Brute-force saldırılarına karşı Linux sunucularda öne çıkan en pratik güvenlik çözümlerinden biri Fail2ban’dır. SSH, FTP ve e-posta servislerinde yinelenen başarısız giriş denemelerini log dosyalarından algılar ve saldırgan IP adreslerini otomatik biçimde engeller. Bu yöntem yalnızca saldırıları o an durdurmakla kalmaz, yöneticilerin sistem kesintilerine karşı hazırlıklı olmasını da sağlar.
Fail2ban’ın ürettiği loglar ile otomatik bloklama süreci, felaket kurtarma planlarının uygulanabilirliğini artırır. Böylece yöneticiler saldırı trafiğini analiz ederek kritik servislerdeki baskıyı önceden fark eder ve DR senaryolarında güvenlik önlemlerini otomatikleştirebilir.
Fail2ban Nasıl Çalışır?
Fail2ban, log dosyaları üzerinde başarısız oturum açma denemelerini denetler ve belirli bir eşiği geçen IP adreslerini engeller. Çoğunlukla iptables ya da nftables kullanılarak uygulanan bu engelleme, brute-force saldırılarının daha ilk aşamada etkisiz hale getirilmesini sağlar.
Fail2ban İşleyiş Adımları
Fail2ban servisi açıldığında önce fail2ban.conf okunarak pid ve log ayarları tanımlanır. Daha sonra jail.conf ve varsa jail.d/*.conf dosyaları yüklenir. Sonraki adımda jail.local devreye girer ve buradaki kurallar diğerlerine üstün gelir. Eğer sistemde jail.d/*.local dosyaları bulunuyorsa, en son onlar uygulanır. Son aşamada enabled = true olarak işaretlenmiş bölümler çalıştırılır ve ilgili filtre ile aksiyonlar brute-force saldırılarını durdurur.
Fail2ban bu basit ama etkili yöntem sayesinde brute-force saldırılarını daha başlamadan durdurur.
Fail2ban Kurulumu
Çoğu Linux dağıtımının resmi depolarında yer alır.
Ubuntu/Debian:
sudo apt update
sudo apt install fail2ban -yCentOS/RHEL:
sudo yum install epel-release -y
sudo yum install fail2ban -yKurulum sonrası servisi aktif hale getirelim.
sudo systemctl start fail2ban
sudo systemctl enable fail2banFail2ban Yapılandırması
jail.local dosyasının ilk kısmında [DEFAULT] bölümü bulunur. Buradaki ayarlar, tüm servisler için genel politikaları tanımlar. Hizmet bazlı bölümlerde bu değerler değiştirilebilir.
Fail2ban Varsayılan Parametreleri
| 🔑 Parametre | 📌 Görevi | Açıklama |
|---|---|---|
| ignoreip | Hariç IP | Banlanmayacak IP’leri belirtir (örn. kendi IP’niz). |
| bantime | Ban süresi | IP’nin engelli kalacağı süre (varsayılan 10 dk). |
| findtime | Zaman penceresi | Başarısız girişlerin sayıldığı süre. |
| maxretry | Deneme limiti | İzin verilen maksimum hatalı giriş sayısı. |
| backend | Log izleme | Logların nasıl izleneceğini belirtir (auto, systemd vb.). |
| usedns | DNS çözümleme | IP yerine hostname kullanılıp kullanılmayacağını belirler. |
| banaction | Engelleme yöntemi | IP’yi yasaklamak için uygulanacak yöntem (örn. iptables). |
| destemail / sendername | Mail bildirimi | Ban uyarılarının gideceği adres ve gönderen adı |
Fail2ban Loglarının İzlenmesi
Fail2ban, yaptığı tüm engellemeleri /var/log/fail2ban.log dosyasında saklar.
Loglarda hangi IP’lerin engellendiği, hangi servislerin hedef alındığı görülebilir.
2025-09-09 10:15:32 fail2ban.actions
[1234]: NOTICE [sshd] Ban 192.168.1.55Bu loglar yalnızca manuel inceleme için değil, aynı zamanda merkezi monitoring sistemlerine aktarım için de kullanılabilir.
Fail2ban Hizmet Ayarlarını Keşfetme
Linux’ta Fail2ban, yapılandırma dosyalarıyla yönetilir ve bu dosyalar hiyerarşik şekilde /etc/fail2ban/ dizini altında bulunur. Temel ayarların yer aldığı dosya fail2ban.conf olup, daemon’un hangi soket ve pid dosyalarını kullanacağını, loglama yöntemini ve genel operasyonel parametreleri tanımlar. Ancak asıl güvenlik politikaları, uygulama bazlı “jail” bölümleri içinde belirlenir.
jail.conf ve jail.local Farkı
Fail2ban, varsayılan olarak jail.conf dosyasıyla gelir. Ancak bu dosya sistem güncellemelerinde üzerine yazılabileceği için, yapılandırmalarınızı doğrudan burada yapmanız tavsiye edilmez. Bunun yerine jail.conf dosyasını kopyalayarak jail.local oluşturmalı ve özelleştirmeleri burada yapmalısınız.
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.localFiltre Dosyaları
Her servis, kendi loglarını analiz etmek için filter dosyaları kullanır. Bu dosyalar /etc/fail2ban/filter.d/ altında yer alır. Örneğin SSH servisi için kullanılan filtre dosyası sshd.conf dosyasıdır.
Buradaki failregex satırları, loglarda hangi kalıpların brute-force denemesi sayılacağını belirler.
Failed password for .* from <HOST>
ROOT LOGIN REFUSED.* FROM <HOST>
Invalid user .* from <HOST>SNMP ve Monitoring Entegrasyonu
Fail2ban tek başına saldırıları durdurur, ancak saldırı yoğunluğunu ve kaynağını merkezi olarak görmek için SNMP tabanlı izleme sistemleriyle entegre edilebilir. Özellikle VMware ESXi Üzerinde SNMP Yapılandırması ile Fail2ban logları birlikte kullanıldığında, sanallaştırma katmanındaki güvenlik olayları da merkezi olarak takip edilebilir.
Saldırı Trendlerinin Analiz
Sistem yöneticileri, brute-force saldırılarının hangi IP aralıklarından veya bölgelerden geldiğini ve zaman içindeki eğilimini dashboard üzerinden kolayca analiz edebilir. Böylece yalnızca güvenlik sağlamakla kalmaz, aynı zamanda saldırı trendlerini gözlemleme şansı da elde ederler.
Detaylı bilgi için daha önce hazırladığımız VMware ESXi SNMP Yapılandırması ile İzleme yazısına göz atabilirsiniz.
Plesk Panel Üzerinde Fail2Ban
Plesk Panel üzerinde de Fail2Ban dahili bir güvenlik modülü olarak sunulmaktadır. Bu entegrasyon sayesinde SSH, FTP, mail servisleri veya Plesk login ekranına yönelik saldırılar doğrudan panel arayüzünden yönetilebilir. Böylece komut satırı bilmeyen yöneticiler bile brute-force saldırılarını kolayca kontrol altına alabilir.
Sık Sorulan Sorular
Fail2ban nedir ve hangi sistemlerde çalışır?
Fail2ban, log dosyalarını izleyerek başarısız giriş denemelerini tespit eden ve saldırgan IP’leri otomatik olarak engelleyen bir güvenlik aracıdır. Çoğunlukla Linux tabanlı sistemlerde kullanılır.
Fail2ban hangi servisleri korur?
En yaygın olarak SSH, FTP, mail servisleri ve web uygulamaları üzerindeki brute-force girişimlerini engeller. İstenirse özel filtrelerle diğer servisler için de yapılandırılabilir.
Ban süresi nasıl değiştirilir?
Ban süresi jail.local dosyasındaki bantime parametresi ile ayarlanır. Varsayılan değer 10 dakikadır, ancak ihtiyaçlara göre artırılabilir veya azaltılabilir.
Fail2ban loglarını nasıl görüntüleyebilirim?
Fail2ban tarafından yapılan tüm engellemeler /var/log/fail2ban.log dosyasında tutulur. Buradan hangi IP’lerin ne zaman engellendiğini görebilirsiniz.
Fail2ban Plesk Panel üzerinde kullanılabilir mi?
Plesk Panel, Fail2ban’ı dahili bir güvenlik modülü olarak sunar. SSH, FTP, mail veya Plesk giriş ekranına yönelik brute-force saldırıları doğrudan panel arayüzünden yönetebilirsiniz.
Fail2ban SNMP ile entegre edilebilir mi?
Doğrudan SNMP desteği yoktur, ancak loglar monitoring sistemlerine aktarılabilir. Böylece Zabbix, Grafana veya Nagios üzerinden saldırı trendlerini izlemek mümkündür.