Fail2Ban protège votre serveur Linux en bloquant automatiquement les tentatives d'intrusion par force brute. Il complète une sécurisation SSH et un firewall bien configuré.
Pourquoi utiliser Fail2Ban ?
- Protection contre les attaques SSH
- Blocage automatique des IP suspectes
- Simplicité d'installation et d'utilisation
Installation de Fail2Ban
Debian/Ubuntu
sudo apt update
sudo apt install fail2ban -y
RHEL/AlmaLinux/Rocky
sudo dnf install epel-release -y
sudo dnf install fail2ban -y
Configuration de base
Créez un fichier local /etc/fail2ban/jail.local :
[DEFAULT]
ignoreip = 127.0.0.1/8 ::1
bantime = 3600
findtime = 600
maxretry = 5
backend = systemd
[sshd]
enabled = true
Note pour Debian 12+ et Ubuntu 22.04+ : Le backend = systemd donne à Fail2Ban l'accès aux journaux journald. À privilégier sur les distributions modernes.
Démarrer et activer Fail2Ban
sudo systemctl enable --now fail2ban
sudo systemctl status fail2ban
Vérifier les jails actives
sudo fail2ban-client status
Détail d'une jail spécifique :
sudo fail2ban-client status sshd
Tester Fail2Ban
Pour simuler une attaque SSH, IMPORTANT : Vous ne pouvez pas tester depuis localhost car 127.0.0.1 est dans la liste ignoreip. Vous devez tester depuis :
Option 1 : Une autre machine du réseau
for i in {1..6}; do ssh fakeuser@IP_SERVEUR; done
Remplacez IP_SERVEUR par l'IP réelle de votre serveur (ex: 192.168.1.100).
Option 2 : Depuis le serveur, utiliser l'IP réelle au lieu de localhost
for i in {1..6}; do ssh fakeuser@192.168.X.X; done
Remplacez par votre IP réelle.
Vous devriez rapidement voir l'IP bannie dans les logs.
Débloquer une IP
Si besoin, débloquez manuellement :
sudo fail2ban-client set sshd unbanip IP_BANNIE
Conclusion
Fail2Ban couvre l'essentiel contre les attaques automatisées sur un serveur Linux. Peu de configuration, un effet immédiat sur les logs d'authentification.
Pour une protection collaborative, découvrez CrowdSec et sa threat intelligence partagée. Complétez avec un firewall pour une défense en profondeur.
