Güvenlik & Siber GüvenlikLinux Sistemleri

        Linux Sunucularda Fail2ban Kurulumu

        Spesifik

        Linux sunucularda brute-force saldırılarına karşı en çok kullanılan araçlardan biri Fail2ban’dır. SSH, FTP veya mail servislerinde art arda başarısız giriş denemelerini loglardan tespit eder ve saldırgan IP adreslerini otomatik olarak bloke eder. Böylece yalnızca anlık saldırılar durdurulmaz, aynı zamanda sistem yöneticileri olası kesintilere karşı da hazırlıklı olur.

        Fail2ban’ın tuttuğu log kayıtları ve uyguladığı otomatik engelleme mekanizması, felaket kurtarma planlarının daha etkin biçimde devreye alınmasına yardımcı olur. Bu sayede yöneticiler saldırı yoğunluklarını önceden görerek kritik servislerdeki riskleri azaltabilir ve DR senaryolarında güvenlik adımlarını otomatik hale getirebilir.

        Fail2ban Nedir

        Log kayıtlarını analiz eden Fail2ban, yinelenen başarısız girişleri tespit ettiğinde, belirlenen limitin üzerinde kalan IP adreslerini otomatik engeller. Bu işlem genellikle iptables veya nftables altyapısı üzerinden gerçekleştirilir ve brute-force saldırıları başlamadan kesilir.

        Fail2ban Nasıl Çalışır?

        Fail2ban başlatıldığında:

        1. İlk olarak fail2ban.conf dosyası okunur, pid ve log ayarları yapılır.
        2. Ardından jail.conf ve varsa jail.d/*.conf dosyaları yüklenir.
        3. Sonra jail.local dosyası okunur ve buradaki ayarlar öncelik kazanır.
        4. Eğer jail.d/*.local dosyaları varsa, en son onlar uygulanır.
        5. Etkinleştirilen bölümler (enabled = true) devreye girer ve ilgili filtre + aksiyon setiyle brute-force engelleme süreci başlar.

        Fail2ban bu basit ama etkili yöntem sayesinde brute-force saldırılarını daha başlamadan durdurur.

        Fail2ban Kurulumu

        Çoğu Linux dağıtımının resmi depolarında yer alır.

        Ubuntu/Debian:

        sudo apt update
sudo apt install fail2ban -y

        CentOS/RHEL:

        sudo yum install epel-release -y
sudo yum install fail2ban -y

        Kurulum sonrası servisi aktif hale getirelim.

        sudo systemctl start fail2ban
sudo systemctl enable fail2ban

        Fail2ban Yapılandırması

        jail.local dosyasının ilk kısmında [DEFAULT] bölümü bulunur. Buradaki ayarlar, tüm servisler için genel politikaları tanımlar. Hizmet bazlı bölümlerde bu değerler değiştirilebilir.

        Fail2ban Varsayılan Parametreleri

        🔑 Parametre📌 Görevi Açıklama
        ignoreipHariç IPBanlanmayacak IP’leri belirtir (örn. kendi IP’niz).
        bantimeBan süresiIP’nin engelli kalacağı süre (varsayılan 10 dk).
        findtimeZaman penceresiBaşarısız girişlerin sayıldığı süre.
        maxretryDeneme limitiİzin verilen maksimum hatalı giriş sayısı.
        backendLog izlemeLogların nasıl izleneceğini belirtir (auto, systemd vb.).
        usednsDNS çözümlemeIP yerine hostname kullanılıp kullanılmayacağını belirler.
        banactionEngelleme yöntemiIP’yi yasaklamak için uygulanacak yöntem (örn. iptables).
        destemail / sendernameMail bildirimiBan uyarılarının gideceği adres ve gönderen adı

        Fail2ban Loglarının İzlenmesi

        Fail2ban, yaptığı tüm engellemeleri /var/log/fail2ban.log dosyasında saklar.
        Loglarda hangi IP’lerin engellendiği, hangi servislerin hedef alındığı görülebilir.

        2025-09-09 10:15:32 fail2ban.actions        
[1234]: NOTICE  [sshd] Ban 192.168.1.55

        Bu loglar yalnızca manuel inceleme için değil, aynı zamanda merkezi monitoring sistemlerine aktarım için de kullanılabilir.

        Fail2ban Hizmet Ayarlarını Keşfetme

        Linux’ta Fail2ban, yapılandırma dosyalarıyla yönetilir ve bu dosyalar hiyerarşik şekilde /etc/fail2ban/ dizini altında bulunur. Temel ayarların yer aldığı dosya fail2ban.conf olup, daemon’un hangi soket ve pid dosyalarını kullanacağını, loglama yöntemini ve genel operasyonel parametreleri tanımlar. Ancak asıl güvenlik politikaları, uygulama bazlı “jail” bölümleri içinde belirlenir.

        jail.conf ve jail.local Farkı

        Fail2ban, varsayılan olarak jail.conf dosyasıyla gelir. Ancak bu dosya sistem güncellemelerinde üzerine yazılabileceği için, yapılandırmalarınızı doğrudan burada yapmanız tavsiye edilmez. Bunun yerine jail.conf dosyasını kopyalayarak jail.local oluşturmalı ve özelleştirmeleri burada yapmalısınız.

        sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

        Filtre Dosyaları

        Her servis, kendi loglarını analiz etmek için filter dosyaları kullanır. Bu dosyalar /etc/fail2ban/filter.d/ altında yer alır. Örneğin SSH servisi için kullanılan filtre dosyası sshd.conf dosyasıdır.

        Buradaki failregex satırları, loglarda hangi kalıpların brute-force denemesi sayılacağını belirler.

        Failed password for .* from <HOST>
ROOT LOGIN REFUSED.* FROM <HOST>
Invalid user .* from <HOST>

        SNMP ve Monitoring Entegrasyonu

        Fail2ban tek başına saldırıları durdurur, ancak saldırı yoğunluğunu ve kaynağını merkezi olarak görmek için SNMP tabanlı izleme sistemleriyle entegre edilebilir. Özellikle VMware ESXi Üzerinde SNMP Yapılandırması ile Fail2ban logları birlikte kullanıldığında, sanallaştırma katmanındaki güvenlik olayları da merkezi olarak takip edilebilir.

        Saldırı Trendlerinin Analiz

        Sistem yöneticileri, brute-force saldırılarının hangi IP aralıklarından veya bölgelerden geldiğini ve zaman içindeki eğilimini dashboard üzerinden kolayca analiz edebilir. Böylece yalnızca güvenlik sağlamakla kalmaz, aynı zamanda saldırı trendlerini gözlemleme şansı da elde ederler.

        Detaylı bilgi için daha önce hazırladığımız SNMP Konfigürasyonu ile VMware ESXi Performans yazısına göz atabilirsiniz.

        Plesk Panel Üzerinde Fail2Ban

        Plesk Panel üzerinde de Fail2Ban dahili bir güvenlik modülü olarak sunulmaktadır. Bu entegrasyon sayesinde SSH, FTP, mail servisleri veya Plesk login ekranına yönelik saldırılar doğrudan panel arayüzünden yönetilebilir. Böylece komut satırı bilmeyen yöneticiler bile brute-force saldırılarını kolayca kontrol altına alabilir.

        Sık Sorulan Sorular

        Fail2ban nedir ve hangi sistemlerde çalışır?

        Fail2ban, log dosyalarını izleyerek başarısız giriş denemelerini tespit eden ve saldırgan IP’leri otomatik olarak engelleyen bir güvenlik aracıdır. Çoğunlukla Linux tabanlı sistemlerde kullanılır.

        Fail2ban hangi servisleri korur?

        En yaygın olarak SSH, FTP, mail servisleri ve web uygulamaları üzerindeki brute-force girişimlerini engeller. İstenirse özel filtrelerle diğer servisler için de yapılandırılabilir.

        Ban süresi nasıl değiştirilir?

        Ban süresi jail.local dosyasındaki bantime parametresi ile ayarlanır. Varsayılan değer 10 dakikadır, ancak ihtiyaçlara göre artırılabilir veya azaltılabilir.

        Fail2ban loglarını nasıl görüntüleyebilirim?

        Fail2ban tarafından yapılan tüm engellemeler /var/log/fail2ban.log dosyasında tutulur. Buradan hangi IP’lerin ne zaman engellendiğini görebilirsiniz.

        Fail2ban Plesk Panel üzerinde kullanılabilir mi?

        Plesk Panel, Fail2ban’ı dahili bir güvenlik modülü olarak sunar. SSH, FTP, mail veya Plesk giriş ekranına yönelik brute-force saldırıları doğrudan panel arayüzünden yönetebilirsiniz.

        Fail2ban SNMP ile entegre edilebilir mi?
        Doğrudan SNMP desteği yoktur, ancak loglar monitoring sistemlerine aktarılabilir. Böylece Zabbix, Grafana veya Nagios üzerinden saldırı trendlerini izlemek mümkündür.

        Hi, I’m Spesifik

        Related Posts

        Bir yanıt yazın

        E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir