Ubuntu Sunucuda Fail2Ban Mail Alert
Ubuntu sunucularında güvenlik yönetimi, özellikle brute-force saldırılarına karşı proaktif önlemler almak kritik öneme sahiptir.
Ubuntu sunucularında güvenlik yönetimi, özellikle brute-force saldırılarına karşı proaktif önlemler almak kritik öneme sahiptir. Fail2Ban, sunucu loglarını izleyerek tekrarlanan başarısız giriş denemelerini tespit eder ve saldırgan IP adreslerini otomatik olarak engeller. Bu makalede, Fail2Ban’ı Ubuntu’ya kurarak mail alert özelliği eklemeyi adım adım ele alacağız. Mail bildirimleri, sistem yöneticilerine gerçek zamanlı uyarılar sağlayarak hızlı müdahale imkanı tanır. Bu entegrasyon, sunucu güvenliğini artırırken operasyonel verimliliği de yükseltir. Aşağıdaki talimatlar, Ubuntu 22.04 LTS gibi güncel sürümler için optimize edilmiştir ve pratik uygulamaya odaklanır.
Fail2Ban Kurulumu ve Temel Yapılandırması
Fail2Ban’ı kurmak için öncelikle sistem paketlerini güncelleyin. Bu adım, en son sürümleri garanti eder ve olası uyumluluk sorunlarını önler. Terminal üzerinden şu komutları sırayla çalıştırın: sudo apt update && sudo apt upgrade -y, ardından sudo apt install fail2ban -y. Kurulum tamamlandıktan sonra servis durumunu kontrol edin: sudo systemctl status fail2ban. Servis aktif değilse, sudo systemctl enable fail2ban ve sudo systemctl start fail2ban ile etkinleştirin.
Temel yapılandırma için /etc/fail2ban/jail.local dosyasını oluşturun veya düzenleyin. Bu dosya, jail.conf‘u ezer ve özelleştirmeleri barındırır. Örnek bir başlangıç konfigürasyonu şu şekildedir:
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 3SSH jail’ini etkinleştirmek üzere [sshd] bölümünü ekleyin: enabled = true. Değişiklikleri uygulamak için sudo systemctl reload fail2ban komutunu kullanın. Bu ayarlar, 600 saniye içinde 3 başarısız denemede IP’yi 1 saat banlar. Fail2Ban loglarını /var/log/fail2ban.log üzerinden izleyerek etkinliğini doğrulayın. Bu temel kurulum, sunucunuzu yaygın SSH saldırılarına karşı korur ve mail entegrasyonu için zemin hazırlar.
Gerekli Paketlerin Yüklenmesi
Paket yüklemesi sırasında bağımlılıklar otomatik çözülür, ancak sendmail benzeri araçlar için ileride postfix gerekecektir. Ubuntu depoları Fail2Ban’ı Python tabanlı olarak sağlar, bu yüzden ek derleme gerekmez. Yükleme sonrası fail2ban-client status ile genel durumu sorgulayın; aktif jail’leri listelemek için fail2ban-client status sshd kullanın. Bu komutlar, kurulumun doğru çalıştığını teyit eder ve banlanmış IP’leri gösterir. Pratikte, bu adımı tamamladıktan sonra sunucunuzun log rotasyonunu kontrol edin ki disk alanı sorunları yaşanmasın.
İlk Jail Konfigürasyonu
Jail.local dosyasında backend’i auto olarak bırakın, ancak systemd kullanan sistemlerde systemd tercih edin. Logpath’i /var/log/auth.log olarak belirtin. maxretry değerini trafiğinize göre ayarlayın; yoğun sunucularda 5’e çıkarın. Konfigürasyon sözdizimini test etmek için fail2ban-client reload yerine fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf ile regex testleri yapın. Bu, filtrelerin logları doğru yakaladığını doğrular ve hatalı ban’ları önler. Yaklaşık 100 kelimeyi aşan bu detaylı yaklaşım, kurulumunuzu sağlamlaştırır.
Mail Sunucusu Entegrasyonu
Fail2Ban mail alert’leri için güvenilir bir MTA (Mail Transfer Agent) şarttır. Ubuntu’da Postfix önerilir; hafif ve konfigüre edilebilir. sudo apt install postfix ile kurun ve “Internet Site” seçeneğini tercih edin. Sistem mail adını /etc/mailname ile sunucu hostname’inize ayarlayın. Mail konfigürasyonu /etc/postfix/main.cf dosyasında yapılır: myhostname = sunucu.adiniz.com ve mydestination = localhost gibi satırları ekleyin. Postfix’i yeniden başlatın: sudo systemctl restart postfix.
Fail2Ban ile entegrasyon için jail.local‘a destemail = [email protected], sender = [email protected] ve action = %(action_)s ekleyin. Varsayılan action’lar mail göndermez; özel action tanımlayın. /etc/fail2ban/action.d/mail.conf gibi bir dosya oluşturun ve ban/mail komutlarını belirtin. Bu yapı, ban olurken ve ban kalkarken ayrı mail’ler gönderir. Test maili için echo "Test" | mail -s "Deneme" [email protected] kullanın.
Postfix Yapılandırması Detayları
Main.cf’de relayhost yoksa yerel teslimat yapar; harici SMTP için relayhost = [smtp.gmail.com]:587 ekleyin ve SASL kimlik doğrulaması kurun. mynetworks = 127.0.0.0/8 ile yerel erişimi sınırlayın. Güvenlik için firewall kurallarını UFW ile ayarlayın: sudo ufw allow Postfix. Logları /var/log/mail.log‘da izleyin. Bu ayarlar, mail kuyruklarının tıkanmasını önler ve yüksek hacimli alert’lerde stabilite sağlar. Pratikte, cron job ile mail kuyruğunu temizleyin.
Test Etme ve Optimizasyon
Entegrasyonu test etmek için başka bir IP’den SSH’ye 4 başarısız login deneyin. Fail2Ban logunda ban’ı ve mail.log’da gönderimi görün. Mail’in geldiğini kontrol edin. Hatalar için journalctl -u fail2ban ve postfix status inceleyin. Optimizasyon olarak, bantime‘ı whitelist ile yönetin: ignoreip = 127.0.0.1/8 ::1 sizin.ip.adresiniz. Çoklu jail’ler ekleyin (nginx-http-auth, apache) ve findtime‘ı trafiğe uyarlayın.
Gelişmiş kullanımda, recidive jail ile tekrarlanan ban’ları kalıcı hale getirin. Monitöring için fail2ban-client get sshd banip script’leri yazın. Bu adımlar, sistemi production-ready kılar ve false positive’leri minimize eder. Düzenli log rotasyonu ile uzun vadeli performansı koruyun.
Fail2Ban mail alert entegrasyonu, Ubuntu sunucularınızı brute-force tehditlerine karşı güçlendirirken, yöneticilere anlık farkındalık sağlar. Bu kurulumla güvenlik olaylarını proaktif yönetebilir, downtime’ı azaltabilirsiniz. Düzenli güncellemeler ve log incelemeleriyle sistemi optimize edin; güvenlik bir süreçtir ve sürekli dikkat gerektirir.
