Vous devez protéger votre serveur contre une attaque par force brute provenant d'Internet. Vous pouvez le faire avec des outils appropriés. Dans l'attaque Brute Force, l'attaquant peut envoyer plusieurs requêtes à votre serveur. Afin d'atténuer l'attaque Bruteforce, vous pouvez installer et configurer Fail2Ban sur votre serveur Ubuntu.
Qu'est-ce que l'attaque par force brute ?
L'attaquant envoie plusieurs demandes de connexion à votre site Web en utilisant la combinaison nom d'utilisateur et mot de passe de sa base de données. L'attaque se poursuivra jusqu'à ce que le nom d'utilisateur et le mot de passe correspondent exactement. Cela augmentera également les E/S de votre site Web et le ralentira. Si cela continue, cela signifie que votre site Web subit l'attaque Brute Force.
Votre serveur Web recevra les journaux de chaque demande dans un fichier journal avec l'adresse IP de l'expéditeur. Il est très difficile de trouver toutes les adresses IP coupables et de les bloquer dans votre pare-feu. Au lieu de cela, nous pouvons empêcher l'attaque par force brute avec l'automatisation de Fail2Ban.
Installer Fail2Ban sur Ubuntu :
Il est très facile d'installer Fail2Ban sur Ubuntu. Vous pouvez vous référer aux étapes suivantes pour installer Fail2Ban sur Ubuntu.
- Mettez à jour les référentiels et les packages Ubuntu avec des versions plus récentes.
# sudo apt-get update
# sudo apt-get upgrade -y - Exécutez la commande ci-dessous pour installer Fail2Ban sur votre Ubuntu.
# sudo apt-get install fail2ban -y
- Une fois installé, exécutez la commande ci-dessous pour autoriser la connexion au port 22 (SSH) et activer le pare-feu sur le serveur. Vous devrez autoriser ssh sans faute. Vous ne pourrez pas vous connecter en utilisant SSH s'il n'est pas activé.
# sudo ufw allow ssh
# sudo ufw enable - Le processus d'installation est terminé. Passons à la partie Configuration.
Configurer Fail2Ban sur Ubuntu :
- Ici, nous allons créer un nouveau fichier de configuration pour Fail2Ban dans /etc/fail2ban . Exécutez la commande ci-dessous pour créer un fichier de configuration dans Fail2Ban.
# sudo nano /etc/fail2ban/jail.local
- Collez le contenu ci-dessous dans le fichier de confirmation jail.local.
# [DEFAULT] ignoreip = 127.0.0.1/8 ::1 bantime = 3600 findtime = 600 maxretry = 5 [sshd] enabled = true - Voici la compréhension de chaque configuration que nous avons définie dans jail.local fichier.
- ignoreip :Entrez les adresses IP que nous ne voulons pas interdire. Ici, nous avons entré les adresses IP Localhost aux formats IPv4 et IPv6. Cela signifie que Fail2Ban n'interdira pas au serveur lui-même de se connecter.
- bantime :C'est le temps réel en secondes pendant lequel l'adresse IP bloquée ne pourra pas se connecter. Une fois l'adresse IP bloquée, vous ne pourrez plus vous reconnecter pendant 3600 secondes.
- trouver l'heure :findtime est un laps de temps dans lequel le comptage aura lieu. Dans ce cas, le temps de recherche est de 600 secondes ou 10 minutes. Ainsi, si quelqu'un ne parvient pas à se connecter X fois en 10 minutes, Fail2Ban bloquera l'adresse IP.
- maxretry :max retry est un nombre de tentatives de connexion infructueuses. Dans ce cas, c'est 5. Cela signifie qu'après 5 tentatives infructueuses, Fail2Ban bloquera l'adresse IP.
- Enregistrez le fichier de configuration et redémarrez le service Fail2Ban.
Selon la configuration ci-dessus, s'il y a 5 échecs de connexion en 10 minutes, Fail2Ban bloquera cette adresse IP pendant 3600 secondes, soit 1 heure.
Redémarrez le service Fail2Ban pour enregistrer et mettre à jour les modifications apportées au fichier de configuration.
# sudo service fail2ban restart
Le service SSH de votre serveur est protégé par le Fail2Ban. Voici comment vous pouvez utiliser Fail2Ban pour protéger votre serveur contre l'attaque BruteForce.