Fail2ban, Linux sunucularda brute-force saldırılarını engellemek için kullanılan en pratik çözümlerden biridir. SSH, FTP ya da mail servislerinde yapılan ardışık başarısız giriş denemelerini log dosyalarından tespit eder ve saldırgan IP adreslerini otomatik olarak engeller. Bu yaklaşım yalnızca anlık saldırıları durdurmakla kalmaz, aynı zamanda sistem yöneticilerinin olası kesintilere karşı hazırlıklı olmasına da katkı sağlar.
Fail2ban’ın oluşturduğu loglar ve otomatik engelleme mekanizmaları, felaket kurtarma planlarının daha etkin uygulanmasına destek olur. Böylece yöneticiler, saldırı yoğunluklarını analiz ederek kritik servisler üzerindeki baskıyı önceden görebilir ve DR senaryolarında güvenlik adımlarını otomatik hale getirebilir.
Fail2ban Nedir ve Nasıl Çalışır?
Fail2ban, log dosyalarını izleyerek başarısız giriş denemelerini tespit eden ve belirlenen değeri aşan IP adreslerini otomatik olarak engelleyen bir güvenlik aracıdır. Engelleme işlemi genellikle iptables veya nftables üzerinden yapılır. Böylece brute-force saldırıları daha başlamadan durdurulmuş olur.
Fail2ban Çalışma Sırası
Fail2ban başlatıldığında:
- İlk olarak
fail2ban.confdosyası okunur, pid ve log ayarları yapılır. - Ardından
jail.confve varsajail.d/*.confdosyaları yüklenir. - Sonra
jail.localdosyası okunur ve buradaki ayarlar öncelik kazanır. - Eğer
jail.d/*.localdosyaları varsa, en son onlar uygulanır. - Etkinleştirilen bölümler (
enabled = true) devreye girer ve ilgili filtre + aksiyon setiyle brute-force engelleme süreci başlar.
Fail2ban bu basit ama etkili yöntem sayesinde brute-force saldırılarını daha başlamadan durdurur.
Fail2ban Kurulumu
Çoğu Linux dağıtımının resmi depolarında yer alır.
Ubuntu/Debian:
sudo apt update
sudo apt install fail2ban -yCentOS/RHEL:
sudo yum install epel-release -y
sudo yum install fail2ban -yKurulum sonrası servisi aktif hale getirelim.
sudo systemctl start fail2ban
sudo systemctl enable fail2banFail2ban Yapılandırması
jail.local dosyasının ilk kısmında [DEFAULT] bölümü bulunur. Buradaki ayarlar, tüm servisler için genel politikaları tanımlar. Hizmet bazlı bölümlerde bu değerler değiştirilebilir.
Fail2ban Varsayılan Parametreleri
| 🔑 Parametre | 📌 Görevi | Açıklama |
|---|---|---|
| ignoreip | Hariç IP | Banlanmayacak IP’leri belirtir (örn. kendi IP’niz). |
| bantime | Ban süresi | IP’nin engelli kalacağı süre (varsayılan 10 dk). |
| findtime | Zaman penceresi | Başarısız girişlerin sayıldığı süre. |
| maxretry | Deneme limiti | İzin verilen maksimum hatalı giriş sayısı. |
| backend | Log izleme | Logların nasıl izleneceğini belirtir (auto, systemd vb.). |
| usedns | DNS çözümleme | IP yerine hostname kullanılıp kullanılmayacağını belirler. |
| banaction | Engelleme yöntemi | IP’yi yasaklamak için uygulanacak yöntem (örn. iptables). |
| destemail / sendername | Mail bildirimi | Ban uyarılarının gideceği adres ve gönderen adı |
Fail2ban Loglarının İzlenmesi
Fail2ban, yaptığı tüm engellemeleri /var/log/fail2ban.log dosyasında saklar.
Loglarda hangi IP’lerin engellendiği, hangi servislerin hedef alındığı görülebilir.
2025-09-09 10:15:32 fail2ban.actions
[1234]: NOTICE [sshd] Ban 192.168.1.55Bu loglar yalnızca manuel inceleme için değil, aynı zamanda merkezi monitoring sistemlerine aktarım için de kullanılabilir.
Fail2ban Hizmet Ayarlarını Keşfetme
Linux’ta Fail2ban, yapılandırma dosyalarıyla yönetilir ve bu dosyalar hiyerarşik şekilde /etc/fail2ban/ dizini altında bulunur. Temel ayarların yer aldığı dosya fail2ban.conf olup, daemon’un hangi soket ve pid dosyalarını kullanacağını, loglama yöntemini ve genel operasyonel parametreleri tanımlar. Ancak asıl güvenlik politikaları, uygulama bazlı “jail” bölümleri içinde belirlenir.
jail.conf ve jail.local Farkı
Fail2ban, varsayılan olarak jail.conf dosyasıyla gelir. Ancak bu dosya sistem güncellemelerinde üzerine yazılabileceği için, yapılandırmalarınızı doğrudan burada yapmanız tavsiye edilmez. Bunun yerine jail.conf dosyasını kopyalayarak jail.local oluşturmalı ve özelleştirmeleri burada yapmalısınız.
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.localFiltre Dosyaları
Her servis, kendi loglarını analiz etmek için filter dosyaları kullanır. Bu dosyalar /etc/fail2ban/filter.d/ altında yer alır. Örneğin SSH servisi için kullanılan filtre dosyası sshd.conf dosyasıdır.
Buradaki failregex satırları, loglarda hangi kalıpların brute-force denemesi sayılacağını belirler.
Failed password for .* from <HOST>
ROOT LOGIN REFUSED.* FROM <HOST>
Invalid user .* from <HOST>SNMP ve Monitoring Entegrasyonu
Fail2ban tek başına saldırıları durdurur, ancak saldırı yoğunluğunu ve kaynağını merkezi olarak görmek için SNMP tabanlı izleme sistemleriyle entegre edilebilir. Özellikle VMware ESXi Üzerinde SNMP Yapılandırması ile Fail2ban logları birlikte kullanıldığında, sanallaştırma katmanındaki güvenlik olayları da merkezi olarak takip edilebilir.
Saldırı Trendlerinin Analiz
Sistem yöneticileri, brute-force saldırılarının hangi IP aralıklarından veya bölgelerden geldiğini ve zaman içindeki eğilimini dashboard üzerinden kolayca analiz edebilir. Böylece yalnızca güvenlik sağlamakla kalmaz, aynı zamanda saldırı trendlerini gözlemleme şansı da elde ederler.
Detaylı bilgi için daha önce hazırladığımız VMware ESXi Üzerinde SNMP Yapılandırması yazısına göz atabilirsiniz.
Plesk Panel Üzerinde Fail2Ban
Plesk Panel üzerinde de Fail2Ban dahili bir güvenlik modülü olarak sunulmaktadır. Bu entegrasyon sayesinde SSH, FTP, mail servisleri veya Plesk login ekranına yönelik saldırılar doğrudan panel arayüzünden yönetilebilir. Böylece komut satırı bilmeyen yöneticiler bile brute-force saldırılarını kolayca kontrol altına alabilir.
Sık Sorulan Sorular
Fail2ban nedir ve hangi sistemlerde çalışır?
Fail2ban, log dosyalarını izleyerek başarısız giriş denemelerini tespit eden ve saldırgan IP’leri otomatik olarak engelleyen bir güvenlik aracıdır. Çoğunlukla Linux tabanlı sistemlerde kullanılır.
Fail2ban hangi servisleri korur?
En yaygın olarak SSH, FTP, mail servisleri ve web uygulamaları üzerindeki brute-force girişimlerini engeller. İstenirse özel filtrelerle diğer servisler için de yapılandırılabilir.
Ban süresi nasıl değiştirilir?
Ban süresi jail.local dosyasındaki bantime parametresi ile ayarlanır. Varsayılan değer 10 dakikadır, ancak ihtiyaçlara göre artırılabilir veya azaltılabilir.
Fail2ban loglarını nasıl görüntüleyebilirim?
Fail2ban tarafından yapılan tüm engellemeler /var/log/fail2ban.log dosyasında tutulur. Buradan hangi IP’lerin ne zaman engellendiğini görebilirsiniz.
Fail2ban Plesk Panel üzerinde kullanılabilir mi?
Plesk Panel, Fail2ban’ı dahili bir güvenlik modülü olarak sunar. SSH, FTP, mail veya Plesk giriş ekranına yönelik brute-force saldırıları doğrudan panel arayüzünden yönetebilirsiniz.
Fail2ban SNMP ile entegre edilebilir mi?
Doğrudan SNMP desteği yoktur, ancak loglar monitoring sistemlerine aktarılabilir. Böylece Zabbix, Grafana veya Nagios üzerinden saldırı trendlerini izlemek mümkündür.
