Mon petit VPS : bloquer les tentatives d’intrusion avec Fail2ban

Fail2Ban permet d'analyser les logs (journaux d'événements) et de repérer les tentatives d'intrusion.

Dans ce cas, il va créer une règle sur le pare feu pour temporairement bannir l'adresse IP qui tente de pénétrer...

Installation

Le logiciel est dans les dépots, alors pas très compliqué :

apt install fail2ban

Configuration

Création d'une copie du fichier de configuration pour le modifier

cd /etc/fail2ban
cp jail.conf jail.local

Éditer le fichier de configuration local :

nano jail.local

Adapter les éléments :

  • ajouter les adresses IP à ne pas bannir séparées par un espace (la votre à rajouter à la fin, à priori)
    ignoreip = 127.0.0.1/8 mon.add.res.ip
  • le temps de bannissement (passé ici à un jour)
    bantime  = 86400
  • je recherche ceux qui ont fait 2 tentatives d'accès durant dans la dernière heure :
    findtime = 3600
    maxretry = 2
  • pour recevoir un mail à chaque action de bannissement
    destemail = mon_mail@domain.com
  • et modifier le contenu du mail (avec le résultat du whois et le log associé)
    action = %(action_mwl)s
  • et comme j'avais changé le port du SSH, il faut que je rajoute ce port dans ma vérification :
    [ssh]
    enabled  = true
    port     = ssh,sftp,1234
    filter   = sshd
    logpath  = /var/log/auth.log
    maxretry = 6

On peut maintenant sauvegarder et quitter le fichier de configuration (CTRL+X)  et relancer le service.

service fail2ban restart

Sources :

  • https://help.ubuntu.com/community/Fail2ban
  • https://doc.ubuntu-fr.org/fail2ban

8 réflexions sur « Mon petit VPS : bloquer les tentatives d’intrusion avec Fail2ban »

    1. Salut,
      En effet, « apt » est utilisable depuis Ubuntu 14.04 seulement à priori.
      Il me semble même que c’est lors de l’installation, en utilisant la console avec un « apt-get », que j’ai un retour me disant qu’il fallait utiliser « apt install » et plus « apt-get install » désormais.
      Quoi qu’il en soit « apt-get install » fonctionne toujours.

  1. Bonjour,

    Pouvez-vous faire un article plus précis sur la sécurité du serveur notamment avec un firewall Iptables ?
    Que pensez-vous de Rkhunter

    Merci beaucoup pour ce site génial et votre sens du respect des libertées du web.

    1. Merci !
      IPtable, pas vraiment plus approfondi pour l’instant, alors pas grand chose à en dire.
      RKhunter, je l’ai testé occasionnellement, mais c’est bizarre à utiliser car il faut faire une vérif à chaque update. De mémoire, il compare le hmd5 des fichiers critiques avec les versions sur le serveur, donc si ton hashMD5 est pas à jour, il y a plein d’alertes !
      Par contre, je lance CHKRootkit régulièrement par cron : https://eric.bugnet.fr/securiser-son-serveur-web/

      Éric

      1. Merci beaucoup pour vos réponses. Oui pour RKhunter c’est ce que je me disais, ça doit être embêtant lors des update.

        Du coup je vais faire votre méthode avec une tache cron.

        Encore merci 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.