Fail2Ban Nedir?

Fail2ban/var/log/pwdfail ya da /var/log/apache/error_logdosyalarını tarayarak belli bir sayıda (bunu kendimiz belirleyebiliriz) hatalı giriş yapmış kişinin ip numarasını belirleyerek, belli bir süreliğine ip numarasını engelleyen linux tabanlı bir programdır. Fail2banhakkında bilgi verdik şimdi de nasıl kurulur ve nasıl kullanılır ona bakalım.

Fail2Ban Nedir?

1.İlk olarak apt-get ile kuralım.  

sudo apt-get install fail2ban

2. Varsayılan fail2ban yapılandırma dosyası /etc/fail2ban/jail.conf alanıdır. Yapılandırma çalışmaları, ancak bu dosyada yapılmamalıdır, ve biz bunun yerine yerel bir kopyasını yapıp onun üzerinden değişiklik yapacağız.  

sudo cp / etc/fail2ban/jail.conf / etc/fail2ban/jail.local

  Ayarlar

Eğer jail.local dosyasına bakarsanız bir çok opsiyon görürsünüz. Bu opsiyonları birer birer ele alalim:

[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

 

enabled

Bölümün aktif edilip edilmediğini tanımlar.

Filter

Hapis (jail) tarafından eşleşmeleri bulmak için kullanılan filtrenin (filter) ismi.

Bu ‘/etc/fail2ban/filter.d’ klasöründe var olan dosya ismine denk gelir. ( .conf uzantisiz)

Örnegin ‘filter=sshd’ /etc/fail2ban/filter.d/sshd.conf’ dosyasına karşılık gelir.

logpath

Filtremizin hangi log dosyasına bakacağını tanımlar.

ignoreip

Bu opsiyon ayarlandığında ne kadar başarısız login girişimi olursa olsun bunlar yok sayılıp IP’ye ceza kesilmiyecek yani bloklanmayacaktır.

maxretry

IP’ye ceza kesimi için ne kadar hatalı giriş yapma hakkı olduğunu belirler. Eğer bu sayıyı 5’e ayarlarsanız altıncı başarısız login girişiminde bulunan IP’ler cezalandırılacak yani bloklanacaktır.

bantime

IP’nin kaç saniye bloke kalacağını belirler.

destmail

Bu opsiyon her hangi bir bloklanma olayında kime e-posta gönderileceğini belirler.

banaction

Bu değişken ile IP hakkında ne türlü bir ceza kesimi olacağına karar verilir.

Bu opsiyon,  ‘/etc/fail2ban/action.d’ klasöründe yer alan dosyanın ‘.conf’ uzantısız halini tanımlar. Örnegin, ‘action = iptables-allports’, ‘/etc/fail2ban/action.d/iptables-allports.conf’ dosyasına karşılık gelir.

3. Değişiklik yaptıktan sonra fail2ban yeniden başlatmamız gerekiyor.

Bu işlemleri yaptıktan sonra deneyebilirsiniz.

Örnek ssh kontrolü

fail2ban-client status sshd

 

systemctl restart fail2ban

 

Kaynaklar

 

Yorumunuzu Ekleyin

Yükleniyor...