Installer Fail2Ban : bloquer les tentatives bruteforce
Qu'est-ce que Fail2Ban ?
Fail2Ban est un outil de sécurité qui protège votre serveur contre les attaques par force brute (SSH, ...).
Il analyse les fichiers de journal système (logs) pour détecter les tentatives de connexion échouées répétées, et bannit automatiquement les adresses IP suspectes pendant un certain temps. 😎
Installer Fail2Ban
Pour installer Fail2Ban sur Ubuntu tapez les commandes suivantes :
sudo apt update
sudo apt install fail2ban
Normalement, Fail2Ban démarre automatiquement après l’installation.
Configurer Fail2Ban pour SSH
Dans le fichier /etc/fail2ban/jail.local (⚠️ pas jail.conf) ajouter ou changer ces informations :
[sshd]
enabled = true
port = 2200 # Remplace par ton port SSH si différent
logpath = /var/log/syslog # Peut-être à changer selon votre configuration
maxretry = 5
bantime = 1200
findtime = 300
backend = systemd # Peut-être à changer selon votre configuration
Voici les fonctions de chaque clé :
-
[sshd]: C’est le nom de la "jail", c’est-à-dire la section qui surveille un service spécifique. Ici, on configure la surveillance de SSH. -
enable: Active la surveillance de SSH. -
port: Numéro de port utilisé pour SSH (2200 dans notre cas). -
logpath: C’est le chemin vers le fichier journal où les tentatives de connexion SSH sont enregistrées. (Ce fichier peut varier selon le système :/var/log/auth.logou/var/log/syslog). -
maxretry: Nombre d’échecs avant bannissement. -
bantime: Durée du bannissement (en secondes). -
findtime: Fenêtre de temps dans laquelle les 5 échecs. (maxretry) doivent se produire pour déclencher le bannissement. -
backend: Méthode de lecture des logs (journald, syslog, etc.). À changer si vous utiliser/var/log/auth.logdanslogpath. Dans ce cas, remplacersystemdparauto.