Fail2Ban Kurulumu ve Güvenlik Ayarları

Fail2Ban, sunucu güvenliğini artırmak amacıyla tasarlanmış açık kaynaklı bir araçtır. Brute-force saldırılarını ve diğer kötü niyetli girişimleri otomatik olarak tespit ederek IP adreslerini geçici olarak engeller. Linux tabanlı sistemlerde yaygın olarak kullanılan bu yazılım, SSH, Apache, Nginx gibi servislerin log dosyalarını izler ve tekrarlanan başarısız girişimleri jail’ler aracılığıyla yönetir. Kurumsal ortamlar için vazgeçilmez olan Fail2Ban, manuel müdahaleyi minimize ederken sistem kaynaklarını verimli kullanır. Bu makalede, Fail2Ban’ın kurulumundan başlayarak güvenlik ayarlarını detaylı bir şekilde ele alacak, adım adım rehberlik sağlayacağız. Böylece, sunucunuzu proaktif bir şekilde koruyabileceksiniz.

Fail2Ban Kurulumu

Fail2Ban kurulumuna başlamadan önce, sisteminizin Debian/Ubuntu veya CentOS/RHEL tabanlı olduğundan emin olun. Bu dağıtımlar için paket yöneticileri üzerinden kolay kurulum mümkündür. Kurulum öncesi, sistem güncellemelerini yapın: Ubuntu için sudo apt update && sudo apt upgrade, CentOS için sudo yum update komutlarını çalıştırın. Ardından, Fail2Ban paketini yükleyin. Ubuntu/Debian’da sudo apt install fail2ban, CentOS/RHEL’de sudo yum install epel-release && sudo yum install fail2ban komutları idealdir. Bu adımlar, en güncel sürümü sağlar ve bağımlılıkları otomatik çözer.

Kurulum tamamlandıktan sonra, servis durumunu kontrol edin: sudo systemctl status fail2ban. Eğer aktif değilse, sudo systemctl enable fail2ban && sudo systemctl start fail2ban ile kalıcı hale getirin. Fail2Ban varsayılan olarak /etc/fail2ban dizininde yapılandırılır. Ana konfigürasyon dosyası jail.local’dır; jail.conf’u doğrudan düzenlemeyin, override için local kopya oluşturun: sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local. Bu yaklaşım, güncellemelerde ayarlarınızın korunmasını sağlar. Kurulum sonrası, sudo fail2ban-client status ile genel durumu görüntüleyin. Bu temel adımlar, Fail2Ban’ı hızlıca çalışır hale getirir ve sunucunuzu temel koruma altına alır.

Jail Yapılandırması ve Temel Ayarlar

SSH Jail’i Etkinleştirme

En kritik jail’lerden biri SSH için olanıdır. /etc/fail2ban/jail.local dosyasını nano veya vim ile açın: [sshd] bölümünü etkinleştirin. enabled = true satırını ekleyin. port = ssh ile portu belirtin (varsayılan 22). logpath = /var/log/auth.log (Debian/Ubuntu) veya /var/log/secure (CentOS) olarak log dosyasını tanımlayın. maxretry = 5 ile 5 başarısız girişte ban uygulayın, bantime = 3600 saniye (1 saat) ban süresi belirleyin. Değişiklikleri kaydedip sudo fail2ban-client reload ile uygulayın. Test için başka bir terminalden hatalı SSH girişleri yapın ve sudo fail2ban-client status sshd ile IP’leri kontrol edin. Bu ayar, brute-force saldırılarını %90 oranında azaltır.

Web Sunucu Jail’leri

Apache veya Nginx için jail’ler ekleyin. jail.local’a [apache-auth] bölümü oluşturun: enabled = true, port = http,https, logpath = /var/log/apache2/error.log. Benzer şekilde Nginx için [nginx-http-auth]: logpath = /var/log/nginx/error.log. findtime = 600 ile 10 dakika içinde maxretry’yi sayın. Bu jail’ler, yetkisiz erişim girişimlerini engelleyerek web uygulamanızı korur. Yapılandırma sonrası reload yapın ve logları izleyin: sudo tail -f /var/log/fail2ban.log. Pratikte, bu ayarlar sunucu yükünü azaltır ve uptime’ı artırır.

Yapılandırma sırasında backend’i ‘auto’ olarak bırakın, iptables veya firewalld ile uyumlu çalışır. findtime ve bantime değerlerini trafiğinize göre ayarlayın; yoğun sunucularda bantime’ı 10 dakikaya düşürün. whitelist için ignoreip = 127.0.0.1/8 ::1 your-ip ekleyin, yanlış banları önleyin.

Gelişmiş Güvenlik Ayarları ve İzleme

Gelişmiş ayarlar için action’ları özelleştirin. jail.local’da action = %(action_mwl)s ile banlı IP’leri mail ile bildirin. E-posta için destemail = [email protected], sender = [email protected] tanımlayın. recidive jail’i ile tekrarlanan banları yönetin: [recidive] bölümünde bantime = 86400 (1 gün) ayarlayın. Bu, ısrarcı saldırganları uzun süre engeller. Ayrıca, chain’ı güçlendirin: banaction = iptables-multiport ile birden fazla portu kapsayın.

Log İzleme ve Raporlama

Fail2Ban loglarını /var/log/fail2ban.log’da takip edin. sudo fail2ban-client status ile jail durumlarını listeleyin, sudo fail2ban-client get <jail> banip ile banlı IP’leri görün. Cron job ile günlük rapor ekleyin: 0 0 * * * /usr/bin/fail2ban-client status >> /var/log/fail2ban-daily.log. Bu, proaktif izleme sağlar. Unban için sudo fail2ban-client unban IP kullanın. Düzenli bakım, false positive’leri minimize eder ve güvenliği maksimize eder.

Sorun Giderme İpuçları

Yaygın sorunlarda, logpath’in doğru olup olmadığını kontrol edin. Servis restart: sudo systemctl restart fail2ban. iptables kurallarını listeleyin: sudo iptables -L f2b-sshd -n. Eğer firewalld kullanıyorsanız, nftables’e geçin veya uyumluluğu sağlayın. Performans için dbpurgeage = 648000 (7.5 gün) ile veritabanını temizleyin. Bu adımlar, kurumsal düzeyde sorunsuz operasyon sağlar ve olası kesintileri önler.

Fail2Ban’ı etkin kullanarak sunucunuzun güvenliğini önemli ölçüde artırabilirsiniz. Düzenli güncellemeler yapın, jail’leri trafiğinize uyarlayın ve logları sürekli izleyin. Bu araç, katmanlı savunma stratejinizin vazgeçilmez bir parçası haline gelecektir. Uygulama sonrası, saldırı girişimlerinde belirgin düşüş gözlemleyecek ve sistem istikrarını pekiştireceksiniz.