fail2ban configuration complète pour bloquer brute-force et bots en 2026.
Voir notre guide hardening.
Installation
apt install -y fail2ban
systemctl enable --now fail2banjail.local
# /etc/fail2ban/jail.local
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5
backend = systemd
banaction = ufw
ignoreip = 127.0.0.1/8 ::1 100.0.0.0/8
[sshd]
enabled = true
port = 22
maxretry = 3
bantime = 7200
[recidive]
enabled = true
filter = recidive
logpath = /var/log/fail2ban.log
action = ufw
bantime = 86400
findtime = 86400
maxretry = 5
[nginx-noscript]
enabled = true
port = http,https
filter = nginx-noscript
logpath = /var/log/nginx/access.log
maxretry = 6
[nginx-badbots]
enabled = true
port = http,https
filter = nginx-badbots
logpath = /var/log/nginx/access.log
maxretry = 2systemctl restart fail2ban
fail2ban-client status
fail2ban-client status sshdWhitelist votre IP
Ajouter votre IP fixe (ou plage tailnet) dans ignoreip pour éviter de vous bannir vous-même.
Notifications email
[DEFAULT]
destemail = admin@exemple.sn
sender = fail2ban@exemple.sn
action = %(action_mwl)sCrowdsec : alternative moderne
Crowdsec partage une blacklist communautaire de millions d’IPs malveillantes. Plus efficace que fail2ban seul. À considérer pour usage avancé.