{"id":204,"date":"2026-06-17T08:00:00","date_gmt":"2026-06-17T08:00:00","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/17\/fail2ban-tutoriel-serveur-linux\/"},"modified":"2026-06-17T16:22:49","modified_gmt":"2026-06-17T16:22:49","slug":"fail2ban-tutoriel-serveur-linux","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/17\/fail2ban-tutoriel-serveur-linux\/","title":{"rendered":"Fail2ban : prot\u00e9ger un serveur Linux en 12 \u00e9tapes [2026]"},"content":{"rendered":"\n

Chaque jour, vos serveurs Linux encaissent des milliers de tentatives de connexion automatis\u00e9es. SSH, Apache, Nginx, Postfix : chaque service expos\u00e9 devient une cible pour les bots de force brute. Fail2ban est l’outil standard pour y mettre fin, en analysant vos logs en temps r\u00e9el et en bannissant automatiquement les IP malveillantes via iptables ou nftables. Ce tutoriel vous guide de l’installation \u00e0 la configuration avanc\u00e9e, en 12 \u00e9tapes et 30 minutes.<\/p>\n\n\n\n

Fail2ban : qu’est-ce que c’est et pourquoi l’utiliser en 2026<\/h2>\n\n\n\n

Fail2ban est un syst\u00e8me de pr\u00e9vention des intrusions (IPS) \u00e9crit en Python, con\u00e7u pour surveiller les fichiers journaux de vos services et bloquer automatiquement les h\u00f4tes qui pr\u00e9sentent des signes d’activit\u00e9 malveillante. La logique est simple : apr\u00e8s un nombre configurable de tentatives \u00e9chou\u00e9es (maxretry<\/strong>), l’adresse IP source est bannie pour une dur\u00e9e d\u00e9finie (bantime<\/strong>) via une r\u00e8gle de pare-feu.<\/p>\n\n\n\n

En 2026, les attaques par force brute contre SSH restent parmi les vecteurs d’intrusion les plus courants selon le rapport de menaces ANSSI (CERTFR-2026-CTI-001). Un serveur expos\u00e9 sur internet sans protection re\u00e7oit en moyenne plusieurs centaines de tentatives de connexion SSH par heure. Fail2ban transforme cette menace constante en une protection automatique, sans intervention manuelle.<\/p>\n\n\n\n

La version stable actuelle est la 1.1.0<\/strong>, publi\u00e9e le 25 avril 2024, qui apporte la compatibilit\u00e9 compl\u00e8te avec Python 3.12 et 3.13. Le projet est maintenu sur GitHub avec plus de 10 000 \u00e9toiles et une communaut\u00e9 active.<\/p>\n\n\n\n

Ce que Fail2ban prot\u00e8ge<\/h3>\n\n\n\n
Service<\/th>Log surveill\u00e9<\/th>Filtre int\u00e9gr\u00e9<\/th>Risque bloqu\u00e9<\/th><\/tr><\/thead>
SSH (OpenSSH)<\/td>\/var\/log\/auth.log<\/td>sshd<\/td>Brute force, scan de ports<\/td><\/tr>
Apache HTTP<\/td>\/var\/log\/apache2\/error.log<\/td>apache-auth<\/td>Authentification HTTP<\/td><\/tr>
Nginx<\/td>\/var\/log\/nginx\/error.log<\/td>nginx-http-auth<\/td>Auth basique, 400\/403<\/td><\/tr>
Postfix (SMTP)<\/td>\/var\/log\/mail.log<\/td>postfix<\/td>Spam, relais non autoris\u00e9s<\/td><\/tr>
Dovecot (IMAP)<\/td>\/var\/log\/mail.log<\/td>dovecot<\/td>Brute force messagerie<\/td><\/tr>
WordPress<\/td>\/var\/log\/nginx\/access.log<\/td>nginx-botsearch<\/td>Scans wp-login.php<\/td><\/tr>
Proftpd \/ vsftpd<\/td>\/var\/log\/proftpd\/*.log<\/td>proftpd<\/td>Brute force FTP<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Pr\u00e9requis avant l’installation<\/h2>\n\n\n\n

Avant de commencer ce tutoriel, assurez-vous de disposer des \u00e9l\u00e9ments suivants :<\/p>\n\n\n\n

    \n
  • Syst\u00e8me d’exploitation :<\/strong> Ubuntu 22.04 LTS, Ubuntu 24.04 LTS, Debian 11\/12, ou CentOS Stream 9 \/ AlmaLinux 9<\/li>\n
  • Python :<\/strong> version 3.10 minimum (3.12 recommand\u00e9 pour Fail2ban 1.1.0)<\/li>\n
  • Acc\u00e8s root ou sudo<\/strong> sur la machine<\/li>\n
  • Pare-feu actif :<\/strong> iptables, nftables ou firewalld selon votre distribution<\/li>\n
  • Systemd :<\/strong> requis pour l’int\u00e9gration des journaux systemd (journald)<\/li>\n
  • Services \u00e0 prot\u00e9ger :<\/strong> SSH install\u00e9 et actif (openssh-server)<\/li>\n
  • Connectivit\u00e9 r\u00e9seau<\/strong> pour installer les paquets<\/li>\n<\/ul>\n\n\n\n

    Important :<\/strong> ne lancez jamais ce tutoriel directement depuis une session SSH sans avoir d’abord configur\u00e9 votre propre adresse IP en liste blanche (ignoreip<\/strong>). Vous risqueriez de vous bloquer vous-m\u00eame.<\/p>\n\n\n\n

    \u00c9tape 1 : Installer Fail2ban sur Ubuntu\/Debian<\/h2>\n\n\n\n

    Sur les distributions bas\u00e9es sur Debian (Ubuntu 22.04, Ubuntu 24.04, Debian 11, Debian 12), l’installation est directe via APT :<\/p>\n\n\n\n

    # Mise \u00e0 jour des d\u00e9p\u00f4ts\nsudo apt update\n\n# Installation de Fail2ban\nsudo apt install -y fail2ban\n\n# V\u00e9rification de la version install\u00e9e\nfail2ban-client --version<\/code><\/pre>\n\n\n\n
    Exemple de sortie attendue :<\/p>\n\n\n\n
    Fail2Ban v1.1.0\n\nCopyright (c) 2004-2024 Cyril Jaquier, Fail2Ban Contributors\nCopyright of modifications held by their respective authors.\nLicensed under the GNU General Public License v2 (GPL-2.0)<\/code><\/pre>\n\n\n\n
    Sur CentOS Stream 9 \/ AlmaLinux 9 \/ Rocky Linux 9<\/strong>, utilisez le d\u00e9p\u00f4t EPEL :<\/p>\n\n\n\n
    # Activer le d\u00e9p\u00f4t EPEL\nsudo dnf install -y epel-release\n\n# Installer Fail2ban\nsudo dnf install -y fail2ban\n\n# V\u00e9rifier l'installation\nfail2ban-client --version<\/code><\/pre>\n\n\n\n
    \u00c9tape 2 : D\u00e9marrer Fail2ban avec systemd<\/h2>\n\n\n\n
    Fail2ban s’int\u00e8gre nativement avec systemd pour le d\u00e9marrage automatique et la surveillance des journaux. Activez et d\u00e9marrez le service :<\/p>\n\n\n\n
    # Activer Fail2ban au d\u00e9marrage\nsudo systemctl enable fail2ban\n\n# D\u00e9marrer le service\nsudo systemctl start fail2ban\n\n# V\u00e9rifier l'\u00e9tat du service\nsudo systemctl status fail2ban<\/code><\/pre>\n\n\n\n
    Sortie attendue (service actif) :<\/p>\n\n\n\n
    \u25cf fail2ban.service - Fail2Ban Service\n     Loaded: loaded (\/lib\/systemd\/system\/fail2ban.service; enabled; vendor preset: enabled)\n     Active: active (running) since Tue 2026-06-17 10:00:00 UTC; 5s ago\n       Docs: man:fail2ban(1)\n   Main PID: 12345 (fail2ban-server)\n      Tasks: 5 (limit: 4915)\n     Memory: 18.3M\n        CPU: 154ms\n     CGroup: \/system.slice\/fail2ban.service\n             \u2514\u250012345 \/usr\/bin\/python3 \/usr\/bin\/fail2ban-server -xf start<\/code><\/pre>\n\n\n\n
    Fail2ban consomme environ 18 \u00e0 25 Mo de m\u00e9moire RAM en fonctionnement normal, avec une charge CPU n\u00e9gligeable sur un serveur standard. Ce profil de ressources le rend adapt\u00e9 \u00e0 tous les types de serveurs, y compris les VPS d’entr\u00e9e de gamme \u00e0 512 Mo de RAM.<\/p>\n\n\n\n
    \u00c9tape 3 : Comprendre jail.conf et jail.local<\/h2>\n\n\n\n
    Fail2ban utilise une architecture de configuration en deux niveaux, fondamentale \u00e0 comprendre avant toute modification :<\/p>\n\n\n\n
      \n
    • \/etc\/fail2ban\/jail.conf<\/strong> : fichier de configuration principal g\u00e9r\u00e9 par le paquet. Ne le modifiez jamais directement. Il sera \u00e9cras\u00e9 lors des mises \u00e0 jour.<\/li>\n
    • \/etc\/fail2ban\/jail.local<\/strong> : votre fichier de configuration locale, qui prend la priorit\u00e9 sur jail.conf<\/code>. Cr\u00e9ez-le vous-m\u00eame pour vos personnalisations.<\/li>\n
    • \/etc\/fail2ban\/jail.d\/<\/strong> : r\u00e9pertoire pour des fichiers de configuration fragment\u00e9s, un par service.<\/li>\n<\/ul>\n\n\n\n
      La r\u00e8gle d’or : ne jamais toucher jail.conf, toujours travailler dans jail.local<\/strong>. Cette s\u00e9paration garantit que vos configurations personnalis\u00e9es survivent aux mises \u00e0 jour du paquet.<\/p>\n\n\n\n
      Inspectez d’abord les param\u00e8tres par d\u00e9faut dans jail.conf pour comprendre la structure :<\/p>\n\n\n\n
      # Lire la configuration par d\u00e9faut (sans la modifier)\nsudo grep -A 20 '\\[DEFAULT\\]' \/etc\/fail2ban\/jail.conf | head -30<\/code><\/pre>\n\n\n\n
      Les param\u00e8tres cl\u00e9s de la section [DEFAULT]<\/code> sont :<\/p>\n\n\n\n
      Param\u00e8tre<\/th>Valeur par d\u00e9faut<\/th>Description<\/th><\/tr><\/thead>
      bantime<\/td>10m<\/td>Dur\u00e9e du bannissement (10 minutes)<\/td><\/tr>
      findtime<\/td>10m<\/td>Fen\u00eatre de temps pour comptabiliser les \u00e9checs<\/td><\/tr>
      maxretry<\/td>5<\/td>Nombre d’\u00e9checs avant bannissement<\/td><\/tr>
      ignoreip<\/td>127.0.0.1\/8 ::1<\/td>IPs jamais bannies<\/td><\/tr>
      backend<\/td>auto<\/td>M\u00e9canisme de surveillance des logs<\/td><\/tr>
      usedns<\/td>warn<\/td>R\u00e9solution DNS pour les h\u00f4tes<\/td><\/tr>
      destemail<\/td>root@localhost<\/td>Email destinataire des alertes<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
      \u00c9tape 4 : Cr\u00e9er votre fichier jail.local<\/h2>\n\n\n\n
      Cr\u00e9ez maintenant votre fichier jail.local<\/code> avec une configuration de base s\u00e9curis\u00e9e. Adaptez l’adresse IP dans ignoreip<\/code> avec votre propre IP publique avant de sauvegarder :<\/p>\n\n\n\n
      sudo nano \/etc\/fail2ban\/jail.local<\/code><\/pre>\n\n\n\n
      Contenu recommand\u00e9 pour un serveur de production :<\/p>\n\n\n\n
      [DEFAULT]\n# Votre IP d'administration - ne sera jamais bannie\n# Remplacez par votre vraie IP publique\nignoreip = 127.0.0.1\/8 ::1 203.0.113.0\/24\n\n# Dur\u00e9e de bannissement : 1 heure\nbantime = 3600\n\n# Fen\u00eatre de d\u00e9tection : 10 minutes\nfindtime = 600\n\n# Nombre maximum de tentatives avant bannissement\nmaxretry = 3\n\n# Backend de surveillance des logs\nbackend = systemd\n\n# R\u00e9solution DNS d\u00e9sactiv\u00e9e pour \u00e9viter les d\u00e9lais\nusedns = no\n\n# Encodage des logs\nlogencoding = utf-8\n\n# Action par d\u00e9faut (ban uniquement, sans email)\naction = %(action_)s\n\n[sshd]\nenabled = true\nport = ssh\nfilter = sshd\nbackend = systemd\nmaxretry = 3\nbantime = 3600\nfindtime = 600<\/code><\/pre>\n\n\n\n
      Apr\u00e8s avoir sauvegard\u00e9 le fichier, rechargez Fail2ban pour appliquer les changements :<\/p>\n\n\n\n
      sudo systemctl restart fail2ban\nsudo fail2ban-client status<\/code><\/pre>\n\n\n\n
      \u00c9tape 5 : Configurer la protection SSH<\/h2>\n\n\n\n
      SSH est le premier service \u00e0 prot\u00e9ger sur tout serveur expos\u00e9 \u00e0 internet. Le filtre int\u00e9gr\u00e9 sshd<\/code> analyse \/var\/log\/auth.log<\/code> (Debian\/Ubuntu) ou les journaux systemd pour d\u00e9tecter les tentatives d’authentification \u00e9chou\u00e9es.<\/p>\n\n\n\n
      V\u00e9rifiez que le jail SSH est actif et consultez ses statistiques en temps r\u00e9el :<\/p>\n\n\n\n
      # Statut g\u00e9n\u00e9ral de tous les jails actifs\nsudo fail2ban-client status\n\n# Statut d\u00e9taill\u00e9 du jail SSH\nsudo fail2ban-client status sshd<\/code><\/pre>\n\n\n\n
      Sortie typique apr\u00e8s quelques minutes de fonctionnement sur un serveur expos\u00e9 :<\/p>\n\n\n\n
      Status for the jail: sshd\n|- Filter\n|  |- Currently failed: 3\n|  |- Total failed: 147\n|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd\n`- Actions\n   |- Currently banned: 12\n   |- Total banned: 89\n   `- Banned IP list: 45.33.32.156 198.235.24.22 103.89.91.112 ...<\/code><\/pre>\n\n\n\n
      Pour un port SSH non standard (par exemple 2222), modifiez la section [sshd]<\/code> dans jail.local<\/code> :<\/p>\n\n\n\n
      [sshd]\nenabled = true\nport = 2222\nfilter = sshd\nbackend = systemd\nmaxretry = 3\nbantime = 86400\nfindtime = 3600<\/code><\/pre>\n\n\n\n
      Avec bantime = 86400<\/code> (24 heures) et maxretry = 3<\/code>, un attaquant qui \u00e9choue 3 fois en 1 heure est bloqu\u00e9 pendant 24 heures. C’est le r\u00e9glage recommand\u00e9 pour les serveurs de production soumis \u00e0 des attaques fr\u00e9quentes.<\/p>\n\n\n\n
      \u00c9tape 6 : Prot\u00e9ger Apache et Nginx<\/h2>\n\n\n\n
      Les serveurs web sont expos\u00e9s \u00e0 des scans permanents : tentatives de connexion \u00e0 des interfaces d’administration, exploitation de wp-login.php<\/code>, recherche de fichiers sensibles. Fail2ban dispose de filtres int\u00e9gr\u00e9s pour Apache et Nginx.<\/p>\n\n\n\n
      Protection Apache<\/h3>\n\n\n\n
      Ajoutez ces jails dans votre jail.local<\/code> pour une protection Apache multicouche :<\/p>\n\n\n\n
      [apache-auth]\nenabled = true\nport = http,https\nfilter = apache-auth\nlogpath = \/var\/log\/apache2\/error.log\nmaxretry = 5\nbantime = 3600\n\n[apache-noscript]\nenabled = true\nport = http,https\nfilter = apache-noscript\nlogpath = \/var\/log\/apache2\/error.log\nmaxretry = 6\nbantime = 86400\n\n[apache-overflows]\nenabled = true\nport = http,https\nfilter = apache-overflows\nlogpath = \/var\/log\/apache2\/error.log\nmaxretry = 2\nbantime = 86400\n\n[apache-nohome]\nenabled = true\nport = http,https\nfilter = apache-nohome\nlogpath = \/var\/log\/apache2\/error.log\nmaxretry = 2\nbantime = 86400<\/code><\/pre>\n\n\n\n
      Protection Nginx<\/h3>\n\n\n\n
      Pour Nginx, les jails essentiels sont :<\/p>\n\n\n\n
      [nginx-http-auth]\nenabled = true\nport = http,https\nfilter = nginx-http-auth\nlogpath = \/var\/log\/nginx\/error.log\nmaxretry = 5\nbantime = 3600\n\n[nginx-botsearch]\nenabled = true\nport = http,https\nfilter = nginx-botsearch\nlogpath = \/var\/log\/nginx\/access.log\nmaxretry = 2\nbantime = 86400\nfindtime = 300<\/code><\/pre>\n\n\n\n
      Le filtre nginx-botsearch<\/code> est particuli\u00e8rement efficace pour bloquer les scanners qui recherchent des fichiers wp-login.php<\/code>, xmlrpc.php<\/code>, phpMyAdmin<\/code> et autres cibles classiques. Avec maxretry = 2<\/code> et findtime = 300<\/code> (5 minutes), m\u00eame un premier scan agressif d\u00e9clenche un bannissement imm\u00e9diat.<\/p>\n\n\n\n
      \u00c9tape 7 : Choisir entre nftables, iptables et firewalld<\/h2>\n\n\n\n
      Fail2ban applique les bannissements via des r\u00e8gles de pare-feu. En 2026, trois backends sont couramment utilis\u00e9s selon la distribution :<\/p>\n\n\n\n
      Backend<\/th>Distribution typique<\/th>Action Fail2ban<\/th>Recommandation<\/th><\/tr><\/thead>
      iptables<\/td>Ubuntu 22.04, Debian 11<\/td>iptables-multiport<\/td>Compatible universel<\/td><\/tr>
      nftables<\/td>Ubuntu 24.04, Debian 12<\/td>nftables-multiport<\/td>Recommand\u00e9 (moderne)<\/td><\/tr>
      firewalld<\/td>CentOS 9, AlmaLinux 9<\/td>firewallcmd-rich-rules<\/td>RHEL\/CentOS<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
      Pour v\u00e9rifier quel backend est disponible sur votre syst\u00e8me :<\/p>\n\n\n\n
      # V\u00e9rifier iptables\nwhich iptables && iptables --version\n\n# V\u00e9rifier nftables\nwhich nft && nft --version\n\n# V\u00e9rifier firewalld\nsystemctl is-active firewalld<\/code><\/pre>\n\n\n\n
      Pour forcer l’utilisation de nftables sur Ubuntu 24.04, configurez l’action dans jail.local<\/code> :<\/p>\n\n\n\n
      [DEFAULT]\n# ...param\u00e8tres pr\u00e9c\u00e9dents...\n\n# Forcer nftables comme backend d'action\nbanaction = nftables-multiport\nbanaction_allports = nftables-allports<\/code><\/pre>\n\n\n\n
      Sur les syst\u00e8mes avec firewalld (Red Hat, CentOS, AlmaLinux) :<\/p>\n\n\n\n
      [DEFAULT]\nbanaction = firewallcmd-rich-rules[actiontype=]\nbanaction_allports = firewallcmd-allports<\/code><\/pre>\n\n\n\n
      Pour v\u00e9rifier qu’une r\u00e8gle de bannissement a bien \u00e9t\u00e9 appliqu\u00e9e via iptables apr\u00e8s qu’une IP a \u00e9t\u00e9 bannie :<\/p>\n\n\n\n
      sudo iptables -L f2b-sshd -n --line-numbers<\/code><\/pre>\n\n\n\n
      \u00c9tape 8 : Activer le jail recidive pour les r\u00e9cidivistes<\/h2>\n\n\n\n
      Le jail recidive<\/strong> est une fonctionnalit\u00e9 avanc\u00e9e qui surveille le journal de Fail2ban lui-m\u00eame. Quand une IP est bannie plusieurs fois dans d’autres jails, recidive lui applique un bannissement beaucoup plus long. C’est le deuxi\u00e8me niveau de d\u00e9fense, id\u00e9al pour les attaquants persistants.<\/p>\n\n\n\n
      Ajoutez cette section dans jail.local<\/code> :<\/p>\n\n\n\n
      [recidive]\nenabled = true\nfilter = recidive\nlogpath = \/var\/log\/fail2ban.log\naction = %(action_mwl)s\nbantime = 604800\nfindtime = 86400\nmaxretry = 5<\/code><\/pre>\n\n\n\n
      Avec cette configuration, une IP bannie 5 fois en 24 heures dans n’importe quel jail actif sera ensuite bannie pour 7 jours (604 800 secondes). Les IPs les plus agressives accumulent rapidement ces bans. L’action %(action_mwl)s<\/code> bannit l’IP, envoie un email avec les lignes de log concern\u00e9es et effectue un whois<\/code> de l’adresse IP.<\/p>\n\n\n\n
      Pour les environnements particuli\u00e8rement cibl\u00e9s, certains administrateurs configurent bantime = 2592000<\/code> (30 jours) pour les r\u00e9cidivistes les plus agressifs, comme dans l’exemple suivant pour un jail SSH ultra-strict :<\/p>\n\n\n\n
      [sshd-aggressive]\nenabled = true\nfilter = sshd\nbackend = systemd\nport = ssh\nmaxretry = 1\nbantime = 2592000\nfindtime = 86400\naction = %(action_mwl)s<\/code><\/pre>\n\n\n\n
      Notez que maxretry = 1<\/code> est une approche radicale : la moindre tentative \u00e9chou\u00e9e sur SSH d\u00e9clenche un bannissement de 30 jours. Adaptez selon votre tol\u00e9rance aux faux positifs.<\/p>\n\n\n\n
      \u00c9tape 9 : Configurer les notifications par email<\/h2>\n\n\n\n
      Fail2ban peut envoyer des alertes par email \u00e0 chaque bannissement ou d\u00e9bannissement. Pour l’activer, votre serveur doit disposer d’un MTA (mail transfer agent) fonctionnel, comme postfix<\/code> ou sendmail<\/code>. V\u00e9rifiez que sendmail<\/code> est disponible :<\/p>\n\n\n\n
      which sendmail && sendmail --version 2>&1 | head -3<\/code><\/pre>\n\n\n\n
      Configurez les emails dans jail.local<\/code> :<\/p>\n\n\n\n
      [DEFAULT]\n# Email de l'exp\u00e9diteur (adapter \u00e0 votre domaine)\nsender = fail2ban@votredomaine.fr\n\n# Email destinataire des alertes\ndestemail = admin@votredomaine.fr\n\n# MTA utilis\u00e9 pour l'envoi\nmta = sendmail\n\n# Action avec email + whois lors d'un ban\naction = %(action_mwl)s<\/code><\/pre>\n\n\n\n
      Les actions disponibles pour l’email sont :<\/p>\n\n\n\n
        \n
      • %(action_)s<\/code> : ban uniquement, pas d’email<\/li>\n
      • %(action_m)s<\/code> : ban + email de notification simple<\/li>\n
      • %(action_mw)s<\/code> : ban + email + informations whois<\/li>\n
      • %(action_mwl)s<\/code> : ban + email + whois + lignes de log pertinentes<\/li>\n<\/ul>\n\n\n\n
        Pour un jail sp\u00e9cifique avec des emails uniquement pour les bannissements SSH (et pas pour les tentatives web mineures), appliquez l’action selectively :<\/p>\n\n\n\n
        [sshd]\nenabled = true\nport = ssh\nfilter = sshd\nbackend = systemd\nmaxretry = 3\nbantime = 3600\naction = %(action_mwl)s\n\n[nginx-botsearch]\nenabled = true\nport = http,https\nfilter = nginx-botsearch\nlogpath = \/var\/log\/nginx\/access.log\nmaxretry = 2\nbantime = 86400\n# Pas d'email pour ce jail (trop de volume)\naction = %(action_)s<\/code><\/pre>\n\n\n\n
        \u00c9tape 10 : G\u00e9rer les bannissements manuellement<\/h2>\n\n\n\n
        La commande fail2ban-client<\/code> est votre interface principale pour g\u00e9rer les bannissements en temps r\u00e9el, sans avoir \u00e0 red\u00e9marrer le service.<\/p>\n\n\n\n
        Commandes essentielles pour la gestion quotidienne :<\/p>\n\n\n\n
        # Lister tous les jails actifs\nsudo fail2ban-client status\n\n# Voir les IPs bannies dans le jail SSH\nsudo fail2ban-client status sshd\n\n# D\u00e9bannir une IP sp\u00e9cifique du jail SSH\nsudo fail2ban-client set sshd unbanip 203.0.113.42\n\n# Bannir manuellement une IP dans le jail SSH\nsudo fail2ban-client set sshd banip 198.51.100.10\n\n# Recharger la configuration sans red\u00e9marrage\nsudo fail2ban-client reload\n\n# Recharger un jail sp\u00e9cifique seulement\nsudo fail2ban-client reload sshd\n\n# V\u00e9rifier si une IP est bannie (dans tous les jails)\nsudo fail2ban-client banned 198.51.100.10\n\n# Voir le log de Fail2ban en temps r\u00e9el\nsudo tail -f \/var\/log\/fail2ban.log<\/code><\/pre>\n\n\n\n
        Exemple de sortie du log en temps r\u00e9el lors d’une attaque :<\/p>\n\n\n\n
        2026-06-17 10:15:32,421 fail2ban.filter         [12345]: INFO    [sshd] Found 45.33.32.156 - 2026-06-17 10:15:32\n2026-06-17 10:15:34,102 fail2ban.filter         [12345]: INFO    [sshd] Found 45.33.32.156 - 2026-06-17 10:15:34\n2026-06-17 10:15:35,887 fail2ban.filter         [12345]: INFO    [sshd] Found 45.33.32.156 - 2026-06-17 10:15:35\n2026-06-17 10:15:35,901 fail2ban.actions        [12345]: NOTICE  [sshd] Ban 45.33.32.156\n2026-06-17 10:20:35,103 fail2ban.actions        [12345]: NOTICE  [sshd] Unban 45.33.32.156<\/code><\/pre>\n\n\n\n
        \u00c9tape 11 : Cr\u00e9er un filtre personnalis\u00e9<\/h2>\n\n\n\n
        Fail2ban inclut des dizaines de filtres pr\u00e9d\u00e9finis dans \/etc\/fail2ban\/filter.d\/<\/code>, mais vous pouvez en cr\u00e9er de nouveaux pour vos applications sp\u00e9cifiques. Les filtres utilisent des expressions r\u00e9guli\u00e8res Python pour identifier les lignes de log malveillantes.<\/p>\n\n\n\n
        Exemple : cr\u00e9er un filtre pour prot\u00e9ger une application Node.js qui enregistre les tentatives d’authentification \u00e9chou\u00e9es dans un format personnalis\u00e9. Supposons que les logs contiennent des lignes comme :<\/p>\n\n\n\n
        2026-06-17 10:15:32 AUTH_FAIL ip=203.0.113.42 user=admin reason=bad_password<\/code><\/pre>\n\n\n\n
        Cr\u00e9ez le fichier filtre :<\/p>\n\n\n\n
        sudo nano \/etc\/fail2ban\/filter.d\/nodejs-auth.conf<\/code><\/pre>\n\n\n\n
        [Definition]\n# Filtre pour les \u00e9checs d'authentification Node.js\nfailregex = ^.* AUTH_FAIL ip= .*$\n\n# Lignes \u00e0 ignorer (succ\u00e8s, red\u00e9marrages)\nignoreregex = ^.* AUTH_SUCCESS .*$<\/code><\/pre>\n\n\n\n
        Puis ajoutez le jail correspondant dans jail.local<\/code> :<\/p>\n\n\n\n
        [nodejs-auth]\nenabled = true\nfilter = nodejs-auth\nlogpath = \/var\/log\/myapp\/auth.log\nmaxretry = 5\nbantime = 3600\nfindtime = 300\nport = 3000<\/code><\/pre>\n\n\n\n
        Testez votre filtre avec fail2ban-regex<\/code> avant de l’activer en production :<\/p>\n\n\n\n
        # Tester le filtre contre un fichier de log existant\nsudo fail2ban-regex \/var\/log\/myapp\/auth.log \/etc\/fail2ban\/filter.d\/nodejs-auth.conf\n\n# Tester avec une ligne de log directement\nsudo fail2ban-regex \"2026-06-17 10:15:32 AUTH_FAIL ip=203.0.113.42 user=admin reason=bad_password\" \/etc\/fail2ban\/filter.d\/nodejs-auth.conf<\/code><\/pre>\n\n\n\n
        Sortie attendue si le filtre fonctionne :<\/p>\n\n\n\n
        Running tests\n=============\n\nUse   failregex filter file : nodejs-auth, basedir: \/etc\/fail2ban\nUse         log file : 2026-06-17 10:15:32 AUTH_FAIL ip=203.0.113.42 user=admin reason=bad_password\nUse         encoding : UTF-8\n\nResults\n=======\n\nFailregex: 1 total\n|-  #) [# of hits] regular expression\n|   1) [1] ^.* AUTH_FAIL ip= .*$\n`-\n\nIgnoreregex: 0 total\n\nDate template hits:\n|- [# of hits] date format\n|  [1] ExYear(?PYear)-(?PMonth)-(?PDay)(?:T|  +)...\n`-\n\nLines: 1 lines, 0 ignored, 1 matched, 0 missed<\/code><\/pre>\n\n\n\n
        \u00c9tape 12 : Bannissements progressifs avec bantime.increment<\/h2>\n\n\n\n
        La fonctionnalit\u00e9 bantime.increment<\/strong> permet d’allonger automatiquement la dur\u00e9e de bannissement \u00e0 chaque r\u00e9cidive d’une m\u00eame IP. C’est l’une des \u00e9volutions les plus importantes de Fail2ban, qui transforme un outil de protection r\u00e9actif en un syst\u00e8me adaptatif.<\/p>\n\n\n\n
        Activez les bannissements progressifs dans jail.local<\/code> :<\/p>\n\n\n\n
        [DEFAULT]\n# Activer les bannissements progressifs\nbantime.increment = true\n\n# Dur\u00e9e de base du premier bannissement\nbantime = 600\n\n# Multiplicateur appliqu\u00e9 \u00e0 chaque r\u00e9cidive (x2 par d\u00e9faut)\nbantime.factor = 2\n\n# Dur\u00e9e maximum du bannissement (1 semaine)\nbantime.maxtime = 604800\n\n# Formule de calcul : base * factor^(nombre de bans pr\u00e9c\u00e9dents)\n# 1er ban : 600s (10 min)\n# 2e ban : 1200s (20 min)\n# 3e ban : 2400s (40 min)\n# 4e ban : 4800s (1h20)\n# 5e ban : 9600s (2h40)\n# ... jusqu'au maximum de 604800s (7 jours)\n\n# Utiliser la base de donn\u00e9es SQLite pour m\u00e9moriser les r\u00e9cidives\ndbfile = \/var\/lib\/fail2ban\/fail2ban.sqlite3\ndbpurgeage = 86400<\/code><\/pre>\n\n\n\n
        Cette configuration transforme Fail2ban en un syst\u00e8me d’apprentissage simple : les attaquants qui reviennent r\u00e9guli\u00e8rement font face \u00e0 des bans exponentiellement plus longs. La base de donn\u00e9es SQLite conserve l’historique des bannissements pour que la m\u00e9moire persiste m\u00eame apr\u00e8s un red\u00e9marrage du service.<\/p>\n\n\n\n
        5 pi\u00e8ges fr\u00e9quents (et comment les \u00e9viter)<\/h2>\n\n\n\n
        Ces erreurs reviennent syst\u00e9matiquement lors de la configuration de Fail2ban. Identifiez-les avant qu’elles ne causent des probl\u00e8mes en production.<\/p>\n\n\n\n
        Pi\u00e8ge 1 : Se bloquer soi-m\u00eame via SSH<\/h3>\n\n\n\n
        Sympt\u00f4me :<\/strong> vous perdez l’acc\u00e8s SSH \u00e0 votre propre serveur apr\u00e8s avoir configur\u00e9 Fail2ban.
        Cause :<\/strong> votre IP d’administration n’est pas dans ignoreip<\/code>, et vous avez mal tap\u00e9 votre mot de passe 3 fois pendant la configuration.
        Solution pr\u00e9ventive :<\/strong> avant d’activer Fail2ban, ajoutez imp\u00e9rativement votre IP publique dans ignoreip<\/code> :<\/p>\n\n\n\n
        # Trouver votre IP publique depuis le serveur\ncurl -s ifconfig.me\n\n# Puis dans jail.local :\nignoreip = 127.0.0.1\/8 ::1 VOTRE_IP_ICI<\/code><\/pre>\n\n\n\n
        Solution curative :<\/strong> si vous \u00eates bloqu\u00e9, acc\u00e9dez au serveur via la console KVM\/IPMI de votre h\u00e9bergeur, ou via VNC, puis d\u00e9bannissez votre IP depuis le shell local.<\/p>\n\n\n\n
        Pi\u00e8ge 2 : Modifier jail.conf directement<\/h3>\n\n\n\n
        Sympt\u00f4me :<\/strong> vos configurations disparaissent apr\u00e8s une mise \u00e0 jour de Fail2ban.
        Cause :<\/strong> vous avez modifi\u00e9 \/etc\/fail2ban\/jail.conf<\/code> au lieu de cr\u00e9er jail.local<\/code>.
        Solution :<\/strong> toujours cr\u00e9er un fichier jail.local<\/code> pour vos personnalisations. La r\u00e8gle est absolue.<\/p>\n\n\n\n
        Pi\u00e8ge 3 : Utiliser le mauvais backend de log<\/h3>\n\n\n\n
        Sympt\u00f4me :<\/strong> Fail2ban ne d\u00e9tecte aucune tentative malgr\u00e9 des attaques visibles dans les logs.
        Cause :<\/strong> le param\u00e8tre backend<\/code> est mal configur\u00e9. Sur Ubuntu 22.04+ avec systemd, les logs SSH ne sont pas dans \/var\/log\/auth.log<\/code> par d\u00e9faut, mais dans le journal systemd.
        Solution :<\/strong> utilisez backend = systemd<\/code> et v\u00e9rifiez avec :<\/p>\n\n\n\n
        # V\u00e9rifier les logs SSH dans journald\nsudo journalctl -u sshd --since \"1 hour ago\" | grep \"Failed password\" | head -5\n\n# Si des lignes apparaissent, journald fonctionne pour SSH\n# Dans jail.local :\n[sshd]\nbackend = systemd<\/code><\/pre>\n\n\n\n
        Pi\u00e8ge 4 : Regex de filtre incorrect (faux n\u00e9gatifs)<\/h3>\n\n\n\n
        Sympt\u00f4me :<\/strong> un jail est actif mais ne banne jamais personne, m\u00eame lors d’attaques \u00e9videntes.
        Cause :<\/strong> la regex failregex<\/code> ne correspond pas au format de log r\u00e9el de votre version du service.
        Solution :<\/strong> testez toujours votre filtre avec fail2ban-regex<\/code> avant de l’activer :<\/p>\n\n\n\n
        # Tester le filtre sshd contre les vrais logs\nsudo fail2ban-regex \/var\/log\/auth.log \/etc\/fail2ban\/filter.d\/sshd.conf --print-all-matched | tail -20<\/code><\/pre>\n\n\n\n
        Pi\u00e8ge 5 : bantime trop court face aux botnets distribu\u00e9s<\/h3>\n\n\n\n
        Sympt\u00f4me :<\/strong> Fail2ban banne des centaines d’IPs diff\u00e9rentes mais les attaques continuent sans rel\u00e2che.
        Cause :<\/strong> les botnets modernes utilisent des milliers d’IPs rotatives. Un bantime<\/code> de 10 minutes est inefficace face \u00e0 un botnet de 50 000 IPs qui revient avec une IP diff\u00e9rente toutes les 15 minutes.
        Solution :<\/strong> combinez un bantime<\/code> long (24h minimum), le jail recidive<\/code>, et bantime.increment = true<\/code>. Envisagez \u00e9galement de bloquer des plages d’ASN enti\u00e8res pour les attaquants r\u00e9currents.<\/p>\n\n\n\n
        8 probl\u00e8mes de d\u00e9pannage courants<\/h2>\n\n\n\n
        Probl\u00e8me<\/th>Diagnostic<\/th>Solution<\/th><\/tr><\/thead>
        fail2ban ne d\u00e9marre pas<\/td>sudo journalctl -u fail2ban -n 50<\/code><\/td>V\u00e9rifier la syntaxe de jail.local (souvent une virgule ou espace manquant)<\/td><\/tr>
        Jail inactif apr\u00e8s reload<\/td>sudo fail2ban-client status<\/code><\/td>V\u00e9rifier enabled = true<\/code> dans le jail et red\u00e9marrer (pas juste reload)<\/td><\/tr>
        Aucun ban d\u00e9tect\u00e9<\/td>sudo fail2ban-regex \/var\/log\/auth.log sshd<\/code><\/td>V\u00e9rifier que le filtre correspond aux logs, changer backend<\/td><\/tr>
        IP bannie mais toujours accessible<\/td>sudo iptables -L f2b-sshd -n<\/code><\/td>V\u00e9rifier la cha\u00eene iptables, tester avec nftables si disponible<\/td><\/tr>
        Se retrouver banni<\/td>Console KVM de l’h\u00e9bergeur<\/td>sudo fail2ban-client set sshd unbanip MON_IP<\/code><\/td><\/tr>
        Trop de faux positifs<\/td>sudo tail -f \/var\/log\/fail2ban.log<\/code><\/td>Augmenter maxretry, r\u00e9duire findtime, ajouter l’IP dans ignoreip<\/td><\/tr>
        Fail2ban consomme trop de CPU<\/td>top -p $(pgrep fail2ban-server)<\/code><\/td>R\u00e9duire le nombre de jails actifs ou utiliser backend systemd<\/td><\/tr>
        Base de donn\u00e9es SQLite corrompue<\/td>sudo sqlite3 \/var\/lib\/fail2ban\/fail2ban.sqlite3 \".tables\"<\/code><\/td>Arr\u00eater fail2ban, supprimer le .sqlite3, red\u00e9marrer<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
        Pour un diagnostic complet de Fail2ban, activez le mode debug temporairement :<\/p>\n\n\n\n
        # Arr\u00eater le service\nsudo systemctl stop fail2ban\n\n# Lancer en mode debug (foreground)\nsudo fail2ban-server -f -x -l DEBUG\n\n# Dans un autre terminal, surveiller les sorties\n# Appuyer sur Ctrl+C pour arr\u00eater, puis relancer normalement :\nsudo systemctl start fail2ban<\/code><\/pre>\n\n\n\n
        Configuration compl\u00e8te pour un serveur de production<\/h2>\n\n\n\n
        Voici un fichier jail.local<\/code> complet et op\u00e9rationnel pour un serveur web de production h\u00e9bergeant SSH, Nginx et WordPress. Copiez-le, adaptez l’adresse IP et le domaine, et vous disposerez d’une protection multi-couches imm\u00e9diatement fonctionnelle :<\/p>\n\n\n\n
        [DEFAULT]\n# Remplacez par votre IP d'administration\nignoreip = 127.0.0.1\/8 ::1 203.0.113.0\/24\n\n# Bannissements progressifs\nbantime = 3600\nbantime.increment = true\nbantime.factor = 2\nbantime.maxtime = 604800\n\n# Fen\u00eatre et seuil de d\u00e9tection\nfindtime = 600\nmaxretry = 3\n\n# Backend systemd (recommand\u00e9 Ubuntu 22.04+)\nbackend = systemd\n\n# Pas de r\u00e9solution DNS pour les performances\nusedns = no\n\n# Base de donn\u00e9es pour la persistance des bans\ndbfile = \/var\/lib\/fail2ban\/fail2ban.sqlite3\ndbpurgeage = 86400\n\n# Action par d\u00e9faut sans email\naction = %(action_)s\n\n# --- SSH ---\n[sshd]\nenabled = true\nport = ssh\nfilter = sshd\nbackend = systemd\nmaxretry = 3\nbantime = 3600\naction = %(action_mwl)s\ndestemail = admin@votredomaine.fr\nsender = fail2ban@votredomaine.fr\n\n# --- NGINX ---\n[nginx-http-auth]\nenabled = true\nport = http,https\nfilter = nginx-http-auth\nlogpath = \/var\/log\/nginx\/error.log\nmaxretry = 5\nbantime = 3600\n\n[nginx-botsearch]\nenabled = true\nport = http,https\nfilter = nginx-botsearch\nlogpath = \/var\/log\/nginx\/access.log\nmaxretry = 2\nbantime = 86400\nfindtime = 300\n\n# --- R\u00c9CIDIVISTES ---\n[recidive]\nenabled = true\nfilter = recidive\nlogpath = \/var\/log\/fail2ban.log\nbantime = 604800\nfindtime = 86400\nmaxretry = 5<\/code><\/pre>\n\n\n\n
        Conseils avanc\u00e9s pour aller plus loin<\/h2>\n\n\n\n
        Une fois la configuration de base en place, ces optimisations avanc\u00e9es renforceront significativement la protection de votre serveur.<\/p>\n\n\n\n
        Int\u00e9grer des listes de blocage externes (threatfeeds) :<\/strong> combinez Fail2ban avec des listes de menaces connues comme AbuseIPDB. Un script cron peut t\u00e9l\u00e9charger quotidiennement les IP \u00e0 fort score de menace et les injecter directement dans un jail Fail2ban via fail2ban-client set jail banip<\/code>.<\/p>\n\n\n\n
        Surveiller les m\u00e9triques avec Prometheus :<\/strong> l’exporteur officiel fail2ban-exporter<\/code> expose des m\u00e9triques Prometheus sur le nombre de bans actifs, le total de bans par jail, et la dur\u00e9e moyenne des bannissements. C’est particuli\u00e8rement utile pour Grafana et les tableaux de bord de s\u00e9curit\u00e9.<\/p>\n\n\n\n
        Partager les bannissements entre plusieurs serveurs :<\/strong> si vous g\u00e9rez une infrastructure multi-serveurs, utilisez une base de donn\u00e9es MySQL ou PostgreSQL partag\u00e9e \u00e0 la place de SQLite. Configurez dbfile = mysql:\/\/user:pass@host\/fail2ban<\/code> pour que tous vos serveurs partagent le m\u00eame historique de r\u00e9cidives.<\/p>\n\n\n\n
        Bloquer les scanners Shodan et Censys :<\/strong> cr\u00e9ez un jail sp\u00e9cifique pour bannir automatiquement les plages d’IP connues des scanners l\u00e9gaux comme Shodan (plages 198.20.0.0\/16) qui, bien qu’inoffensifs, g\u00e9n\u00e8rent du bruit dans vos logs et peuvent masquer de vraies attaques.<\/p>\n\n\n\n
        Combiner avec fail2ban-geoip-stats :<\/strong> l’outil fail2ban-geoip-stats<\/code> g\u00e9n\u00e8re des statistiques g\u00e9ographiques des IP bannies et produit des rapports HTML hebdomadaires. Il permet d’identifier les pays d’origine des attaques les plus fr\u00e9quentes pour affiner votre strat\u00e9gie de blocage.<\/p>\n\n\n\n
        Questions fr\u00e9quentes (FAQ)<\/h2>\n\n\n\n
        Fail2ban ralentit-il mon serveur ?<\/h3>\n\n\n\n
        Non. En fonctionnement normal, Fail2ban consomme entre 18 et 25 Mo de RAM et moins de 1 % de CPU. L’impact sur les performances est n\u00e9gligeable, m\u00eame sur un VPS \u00e0 1 vCPU. Le seul sc\u00e9nario o\u00f9 la charge augmente est lors d’attaques massives g\u00e9n\u00e9rant des milliers de lignes de log par seconde.<\/p>\n\n\n\n
        Faut-il utiliser Fail2ban avec un pare-feu d\u00e9di\u00e9 comme UFW ?<\/h3>\n\n\n\n
        Oui, les deux sont compl\u00e9mentaires. UFW (ou firewalld sur RHEL) g\u00e8re les r\u00e8gles statiques permanentes : ports ouverts, flux autoris\u00e9s. Fail2ban g\u00e8re les r\u00e8gles dynamiques temporaires : bannissements bas\u00e9s sur le comportement. Sur Ubuntu 22.04+, UFW et Fail2ban coexistent sans conflit, mais v\u00e9rifiez que les deux n’entrent pas en conflit sur la cha\u00eene INPUT d’iptables.<\/p>\n\n\n\n
        Quelle est la diff\u00e9rence entre bantime, findtime et maxretry ?<\/h3>\n\n\n\n
        findtime<\/code> est la fen\u00eatre de temps (en secondes) pendant laquelle Fail2ban compte les tentatives \u00e9chou\u00e9es. maxretry<\/code> est le nombre maximum d’\u00e9checs autoris\u00e9s dans cette fen\u00eatre avant un bannissement. bantime<\/code> est la dur\u00e9e du bannissement une fois d\u00e9clench\u00e9. Exemple : findtime=600, maxretry=5, bantime=3600<\/code> signifie que 5 \u00e9checs en 10 minutes entra\u00eenent un bannissement d’1 heure.<\/p>\n\n\n\n
        Comment v\u00e9rifier que Fail2ban fonctionne r\u00e9ellement ?<\/h3>\n\n\n\n
        Utilisez sudo fail2ban-client status sshd<\/code> pour voir le nombre de bans actifs et le total de tentatives d\u00e9tect\u00e9es. Surveillez \/var\/log\/fail2ban.log<\/code> pour les entr\u00e9es NOTICE de type “Ban [IP]”. Si le “Total failed” augmente et que des “Ban” apparaissent, Fail2ban fonctionne correctement.<\/p>\n\n\n\n
        Peut-on utiliser Fail2ban avec IPv6 ?<\/h3>\n\n\n\n
        Oui. Fail2ban supporte nativement IPv4 et IPv6. Assurez-vous que votre action iptables est configur\u00e9e pour les deux protocoles, ou utilisez l’action iptables-allports<\/code> combin\u00e9e avec ip6tables. Avec nftables, le support IPv6 est natif et transparent.<\/p>\n\n\n\n
        Fail2ban suffit-il pour s\u00e9curiser un serveur ?<\/h3>\n\n\n\n
        Non. Fail2ban est un outil de mitigation, pas une solution de s\u00e9curit\u00e9 compl\u00e8te. Il compl\u00e8te mais ne remplace pas : l’authentification par cl\u00e9 SSH (d\u00e9sactiver les mots de passe), les mises \u00e0 jour de s\u00e9curit\u00e9 r\u00e9guli\u00e8res, un pare-feu strict (UFW\/firewalld), la surveillance des vuln\u00e9rabilit\u00e9s avec des outils comme Nmap, et la gestion des acc\u00e8s par le principe du moindre privil\u00e8ge.<\/p>\n\n\n\n
        Fail2ban est-il compatible avec les conteneurs Docker ?<\/h3>\n\n\n\n
        Avec pr\u00e9caution. Fail2ban doit \u00eatre install\u00e9 sur l’h\u00f4te Docker, pas dans un conteneur. Il doit acc\u00e9der aux logs des conteneurs (mont\u00e9s via volumes) et aux tables iptables de l’h\u00f4te. Les r\u00e8gles Fail2ban n’affectent pas les r\u00e8gles iptables de Docker par d\u00e9faut, donc une configuration sp\u00e9cifique est n\u00e9cessaire pour que les bans bloquent \u00e9galement le trafic vers les ports mapp\u00e9s.<\/p>\n\n\n\n
        Comment migrer de iptables vers nftables avec Fail2ban ?<\/h3>\n\n\n\n
        Installez nftables (sudo apt install nftables<\/code>), activez le service (sudo systemctl enable nftables<\/code>), puis dans jail.local<\/code> changez banaction = nftables-multiport<\/code> et banaction_allports = nftables-allports<\/code>. Red\u00e9marrez Fail2ban. V\u00e9rifiez les r\u00e8gles cr\u00e9\u00e9es avec sudo nft list ruleset<\/code>.<\/p>\n\n\n\n
        Couverture associ\u00e9e<\/h2>\n\n\n\n
        Articles connexes<\/h3>\n\n\n\n