Fail2ban

Qu'est-ce que Fail2Ban ?

Fail2Ban est un outil de prévention contre les intrusions qui surveille les tentatives de connexion suspectes dans les journaux système (logs) qui peut être apporté à votre infrastructure on-premise.

Que bloque-t-il exactement ?

Fail2Ban protège principalement contre les attaques de type "Brute Force" (force brute).

Pour décider si une activité est malveillante, Fail2Ban analyse les tentatives de connexion et repère des motifs spécifiques. Voici les erreurs courantes qui déclenchent une alerte et un bannissement :

• • Invalid user (Utilisateur inexistant) : Quelqu'un essaie de se connecter avec des noms au hasard (ex: admin, root, test, guest). C'est le signe typique d'un robot qui teste des dictionnaires de noms.

  • Wrong password (Mauvais mot de passe) : Un utilisateur connu existe, mais le mot de passe saisi est incorrect. Trop de tentatives indiquent une attaque par force brute.

  • Authentication failure (Échec d'authentification) : Une erreur générale qui survient lorsque les identifiants fournis ne correspondent à rien dans la base de données sécurisée du serveur.

  • Failed public key authentication (Échec de clé SSH) : Même si vous utilisez des clés de sécurité (plus sûres que les mots de passe), Fail2Ban bloque ceux qui tentent de présenter des clés non autorisées à répétition.

Si une IP génère 5 echecs dans une fenetre de 10 min, elle est bannie pour 10 minutes