Sunucu güvenliği sadece güçlü parolalarla değil, aynı zamanda tehditleri otomatik olarak tespit edip engelleyen sistemlerle sağlanabilir. İşte Fail2Ban, bu noktada devreye giren, açık kaynaklı ve oldukça etkili bir IP engelleme ve log izleme aracıdır. SSH, FTP, Apache ve Exim gibi servislerin loglarını tarar ve şüpheli aktiviteleri algılar. Özellikle ESXi SSH erişimi veya DirectAdmin gibi web tabanlı kontrol panellerine yapılan başarısız oturum açma girişimleri, sistem güvenliği açısından dikkatle izlenmelidir. Belirli bir IP adresinden gelen yoğun hatalı giriş veya brute force denemeleri tespit edildiğinde, Fail2Ban bu IP’yi iptables gibi güvenlik sistemleri üzerinden engeller.
Fail2ban ve fail2ban-regex Nasıl Çalışıyor?
Fail2Ban ’in yapılandırma dosyaları üzerinden kaç denemede IP yasağı uygulanacağı, yasağın süresi ve izlenecek log dosyaları gibi ayarlar kullanıcı tarafından esnek şekilde tanımlanabilir. Ayrıca, bu saldırı uyarılarının SMTP yoluyla e-posta olarak iletilmesi de mümkündür. Böylece sistem yöneticisinin sürekli olarak logları kontrol etmesine gerek kalmaz, saldırılar zamanında fark edilip otomatik olarak durdurulmuş olur.
Ancak Fail2Ban ne kadar işlevsel olursa olsun, zayıf kimlik doğrulama yöntemlerinin doğurduğu temel açıkları kapatmaz. Bu nedenle sistemlerde çok faktörlü doğrulama ve sağlam parola politikalarıyla desteklenerek kullanılmalıdır.
fail2ban-regex Komutu Nasıl Kullanılır?
Aşağıdaki gibi çalıştıralım;
fail2ban-regex /var/log/log_dosyası.log "regex ifadesi"Test için ise aşağıdaki komutu yazalım;
fail2ban-regex "log satırı" "regex ifadesi"Regex Tabanlı Yasaklama Örnekleri
Botların bilinmeyen yolları gezerek açık araması yapması, web sunucularında sık rastlanan tehditlerden biridir. Bu denemeler çoğunlukla “404 Not Found” hatalarıyla sonuçlanır. Apache günlüklerinde bu tür aktiviteleri saptamak mümkündür.
192.168.0.10 - - [04/Jul/2025:12:45:13 +0300] "GET /admin HTTP/1.1" 404 1234*Bu log satırı, bir istemcinin sunucuda bulunmayan /admin yolunu sorguladığını ve 404 hatası aldığını göstermektedir.
<HOST> - - \[.*\] "GET .*" 404<HOST>etiketi ile IP adresini yakalar,GET .*ile istenen URI’yi tanımlar,404ile sadece başarısız istekleri filtreler.
fail2ban-regex '192.168.0.10 - - [04/Jul/2025:12:45:13 +0300] "GET /admin HTTP/1.1" 404 1234' ' - - [.] "GET ." 404'*Eğer komut sonucunda 1 matches çıktısı alıyorsanız, bu ifade Apache erişim loglarını izlemek için uygundur. Fail2Ban filtre dosyanıza bu ifadeyi ekleyerek bot taramalarına karşı otomatik engelleme sağlayabilirsiniz.
Exim Mail Sunucusu Giriş Hataları
Exim gibi SMTP sunucuları, başarısız oturum açma girişimlerini log dosyalarına kaydeder. Bu loglar Fail2Ban aracılığıyla analiz edilerek, şüpheli IP adresleri otomatik şekilde engellenebilir.
2025-07-04 13:12:45 authentication failed for [email protected] from [203.0.113.55]: 535 Incorrect authentication dataRebex;
Bu regex ifadesi, [] içinde yer alan IP adresini <HOST> etiketiyle yakalayacak şekilde yapılandırılmıştır.
authentication failed for .* from []: 535Test için aşağıdaki komutu uygulayalım;
fail2ban-regex '2025-07-04 13:12:45 authentication failed for [email protected] from [203.0.113.55]: 535 Incorrect authentication data' 'authentication failed for .* from \[<HOST>\]: 535'vsftpd FTP Giriş Hataları
FTP sunucularını brute-force girişimlerinden korumak için, başarısız oturum açma kayıtlarını analiz eden özel filtreler kullanılabilir. Bu hatalar, çoğunlukla vsftpd.log içinde şu şekilde kaydedilir.
Fri Jul 4 13:20:14 2025 [pid 1234] [ftpuser] FAIL LOGIN: Client "198.51.100.77"Bu log satırında, “FAIL LOGIN” ifadesiyle başarısız bir giriş olduğu ve "Client" etiketinden sonra IP adresinin geldiği net olarak görülmektedir.
FAIL LOGIN: Client "<HOST>"*Bu ifade, "<HOST>" kalıbı sayesinde IP adresini otomatik olarak algılar.
Regex Yazılırken Dikkat Edilmesi Gerekenler
Fail2ban-regex kullanırken oluşturduğunuz regex ifadelerini mutlaka önceden test etmeyi ihmal etmeyin.
Genel kalıplarla başlayıp, daha sonra özel ifadelerle filtrelemeyi daraltmak daha güvenli sonuçlar verir.
IP adresleri yerine her zaman <HOST> etiketini kullanmanız önerilir.
Sadece eşleşen örnekler değil, eşleşmeyen örneklerle de test yaparak yanlış IP’lerin engellenmesinin önüne geçebilirsiniz.
Özel Bir Fail2ban Filtresi Oluşturmak
Regex’inizi test ettikten sonra aşağıdaki şekilde özel bir filtre dosyası oluşturun:
[Definition]
failregex = BURAYA TEST ETTİĞİNİZ REGEX
ignoreregex =Ardından jail.local içine şu şekilde ekleyin:
[benimservis]
enabled = true
port = ilgili-port
filter = benimfiltre
logpath = /var/log/ilgili_log_dosyası.log
maxretry = 3
bantime = 600Fail2ban’ı yeniden başlatmayı unutmayın:
sudo systemctl restart fail2banSıkça Sorulan Sorular (SSS)
fail2ban-regex neden IP algılamıyor?
fail2ban-regex, IP adresini algılaması için doğru bir şekilde yazılmış bir failregex ifadesi içinde <HOST> etiketine ihtiyaç duyar. Eğer log satırınız IP adresini farklı bir formatta gösteriyorsa (örneğin, köşeli parantez içinde veya port numarasıyla birlikte), <HOST> etiketinin bu biçimi doğru tanıması için regex ifadesi uygun şekilde uyarlanmalıdır.
Her log için <HOST> kullanılabilir mi?
<HOST> etiketi, IPv4 veya IPv6 adreslerini tespit eden özel bir tanımlayıcıdır ve genellikle IP adresi doğrudan log içinde yer alıyorsa sorunsuz çalışır. Ancak bazı servisler loglarda IP yerine hostname, kullanıcı adı veya karmaşık bağlantı bilgileri gösterebilir. Bu tür durumlarda <HOST> etiketi çalışmayabilir ve yerine açık regex grupları ((?P<host>...)) kullanılarak manuel eşleme yapılması gerekebilir.
Log biçimi sık sık değişirse ne yapılmalı?
Log biçiminin değişken olması, sabit regex ifadelerinin bozulmasına neden olabilir. Bu gibi durumlarda yapılması gerekenler:
datepatterngibi esnek tarih eşleştirme tanımları kullanmak- Birden fazla
failregexsatırı tanımlayarak farklı log biçimlerine uyum sağlamak - Regex ifadelerinde daha genel karakter eşleştirmelerine yer vermek (örneğin
.*?,\S+,\d{1,4}gibi) - Servis güncellemelerinden sonra log formatlarını yeniden gözden geçirmek
Fail2ban çalışıyor ama IP’yi banlamıyor, neden?
Fail2ban kurallarının çalışmaması durumunda öncelikle jail.local dosyasındaki ilgili jail’in aktif olup olmadığı (enabled = true) kontrol edilmelidir. Ardından logpath değerinin doğru log dosyasına işaret edip etmediği ve bu dosyaya erişim izni olup olmadığı incelenmelidir. Yazılan failregex ifadesinin log satırlarıyla eşleşip eşleşmediği fail2ban-regex aracıyla test edilmelidir. Ayrıca findtime, maxretry ve bantime gibi parametrelerin çok yüksek değerlerde ayarlanıp ayarlanmadığına dikkat edilmelidir.