne (ENABLED=0 dans /etc/default/motd-news). L'écart est de sobriété réseau et de contrôle administratif : une machine de production ne devrait émettre que ce qu'on lui a demandé d'émettre, et le défaut inverse la charge, puisqu'il faut d'abord découvrir le comportement pour le désactiver. En environnement cloisonné ou audité, ce flux est un point à justifier. La symétrie mérite d'être dite : les trois distributions contactent aussi leurs miroirs de paquets (unattended-upgrades chez Debian, dnf-makecache chez Alma), du trafic sortant lui aussi, mais aucune donnée sur la machine n'y part. Le détail est dans le guide Ubuntu Server 26.04.

Le userland Rust d'Ubuntu. Ubuntu 26.04 impose sudo-rs (0.2.13) et des coreutils réécrits en Rust (uutils 0.8.0) ; Debian les package sans les installer, AlmaLinux ne les propose pas. Sur les 93 sondes du lab, aucun code de retour ne change, mais ls --color=always émet désormais des codes ANSI même avec un LS_COLORS vide : tout parsing de sortie en cron ou en CI est à retester. Le guide Ubuntu chiffre cette surface de retest.

SELinux, AppArmor et le pare-feu. AlmaLinux démarre avec SELinux en Enforcing, le vrai dépaysement pour qui vient de Debian ; Debian et Ubuntu utilisent AppArmor, plus discret. Sur les images cloud mesurées, Debian 13 et AlmaLinux 10 n'ont aucun pare-feu, pas même installé : ni nftables, ni ufw, ni firewalld, ce qui dément le « firewalld actif par défaut » qu'on prête à la famille RHEL (vrai en installation par l'ISO, faux en image cloud). Le lab Ubuntu n'a pas sondé ce point, mais la conclusion opérationnelle ne change pas : le filtrage est à votre charge, avec nftables côté Debian et Ubuntu, ou firewalld côté AlmaLinux. Le détail SELinux est dans le guide AlmaLinux 10.

Les montées de version majeure. Chez Debian, la migration en place (apt full-upgrade) a été validée de bout en bout en VM ; chez Ubuntu, do-release-upgrade depuis une 24.04 ne sera proposée qu'après la 26.04.1, prévue le 27 août 2026 ; chez AlmaLinux, ELevate (leapp) existe, mais la culture EL assume le « reconstruis plutôt que migrer ». Bonus côté EL : dnf history undo défait une transaction dépendances comprises, là où APT n'a aucun équivalent natif sur Debian 13 (Ubuntu, en APT 3.x, apporte apt history-undo). La procédure pas à pas est dans le guide Debian 13.

Le mur x86-64-v3 d'AlmaLinux. RHEL 10 et ses reconstructions exigent un CPU x86-64-v3 (Haswell de 2013 ou plus récent) ; AlmaLinux est le seul à fournir en plus une variante v2, filet de survie et non plateforme. Le blocage le plus fréquent est l'hyperviseur : avec le CPU par défaut de Proxmox (kvm64), la VM ne démarre pas, sur un Fatal glibc error trompeur puisque le noyau démarre normalement et que c'est glibc qui tue init. Sur un cluster, la migration à chaud impose des nœuds tous v3. Le triple test de démarrage est dans le guide AlmaLinux 10.

  • Le chiffre d'années ne veut rien dire sans le périmètre. AlmaLinux annonce 10 ans gratuits, Debian et Ubuntu 5 ans. Mais Ubuntu ne couvre que main (environ 2 300 paquets, contre plus de 36 000 dans universe), et AlmaLinux exclut EPEL.
  • Sur les paquets serveur testés ici, Debian offre le périmètre gratuit le plus homogène : les cinq sont dans main, et redis comme nginx sont effectivement servis par trixie-security.
  • Chez Ubuntu, le trou est là dès le jour 1. docker.io, redis, fail2ban et prometheus sont dans universe ; esm-apps est leur seule couverture et demande Ubuntu Pro immédiatement. Fait contre-intuitif : containerd est dans main, pas docker.io qui le pilote.
  • Chez AlmaLinux, fail2ban et certbot viennent d'EPEL, sans SLA, et redis n'existe plus (c'est valkey). Pas d'EUS gratuit : une mineure meurt à la sortie de la suivante.
  • Deux nuances d'honnêteté sur Debian : l'équipe de sécurité ne couvre pas contrib, non-free ni non-free-firmware ; et les années 4 et 5 sont portées par la Debian LTS Team, financée par un sponsoring d'entreprises organisé par Freexian.
  • Les autres écarts (flux sortant vers motd.ubuntu.com activé par défaut chez Ubuntu, userland Rust, SELinux contre AppArmor, montées de version, mur x86-64-v3) départagent rarement à eux seuls, mais se vérifient avant de signer : chacun est détaillé dans le guide de sa distribution.
  • Aucune image cloud mesurée n'a de pare-feu, chez Debian comme chez AlmaLinux (point non sondé sur Ubuntu). Le filtrage est à votre charge dans tous les cas.

Ce comparatif croise trois labs et les publications officielles des trois projets ; les liens ci-dessous permettent de vérifier chaque chiffre à la source, en particulier les dates de fin de support et les tarifs, les faits les plus périssables de la page.

Les cycles de vie, à recouper avant toute décision engageante :

Le périmètre de couverture, cœur du sujet :

  • FAQ sécurité de Debian : contrib, non-free et non-free-firmware ne sont pas couverts par l'équipe de sécurité.
  • Expanded Security Maintenance (ESM) : les 2 300 paquets dans main, les plus de 36 000 dans universe, et la phrase décisive sur esm-apps, qui couvre universe dès la première année.
  • Tarifs Ubuntu Pro : gratuit jusqu'à 5 machines en usage personnel, 50 pour les membres de la communauté, 500 dollars par machine et par an au-delà (tarif public relevé en juillet 2026).
  • Le projet EPEL : l'absence d'engagement, dans les termes du projet lui-même. C'est la frontière AppStream/EPEL qui prive AlmaLinux de fail2ban et certbot.
  • Avis de sécurité AlmaLinux (ALSA) : la base des correctifs, publique et gratuite, mais limitée aux dépôts AlmaLinux.

Ce site vous est utile ?

Sachez que moins de 1% des lecteurs soutiennent ce site.

Je maintiens +700 guides gratuits, sans pub ni tracking. Un soutien, même symbolique, m'aide à couvrir l'hébergement et à garder ces ressources gratuites. Merci pour votre appui.

Le formulaire ne s'affiche pas ? Ouvrir Ko-fi dans un onglet.

Abonnez-vous et suivez mon actualité DevSecOps sur LinkedIn