Fail2ban Konfigürasyonu: Güvenliği Sağlamlaştırmanın Yolları

Fail2ban Nedir ve Neden Kullanılır?

Fail2ban, sunucularınızı brute force saldırıları ve diğer kötü niyetli giriş denemelerine karşı korumak için kullanılan bir güvenlik aracıdır. Çoğunlukla SSH, FTP ve HTTP gibi yaygın servislerdeki yetkisiz erişim girişimlerini tespit eder ve bu tür saldırıları otomatik olarak engeller. Fail2ban, log dosyalarını analiz eder ve belirli bir zaman dilimi içinde belirli sayıda başarısız giriş denemesi tespit ettiğinde, saldırganın IP adresini geçici olarak engeller.

Bu aracın en önemli avantajı, sunucunuzun güvenliğini artırırken ağ trafiğini fazla etkilememesidir. Ayrıca, farklı servisler için özelleştirilmiş kurallar yazarak güvenlik politikalarını güçlendirebilirsiniz. Fail2ban, Python dili ile yazılmış olup, genişletilebilir bir mimariye sahiptir.

Fail2ban Kurulumu

Linux Dağıtımınıza Göre Kurulum

Fail2ban, çoğu Linux dağıtımı için paket yöneticilerinde mevcuttur. Örneğin, Debian tabanlı sistemlerde (Ubuntu, Mint vb.) Fail2ban'ı kurmak için aşağıdaki komutu kullanabilirsiniz:

sudo apt-get update
sudo apt-get install fail2ban

Red Hat tabanlı sistemlerde (CentOS, Fedora vb.) ise:

sudo yum install fail2ban

Kurulumdan sonra, Fail2ban servisini başlatmanız ve sistemin açılışında otomatik olarak başlamasını sağlamanız gerekir:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

Fail2ban Temel Konfigürasyonu

Konfigürasyon Dosyaları

Fail2ban'ın konfigürasyonu genellikle /etc/fail2ban/ dizininde yer alır. Buradaki ana dosya jail.conf dosyasıdır. Ancak, doğrudan bu dosyayı düzenlemek yerine, varsayılan ayarları korumak için jail.local adında bir dosya oluşturarak özelleştirmeler yapmanız önerilir.

Örnek bir jail.local dosyası aşağıdaki gibi görünebilir:

[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5

[sshd]
enabled = true
port = 22
filter = sshd
logpath = /var/log/auth.log

Burada, bantime parametresi, IP adresinin kaç saniye boyunca engelleneceğini belirtir. findtime parametresi, belirtilen süre içinde belirli sayıda başarısız deneme yapılması durumunda IP'nin engellenmesine karar verir. maxretry ise izin verilen başarısız deneme sayısını belirtir.

Özel Filtreler Oluşturma

Filtre Dosyalarının Yapısı

Fail2ban, filtreleme işlemi için /etc/fail2ban/filter.d/ dizinindeki dosyaları kullanır. Her bir filtre dosyası, belirli bir servisin log dosyasındaki başarısız giriş denemelerini tespit etmek için düzenli ifadeler içerir.

Örneğin, özel bir HTTP brute force saldırısı filtresi oluşturmak için apache-bruteforce.conf adında bir dosya oluşturabilirsiniz:

[Definition]
failregex = ^ - - \[.*\] "POST /wp-login\.php HTTP/.*" 401
ignoreregex =

Bu örnekte, failregex ifadesi, WordPress login sayfasına yapılan başarısız POST isteklerini tespit eder. etiketi, saldırganın IP adresini temsil eder.

Fail2ban İleri Konfigürasyon

IP Whitelisting ve Blacklisting

Fail2ban ile belirli IP adreslerini beyaz listeye alarak engellenmelerini önleyebilir veya kara listeye alarak anında engelleyebilirsiniz. Beyaz listeye almak için ignoreip parametresini kullanabilirsiniz:

[DEFAULT]
ignoreip = 127.0.0.1/8 192.168.1.0/24

Bu ayar ile yerel ağdaki IP'lerin asla engellenmemesini sağlamış olursunuz.

Özel Eylemler Tanımlama

Fail2ban, varsayılan olarak iptables kullanarak IP adreslerini engeller. Ancak, özel eylemler tanımlayarak farklı güvenlik önlemleri alabilirsiniz. Örneğin, engellenen bir IP için otomatik e-posta bildirimi göndermek için bir eylem tanımlayabilirsiniz:

action = %(action_mwl)s

Bu örnekte, action_mwl, e-posta bildirimleri içeren bir eylem setidir.

Yaygın Fail2ban Hataları ve Çözümleri

Hata 1: Yanlış Logpath Belirleme

Yanlış log dosyası yolu belirlemek, Fail2ban'ın etkili çalışmamasına neden olabilir. Yanlış Örnek:

logpath = /var/log/incorrect.log

Bu durumda, doğru log dosyası yolunu belirlemek önemlidir. Doğru Örnek:

logpath = /var/log/auth.log

Her servis için doğru log dosyası yolunu kontrol etmeyi ihmal etmeyin.

Hata 2: Yanlış Düzenli İfade Kullanımı

Düzenli ifadelerde yapılan hatalar, istenmeyen IP'lerin engellenmesine neden olabilir. Yanlış Örnek:

failregex = ^.*"GET /admin">

Bu ifade, tüm /admin isteklerini engelleyebilir. Doğru Örnek:

failregex = ^.*"GET /admin" 403

Bu düzeltme, yalnızca 403 yanıt kodu döndüren istekleri hedef alır.

Sonuç ve Öneriler

Fail2ban, sunucunuzu dış tehditlere karşı korumak için mükemmel bir araçtır. Doğru konfigürasyon ile güvenliğinizi önemli ölçüde artırabilirsiniz. Bu yazıda, Fail2ban'ın kurulumu, temel ve ileri düzey konfigürasyonları ile yaygın hataları nasıl düzeltebileceğinizi ele aldık. Artık, kendi güvenlik politikalarınızı oluşturabilir ve sunucunuzu daha güvenli hale getirebilirsiniz. Fail2ban’a yeni başlayanlar için düzenli ifadelerin iyi anlaşılması, log dosyalarının doğru belirlenmesi ve eylemlerin dikkatli tanımlanması önemlidir.