J'ai récemment installé fail2ban sur un VPS (Ubuntu 20.04), avec une configuration très simple pour disperser les attaquants ssh par force brute.
J'utilise fail2ban avec ufw ( banaction = ufw ) et j'ai décidé de les bannir définitivement ( bantime = -1 ).
Cela fonctionne très bien et c'est exactement le résultat que je recherchais. Un bémol cependant :
En regardant la longue liste d'adresses IP interdites renvoyée par fail2ban et les requêtes de statut ufw après 10 jours, je me pose des questions :
Cette configuration va-t-elle conduire à des problèmes de stockage à terme ?
(C'est une question d'expérience, et je n'en ai pratiquement aucune dans ce domaine).
Si le stockage peut devenir un problème, ne serait-il pas préférable de travailler avec des valeurs de bantime finies ?
J'ai délibérément choisi une configuration très simple (en fonction de mes connaissances limitées et du temps dont je dispose). Voici le jail sshd simple que j'ai défini dans 'jail.local' :
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 7
banaction = ufw
findtime = 86400
bantime = -1
