Fail2ban-Regex İle Özel IP Yasaklama Kuralları

Sunucu güvenliği yalnızca güçlü şifrelerle değil, aynı zamanda tehditlerin zamanında tespiti ve otomatik olarak engellenmesiyle sağlanabilir. Fail2Ban, bu görevi üstlenen, açık kaynak kodlu ve oldukça etkili bir log izleme ile IP engelleme yazılımıdır. Plesk SSH Komutları kullanılarak yapılan sistem işlemleri veya yönetimsel erişimler de bu tür güvenlik mekanizmalarının kapsamına dâhil edilebilir.

SSH, FTP, Apache, Exim gibi servislerin log dosyalarını düzenli olarak tarayarak, şüpheli giriş denemelerini analiz eder. Eğer bir IP adresi çok fazla yanlış parola denemesi yapar ya da brute force saldırısında bulunursa, Fail2Ban bu IP’yi iptables gibi bir güvenlik duvarı üzerinden geçici ya da kalıcı olarak engeller.

Table of Contents

Fail2ban ve fail2ban-regex Nasıl Çalışıyor?

Yapılandırma dosyaları üzerinden kaç başarısız girişten sonra engelleme yapılacağı, bu engelin süresi ve hangi log dosyalarının izleneceği gibi ayarlar esnek şekilde belirlenebilir. Ayrıca saldırı bildirimlerinin SMTP üzerinden e-posta ile iletilmesi de mümkündür. Bu sayede sistem yöneticisinin logları sürekli elle takip etmesine gerek kalmaz ve saldırılar fark edilmeden otomatik olarak engellenir.

Ancak unutulmamalıdır ki, Fail2Ban etkili bir güvenlik katmanı sunsa da zayıf kimlik doğrulama sistemlerinin oluşturduğu temel güvenlik açıklarını ortadan kaldırmaz. Bu nedenle çok faktörlü kimlik doğrulama ve güçlü parola uygulamalarıyla birlikte kullanılması önerilir.

fail2ban-regex Komutu Nasıl Kullanılır?

Aşağıdaki gibi çalıştıralım;

fail2ban-regex /var/log/log_dosyası.log "regex ifadesi"

Test için ise aşağıdaki komutu yazalım;

fail2ban-regex "log satırı" "regex ifadesi"

Regex Tabanlı Yasaklama Örnekleri

Web sunucularında sık görülen tehditlerden biri, botların rastgele yolları tarayarak güvenlik açığı aramasıdır. Bu taramalar genellikle çok sayıda “404 Not Found” hatasına neden olur. Apache log dosyalarında bu tür denemeler kolaylıkla tespit edilebilir.

192.168.0.10 - - [04/Jul/2025:12:45:13 +0300] "GET /admin HTTP/1.1" 404 1234

*Bu log satırı, bir istemcinin sunucuda bulunmayan /admin yolunu sorguladığını ve 404 hatası aldığını göstermektedir.

<HOST> - - \[.*\] "GET .*" 404

<HOST> etiketi ile IP adresini yakalar,
GET .* ile istenen URI’yi tanımlar,
404 ile sadece başarısız istekleri filtreler.

fail2ban-regex '192.168.0.10 - - [04/Jul/2025:12:45:13 +0300] "GET /admin HTTP/1.1" 404 1234' ' - - [.] "GET ." 404'

*Eğer komut sonucunda 1 matches çıktısı alıyorsanız, bu ifade Apache erişim loglarını izlemek için uygundur. Fail2Ban filtre dosyanıza bu ifadeyi ekleyerek bot taramalarına karşı otomatik engelleme sağlayabilirsiniz.

Exim Mail Sunucusu Giriş Hataları

Exim gibi SMTP sunucuları, başarısız oturum açma denemelerini loglara kaydeder. Bu kayıtları Fail2Ban ile analiz ederek, saldırgan IP’leri otomatik olarak engellemek mümkündür.

2025-07-04 13:12:45 authentication failed for [email protected] from [203.0.113.55]: 535 Incorrect authentication data

Rebex;

Bu regex ifadesi, [] içinde yer alan IP adresini <HOST> etiketiyle yakalayacak şekilde yapılandırılmıştır.

authentication failed for .* from []: 535

Test için aşağıdaki komutu uygulayalım;

fail2ban-regex '2025-07-04 13:12:45 authentication failed for [email protected] from [203.0.113.55]: 535 Incorrect authentication data' 'authentication failed for .* from \[<HOST>\]: 535'

vsftpd FTP Giriş Hataları

FTP brute-force saldırılarına karşı, başarısız girişleri tanıyan özel filtreler oluşturmak mümkündür. vsftpd.log dosyasında bu hatalar çoğunlukla aşağıdaki formatta görünür.

Fri Jul 4 13:20:14 2025 [pid 1234] [ftpuser] FAIL LOGIN: Client "198.51.100.77"

Bu log satırında, “FAIL LOGIN” ifadesiyle başarısız bir giriş olduğu ve "Client" etiketinden sonra IP adresinin geldiği net olarak görülmektedir.

FAIL LOGIN: Client "<HOST>"

*Bu ifade, "<HOST>" kalıbı sayesinde IP adresini otomatik olarak algılar.

Regex Yazılırken Dikkat Edilmesi Gerekenler

Fail2ban-regex kullanırken oluşturduğunuz regex ifadelerini mutlaka önceden test etmeyi ihmal etmeyin.
Genel kalıplarla başlayıp, daha sonra özel ifadelerle filtrelemeyi daraltmak daha güvenli sonuçlar verir.
IP adresleri yerine her zaman <HOST> etiketini kullanmanız önerilir.
Sadece eşleşen örnekler değil, eşleşmeyen örneklerle de test yaparak yanlış IP’lerin engellenmesinin önüne geçebilirsiniz.

Özel Bir Fail2ban Filtresi Oluşturmak

Regex’inizi test ettikten sonra aşağıdaki şekilde özel bir filtre dosyası oluşturun:

[Definition]
failregex = BURAYA TEST ETTİĞİNİZ REGEX
ignoreregex =

Ardından jail.local içine şu şekilde ekleyin:

[benimservis]
enabled = true
port = ilgili-port
filter = benimfiltre
logpath = /var/log/ilgili_log_dosyası.log
maxretry = 3
bantime = 600

Fail2ban’ı yeniden başlatmayı unutmayın:

sudo systemctl restart fail2ban

Sıkça Sorulan Sorular (SSS)

`fail2ban-regex` neden IP algılamıyor?

fail2ban-regex, IP adresini algılaması için doğru bir şekilde yazılmış bir failregex ifadesi içinde <HOST> etiketine ihtiyaç duyar. Eğer log satırınız IP adresini farklı bir formatta gösteriyorsa (örneğin, köşeli parantez içinde veya port numarasıyla birlikte), <HOST> etiketinin bu biçimi doğru tanıması için regex ifadesi uygun şekilde uyarlanmalıdır.

Her log için `<HOST>` kullanılabilir mi?

<HOST> etiketi, IPv4 veya IPv6 adreslerini tespit eden özel bir tanımlayıcıdır ve genellikle IP adresi doğrudan log içinde yer alıyorsa sorunsuz çalışır. Ancak bazı servisler loglarda IP yerine hostname, kullanıcı adı veya karmaşık bağlantı bilgileri gösterebilir. Bu tür durumlarda <HOST> etiketi çalışmayabilir ve yerine açık regex grupları ((?P<host>...)) kullanılarak manuel eşleme yapılması gerekebilir.

Log biçimi sık sık değişirse ne yapılmalı?

Log biçiminin değişken olması, sabit regex ifadelerinin bozulmasına neden olabilir. Bu gibi durumlarda yapılması gerekenler:

datepattern gibi esnek tarih eşleştirme tanımları kullanmak
Birden fazla failregex satırı tanımlayarak farklı log biçimlerine uyum sağlamak
Regex ifadelerinde daha genel karakter eşleştirmelerine yer vermek (örneğin .*?, \S+, \d{1,4} gibi)
Servis güncellemelerinden sonra log formatlarını yeniden gözden geçirmek

Fail2ban çalışıyor ama IP’yi banlamıyor, neden?

Fail2ban kurallarının çalışmaması durumunda öncelikle jail.local dosyasındaki ilgili jail’in aktif olup olmadığı (enabled = true) kontrol edilmelidir. Ardından logpath değerinin doğru log dosyasına işaret edip etmediği ve bu dosyaya erişim izni olup olmadığı incelenmelidir. Yazılan failregex ifadesinin log satırlarıyla eşleşip eşleşmediği fail2ban-regex aracıyla test edilmelidir. Ayrıca findtime, maxretry ve bantime gibi parametrelerin çok yüksek değerlerde ayarlanıp ayarlanmadığına dikkat edilmelidir.

İlk Yorumu Siz Yapın

Bir yanıt yazın Yanıtı iptal et

Isabelle U. C. Fernandez - VMware vSphere Foundation 9.0 Beta Sürümü YayındaHaziran 21, 2025
Looking forward to your next post. Keep up the good work!
Aaron Tobias - Google Dokümanlar için Alternatif UygulamalarHaziran 12, 2025
Great article! Your ability to break down complex ideas while keeping the content engaging is really commendable.
Damian Kim - VMware vSphere Foundation 9.0 Beta Sürümü YayındaHaziran 1, 2025
I really like reading through a post that can make men and women think. Also, thank you for allowing me…
Athena Fiona Fletcher - VMware vSphere Foundation 9.0 Beta Sürümü YayındaMayıs 21, 2025
Your blog stands out in a sea of generic and formulaic content Your unique voice and perspective are what keep…
Mariana Rollins - VMware vSphere Foundation 9.0 Beta Sürümü YayındaMayıs 20, 2025
Very well presented. Every quote was awesome and thanks for sharing the content. Keep sharing and keep motivating others.