Fail2Ban permet d’analyser les logs (journaux d’événements) et de repérer les tentatives d’intrusion.

Dans ce cas, il va créer une règle sur le pare feu pour temporairement bannir l’adresse IP qui tente de pénétrer…

Installation

Le logiciel est dans les dépots, alors pas très compliqué :

apt install fail2ban

Configuration

Création d’une copie du fichier de configuration pour le modifier

cd /etc/fail2ban
cp jail.conf jail.local

Éditer le fichier de configuration local :

nano jail.local

Adapter les éléments :

  • ajouter les adresses IP à ne pas bannir séparées par un espace (la votre à rajouter à la fin, à priori)
    ignoreip = 127.0.0.1/8 mon.add.res.ip
  • le temps de bannissement (passé ici à un jour)
    bantime  = 86400
  • je recherche ceux qui ont fait 2 tentatives d’accès durant dans la dernière heure :
    findtime = 3600
    maxretry = 2
  • pour recevoir un mail à chaque action de bannissement
    destemail = mon_mail@domain.com
  • et modifier le contenu du mail (avec le résultat du whois et le log associé)
    action = %(action_mwl)s
  • et comme j’avais changé le port du SSH, il faut que je rajoute ce port dans ma vérification :
    [ssh]
    enabled  = true
    port     = ssh,sftp,1234
    filter   = sshd
    logpath  = /var/log/auth.log
    maxretry = 6

On peut maintenant sauvegarder et quitter le fichier de configuration (CTRL+X)  et relancer le service.

service fail2ban restart

Sources :

  • https://help.ubuntu.com/community/Fail2ban
  • https://doc.ubuntu-fr.org/fail2ban

8 commentaires

Vincent Breton · 10 novembre 2015 à 16 h 05 min

Pour l’installation, remplacer apt install par apt-get install.

    Vincent Breton · 10 novembre 2015 à 16 h 13 min

    Merci pour cet article,

    J’utiliserai à présent apt à la place d’apt-get:
    https://debian-handbook.info/browse/fr-FR/stable/sect.apt-get.html

    Éric B. · 10 novembre 2015 à 16 h 20 min

    Salut,
    En effet, « apt » est utilisable depuis Ubuntu 14.04 seulement à priori.
    Il me semble même que c’est lors de l’installation, en utilisant la console avec un « apt-get », que j’ai un retour me disant qu’il fallait utiliser « apt install » et plus « apt-get install » désormais.
    Quoi qu’il en soit « apt-get install » fonctionne toujours.

thibaut · 19 décembre 2016 à 16 h 06 min

Bonjour,

Pouvez-vous faire un article plus précis sur la sécurité du serveur notamment avec un firewall Iptables ?
Que pensez-vous de Rkhunter

Merci beaucoup pour ce site génial et votre sens du respect des libertées du web.

    thibaut · 19 décembre 2016 à 16 h 08 min

    En 2016 (bientôt 2017) vous me conseillez plutôt owncloud, nextcloud ou seacloud ?

      Éric B. · 20 décembre 2016 à 14 h 44 min

      Aujourd’hui, je partirais sur Nextcloud… le développement a l’air d’être plus actif.
      Je pense que je ferais un changement d’ici quelques temps.

    Éric B. · 20 décembre 2016 à 14 h 54 min

    Merci !
    IPtable, pas vraiment plus approfondi pour l’instant, alors pas grand chose à en dire.
    RKhunter, je l’ai testé occasionnellement, mais c’est bizarre à utiliser car il faut faire une vérif à chaque update. De mémoire, il compare le hmd5 des fichiers critiques avec les versions sur le serveur, donc si ton hashMD5 est pas à jour, il y a plein d’alertes !
    Par contre, je lance CHKRootkit régulièrement par cron : https://eric.bugnet.fr/securiser-son-serveur-web/

    Éric

      thibaut · 20 décembre 2016 à 16 h 22 min

      Merci beaucoup pour vos réponses. Oui pour RKhunter c’est ce que je me disais, ça doit être embêtant lors des update.

      Du coup je vais faire votre méthode avec une tache cron.

      Encore merci 🙂

Les commentaires sont fermés.