Fail2Ban Nedir?
Fail2ban/var/log/pwdfail ya da /var/log/apache/error_logdosyalarını tarayarak belli bir sayıda (bunu kendimiz belirleyebiliriz) hatalı giriş yapmış kişinin ip numarasını belirleyerek, belli bir süreliğine ip numarasını engelleyen linux tabanlı bir programdır. Fail2banhakkında bilgi verdik şimdi de nasıl kurulur ve nasıl kullanılır ona bakalım.
1.İlk olarak apt-get ile kuralım.
2. Varsayılan fail2ban yapılandırma dosyası /etc/fail2ban/jail.conf alanıdır. Yapılandırma çalışmaları, ancak bu dosyada yapılmamalıdır, ve biz bunun yerine yerel bir kopyasını yapıp onun üzerinden değişiklik yapacağız.
Ayarlar
Eğer jail.local dosyasına bakarsanız bir çok opsiyon görürsünüz. Bu opsiyonları birer birer ele alalim:
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
enabled
Bölümün aktif edilip edilmediğini tanımlar.
Filter
Hapis (jail) tarafından eşleşmeleri bulmak için kullanılan filtrenin (filter) ismi.
Bu ‘/etc/fail2ban/filter.d’ klasöründe var olan dosya ismine denk gelir. ( .conf uzantisiz)
Örnegin ‘filter=sshd’ /etc/fail2ban/filter.d/sshd.conf’ dosyasına karşılık gelir.
logpath
Filtremizin hangi log dosyasına bakacağını tanımlar.
ignoreip
Bu opsiyon ayarlandığında ne kadar başarısız login girişimi olursa olsun bunlar yok sayılıp IP’ye ceza kesilmiyecek yani bloklanmayacaktır.
maxretry
IP’ye ceza kesimi için ne kadar hatalı giriş yapma hakkı olduğunu belirler. Eğer bu sayıyı 5’e ayarlarsanız altıncı başarısız login girişiminde bulunan IP’ler cezalandırılacak yani bloklanacaktır.
bantime
IP’nin kaç saniye bloke kalacağını belirler.
destmail
Bu opsiyon her hangi bir bloklanma olayında kime e-posta gönderileceğini belirler.
banaction
Bu değişken ile IP hakkında ne türlü bir ceza kesimi olacağına karar verilir.
Bu opsiyon, ‘/etc/fail2ban/action.d’ klasöründe yer alan dosyanın ‘.conf’ uzantısız halini tanımlar. Örnegin, ‘action = iptables-allports’, ‘/etc/fail2ban/action.d/iptables-allports.conf’ dosyasına karşılık gelir.
3. Değişiklik yaptıktan sonra fail2ban yeniden başlatmamız gerekiyor.
Bu işlemleri yaptıktan sonra deneyebilirsiniz.
Örnek ssh kontrolü
Kaynaklar