Chaque serveur Linux ouvert sur Internet est constamment analysé par des robots automatisés. Ces robots tentent notamment de se connecter au service SSH par essai et erreur. Ce type d'attaque attaque par force brute On l'appelle.

Fail2Ban suit les tentatives de connexion infructueuses à partir des fichiers journaux. Il interdit automatiquement les adresses IP qui saisissent incorrectement un nombre supérieur au nombre spécifié. De cette façon, l’attaquant ne peut pas essayer le mot de passe à plusieurs reprises sur la même IP.

1. Que fait Fail2Ban ?

• SSH réduit les attaques par force brute.
• Il interdit les adresses IP qui saisissent un grand nombre d'entrées incorrectes.
• Il prend des mesures automatiques en surveillant les journaux du serveur.
• Il fonctionne avec le pare-feu pour bloquer le trafic d'attaque.
• Il peut également être utilisé pour les panneaux de serveurs de jeux, les connexions aux panneaux Web et les services de messagerie.

2. Installation de Fail2Ban

Sur les systèmes basés sur Ubuntu et Debian :

apt update
apt install fail2ban -y

Sur les systèmes CentOS, AlmaLinux ou Rocky Linux :

yum install epel-release -y
yum install fail2ban -y

Pour démarrer le service et le faire exécuter automatiquement au démarrage :

systemctl enable fail2ban
systemctl start fail2ban
systemctl status fail2ban

3. Copier le fichier de paramètres par défaut

Paramètres Fail2Ban directement prison.conf Il ne doit pas être modifié dans le fichier. Parce que ce fichier peut changer dans les mises à jour. à la place prison.local le fichier est créé.

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Editez ensuite le fichier :

nano /etc/fail2ban/jail.local

4. Activation de la protection SSH

dans le dossier [sshd] Recherchez la section et modifiez-la comme suit :

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
findtime = 10m
bantime = 1h

Ce paramètre signifie :

• tentative maximale = 5 : Une action est entreprise après 5 entrées incorrectes.
• temps de recherche = 10 min : Les tentatives sont comptées dans un délai de 10 minutes.
• bantime = 1h : L'adresse IP est bannie pendant 1 heure.

5. Mise en liste sécurisée de votre propre adresse IP

Si vous utilisez une adresse IP fixe, vous pouvez exclure votre propre adresse IP du système d'interdiction.

ignoreip = 127.0.0.1/8 192.168.1.1 SUNUCUYA_BAGLANDIGINIZ_IP

ici IP À LAQUELLE VOUS ÊTES CONNECTÉ AU SERVEUR Vous devez écrire votre véritable adresse IP dans le champ.

6. Redémarrage du service Fail2Ban

systemctl restart fail2ban

Pour vérifier l'état :

fail2ban-client status

Pour voir l'état de la prison SSH :

fail2ban-client status sshd

7. Voir les adresses IP interdites

fail2ban-client status sshd

en sortie Liste des IP bannies Les adresses IP interdites apparaissent dans le champ.

8. Ouverture d'une adresse IP accidentellement interdite

Si votre propre adresse IP ou l'adresse IP d'un utilisateur de confiance a été bannie par erreur, vous pouvez la supprimer avec la commande suivante :

fail2ban-client set sshd unbanip IP_ADRESI

Erreurs courantes

• Modification du fichier jail.conf directement
• Ne pas ajouter votre propre adresse IP au champ ignoreip
• Ne pas modifier le paramètre du port Fail2Ban même si le port SSH est modifié
• Erreur de saisie du chemin du fichier journal
• Penser que Fail2Ban est actif et ne vérifie pas l'état du service

FAQ

Fail2Ban offre-t-il à lui seul une sécurité suffisante ?
Non. Fail2Ban est une couche de protection importante, mais elle doit être utilisée conjointement avec un mot de passe fort, un système à jour, un pare-feu et une configuration de service correcte.

Fail2Ban protège-t-il le serveur de jeu ?
Il n'analyse pas directement le trafic du jeu. Cependant, il peut fournir une protection via SSH, un panneau, des services Web et certains journaux de connexion.

Puis-je augmenter la durée du bannissement ?
Oui. Vous pouvez définir la valeur du bantime sur des périodes plus longues telles que 24h, 7j au lieu de 1h.

Recommandations de sécurité

• Désactivez la connexion root.
• Utilisez un mot de passe fort et unique.
• Si possible, connectez-vous avec la clé SSH.
• Vérifiez régulièrement les journaux Fail2Ban.
• Ne laissez pas de services inutiles ouverts sur Internet.

Cet article est spécialement préparé pour PvPServer.