Fail2Ban ile Sunucu Güvenliği

Fail2Ban; sunucudaki log vb. dosyaları takip ederek oluşan illegal durumları tespit etmeye çalışarak (hatalı login vb) bu durumlara karşı önlem almak üzere geliştirilmiş bir yazılımdır. Özellikle brute-force gibi ataklara karşı saldırganın ip adresini bloke ederek bir sunucuyu saldırıya karşı koruma sağlamaya çalışır. Tespit durumlarında eposta desteği ile durum hakkında bilgilendirmeler yapabilmektedir.

Linux işletim sistemlerindeki güvenlik duvarlarına (iptables, firewall-cmd ve ufw gibi) entegre olan bu yazılım, çeşitli kurallar yazarak ip adreslerini belirlenen süreler için bloke eder.

Ubuntu için kurulum:

sudo apt-get install fail2ban

CentOS için:

yum install fail2ban-firewalld

firewalld için (CentOS 7 gibi)

Ayar dosyaları,

/etc/fail2ban

klasöründe yer alıyor. Yazılım kurulduktan sonra hangi uygulamalar takip edilmek isteniyorsa o ayarların yapılması gerekiyor.

Klasörde yer alan tüm .conf uzantılı dosyalar .local uzantılı dosyalarla override yani iptal edilebiliyor. Konuyla ilgili benzer birçok yazıda da özellikle bazı ayar dosyalarının bir local uzantılı kopyasını alıp üzerinde çalışılmasını öneriyorlar.

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

jail.local dosyası içeriğinde, servislerin durumları ile ilgili bilgiler yer almaktadır. “enable = true” ile istenilen servis aktif edilebilir yani izlenebilir. [DEFAULT ] içerisinde “enable = true” yazılırsa uygulamada tanımlı tüm uygulamalar izlenmeye başlayacaktır. Bu durumda istenmeyenler “enable = false” ile iptal edilebilir.

Servisi yeniden başlatmak için CentOS ve Ubuntu’da

systemctl restart fail2ban

kullanılabilir. İzlenen servisleri görebilmek için aşağıdaki kod çalıştırılabilir.

fail2ban-client status

Uygulamaya ait log kayıtları ise:

/var/log/fail2ban.log

dosyasında depolanmaktadır.

Detaylı bilgi:
https://www.fail2ban.org/wiki/index.php/Main_Page

Share