Fail2Ban est un service qui permet de vérifier si quelqu’un fait trop d’essais de connexion sur SSH (ou d’autres services). Cela permet de se prémunir des attaques de type Bruteforce.
Nous allons donc voir l’installation de cette petite pépite du monde Linux:
Installation:
sudo apt-get install fail2ban
On créé une copie du fichier de conf car le logiciel regarde jail.local en premier (obligatoire sous debian):
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
On édite les options concernant ssh:
sudo nano /etc/fail2ban/jail.local
Puis on change les lignes suivantes:
enabled = true port = ssh,sftp filter = sshd logpath = /var/log/auth.log maxretry = 6 port=ssh,sftp,12345
#ou 12345 est votre port ssh (le port 22 ouvert sur internet c’est le mal!!!).
on redémarre le service:
sudo fail2ban-client reload
Pour vérifier le bon fonctionnement de Fail2ban:
Lancer un nouveau putty et se tromper 3 fois de mot de passe.
Puis lancer la commande suivante dans la session active:
sudo fail2ban-client status
Si vous trouvez Total failed: 3 c’est gagné!
3 thoughts on “Protéger SSH avec FAIL2BAN”
faut modifie la totalité des lignes ?
enabled =
port =
filter =
logpath =
maxretry =
port=
Impossible de trouver le paquet fail2ban :/
bonjour,
fail2ban fonctionne sans complications cependant même après avoir modifié les lignes de script je m’aperçois que la réponse du status client reste invariablement:
Status
|- Number of jail: 1
`- Jail list: ssh
et ce quelque soit le nb d’erreurs. Une piste? Encore merci pour tout