Protéger SSH avec FAIL2BAN

Fail2Ban est un service qui permet de vérifier si quelqu’un fait trop d’essais de connexion sur SSH (ou d’autres services). Cela permet de se prémunir des attaques de type Bruteforce.

Nous allons donc voir l’installation de cette petite pépite du monde Linux:

Installation:

sudo apt-get install fail2ban

On créé une copie du fichier de conf car le logiciel regarde jail.local en premier (obligatoire sous debian):

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

On édite les options concernant ssh:

sudo nano /etc/fail2ban/jail.local

Puis on change les lignes suivantes:

enabled = true
 port    = ssh,sftp
 filter  = sshd
 logpath  = /var/log/auth.log
 maxretry = 6
 port=ssh,sftp,12345

#ou 12345 est votre port ssh (le port 22 ouvert sur internet c’est le mal!!!).

on redémarre le service:

sudo fail2ban-client reload

Pour vérifier le bon fonctionnement de Fail2ban:
Lancer un nouveau putty et se tromper 3 fois de mot de passe.
Puis lancer la commande suivante dans la session active:

sudo fail2ban-client status

Si vous trouvez Total failed: 3 c’est gagné!

Email this to someoneShare on FacebookTweet about this on TwitterShare on Google+Share on LinkedIn

3 commentaires à propos de “Protéger SSH avec FAIL2BAN”

  1. bonjour,
    fail2ban fonctionne sans complications cependant même après avoir modifié les lignes de script je m’aperçois que la réponse du status client reste invariablement:
    Status
    |- Number of jail: 1
    `- Jail list: ssh
    et ce quelque soit le nb d’erreurs. Une piste? Encore merci pour tout

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Time limit is exhausted. Please reload CAPTCHA.