Fail2ban lit les logs de divers serveurs (ssh, apache, ftp,…) à la recherche d’erreurs d’authentification répétées et ajoute une règle iptables pour bannir l’adresse IP de la source. Ce système va donc vous aider à gagner du temps si une personne malveillante tente de trouver un mot de passe de votre système.

On installe:

emerge fail2ban

Ensuite on installe whois:

emerge whois

Avec Nano, on va pouvoir éditer le fichier de configuration de fail2banFail2ban

nano /etc/fail2ban/jail.conf

Il faut remplacer à chaque fois dest=you@mail.com par l’adresse mail à laquelle on veut recevoir les alertes.
Enfin pour éviter que le fichier de log de fail2ban « gonfle trop » vous pouvez faire tourner ces logs avec logrotate fourni sur votre distribution :

nano /etc/logrotate.d/fail2ban

Ajouter:

/var/log/fail2ban.log {
weekly
rotate 7
missingok
compress
postrotate
/usr/bin/fail2ban-client reload 1>/dev/null || true
endscript
}


Pour démarrer automatiquement fail2ban avec le serveur (utile pour qu’il se lance au reboot par exempe) faites :

rc-update add fail2ban default

Quelques jours plus tard, vous aurez peut-être envie de voir le log de fail2ban pour essayer de voir si beaucoup d’IPs ont été bannies. Le log de fail2ban se trouve à cet endroit : /var/log/fail2ban.log
Si vous avez envie de le lire avec nano :

nano /var/log/fail2ban.log