Principe

Fail2Ban est une appli­ca­tion qui ana­lyse les logs des divers ser­vices en cher­chant des ten­ta­tives répé­tées de connexion répé­tées qui ont échoués et met en place un ban­nis­se­ment en ajou­tant une règle au pare-feu Iptables pour  ban­nir l’a­dresse IP source.


Avantages

Fail2Ban per­met donc d’é­vi­ter la sur­charge des logs et l’u­ti­li­sa­tion de la bande pas­sante cau­sé des robots qui tentent des attaques brute-force ( Ex avec Hydra ) et per­met donc une cer­taine sécu­ri­té. Cela n’ex­clut pas le besoin d’un mot de passe fort.


Installation

Il suf­fit d’ins­tal­la­tion fail2ban qui est pré­sent dans les dépôts de Debian

apt install fail2ban

Configuration

Il faut créer le fichier de confi­gu­ra­tion dans /etc/fail2ban/fail.d/custom.conf
[DEFAULT]
igno­reip = 127.0.0.1
find­time = 3600
ban­time = 604800
max­re­try = 3

  • igno­reip = Votre IP Public & Pri­vée et l’in­ter­face de bou­clage
  • ban­time = 604800 soit 1 semaine
  • find­time = 3600 soit une heure ( Recherche les logs 1h )
  • max­re­try = 3 Une IP sera ban­nie au bout de 3 erreurs

Nous pou­vons main­te­nant ajou­ter à les ser­vices à sur­veiller
[sshd]
enabled = true
port = 22

systemctl restart fail2ban


Auto­ri­ser un uti­li­sa­teur ban­ni

Fail2Ban fonc­tionne avec IPtables, donc quand un uti­li­sa­teur est fil­tré, c’est qu’une règle IPtables à été créée
Lis­ter les tables:

iptables -L

Repé­rer votre la ligne de l’IP ban­nie qui est à enle­ver dans la chaine f2b-sshd.
Puis on l’a dé-banne avec la ligne sui­vante :

iptables -D f2b-sshd 2