Fail2ban Kurulumu ve SSH Kaba Kuvvet (Brute Force) Koruması

Kaba kuvvet (Brute-Force) saldırısı nedir ve neden tehlikelidir?

Kaba kuvvet saldırıları, bilgisayar korsanlarının sunucu şifrelerini ele geçirmek için otomatik botlar aracılığıyla saniyede binlerce farklı şifre kombinasyonu denemesidir. SSH portuna yönelik yapılan bu saldırılar, şifre bulunamasa dahi sunucunun işlemci (CPU) ve ağ (bandwidth) kaynaklarını gereksiz yere tüketerek sitelerin yavaşlamasına veya sistem kilitlenmelerine yol açar.

**Fail2ban**, sunucunuzdaki log dosyalarını sürekli tarayan ve belirli bir süre içinde çok sayıda başarısız oturum açma denemesi (Örn: 3 kez hatalı şifre) yapan IP adreslerini otomatik olarak güvenlik duvarından (firewall) engelleyen güçlü bir güvenlik yazılımıdır.

Fail2ban nasıl kurulur?

Linux (Ubuntu/Debian) sunucunuzda Fail2ban kurulumu için SSH üzerinden şu adımları izleyin:

1. Paketleri yükleyin

sudo apt update
sudo apt install fail2ban -y

2. Yapılandırma dosyasını kopyalayın

Fail2ban varsayılan ayarlarını `/etc/fail2ban/jail.conf` dosyasında tutar. Ancak bu dosya güncellemelerde sıfırlanabilir. Bu yüzden ayarlarımızı yazacağımız yerel bir kopya (`jail.local`) oluşturmalıyız:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

3. Genel kuralları ve SSH korumasını ayarlayın

`jail.local` dosyası içerisinde `[DEFAULT]` bölümündeki şu parametreleri düzenleyin:

bantime = 10m      # Engellenen IP'nin uzak tutulacağı süre (10 dakika)
findtime = 10m      # Hatalı girişlerin sayılacağı zaman penceresi
maxretry = 3        # IP'nin engellenmesi için izin verilen maksimum deneme sayısı

Ardından SSH korumasını aktif etmek için `[sshd]` bölümünü bulun ve şu şekilde güncelleyin:

[sshd]
enabled = true
port = ssh          # SSH portunuzu değiştirdiyseniz buraya yazın (Örn: 2288)
logpath = %(sshd_log)s
backend = %(sshd_backend)s

Dosyayı kaydedin ve Fail2ban servisini başlatın:

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Engellenen IP'leri izleme ve kaldırma

Fail2ban durumunu ve engellenen IP adreslerini görmek için şu komutları kullanabilirsiniz:

# SSH koruma durumunu görüntüle
sudo fail2ban-client status sshd

# Yanlışlıkla engellenen bir IP adresinin engelini kaldır
sudo fail2ban-client set sshd unbanip IP_ADRESINIZ

Sık sorulan sorular

Fail2ban sadece SSH servisini mi korur?

Hayır. Fail2ban; Apache, Nginx, Postfix (Mail), FTP gibi log kaydı tutan tüm servisleri korumak üzere yapılandırılabilir. Örneğin, WordPress admin giriş denemeleri için de özel koruma kuralları (jail) yazılabilir.

Fail2ban sistem kaynaklarını yorar mı?

Fail2ban arka planda hafif bir python servisi olarak çalışır ve sistem kaynaklarını neredeyse hiç tüketmez. Kaba kuvvet saldırı botlarını hızlıca engelleyerek sunucu kaynaklarını kurtarır.