Aller au contenu

Protéger son VPS Linux avec Fail2ban en 2025 : guide complet

Protéger son VPS Linux avec Fail2Ban en 2025

La sécurité d’un VPS Linux est primordiale, surtout en 2025 où les attaques automatisées sont toujours plus nombreuses. Pour vous protéger contre les connexions SSH frauduleuses, les scans malveillants ou les tentatives de brute-force, Fail2ban reste l’une des solutions les plus efficaces et légères à mettre en place. Voici un guide simple pour sécuriser votre serveur avec Fail2ban avec Elypsecloud !

Qu’est-ce que Fail2ban ?

Fail2ban est un outil open source qui surveille vos fichiers de logs pour repérer des comportements suspects (comme des échecs de connexion répétés). Lorsqu’une menace est détectée, il applique automatiquement des règles de bannissement temporaire via le pare-feu (iptables ou nftables).

➡️ Très utile contre :

  • Brute-force SSH
  • Tentatives sur Apache/Nginx, FTP, Postfix, etc.
  • Bots malveillants

1. Installer Fail2ban

Sous Debian/Ubuntu :

sudo apt update && sudo apt install fail2ban -y

Sous CentOS/RHEL :

yum install epel-release -y
yum install fail2ban -y

2. Configurer Fail2ban (SSH par défaut)

Créez un fichier de configuration personnalisé pour éviter d’écraser les valeurs lors d’une mise à jour :

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Dans le fichier jail.local, cherchez la section [sshd] et modifiez :

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 1h
findtime = 10m
  • maxretry : nombre d’échecs autorisés
  • bantime : durée du bannissement
  • findtime : fenêtre de temps pour compter les tentatives

3. Activer et démarrer Fail2ban

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Vérifiez son état :

sudo systemctl status fail2ban

Pour voir les IP bannies en temps réel :

sudo fail2ban-client status sshd

4. Ajouter d’autres protections (Apache, FTP, etc.)

Vous pouvez activer d’autres jails dans jail.local, par exemple :

[nginx-http-auth]
enabled = true
filter = nginx-http-auth
logpath = /var/log/nginx/error.log
maxretry = 3

Autres jails populaires :

  • apache-auth
  • dovecot
  • postfix
  • recidive (pour bannir les IP récidivistes plus longtemps)

5. Fail2ban en 2025 : quelles nouveautés ?

✅ Fail2ban continue d’être activement maintenu en 2025 ✅ Il est désormais compatible avec nftables (le remplaçant d’iptables sur Debian 11+ et Ubuntu 22.04+) ✅ Possibilité d’envoi de notifications email ou webhook (Discord, Telegram, etc.)

💡 Intégration facile avec GrafanaNetdata, ou des panels comme Cockpit pour avoir une vision graphique des bannissements.

Bonus : recevoir une alerte mail en cas de bannissement

Installez sendmail ou postfix, puis ajoutez dans /etc/fail2ban/jail.local :

action = %(action_mwl)s

Vous recevrez un mail avec l’IP bannie, le port ciblé, etc.

Conclusion

Fail2ban reste en 2025 un outil indispensable pour protéger son VPS Linux sans surcharger le système. Facile à installer, personnalisable et robuste, il constitue une première ligne de défense efficace contre les attaques automatisées.

🇫🇷 Vous cherchez un hébergement en datacenter français, sécurisé et sur mesure ?
➡️ Découvrez ElypseCloud, votre partenaire cloud 100 % local, 100 % souverain, et restez maitre de vos données !

Nos serveurs dédiés : https://elypsecloud.com/serveurs-dedies

Nos VPS : https://elypsecloud.com/vps-linux

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *