Installer et utiliser Fail2Ban pour protéger efficacement votre serveur Linux

Fail2Ban est un outil simple et efficace permettant de protéger votre serveur Linux en bloquant automatiquement les tentatives d'intrusion par force brute. Il complète une sécurisation SSH solide et un firewall bien configuré.

• Protection contre les attaques SSH
• Blocage automatique des IP suspectes
• Simplicité d'installation et d'utilisation

Debian/Ubuntu

sudo apt update
sudo apt install fail2ban -y

RHEL/AlmaLinux/Rocky

sudo dnf install epel-release -y
sudo dnf install fail2ban -y

Créer un fichier local /etc/fail2ban/jail.local :

[DEFAULT]
ignoreip = 127.0.0.1/8 ::1
bantime  = 3600
findtime = 600
maxretry = 5
backend = systemd

[sshd]
enabled = true

sudo systemctl enable --now fail2ban
sudo systemctl status fail2ban

sudo fail2ban-client status

Détail d’une jail spécifique :

sudo fail2ban-client status sshd

Pour simuler une attaque SSH, IMPORTANT : Vous ne pouvez pas tester depuis localhost car 127.0.0.1 est dans la liste ignoreip. Vous devez tester depuis :

Option 1 : Une autre machine du réseau

for i in {1..6}; do ssh fakeuser@IP_SERVEUR; done

Remplacez IP_SERVEUR par l'IP réelle de votre serveur (ex: 192.168.1.100).

Option 2 : Depuis le serveur, utiliser l'IP réelle au lieu de localhost

for i in {1..6}; do ssh fakeuser@192.168.X.X; done

Remplacez par votre IP réelle.

Vous devriez rapidement voir l'IP bannie dans les logs.

Si besoin, débloquez manuellement :

sudo fail2ban-client set sshd unbanip IP_BANNIE

Fail2Ban est un outil indispensable pour protéger votre serveur Linux contre les attaques automatisées. Sa simplicité et son efficacité en font une solution incontournable pour renforcer la sécurité rapidement.

Pour une protection collaborative et plus évoluée, découvrez CrowdSec qui offre une threat intelligence partagée. Complétez avec un firewall robuste pour une défense en profondeur.