Installer et configurer Fail2Ban sur un serveur Ubuntu

Dans cet article, nous vous guiderons pas à pas dans l’installation et la configuration de Fail2Ban sur un serveur Ubuntu. Fail2Ban est un outil de sécurité indispensable pour protéger votre serveur contre les attaques par force brute, en bannissant automatiquement les adresses IP responsables de trop nombreuses tentatives de connexion infructueuses. Grâce à cette procédure détaillée, vous serez en mesure de renforcer la sécurité de votre serveur et de prévenir les accès non autorisés.

Étape 1 : Installation de Fail2Ban

1. Mettez à jour les packages du système :

   sudo apt update
   sudo apt upgrade

2. Installez Fail2Ban :

   sudo apt install fail2ban

Étape 2 : Configuration de Fail2Ban

Fail2Ban utilise des fichiers de configuration situés dans le répertoire /etc/fail2ban. Pour configurer Fail2Ban, vous devez créer un fichier de configuration local (jail.local) qui surchargera les paramètres par défaut du fichier jail.conf.

1. Créez une copie du fichier de configuration par défaut :

   sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

2. Ouvrez le fichier de configuration local :

   sudo vi /etc/fail2ban/jail.local

3. Modifiez les paramètres selon vos besoins. Voici quelques exemples de paramètres importants à configurer :

   • ignoreip : Liste des adresses IP à ignorer et ne jamais bannir. Par exemple, vous pouvez ajouter votre propre adresse IP pour éviter d’être banni par erreur :

     ignoreip = 127.0.0.1/8 ::1 YOUR_IP_ADDRESS

   • bantime : Durée du bannissement en secondes. Par exemple, pour bannir les adresses IP pendant 24 heures :

     bantime = 86400

   • findtime : Période pendant laquelle Fail2Ban compte les tentatives de connexion échouées. Par exemple, pour compter les échecs sur une période de 10 minutes :

     findtime = 600

   • maxretry : Nombre maximum de tentatives de connexion échouées avant qu’une adresse IP ne soit bannie. Par exemple, pour bannir une adresse IP après 5 échecs :

     maxretry = 5

4. Configurez la protection pour les services spécifiques. Par exemple, pour activer la protection SSH, recherchez la section [sshd] et assurez-vous que enabled est défini sur true :

   [sshd]
   enabled = true

   Vous pouvez également ajuster les paramètres spécifiques à un service, tels que port, filter, logpath, etc., en les ajoutant dans la section correspondante.

Étape 3 : Activation de Fail2Ban

1. Redémarrez le service Fail2Ban pour appliquer les modifications :

   sudo systemctl restart fail2ban

2. Vérifiez le statut du service pour vous assurer qu’il fonctionne correctement :

   sudo systemctl status fail2ban

Étape 4 : Surveillance et maintenance

Utilisez les commandes suivantes pour surveiller et gérer Fail2Ban :

• Vérifiez les bannissements en cours pour un service spécifique (par exemple, SSH) :

   sudo fail2ban-client status sshd

• Pour débannir manuellement une adresse IP, utilisez la commande suivante en remplaçant IP_ADDRESS par l’adresse IP concernée et sshd par le service approprié :

  sudo fail2ban-client set sshd unbanip IP_ADDRESS

• Consultez les logs de Fail2Ban pour plus d’informations sur les activités de bannissement :

  sudo journalctl -u fail2ban

• Pour surveiller et analyser les activités de Fail2Ban, vous pouvez également installer des outils de visualisation tels que fail2ban-report ou fail2ban-dashboard.

En suivant ces étapes, vous aurez installé et configuré Fail2Ban sur votre serveur Ubuntu pour protéger vos services contre les attaques par force brute. Pensez à surveiller régulièrement les activités de Fail2Ban et à ajuster la configuration en fonction de l’évolution des menaces et des besoins de votre serveur.