FAIL2BAN

Fail2ban est un outil de sécurité qui analyse les journaux système et bloque automatiquement (via le pare-feu) les adresses IP suspectes après plusieurs tentatives de connexion échouées.

Fonctionne avec SSH, Apache, du FTP, etc.

Installation

apt-get update
apt-get install fail2ban

Copie de la configuration de base :

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Cela permet de surcharger la configuration de fail2ban et d'éviter un écrasement de la configuration lors d'une mise à jour de Fail2ban.

Note : dans le dossier /etc/fail2ban/filter.d contient les règles de Fail2ban pour la lecture des logs.

Configuration

Pour modifier la configuration de Fail2ban :

vim /etc/fail2ban/jail.local

Après chaque modification du fichier jail.local, il faut redémarrer le service :

sudo systemctl restart fail2ban

SSH

Rechercher la section sshd (sous vim : /sshd + n, le premier sshd est l'exemple dans les commentaires), la section ressemble à cela :

[sshd]

# To use more aggressive sshd modes set filter parameter "mode" in jail.local:
# normal (default), ddos, extra or aggressive (combines all).
# See "tests/files/logs/sshd" or "filter.d/sshd.conf" for usage example and details.
#mode   = normal
port    = 12345678
logpath = %(sshd_log)s
backend = %(sshd_backend)s
maxretry = 3
findtime = 5m
bantime = 30m

Ici, cela veut dire qu'une connexion au service SSHD sur le port 12345678 sera bannie pendant 30 minutes après trois tentatives en échec dans une fenêtre de 5 Minutes.