Mise en place de fail2ban
Fail2ban est un logiciel populaire qui utilise le firewall du noyau Linux (iptables) pour bloquer les attaques brute force en SSH. Fail2ban lis les logs d’authentification et comptabilise le nombre de tentatives de connexions ratées par IP. Si ce nombre dépasse une valeur seuil, il banni l’IP en rajoutant une règle dans Iptables. Plus généralement, on peut étendre cette surveillance à n’importe quel type de log grâce aux expressions régulières.
Installation d’iptables
Iptables est installé par défaut sur toutes les distributions Linux (noyau OVH).
Installation de Fail2ban
Sous Debian : apt-get update && apt-get install fail2ban
Sous Gentoo/Release2 : emerge fail2ban
C’est déjà fini, fail2ban surveille déjà les tentatives de connexion. Voyons maintenant comment personnaliser son comportement.