1. Mettre à jour le systèmeAvant tout, on met le système à jour :
Code : Tout sélectionner
sudo apt update && sudo apt upgrade -y
2. Installer UFW (si ce n’est pas déjà fait)Code : Tout sélectionner
sudo apt install ufw
3. Autoriser uniquement le trafic nécessaire
Accès SSH (port 22, ou autre si modifié)
Code : Tout sélectionner
sudo ufw allow sshCode : Tout sélectionner
sudo ufw allow 2222/tcp
Serveur Web (Apache)Code : Tout sélectionner
sudo ufw allow "Apache Full"
MySQL/MariaDB : à restreindreSi la base de données est locale (ce qui est le cas dans 90 % des cas), ne pas ouvrir le port 3306 :
Code : Tout sélectionner
sudo ufw deny 3306Code : Tout sélectionner
sudo ufw allow from <IP_TRUSTÉE> to any port 3306
4. Activer UFWCode : Tout sélectionner
sudo ufw enableCode : Tout sélectionner
sudo ufw status verboseCode : Tout sélectionner
sudo ufw status numberedCode : Tout sélectionner
sudo ufw delete \\numéro de la règleFail2ban surveille les logs et bloque les IPs malveillantes (SSH, Apache, etc.).
Installation :Code : Tout sélectionner
sudo apt install fail2ban -y
Créer un fichier de config local :Code : Tout sélectionner
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Édite le fichier :
Code : Tout sélectionner
sudo nano /etc/fail2ban/jail.localCode : Tout sélectionner
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5
backend = systemd
ignoreip = 127.0.0.1/8 ::1 <TON_IP>
[sshd]
enabled = true
[apache-auth]
enabled = true
[apache-badbots]
enabled = true
[apache-noscript]
enabled = true
Redémarrer Fail2ban :Code : Tout sélectionner
sudo systemctl restart fail2ban
Vérifier que ça tourne :Code : Tout sélectionner
sudo fail2ban-client statusCode : Tout sélectionner
sudo fail2ban-client status sshdVoir les IP bannies :
Code : Tout sélectionner
sudo fail2ban-client status sshdCode : Tout sélectionner
sudo tail -f /var/log/fail2ban.log
labbej – Créateur du forum & Admin suprême