Guide des technologies

Prévenir les attaques par force brute avec Brutelock

6 min read Sécurité Mis à jour 18 Oct 2025
Prévenir les attaques par force brute avec Brutelock
Prévenir les attaques par force brute avec Brutelock

Brutelock surveille les fichiers de logs et bloque automatiquement les IP malveillantes qui tentent des attaques par force brute. Installez l agent, configurez la clé d abonnement et la liste blanche, ajoutez la chaîne iptables, puis démarrez le démon pour réduire rapidement les tentatives de connexion échouées.

Présentation rapide

Brutelock est un logiciel open source qui surveille activement les logs système et bloque immédiatement les adresses IP malveillantes. Il protège non seulement le service ssh mais aussi des services courants comme ftp, pop et imap via un format de règles extensible. Vous fournissez le fichier de log et un motif regex simple pour couvrir d autres services.

Important

  • Brutelock s appuie sur l analyse des logs : il n empêche pas une attaque avant qu une tentative apparaisse dans un log.
  • Ajoutez toujours 127.0.0.1 et l IP du serveur dans la liste blanche pour éviter les blocages intempestifs.

Pourquoi l utiliser

  • Détecte et bloque automatiquement des scanners et scripts d attaque.
  • Extensible aux services personnalisés via des règles basées sur des regex.
  • Simple à installer sur des serveurs Linux standards.

Étapes d installation

Suivez ces étapes en tant qu utilisateur root ou avec sudo

  1. Téléchargez l agent Brutelock et enregistrez le dans /usr/local/.
  2. cd /usr/local/
  3. tar -xjvf brutelock-version_number.tar.bz2
  4. cd /usr/local/brutelock-version_number
  5. ./configure
  6. make
  7. make install
  8. Éditez le nouveau fichier de configuration /usr/local/brutelock/conf/brutelock.conf et ajoutez votre clé d abonnement.
  9. Si nécessaire, ajustez le chemin vers le log ssh dans le fichier de configuration. Si vous ne savez pas où se trouve ce log sur votre système, consultez le README fourni avec la source. Décommentez aussi les services additionnels que vous souhaitez protéger tels que ftp, pop et imap.
  10. Ajoutez les adresses IP à /usr/local/brutelock/conf/whitelist (une par ligne) pour toutes les IP que Brutelock ne doit jamais bloquer.
  11. Ajoutez une chaîne distincte à iptables :
/sbin/iptables -N Brutelock-Firewall-INPUT
/sbin/iptables -I INPUT -j Brutelock-Firewall-INPUT
  1. Démarrez le démon Brutelock :
/usr/local/brutelock/bin/brutelockd
  1. Surveillez les logs : vous devriez rapidement constater une diminution des tentatives de connexion échouées.

Configuration essentielle et bonnes pratiques

  • Clé d abonnement : sans clé, Brutelock peut fonctionner en mode basique. Inscrivez vous pour la clé gratuite ou une offre payante si vous voulez des mises à jour et un blocage proactif.
  • Liste blanche : au minimum ajoutez 127.0.0.1 et l IP publique du serveur. Pensez aux adresses de monitoring ou de backup qui doivent aussi y figurer.
  • Logs personnalisés : pour protéger une application interne, pointez Brutelock vers son fichier de log et fournissez une regex correspondant aux échecs d authentification.
  • Persistance iptables : sur beaucoup de distributions, les règles iptables ne persistent pas au redémarrage. Enregistrez les règles ou utilisez nftables/systemd pour restaurer la configuration au boot.

Note

Avant d activer un blocage en production, testez les règles sur un serveur non critique ou pendant une fenêtre de maintenance.

Dépannage courant

  • Brutelock ne bloque pas : vérifiez que le démon tourne, que le chemin du log est correct et que votre regex matche effectivement les lignes d échec.
  • Fausse détection : ajoutez l IP concernée à la whitelist et ajustez la regex pour réduire les faux positifs.
  • Règles iptables ignorées : vérifiez l ordre des chaînes et que la chaîne Brutelock-Firewall-INPUT est bien appelée par INPUT.

Quand Brutelock peut échouer (contre-exemples)

  • Attaques sans journalisation : si un service n écrit pas explicitement les échecs dans un log, Brutelock ne peut rien détecter.
  • Attaques distribuées à très faible fréquence : plusieurs IP différentes envoyant peu de tentatives chacune peuvent contourner des seuils trop stricts.
  • Logs corrompus ou rotation mal configurée : si le fichier de log est tronqué ou déplacé sans mise à jour du chemin, Brutelock perd sa source de détection.

Approches alternatives

  • fail2ban : solution populaire similaire, riche en filtres et plus intégrée aux distributions.
  • Durcissement sshd : désactiver l authentification par mot de passe, utiliser clés SSH et port non standard.
  • Rate limiting réseau : appliquer des limites au niveau du pare-feu ou du reverse proxy.
  • WAF/Cloud protections : pour les services exposés, utiliser des protections cloud ou appliances spécialisées.

Mini-méthodologie de déploiement

  1. Planifier : inventaire des services et des logs à surveiller.
  2. Installer : suivre la procédure d installation et créer une chaîne de test iptables.
  3. Configurer : ajouter clé, whitelist et règles regex.
  4. Tester : simuler des échecs et vérifier le blocage.
  5. Monitorer : vérifier les logs Brutelock et ajuster.
  6. Revoir périodiquement : valider les whitelists et seuils.

Checklists par rôle

Administrateur système

  • Installer sur un serveur de test
  • Vérifier permissions et propriété des fichiers
  • Enregistrer les règles iptables pour persistance

Opérateur de sécurité

  • Configurer la clé d abonnement
  • Ajouter adresses IP de monitoring à la whitelist
  • Revoir les alertes et modifier seuils si besoin

Développeur applicatif

  • Indiquer où l application écrit les logs d échec
  • Fournir une regex representative des erreurs d authentification

Matrice des risques et mitigations

  • Risque: faux positifs bloquant une IP légitime

    • Probabilité: moyenne
    • Impact: élevé
    • Mitigation: whitelist, processus de rétablissement rapide

  • Risque: attaque non journalisée

    • Probabilité: faible
    • Impact: élevé
    • Mitigation: renforcer logging, complémentaires réseau

  • Risque: règles iptables non persistantes

    • Probabilité: moyenne
    • Impact: moyen
    • Mitigation: automatiser restauration au boot

Glossaire (une ligne)

  • Brute force: tentative répétée de découverte de mots de passe ou clés.
  • Whitelist: liste d adresses autorisées exclues des blocages.
  • Démon: processus en arrière-plan qui surveille et agit automatiquement.

Résumé et bonnes pratiques

  • Brutelock est efficace pour automatiser le blocage d IP malveillantes via la surveillance des logs.
  • Testez toujours en environnement contrôlé avant déploiement massif.
  • Combinez Brutelock avec durcissement SSH, listes blanches soignées et persistance des règles firewall.

Important

Ne comptez pas uniquement sur un seul outil. La défense en profondeur reste la meilleure stratégie.

Partager: X/Twitter Facebook LinkedIn Telegram
Auteur
Édition

Matériaux similaires

Gestion des utilisateurs WiKID
Sécurité

Gestion des utilisateurs WiKID

Réparer clavier MacBook qui ne répond pas
Support Mac

Réparer clavier MacBook qui ne répond pas

Plus de Likes sur Instagram Reels — Guide complet
Marketing

Plus de Likes sur Instagram Reels — Guide complet

Installer Valheim Plus — guide rapide
Jeux

Installer Valheim Plus — guide rapide

MediaWiki sur CentOS 7 avec Nginx — installation
DevOps

MediaWiki sur CentOS 7 avec Nginx — installation

Désactiver téléchargement dossiers partagés - Outlook
Outlook

Désactiver téléchargement dossiers partagés - Outlook