Child pages
  • Fail2ban kurulumu nasıl yapılır? (Bitmedi)
Skip to end of metadata
Go to start of metadata

Fail2ban Nedir?

Sunucunuzun iptables kısmına, sizin önceden belirlediğiniz parametrelere göre otomatik kurallar girerek, sunucunuza yapılan SSH brute force gibi ataklardan korumaya yarayan bir güvenlik servisidir. Login işlemlerinde, aynı IP'den yapılabilecek deneme sayısı, belirli bir süre içerisinde aynı IP'den sunucunuza yapılacak bağlantı sayısı ve sizin belirlediğiniz parametrelerin dışına çıkıldığında ne yapılması gerektiği gibi öntanımlı girilen bazı kriterler, fail2ban'ın anlık olarak iptables içerisine kurallar girerek sizin istediğiniz şekilde sunucunuzun güvenliğini sağlayacaktır.

Yükleme Adımları

Fail2ban kurulumuna baişlamadan önce sunucunuzun güncel durumda olduğundan emin olmalısınız. Sunucunuzu güncellemek için aşağıdaki komutları, sırayla komut satırınızda çalıştırmalısınız:

Update işleminin tamamlanmasından sonra fail2ban kurulumuna başlayabilirsiniz. Aşağıdaki komutu sunucunuzun komut satırına girin ve kurulumu başlatın:

Fail2ban servisi, konfigürasyon dosyasını "/etc/fail2ban" dizininde bulunan "jail.conf" dosyasında tutmaktadır. Lakin bu dosya, bir yükseltme işlemi sonrası değişebileceği için fail2ban servisi, ayarlarınızı yapmanız ve saklayabilmeniz amacıyla jail.conf dosyanızın kopyasını jail.local şeklinde oluşturmanızı ve değişikliklerinizi bu dosya üzerinde yapmanızı istiyor. Bu dosyada yapacağınız ayarlar, fail2ban tarafından okunacak ve uygulanacaktır.

Aşağıdaki komutu kullanarak, jail.conf dosyazının kopyasını jail.local olarak oluşturabileceksiniz:

Kopyalanmış dosyayı aşağıdaki komut ile açarak, fail2ban sisteminin hangi kriterlere, nasıl yanıt vermesi gerektiğini ve çalışma yapısını görebiliriz:

Bu dosyanın içinde, fail2ban servisinin çalışırken uygulayacağı geçerli kriterler, [DEFAULT] bölümünün altında yer almaktadır.

Konfigürasyon yapmaya, fail2ban servisinin üzerinde çalıştığı lokal makinenin adresinden gelen tüm talepleri es geçmesini belirterek başlayabilirsiniz. Aynı zamanda, güvendiğiniz IP adreslerinden gelen talepleri es geçmesini de belirtebilirsiniz. Bunun için "ignoreip" parametresini kullanabilirsiniz:

Yukarıdaki komut ile lokal adresten gelen talepleri göz ardı etmesini yani herhangi bir kontrol yapmasına gerek olmadığını belirttik. Bunun gibi birden fazla IP adresini, aynı parametre içerisinde, IP adresleri arasında birer boşluk bırakarak ekleyebilirsiniz.

Çok fazla yanlış giriş denemesi yapan IP adresinin ne kadar süre banlanacağını "bantime" parametresi ile belirtebilirsiniz. Aşağıda, 

Yukarıdaki parametre, banlanan kişinin 600 saniye, diğer bir deyişle 10 dakika ban durumunda kalmasını gerektiğini belirtiyor.

Sıradaki iki parametre, belirli bir süre içinde kaç giriş denemesi yapılabileceğini belirleyebileceğiniz "findtime" ve "maxretry" parametrelerdir.

Bu parametreler içinde "findtime" aynı IP adresi üzerinden ne kadar süreyle giriş denemesi yapılabileceğini, "maxretry" parametresi ise, "findtime" parametresi içerisinde belirlediğiniz sürede kaç giriş denemesi yapılabileceğini belirtir. Yukarıda verdiğimiz değerler ile bir IP adresi üzerinden 600 saniye/10 dakika içerisinde 3 giriş denemesi yapılabileceğini, daha fazlası yapıldığında o IP adresinin banlanacağını belirttik.

Eğer yapılan giriş denemelerini ve banlanan IP adresleriyle ilgili fail2ban servisi tarafından mail ile bilgilendirmek isterseniz aşağıdaki parametreleri kullanabilirsiniz.

Yukarıdaki parametrelerde "destemail" parametresi, bilgilendirme maili gönderilecek olan mail adresini (sizin mail adresiniz), "sendername" parametresi, bilgilendirme mailini gönderen ismini belirtir ve mailinizin "From" (gönderen) bölümünde yazar. "mta" parametresi ise bilgilendirme mailinin hangi hangi mail servisi kullanılarak gönderileceğini belirtir. 

Bir sonraki fail2ban parametresi olan "action", fail2ban servisinin bir IP adresini banladıktan sonra gerçekleştireceği eylemi belirtir.

Yukarıda gösterilen parametre, fail2ban servisinin action parametresinin öntanımlı ayarıdır.

Eğer fail2ban servisinin bir IP adresini banladıktan sonra size bununla ilgili mail bilgilendirmesi yapmasını istiyorsanız, "action" parametresini aşağıdaki gibi değiştirmelisiniz:

Eğer fail2ban servisinin bir IP adresini banladıktan sonra size mail göndermesini ve mail içerisinde de bu değişikle ilgili tutulan log kaydının hangi satırda olduğunu eklemesini istiyorsanız, "action" parametresini aşağıdaki gibi değiştirmelisiniz:


Devam edecek.

  • No labels