Fail2Ban Kullanımı: Sunucunuza Gelen Atakları Otomatik Bloklayın
Yeni bir sunucu ayağa kaldırdığınızda, ortalama 15 dakika içinde Çin veya Rusya kaynaklı IP adreslerinden SSH giriş denemeleri başlar. Bunlar özel şahıslar değil, interneti arayan otomatik botlardır. Bu tür kaba kuvvet (Brute Force) saldırılarından Fail2Ban yardımıyla otomatik olarak kurtulabilirsiniz.
Fail2Ban Nedir?
Basitçe sisteminizdeki log dosyalarını anlık okuyan bir servistir. Üst üste belirli sayıda şifre hatası yapan IP adreslerini tespit eder ve işletim sisteminin güvenlik duvarını kullanarak geçici süreliğine (veya kalıcı olarak) yasaklar.
Kurulum Aşaması
Kurulum Ubuntu repolarında varsayılan olarak harika bir şekilde bulunmaktadır:
apt update
apt install fail2ban -y
Kurulum tamamlandıktan sonra asıl ayarlara dokunmadan kendi filtre ayar dosyamızı oluşturuyoruz. Standart olan 'jail.conf' dosyasını asla direk ellemeyiz, kopyasını oluştururuz:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Ayarlara Göz Atalım
Favori editörünüzle 'jail.local' dosyasını açıp SSH bölümüne göz attığınızda temel değerler göreceksiniz:
- bantime: Yakalanan IP’nin ne kadar kilitli kalacağı. (Örnek: 1h, 1d)
- findtime: Ne kadarlık bir zaman dilimi içinde hataların sayılacağı.
- maxretry: İzin verilen en fazla hata hakkı. Genelde 3 idealdir.
Ayarları kendinize göre şekillendirdikten sonra sadece servisi aktifleştirin ve arkanıza yaslanın:
systemctl start fail2ban
systemctl enable fail2ban
İlerleyen günlerde terminalde 'fail2ban-client status sshd' komutunu girdiğinizde, ne kadar fazla IP'nin kapıda kaldığını görecek ve kurduğunuza kesinlikle şükredeceksiniz.