Installer Fail2Ban pour sécuriser votre VPS contre les attaques bruteforce
Qu'est-ce que Fail2Ban ?
Fail2Ban est un outil de sécurité qui protège votre serveur contre les attaques par force brute (SSH, ...).
Il analyse les fichiers de journal système (logs) pour détecter les tentatives de connexion échouées répétées, et bannit automatiquement les adresses IP suspectes pendant un certain temps. 😎
Installer Fail2Ban
Pour installer Fail2Ban sur Ubuntu tapez les commandes suivantes :
sudo apt update
sudo apt install fail2ban
Normalement, Fail2Ban démarre automatiquement après l’installation.
Configurer Fail2Ban pour SSH
Dans le fichier /etc/fail2ban/jail.local
(⚠️ pas jail.conf) ajouter ou changer ces informations :
[sshd]
enabled = true
port = 2200 # Remplacez par votre port SSH si différent
logpath = /var/log/syslog # Peut-être à changer selon votre configuration
maxretry = 5
bantime = 1200
findtime = 300
backend = systemd # Peut-être à changer selon votre configuration
Voici les fonctions de chaque clé :
-
[sshd]
: C’est le nom de la "jail", c’est-à-dire la section qui surveille un service spécifique. Ici, on configure la surveillance de SSH. -
enable
: Active la surveillance de SSH. -
port
: Numéro de port utilisé pour SSH (2200 dans notre cas). -
logpath
: C’est le chemin vers le fichier journal où les tentatives de connexion SSH sont enregistrées. (Ce fichier peut varier selon le système :/var/log/auth.log
ou/var/log/syslog
). -
maxretry
: Nombre d’échecs avant bannissement. -
bantime
: Durée du bannissement (en secondes). -
findtime
: Fenêtre de temps dans laquelle les 5 échecs. (maxretry
) doivent se produire pour déclencher le bannissement. -
backend
: Méthode de lecture des logs (journald, syslog, etc.). À changer si vous utiliser/var/log/auth.log
danslogpath
. Dans ce cas, remplacersystemd
parauto
.
Démarrer Fail2Ban
Après avoir vérifier la configuration, vous pouvez la commande qui permet de lancer le service.
sudo systemctl start fail2ban
Vérifier que tout fonctionne bien.
Il existe une commande très pratique pour vérifier si Fail2Ban est en cours d’exécution et fonctionne correctement.
sudo systemctl status fail2ban
Activer Fail2Ban
Pour activer Fail2Ban vous pouvez utilisez la commande suivante :
sudo systemctl enable fail2ban
Cela garantit que Fail2Ban se lance à chaque redémarrage du VPS.
Redémarrer le service
Si vous modifiez la configuration, vous devrez utiliser une commande pour appliquer les modifications.
sudo systemctl restart fail2ban