Installation et configuration de Fail2ban sur Ubuntu 20.04
Fail2ban est un utilitaire basé sur Python qui offre une sécurité contre les cyberattaques telles que les attaques DDoS, les attaques de robots, le forçage brutal, etc. Il est à la fois gratuit et open-source et peut être utilisé sur les systèmes POSIX, qui incluent un pare-feu local. Pour résumer le fonctionnement de Fail2ban, il recherche activement les signes d'abus potentiels d'authentification par mot de passe pour filtrer les adresses IP et met régulièrement à jour le pare-feu du système pour suspendre ces adresses IP pendant une certaine période.
Ce bref guide vous montrera comment configurer Fail2ban sur votre système Ubuntu 20.04.
Mettre à jour la liste officielle des packages
Nous obtiendrons fail2ban à partir des dépôts officiels d'Ubuntu. Lancez le terminal et entrez la commande suivante pour mettre à jour la liste des packages pour la dernière version disponible de Fail2ban :
Installer Fail2ban
Saisissez ensuite la commande suivante pour installer le package Fail2ban mis à jour :
Le service fail2ban s'activera et se lancera de lui-même lors de l'installation.
Vérifier l'installation
Néanmoins, vous devez vérifier s'il a été installé correctement. Exécutez la commande ci-dessous pour vérifier l'installation :
Si la ligne Active dans la sortie contient active (running), tout va bien. Passons à autre chose et voyons comment configurer Fail2ban.
Configuration de Fail2ban sur Ubuntu 20.04
Pour configurer Fail2ban sur Ubuntu, nous allons éditer deux fichiers de configuration particuliers. L'un est jail.conf à l'emplacement /etc/fail2ban/, et l'autre est nommé defaults-debian.conf dans /etc/fail2ban/jail.d /. Mais pour maintenir leur intégrité, nous ne les modifierons pas directement, car cela pourrait potentiellement casser le programme, et nous ne pourrons certainement pas mettre à jour le logiciel. Au lieu de cela, nous faisons des copies de chacun et effectuons des modifications dessus.
Exécutez la commande ci-dessous pour copier-coller jail.conf en tant que jail.local :
Nous nous engageons à modifier ce fichier spécifique dans ce tutoriel. Lancez la copie dans un éditeur de texte pour commencer l'édition. Exécutez la commande suivante :
Voyons quels changements nous pouvons apporter.
Configuration des paramètres d'interdiction IP
Le délai d'interdiction de toutes les adresses IP est défini par un paramètre appelé bantime. La valeur définie pour bantime par défaut n'est que de 10 minutes. Vous pouvez modifier sa valeur en fonction de la limite de temps que vous souhaitez imposer au banni. Par exemple, pour définir le bantime pour toutes les adresses IP interdites, vous pouvez le définir comme suit :
Vous pouvez également effectuer des bannissements permanents en attribuant une valeur négative.
Une autre variable très importante est findtime. Il définit la durée autorisée entre les tentatives de connexion consécutives. Si les multiples tentatives de connexion ont été effectuées dans le délai défini par findtime, une interdiction serait définie sur l'IP.
Enfin, il y a maxretry. Il définit le nombre exact de tentatives de connexion infructueuses autorisées dans le findtime. Si le nombre de tentatives d'autorisation infructueuses dans le findtime dépasse la valeur maxretry, l'IP sera interdit de se reconnecter. La valeur par défaut est 5.
Fail2ban vous permet également d'accorder l'immunité aux adresses IP et aux plages IP de votre choix. Ces conditions décrites ci-dessus ne s'appliqueront pas à ces adresses IP, vous permettant essentiellement de créer une sorte de liste blanche.
Pour ajouter une IP à cette liste blanche, modifiez la ligne ignoreip et saisissez l'adresse IP à exempter :
En tant qu'administrateur, vous devez ajouter votre adresse IP à cette liste blanche avant toute chose.
Emballer
Ce tutoriel vous a montré comment configurer Fail2ban sur Ubuntu. Nous l'avons installé directement à partir des référentiels Ubuntu standard. Nous avons également examiné comment nous pouvons le configurer et de quelles manières. Vous devez maintenant savoir comment définir les conditions d'interdiction et comment exclure les adresses IP de l'interdiction.