Hostinger

Installer Fail2Ban pour sécuriser votre VPS contre les attaques bruteforce

Qu'est-ce que Fail2Ban ?

Fail2Ban est un outil de sécurité qui protège votre serveur contre les attaques par force brute (SSH, ...).

Il analyse les fichiers de journal système (logs) pour détecter les tentatives de connexion échouées répétées, et bannit automatiquement les adresses IP suspectes pendant un certain temps. 😎

Installer Fail2Ban

Pour installer Fail2Ban sur Ubuntu tapez les commandes suivantes :

sudo apt update
sudo apt install fail2ban

Normalement, Fail2Ban démarre automatiquement après l’installation.

Configurer Fail2Ban pour SSH

Dans le fichier /etc/fail2ban/jail.local (⚠️ pas jail.conf) ajouter ou changer ces informations :

[sshd]
enabled = true
port = 2200 # Remplacez par votre port SSH si différent
logpath = /var/log/syslog # Peut-être à changer selon votre configuration
maxretry = 5
bantime = 1200
findtime = 300
backend = systemd # Peut-être à changer selon votre configuration

Voici les fonctions de chaque clé :

  • [sshd] : C’est le nom de la "jail", c’est-à-dire la section qui surveille un service spécifique. Ici, on configure la surveillance de SSH.
  • enable : Active la surveillance de SSH.
  • port : Numéro de port utilisé pour SSH (2200 dans notre cas).
  • logpath : C’est le chemin vers le fichier journal où les tentatives de connexion SSH sont enregistrées. (Ce fichier peut varier selon le système : /var/log/auth.log ou /var/log/syslog).
  • maxretry : Nombre d’échecs avant bannissement.
  • bantime : Durée du bannissement (en secondes).
  • findtime : Fenêtre de temps dans laquelle les 5 échecs. (maxretry) doivent se produire pour déclencher le bannissement.
  • backend : Méthode de lecture des logs (journald, syslog, etc.). À changer si vous utiliser /var/log/auth.log dans logpath. Dans ce cas, remplacer systemd par auto.

Démarrer Fail2Ban

Après avoir vérifier la configuration, vous pouvez la commande qui permet de lancer le service.

sudo systemctl start fail2ban

Vérifier que tout fonctionne bien.

Il existe une commande très pratique pour vérifier si Fail2Ban est en cours d’exécution et fonctionne correctement.

sudo systemctl status fail2ban

Activer Fail2Ban

Pour activer Fail2Ban vous pouvez utilisez la commande suivante :

sudo systemctl enable fail2ban

Cela garantit que Fail2Ban se lance à chaque redémarrage du VPS.

Redémarrer le service

Si vous modifiez la configuration, vous devrez utiliser une commande pour appliquer les modifications.

sudo systemctl restart fail2ban