Une distribution peut annoncer dix ans de support et laisser fail2ban sans correctif garanti. C'est la découverte centrale de ce comparatif entre Debian 13, Ubuntu Server 26.04 LTS et AlmaLinux 10 : la durée du support gratuit ne dit rien tant qu'on ignore son périmètre, c'est-à-dire la liste des paquets que l'éditeur s'engage réellement à corriger. Trois labs en machine virtuelle ont posé la même question aux trois systèmes, paquet par paquet : nginx, docker.io, redis, fail2ban, certbot. Résultat : les trois ont un trou de couverture, mais il n'est pas au même endroit, et c'est ce trou qui doit décider à votre place.
Ce que vous allez apprendre
Section intitulée « Ce que vous allez apprendre »- Comparer les durées de support gratuit des trois distributions, et repérer où elles s'arrêtent de l'être.
- Savoir quels paquets serveur sont réellement couverts :
docker.io,redis,fail2ban,certbot,nginx. - Déjouer les quatre nuances que les comparatifs escamotent :
contribchez Debian,esm-appschez Ubuntu, EPEL et l'absence d'EUS chez AlmaLinux. - Trancher selon votre parc, votre hyperviseur et votre budget.
La réponse en 30 secondes
Section intitulée « La réponse en 30 secondes »Si vous êtes venu chercher une réponse, la voici, sans détour. Ce tableau part de votre situation dominante, pas des mérites supposés de chaque distribution. Lisez la ligne qui vous ressemble ; le reste de la page explique pourquoi, et à quel prix.
| Votre situation | Prenez | Ce que vous acceptez en échange |
|---|---|---|
Une pile auto-hébergée : Docker, Redis, fail2ban, certbot | Debian 13 | un cycle de 5 ans, donc une migration à préparer plus tôt |
| Un parc long et stable, sans budget de souscription | AlmaLinux 10 | fail2ban et certbot hors périmètre (EPEL), et un CPU x86-64-v3 exigé |
| Du cloud public, des images officielles partout | Ubuntu 26.04 LTS | universe non couvert sans Ubuntu Pro, et un userland Rust à retester |
Un quatrième cas, le progiciel métier certifié RHEL, se joue sur un terrain contractuel et pas technique : il est traité plus bas, dans les recommandations par cas.
Le support gratuit : le critère que les comparatifs expliquent mal
Section intitulée « Le support gratuit : le critère que les comparatifs expliquent mal »La vraie question tient en deux temps : combien d'années de correctifs de sécurité recevrez-vous sans payer, et sur quels paquets. Presque tous les comparatifs répondent à la première et ignorent la seconde. C'est pourtant elle qui décide, parce qu'un chiffre d'années sans périmètre ne veut rien dire.
Le périmètre paquet par paquet, celui que personne ne publie
Section intitulée « Le périmètre paquet par paquet, celui que personne ne publie »Voici le cœur du sujet, et le contenu que vous ne trouverez nulle part ailleurs. Les trois labs ont interrogé les mêmes paquets serveur avec l'outil natif de chaque distribution (apt-cache policy et dnf repoquery), et ont regardé de quel dépôt ils sortent. Le dépôt d'origine détermine qui s'est engagé à publier un correctif en cas de faille, et c'est une information contractuelle, pas une opinion.
| Paquet | Debian 13 | Ubuntu 26.04 | AlmaLinux 10 |
|---|---|---|---|
nginx | main, servi par trixie-security | main | AppStream |
docker.io | main | universe | n'existe pas (Docker hors distribution) |
redis | main, servi par trixie-security | universe | n'existe plus (remplacé par valkey, dans AppStream) |
fail2ban | main | universe | EPEL (Vendor: Fedora Project) |
certbot | main | universe | EPEL (Vendor: Fedora Project) |
prometheus | (non mesuré) | universe | (non mesuré) |
| Couverture gratuite | tout main | main seul, environ 2 300 paquets sur plus de 36 000 dans universe | tout le périmètre distribution, EPEL exclu |
Trois lectures s'imposent. Chez Debian, les cinq paquets testés sont tous dans main, donc suivis par l'équipe de sécurité Debian sans rien activer ; redis et nginx sont même effectivement servis par trixie-security, la preuve qu'un correctif y est réellement publié pour eux. Chez Ubuntu, docker.io, redis, fail2ban et prometheus sont dans universe, c'est-à-dire hors engagement de Canonical dès le premier jour. Chez AlmaLinux, nginx et valkey sont couverts par AppStream, mais fail2ban et certbot viennent d'EPEL, un dépôt maintenu par un groupe d'intérêt de la communauté Fedora, sans aucun SLA.
La nuance la plus parlante concerne Ubuntu : containerd est dans main, servi par resolute-security/main, donc il reçoit vraiment des correctifs. Mais docker.io, qui le pilote, est dans universe et n'en reçoit aucun. Le moteur qui exécute vos conteneurs est couvert ; le gestionnaire qui lui donne les ordres ne l'est pas. Aucune documentation ne le présente sous cet angle.
Les années annoncées, celles que tout le monde publie
Section intitulée « Les années annoncées, celles que tout le monde publie »Le second tableau est public et facile à vérifier : ce sont les engagements officiels des trois projets, tels qu'ils se lisent dans leurs pages de cycle de vie. Notez la colonne de droite : chez Ubuntu, la prolongation existe, mais elle s'achète.
| Support gratuit | Détail du cycle | Extensions payantes | |
|---|---|---|---|
| Debian 13 | 5 ans | 3 ans de support complet (jusqu'au 9 août 2028), puis 2 ans de LTS (jusqu'au 30 juin 2030) | ELTS de Freexian, au-delà |
| Ubuntu 26.04 LTS | 5 ans | maintenance standard de main, jusqu'en 2031 | ESM jusqu'à 10 ans, puis Legacy jusqu'à 15 ans, via Ubuntu Pro |
| AlmaLinux 10 | 10 ans | support actif jusqu'au 31 mai 2030, correctifs de sécurité jusqu'au 31 mai 2035 | aucune : la fondation ne vend rien |
Sur ce seul tableau, AlmaLinux gagne d'une longueur : deux fois plus d'années gratuites, sans souscription, et la machine le déclare elle-même dans /etc/os-release (champ SUPPORT_END). Mais croisé avec le tableau du périmètre, le classement change de nature : dix ans sans fail2ban ne valent pas cinq ans qui couvrent toute la pile.
Trois trous, à trois endroits différents
Section intitulée « Trois trous, à trois endroits différents »Aucune des trois distributions ne couvre gratuitement tout ce que vous installerez sur un serveur. La différence est l'emplacement du trou, et le fait qu'il soit ou non sur votre chemin.
Sur les paquets serveur testés ici, Debian offre le périmètre gratuit le plus homogène : une pile Docker plus Redis plus fail2ban installée depuis l'archive est suivie d'office, pendant les cinq ans. Ubuntu offre le cycle le plus long, jusqu'à quinze ans, mais payant au-delà de main, et payant dès la première année pour tout ce qui vient de universe. AlmaLinux offre deux fois plus d'années gratuites sur tout le périmètre de la distribution, mais renvoie fail2ban et certbot hors de ce périmètre. Le choix n'est donc pas « qui couvre le plus », c'est « quel trou puis-je assumer », et cela dépend entièrement de ce que vous posez sur la machine.
Les quatre nuances à ne pas escamoter
Section intitulée « Les quatre nuances à ne pas escamoter »Un comparatif qui s'arrête aux deux tableaux ci-dessus est encore malhonnête. Chaque distribution traîne une exception ou un contresens répandu qui, découvert trop tard, coûte cher.
Chez Debian, l'archive n'est pas couverte en entier. La FAQ sécurité officielle le dit noir sur blanc : contrib, non-free et non-free-firmware ne font pas partie de la distribution publiée et ne sont pas suivis. Ce qui est vrai, et qui suffit largement : tout ce qui compte pour un serveur est dans main. Le raccourci « Debian couvre toute l'archive » vous exposera le jour où vous activerez contrib pour un pilote ou un firmware propriétaire.
Chez Debian toujours, les années 4 et 5 changent de main. Le LTS n'est pas porté par l'équipe de sécurité de Debian mais par la Debian LTS Team, une équipe distincte, financée par un sponsoring d'entreprises organisé par Freexian. Au-delà, l'ELTS est un service commercial. Autrement dit, l'indépendance de Debian, argument légitime en soi, ne s'étend pas mécaniquement à la fin de son cycle.
Chez Ubuntu, le contresens le plus répandu est de croire qu'ESM prend le relais après cinq ans. C'est vrai pour main, avec esm-infra. C'est faux pour universe : c'est esm-apps qui le couvre, et la page officielle est explicite, ce flux court pendant dix ans à compter de la sortie de la LTS, donc dès la première année. Un serveur qui utilise universe a besoin d'Ubuntu Pro immédiatement, pas dans cinq ans. Ubuntu Pro est gratuit jusqu'à 5 machines en usage personnel (jusqu'à 50 pour les membres officiels de la communauté) ; au-delà, et en usage professionnel, il est payant, à partir de 500 dollars par machine et par an au tarif public affiché en juillet 2026.
Chez AlmaLinux, il n'y a pas d'EUS gratuit. L'EUS (Extended Update Support) est le maintien d'une version mineure figée pendant que la branche avance. AlmaLinux ne le propose pas gratuitement : une version mineure meurt à la sortie de la suivante. Vous ne pouvez donc pas rester sur une 10.2 pendant deux ans en recevant des correctifs, il faut suivre les mineures. Les dix ans sont réels ; ils vous engagent à rester à jour sur la branche, pas à figer un état.
Quelle distribution pour quel cas
Section intitulée « Quelle distribution pour quel cas »Reste à traduire tout cela en décision. Ces quatre cas couvrent l'essentiel des situations réelles, en gardant en tête que c'est la charge posée sur la machine qui décide, pas la distribution en elle-même.
Une pile applicative auto-hébergée (Docker, Redis, un reverse proxy, fail2ban, certbot) : Debian 13. C'est celle des trois où ces cinq paquets sont couverts gratuitement, et celle où le userland ne réserve aucune surprise. Le prix : un cycle de cinq ans, donc une migration à préparer plus tôt.
Un parc long, stable, sans budget de souscription : AlmaLinux 10, pour ses dix ans gratuits. Vérifiez deux choses avant : que vos hyperviseurs exposent un CPU v3, et que vous acceptez de gérer fail2ban et certbot hors périmètre, ou de les remplacer (le pare-feu applicatif, ou le client ACME de votre reverse proxy, font souvent l'affaire).
Du cloud public, du matériel récent, des images officielles partout : Ubuntu Server 26.04 LTS, la distribution la mieux servie par les fournisseurs. Sachez alors que universe n'est pas couvert : soit vous prenez Ubuntu Pro (gratuit jusqu'à 5 machines, payant ensuite), soit vous installez Docker et Certbot depuis leurs dépôts d'éditeur, ce que tout le monde fait déjà sans savoir pourquoi.
Un progiciel métier certifié RHEL : ni Debian ni Ubuntu, et méfiez-vous d'AlmaLinux aussi. Le logiciel fonctionnera, l'ABI est compatible, mais l'éditeur ne le supportera pas tant que la certification ISV n'existe pas. Le coût du choix est alors contractuel, pas technique, et il se discute avec l'éditeur du progiciel.
Les autres critères, en résumé
Section intitulée « Les autres critères, en résumé »Le support n'est pas le seul point où les trois distributions divergent, mais les autres écarts sont documentés en détail dans les trois guides dédiés. En voici l'essentiel, pour vérifier qu'aucun ne disqualifie votre choix.
Ce que la machine envoie sur le réseau. Sous tcpdump, Ubuntu contacte motd.ubuntu.com à chaque connexion SSH (script 50-motd-news, exécuté en root par pam_motd), en transmettant version, noyau, architecture, identifiant cloud et modèle du processeur. Debian et AlmaLinux n'émettent que du NTP. Ce n'est ni une faille ni une malveillance : Canonical le documente, et cela se coupe en une ligne (ENABLED=0 dans /etc/default/motd-news). L'écart est de sobriété réseau et de contrôle administratif : une machine de production ne devrait émettre que ce qu'on lui a demandé d'émettre, et le défaut inverse la charge, puisqu'il faut d'abord découvrir le comportement pour le désactiver. En environnement cloisonné ou audité, ce flux est un point à justifier. La symétrie mérite d'être dite : les trois distributions contactent aussi leurs miroirs de paquets (unattended-upgrades chez Debian, dnf-makecache chez Alma), du trafic sortant lui aussi, mais aucune donnée sur la machine n'y part. Le détail est dans le guide Ubuntu Server 26.04.
Le userland Rust d'Ubuntu. Ubuntu 26.04 impose sudo-rs (0.2.13) et des coreutils réécrits en Rust (uutils 0.8.0) ; Debian les package sans les installer, AlmaLinux ne les propose pas. Sur les 93 sondes du lab, aucun code de retour ne change, mais ls --color=always émet désormais des codes ANSI même avec un LS_COLORS vide : tout parsing de sortie en cron ou en CI est à retester. Le guide Ubuntu chiffre cette surface de retest.
SELinux, AppArmor et le pare-feu. AlmaLinux démarre avec SELinux en Enforcing, le vrai dépaysement pour qui vient de Debian ; Debian et Ubuntu utilisent AppArmor, plus discret. Sur les images cloud mesurées, Debian 13 et AlmaLinux 10 n'ont aucun pare-feu, pas même installé : ni nftables, ni ufw, ni firewalld, ce qui dément le « firewalld actif par défaut » qu'on prête à la famille RHEL (vrai en installation par l'ISO, faux en image cloud). Le lab Ubuntu n'a pas sondé ce point, mais la conclusion opérationnelle ne change pas : le filtrage est à votre charge, avec nftables côté Debian et Ubuntu, ou firewalld côté AlmaLinux. Le détail SELinux est dans le guide AlmaLinux 10.
Les montées de version majeure. Chez Debian, la migration en place (apt full-upgrade) a été validée de bout en bout en VM ; chez Ubuntu, do-release-upgrade depuis une 24.04 ne sera proposée qu'après la 26.04.1, prévue le 27 août 2026 ; chez AlmaLinux, ELevate (leapp) existe, mais la culture EL assume le « reconstruis plutôt que migrer ». Bonus côté EL : dnf history undo défait une transaction dépendances comprises, là où APT n'a aucun équivalent natif sur Debian 13 (Ubuntu, en APT 3.x, apporte apt history-undo). La procédure pas à pas est dans le guide Debian 13.
Le mur x86-64-v3 d'AlmaLinux. RHEL 10 et ses reconstructions exigent un CPU x86-64-v3 (Haswell de 2013 ou plus récent) ; AlmaLinux est le seul à fournir en plus une variante v2, filet de survie et non plateforme. Le blocage le plus fréquent est l'hyperviseur : avec le CPU par défaut de Proxmox (kvm64), la VM ne démarre pas, sur un Fatal glibc error trompeur puisque le noyau démarre normalement et que c'est glibc qui tue init. Sur un cluster, la migration à chaud impose des nœuds tous v3. Le triple test de démarrage est dans le guide AlmaLinux 10.
À retenir
Section intitulée « À retenir »- Le chiffre d'années ne veut rien dire sans le périmètre. AlmaLinux annonce 10 ans gratuits, Debian et Ubuntu 5 ans. Mais Ubuntu ne couvre que
main(environ 2 300 paquets, contre plus de 36 000 dansuniverse), et AlmaLinux exclut EPEL. - Sur les paquets serveur testés ici, Debian offre le périmètre gratuit le plus homogène : les cinq sont dans
main, etrediscommenginxsont effectivement servis partrixie-security. - Chez Ubuntu, le trou est là dès le jour 1.
docker.io,redis,fail2banetprometheussont dansuniverse;esm-appsest leur seule couverture et demande Ubuntu Pro immédiatement. Fait contre-intuitif :containerdest dansmain, pasdocker.ioqui le pilote. - Chez AlmaLinux,
fail2banetcertbotviennent d'EPEL, sans SLA, etredisn'existe plus (c'estvalkey). Pas d'EUS gratuit : une mineure meurt à la sortie de la suivante. - Deux nuances d'honnêteté sur Debian : l'équipe de sécurité ne couvre pas
contrib,non-freeninon-free-firmware; et les années 4 et 5 sont portées par la Debian LTS Team, financée par un sponsoring d'entreprises organisé par Freexian. - Les autres écarts (flux sortant vers
motd.ubuntu.comactivé par défaut chez Ubuntu, userland Rust, SELinux contre AppArmor, montées de version, mur x86-64-v3) départagent rarement à eux seuls, mais se vérifient avant de signer : chacun est détaillé dans le guide de sa distribution. - Aucune image cloud mesurée n'a de pare-feu, chez Debian comme chez AlmaLinux (point non sondé sur Ubuntu). Le filtrage est à votre charge dans tous les cas.
Sources et références
Section intitulée « Sources et références »Ce comparatif croise trois labs et les publications officielles des trois projets ; les liens ci-dessous permettent de vérifier chaque chiffre à la source, en particulier les dates de fin de support et les tarifs, les faits les plus périssables de la page.
Les cycles de vie, à recouper avant toute décision engageante :
- Page de la version Debian Trixie : support complet jusqu'au 9 août 2028, LTS jusqu'au 30 juin 2030.
- Debian LTS (wiki) : le LTS n'est pas géré par l'équipe de sécurité de Debian. Le sponsoring est organisé par Freexian, qui vend par ailleurs l'ELTS.
- Cycle de vie des versions Ubuntu : les 15 ans (5 standard, ESM, puis Legacy add-on), et non les 10 ans encore écrits partout.
- Notes de version d'AlmaLinux : support actif jusqu'au 31 mai 2030, sécurité jusqu'au 31 mai 2035.
Le périmètre de couverture, cœur du sujet :
- FAQ sécurité de Debian :
contrib,non-freeetnon-free-firmwarene sont pas couverts par l'équipe de sécurité. - Expanded Security Maintenance (ESM) : les 2 300 paquets dans
main, les plus de 36 000 dansuniverse, et la phrase décisive suresm-apps, qui couvreuniversedès la première année. - Tarifs Ubuntu Pro : gratuit jusqu'à 5 machines en usage personnel, 50 pour les membres de la communauté, 500 dollars par machine et par an au-delà (tarif public relevé en juillet 2026).
- Le projet EPEL : l'absence d'engagement, dans les termes du projet lui-même. C'est la frontière AppStream/EPEL qui prive AlmaLinux de
fail2banetcertbot. - Avis de sécurité AlmaLinux (ALSA) : la base des correctifs, publique et gratuite, mais limitée aux dépôts AlmaLinux.