Sunucu güvenliği yalnızca karmaşık şifrelerle değil, aynı zamanda aktif tehdit tespiti ve anında müdahaleyle mümkün olur. Fail2Ban bu alanda görev yapan, açık kaynak kodlu ve etkili bir log analiz ve IP yasaklama yazılımıdır. SSH, FTP, Apache ve Exim gibi hizmetlerin log dosyalarını düzenli olarak kontrol ederek şüpheli etkinlikleri saptar. Eğer belirli bir IP adresi üzerinden çok sayıda başarısız giriş veya brute force denemesi yapılırsa, Fail2Ban bu adresi iptables benzeri sistemlerle otomatik olarak engeller.
Fail2ban ve fail2ban-regex Nasıl Çalışıyor?
Fail2Ban’in yapılandırma dosyalarında kaç deneme sonrasında ban uygulanacağı, bu banın ne kadar süreceği ve hangi log dosyalarının izleneceği gibi ayarlar rahatlıkla yapılandırılabilir. Ayrıca, özellikle Brute Force saldırılarının tespiti durumunda, olayların Plesk SMTP aracılığıyla sistem yöneticilerine e-posta ile bildirilmesi de mümkündür. Bu şekilde, logların manuel olarak kontrol edilmesine gerek kalmadan saldırılar otomatik şekilde engellenmiş olur.
Ancak unutulmamalıdır ki, Fail2Ban tek başına zayıf doğrulama sistemlerinden kaynaklanan tüm riskleri ortadan kaldırmaz. Bu yüzden ek güvenlik önlemleriyle, örneğin çok faktörlü kimlik doğrulama ve güçlü parola politikalarıyla birlikte uygulanması gerekir.
fail2ban-regex Komutu Nasıl Kullanılır?
Aşağıdaki gibi çalıştıralım;
fail2ban-regex /var/log/log_dosyası.log "regex ifadesi"Test için ise aşağıdaki komutu yazalım;
fail2ban-regex "log satırı" "regex ifadesi"Regex Tabanlı Yasaklama Örnekleri
Web sunucularında yaygın tehditlerden biri, botların bilinmeyen URL’leri tarayarak açık bulmaya çalışmasıdır. Bu süreçte sistemde çok sayıda “404 Not Found” hatası oluşur. Apache logları üzerinden bu tür taramalar kolayca görülebilir.
192.168.0.10 - - [04/Jul/2025:12:45:13 +0300] "GET /admin HTTP/1.1" 404 1234*Bu log satırı, bir istemcinin sunucuda bulunmayan /admin yolunu sorguladığını ve 404 hatası aldığını göstermektedir.
<HOST> - - \[.*\] "GET .*" 404<HOST>etiketi ile IP adresini yakalar,GET .*ile istenen URI’yi tanımlar,404ile sadece başarısız istekleri filtreler.
fail2ban-regex '192.168.0.10 - - [04/Jul/2025:12:45:13 +0300] "GET /admin HTTP/1.1" 404 1234' ' - - [.] "GET ." 404'*Eğer komut sonucunda 1 matches çıktısı alıyorsanız, bu ifade Apache erişim loglarını izlemek için uygundur. Fail2Ban filtre dosyanıza bu ifadeyi ekleyerek bot taramalarına karşı otomatik engelleme sağlayabilirsiniz.
Exim Mail Sunucusu Giriş Hataları
SMTP sunucusu olan Exim, başarısız giriş denemelerini sistem loglarında tutar. Fail2Ban bu kayıtları inceleyerek, saldırgan IP adreslerini otomatik olarak bloke edebilir.
2025-07-04 13:12:45 authentication failed for [email protected] from [203.0.113.55]: 535 Incorrect authentication dataRebex;
Bu regex ifadesi, [] içinde yer alan IP adresini <HOST> etiketiyle yakalayacak şekilde yapılandırılmıştır.
authentication failed for .* from []: 535Test için aşağıdaki komutu uygulayalım;
fail2ban-regex '2025-07-04 13:12:45 authentication failed for [email protected] from [203.0.113.55]: 535 Incorrect authentication data' 'authentication failed for .* from \[<HOST>\]: 535'vsftpd FTP Giriş Hataları
Brute-force saldırılarını engellemek adına, FTP sunucusunda başarısız oturum girişimlerine odaklanan filtreler yapılandırılabilir. vsftpd.log dosyasında bu denemeler genellikle aşağıdaki gibi yer alır.
Fri Jul 4 13:20:14 2025 [pid 1234] [ftpuser] FAIL LOGIN: Client "198.51.100.77"Bu log satırında, “FAIL LOGIN” ifadesiyle başarısız bir giriş olduğu ve "Client" etiketinden sonra IP adresinin geldiği net olarak görülmektedir.
FAIL LOGIN: Client "<HOST>"*Bu ifade, "<HOST>" kalıbı sayesinde IP adresini otomatik olarak algılar.
Regex Yazılırken Dikkat Edilmesi Gerekenler
Fail2ban-regex kullanırken oluşturduğunuz regex ifadelerini mutlaka önceden test etmeyi ihmal etmeyin.
Genel kalıplarla başlayıp, daha sonra özel ifadelerle filtrelemeyi daraltmak daha güvenli sonuçlar verir.
IP adresleri yerine her zaman <HOST> etiketini kullanmanız önerilir.
Sadece eşleşen örnekler değil, eşleşmeyen örneklerle de test yaparak yanlış IP’lerin engellenmesinin önüne geçebilirsiniz.
Özel Bir Fail2ban Filtresi Oluşturmak
Regex’inizi test ettikten sonra aşağıdaki şekilde özel bir filtre dosyası oluşturun:
[Definition]
failregex = BURAYA TEST ETTİĞİNİZ REGEX
ignoreregex =Ardından jail.local içine şu şekilde ekleyin:
[benimservis]
enabled = true
port = ilgili-port
filter = benimfiltre
logpath = /var/log/ilgili_log_dosyası.log
maxretry = 3
bantime = 600Fail2ban’ı yeniden başlatmayı unutmayın:
sudo systemctl restart fail2banSıkça Sorulan Sorular (SSS)
fail2ban-regex neden IP algılamıyor?
fail2ban-regex, IP adresini algılaması için doğru bir şekilde yazılmış bir failregex ifadesi içinde <HOST> etiketine ihtiyaç duyar. Eğer log satırınız IP adresini farklı bir formatta gösteriyorsa (örneğin, köşeli parantez içinde veya port numarasıyla birlikte), <HOST> etiketinin bu biçimi doğru tanıması için regex ifadesi uygun şekilde uyarlanmalıdır.
Her log için <HOST> kullanılabilir mi?
<HOST> etiketi, IPv4 veya IPv6 adreslerini tespit eden özel bir tanımlayıcıdır ve genellikle IP adresi doğrudan log içinde yer alıyorsa sorunsuz çalışır. Ancak bazı servisler loglarda IP yerine hostname, kullanıcı adı veya karmaşık bağlantı bilgileri gösterebilir. Bu tür durumlarda <HOST> etiketi çalışmayabilir ve yerine açık regex grupları ((?P<host>...)) kullanılarak manuel eşleme yapılması gerekebilir.
Log biçimi sık sık değişirse ne yapılmalı?
Log biçiminin değişken olması, sabit regex ifadelerinin bozulmasına neden olabilir. Bu gibi durumlarda yapılması gerekenler:
datepatterngibi esnek tarih eşleştirme tanımları kullanmak- Birden fazla
failregexsatırı tanımlayarak farklı log biçimlerine uyum sağlamak - Regex ifadelerinde daha genel karakter eşleştirmelerine yer vermek (örneğin
.*?,\S+,\d{1,4}gibi) - Servis güncellemelerinden sonra log formatlarını yeniden gözden geçirmek
Fail2ban çalışıyor ama IP’yi banlamıyor, neden?
Fail2ban kurallarının çalışmaması durumunda öncelikle jail.local dosyasındaki ilgili jail’in aktif olup olmadığı (enabled = true) kontrol edilmelidir. Ardından logpath değerinin doğru log dosyasına işaret edip etmediği ve bu dosyaya erişim izni olup olmadığı incelenmelidir. Yazılan failregex ifadesinin log satırlarıyla eşleşip eşleşmediği fail2ban-regex aracıyla test edilmelidir. Ayrıca findtime, maxretry ve bantime gibi parametrelerin çok yüksek değerlerde ayarlanıp ayarlanmadığına dikkat edilmelidir.