Ubuntu Server’da Fail2Ban Custom Jail

Ubuntu Server ortamlarında güvenlik, sistem yöneticilerinin en öncelikli sorumluluklarından biridir. Fail2Ban, brute-force saldırılarına karşı otomatik engelleme mekanizması sağlayan açık kaynaklı bir araçtır. Bu makalede, Fail2Ban’ın custom jail özelliklerini ele alarak, varsayılan konfigürasyonların ötesinde özel servisler için koruma kurallarını nasıl tanımlayacağınızı adım adım inceleyeceğiz. Custom jail’ler, belirli log dosyalarını izleyerek IP adreslerini dinamik olarak banlamanıza olanak tanır ve sunucunuzun güvenliğini kişiselleştirmenizi sağlar. Bu yaklaşım, özellikle SSH, web sunucuları veya özel uygulamalar için esneklik sunar.

Fail2Ban Kurulumu ve Temel Hazırlık

Ubuntu Server’da Fail2Ban’ı etkinleştirmek için öncelikle paketi yüklemeniz gerekir. Terminal üzerinden şu komutları çalıştırın: sudo apt update ve sudo apt install fail2ban. Kurulum tamamlandıktan sonra servis otomatik olarak başlar. Durumunu kontrol etmek için sudo systemctl status fail2ban komutunu kullanın. Temel konfigürasyon dosyası /etc/fail2ban/jail.local olarak oluşturulmalıdır; bu dosya, jail.conf‘u ezer ve varsayılan ayarları özelleştirir.

Burada, ban süresini (örneğin 10 dakika), maksimum retry sayısını (5) ve e-posta bildirimlerini ayarlayabilirsiniz. Örneğin, bantime = 600 ve maxretry = 5 satırlarını ekleyin. Backend olarak systemd journal’ı tercih edin ki modern Ubuntu sürümlerinde log takibi sorunsuz olsun. Bu hazırlık aşaması, custom jail’lerin sorunsuz çalışması için zorunludur ve toplamda 50-100 satırlık bir konfigürasyonla temel güvenlik katmanını oluşturur.

Custom Jail Oluşturma Adımları

Filter Dosyası Tanımlama

Custom jail’in kalbi, filter dosyasıdır. /etc/fail2ban/filter.d/ dizinine yeni bir dosya oluşturun, örneğin ornekapp.conf. Bu dosyada, log regex desenlerini tanımlayın. Fail2Ban, Python regex motoru kullanır; örneğin, başarısız giriş denemesi için failregex = ^%(__prefix_line)sÖRNEK \[error\] Invalid login from <HOST> gibi bir satır ekleyin. <HOST> IP adresini yakalar. Log dosyasının yolunu belirtin: logpath = /var/log/ornekapp.log. Regex’i test etmek için fail2ban-regex /var/log/ornekapp.log /etc/fail2ban/filter.d/ornekapp.conf komutunu çalıştırın; bu, eşleşen satır sayısını gösterir ve doğruluğu sağlar. Bu adım, false positive’leri önleyerek hassasiyeti artırır ve en az 70 kelimelik detaylı bir regex mühendisliği gerektirir.

Jail Dosyası Entegrasyonu

/etc/fail2ban/jail.d/ altına ornekapp.local dosyası oluşturun. İçeriğe [ornekapp] bölümünü ekleyin: enabled = true, port = http,https, filter = ornekapp, logpath = /var/log/ornekapp.log ve maxretry = 3. Action olarak varsayılan iptables’ı kullanın veya custom script tanımlayın. Değişiklikleri uygulamak için sudo systemctl reload fail2ban komutunu girin. Jail durumunu fail2ban-client status ornekapp ile izleyin; aktif ban’ları ve hit sayısını gösterir. Bu entegrasyon, jail’in ana sunucu döngüsüne bağlanmasını sağlar.

Action ve Ban Yönetimi

Action’lar, banlama işlemini özelleştirir. /etc/fail2ban/action.d/ altında custom action dosyası oluşturun, örneğin iptables-multiport ile birden fazla portu engelleyin. Script’te iptables -I f2b-%(name)s 1 -s <ip> -j REJECT gibi komutlar yer alsın. Unban için timeout mekanizmasını etkinleştirin. Gelişmiş kullanımda, Slack veya e-posta entegrasyonu ekleyin. Ban’ları manuel yönetmek için fail2ban-client set ornekapp banip 192.168.1.100 veya unbanip kullanın. Bu katman, güvenlik politikalarınızı güçlendirir ve olay yanıtı hızını artırır.

Pratik Örnekler ve Bakım İpuçları

SSH için Custom Jail

SSH loglarını (/var/log/auth.log) izlemek için ssh-custom.conf filter oluşturun. Regex: failregex = %(__pam_via_ssh)sFailed password for .* from <HOST>. Jail dosyasında [ssh-custom] ile etkinleştirin, port = ssh belirtin. Bu, varsayılan sshd jail’ini tamamlar ve coğrafi kısıtlamalar eklemenize izin verir. Test için simüle edilmiş log girişleri üretin ve fail2ban-client reload ssh-custom ile yenileyin. Gerçek dünyada, bu konfigürasyon saatler içinde brute-force girişimlerini %90 oranında azaltır.

Web Uygulaması Örneği

Apache veya Nginx için /var/log/apache2/error.log izleyin. Filter’da failregex = ^%(__apache_error_client)s \[client <HOST>\] client denied by server configuration kullanın. Jail’de findtime = 600 ile 10 dakikalık pencere tanımlayın. Bu, SQL injection veya directory traversal girişimlerini yakalar. Bakım için haftalık fail2ban-client status taraması yapın ve whitelist’e güvenilir IP’leri ekleyin (ignoreip = 127.0.0.1/8).

Fail2Ban custom jail’leri uygulayarak Ubuntu Server’ınızı proaktif bir şekilde koruyabilirsiniz. Düzenli log inceleme, regex optimizasyonu ve servis yeniden başlatmalarla sistemi güncel tutun. Bu yöntemler, kurumsal ortamlarda sıfır kesintiyle yüksek güvenlik sağlar ve zamanla saldırı paternlerini öğrenerek adaptasyon sunar. Uygulamaya hemen başlayın ve sunucunuzun dayanıklılığını test edin.