5. Ajouter Fail2ban

5.1. Qu’est-ce que Fail2ban ?

Fail2ban est un logiciel de prévention d’intrusion qui protège votre serveur contre les attaques par force brute. Il fonctionne en surveillant les fichiers journaux à la recherche d’activités suspectes et en bannissant temporairement les adresses IP qui présentent des signes malveillants, comme de multiples tentatives de connexion échouées.

Avantages en matière de sécurité

La mise en place de Fail2ban réduit considérablement le risque d’accès non autorisé à votre serveur en bloquant automatiquement les adresses IP suspectes avant qu’elles ne puissent compromettre votre système.

5.2. Installation

Installez Fail2ban avec apt :

sudo apt install fail2ban

sudo systemctl status fail2ban

Accédez à /etc/fail2ban/

cd /etc/fail2ban/

sudo cp jail.conf jail.local

# /etc/fail2ban/jail.local
bantime  = 7d
findtime  = 3h
maxretry = 4

Recherchez [sshd]

# /etc/fail2ban/jail.local
[sshd]

mode   = aggressive
port    = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s
enabled = true

sudo systemctl restart fail2ban

cat /var/log/fail2ban.log

Vérifiez que tout est correct, vous devriez voir des lignes ressemblant à ceci :

   Creating new jail 'sshd'
2025-03-02 01:52:12,536 fail2ban.jail           [2023]: INFO    Jail 'sshd' uses pyinotify {}
2025-03-02 01:52:12,538 fail2ban.jail           [2023]: INFO    Initiated 'pyinotify' backend
2025-03-02 01:52:12,539 fail2ban.filter         [2023]: INFO      maxLines: 1
2025-03-02 01:52:12,552 fail2ban.filter         [2023]: INFO      maxRetry: 4
2025-03-02 01:52:12,553 fail2ban.filter         [2023]: INFO      findtime: 10800
2025-03-02 01:52:12,553 fail2ban.actions        [2023]: INFO      banTime: 604800

sudo fail2ban-client status sshd

Status for the jail: sshd
|- Filter
|  |- Currently failed: 12
|  |- Total failed:     327
|  `- File list:        /var/log/auth.log
`- Actions
|- Currently banned: 10
|- Total banned:     10
`- Banned IP list:   193.168.198.61 92.118.39.72 193.32.162.130 218.92.0.154 2.57.122.188 92.255.85.188 37.44.238.88 94.204.155.90 92.255.85.189 92.255.57.132

5.3. Étapes pour débannir une adresse IP avec Fail2Ban

1. Vérifier l’état actuel d’une prison (par exemple, sshd) : Utilisez la commande suivante pour voir quelles adresses IP sont bannies :

sudo fail2ban-client status sshd

Recherchez la section Banned IP list pour trouver l’adresse IP que vous souhaitez débannir.

1. Débannir l’adresse IP : Pour débannir une adresse IP spécifique, utilisez la commande unban :

sudo fail2ban-client unban <IP_ADDRESS>

Remplacez <IP_ADDRESS> par l’adresse IP réelle que vous souhaitez débannir. Exemple :

sudo fail2ban-client unban 193.168.198.61

1. Vérifier que l’adresse IP est débannie : Vérifiez à nouveau l’état de la prison pour vous assurer que l’adresse IP n’est plus listée :

sudo fail2ban-client status sshd

2. Redémarrer Fail2Ban si nécessaire : Si l’adresse IP reste bannie après le débannissement, redémarrez Fail2Ban :

sudo systemctl restart fail2ban

5.4. Débannir toutes les adresses IP d’une prison spécifique

1. Vérifiez l’état de la prison pour voir les adresses IP bannies :

sudo fail2ban-client status <JAIL_NAME>

Remplacez <JAIL_NAME> par le nom réel de la prison (par exemple, sshd). 2. Utilisez la commande unban avec --all pour débannir toutes les adresses IP de cette prison spécifique :

sudo fail2ban-client unban --all