Bir sunucunun güvenliği sadece karmaşık şifrelerle değil, aynı zamanda tehditleri anında algılayan ve otomatik olarak durduran sistemlerle sağlanmalıdır. Fail2Ban, bu işlevi yerine getiren açık kaynak kodlu ve etkili bir log analiz ve IP yasaklama aracıdır. SSH, FTP, Apache, Exim gibi servislerin log dosyalarını sürekli kontrol ederek şüpheli denemeleri tanımlar. Çok sayıda hatalı giriş ya da brute force saldırısı tespit edilirse, Fail2Ban bu IP’yi iptables gibi güvenlik yazılımları üzerinden otomatik olarak engeller.
Fail2ban ve fail2ban-regex Nasıl Çalışıyor?
Fail2Ban yapılandırma dosyalarıyla, kaç denemeden sonra IP yasağı uygulanacağı, bu yasağın süresi ve hangi log kayıtlarının izleneceği kolayca ayarlanabilir. Özellikle Brute Force saldırılarına karşı, sistem yöneticileri belirli eşikleri tanımlayarak otomatik koruma sağlayabilir. Ayrıca saldırı bildirimlerinin SMTP aracılığıyla e-posta ile alınması mümkündür. Plesk SMTP yapılandırmaları üzerinden gönderilen bu uyarılar sayesinde, yöneticiler logları manuel olarak takip etmek zorunda kalmadan, anlık bilgilendirme ile önlem alabilir. Böylece saldırılar zamanında tespit edilip otomatik şekilde engellenmiş olur.
Ancak şunu unutmamak gerekir ki, Fail2Ban etkili bir savunma sağlar ama zayıf parola sistemlerinin neden olduğu temel tehditleri ortadan kaldırmaz. Bu nedenle çok faktörlü kimlik doğrulama ve güçlü parola kurallarıyla birlikte kullanılması gerekir.
fail2ban-regex Komutu Nasıl Kullanılır?
Aşağıdaki gibi çalıştıralım;
fail2ban-regex /var/log/log_dosyası.log "regex ifadesi"Test için ise aşağıdaki komutu yazalım;
fail2ban-regex "log satırı" "regex ifadesi"Regex Tabanlı Yasaklama Örnekleri
Web sunucularında en sık rastlanan tehditlerden biri, botların rastgele yollar üzerinden açık aramasıdır. Bu durum genellikle çok sayıda “404 Not Found” hatası üretir. Apache logları aracılığıyla bu tür taramaları tespit etmek mümkündür.
192.168.0.10 - - [04/Jul/2025:12:45:13 +0300] "GET /admin HTTP/1.1" 404 1234*Bu log satırı, bir istemcinin sunucuda bulunmayan /admin yolunu sorguladığını ve 404 hatası aldığını göstermektedir.
<HOST> - - \[.*\] "GET .*" 404<HOST>etiketi ile IP adresini yakalar,GET .*ile istenen URI’yi tanımlar,404ile sadece başarısız istekleri filtreler.
fail2ban-regex '192.168.0.10 - - [04/Jul/2025:12:45:13 +0300] "GET /admin HTTP/1.1" 404 1234' ' - - [.] "GET ." 404'*Eğer komut sonucunda 1 matches çıktısı alıyorsanız, bu ifade Apache erişim loglarını izlemek için uygundur. Fail2Ban filtre dosyanıza bu ifadeyi ekleyerek bot taramalarına karşı otomatik engelleme sağlayabilirsiniz.
Exim Mail Sunucusu Giriş Hataları
SMTP sunucusu olarak kullanılan Exim, başarısız oturum açma denemelerini loglara işler. Fail2Ban bu loglardan gelen verileri tarayarak saldırgan IP’leri otomatik olarak engelleyebilir.
2025-07-04 13:12:45 authentication failed for [email protected] from [203.0.113.55]: 535 Incorrect authentication dataRebex;
Bu regex ifadesi, [] içinde yer alan IP adresini <HOST> etiketiyle yakalayacak şekilde yapılandırılmıştır.
authentication failed for .* from []: 535Test için aşağıdaki komutu uygulayalım;
fail2ban-regex '2025-07-04 13:12:45 authentication failed for [email protected] from [203.0.113.55]: 535 Incorrect authentication data' 'authentication failed for .* from \[<HOST>\]: 535'vsftpd FTP Giriş Hataları
FTP brute-force saldırılarını durdurmak için, başarısız oturum açma girişimlerini izleyen özel filtreler tanımlanabilir. Genellikle bu hatalar, vsftpd.log dosyasında aşağıdaki gibi satırlarda yer alır.
Fri Jul 4 13:20:14 2025 [pid 1234] [ftpuser] FAIL LOGIN: Client "198.51.100.77"Bu log satırında, “FAIL LOGIN” ifadesiyle başarısız bir giriş olduğu ve "Client" etiketinden sonra IP adresinin geldiği net olarak görülmektedir.
FAIL LOGIN: Client "<HOST>"*Bu ifade, "<HOST>" kalıbı sayesinde IP adresini otomatik olarak algılar.
Regex Yazılırken Dikkat Edilmesi Gerekenler
Fail2ban-regex kullanırken oluşturduğunuz regex ifadelerini mutlaka önceden test etmeyi ihmal etmeyin.
Genel kalıplarla başlayıp, daha sonra özel ifadelerle filtrelemeyi daraltmak daha güvenli sonuçlar verir.
IP adresleri yerine her zaman <HOST> etiketini kullanmanız önerilir.
Sadece eşleşen örnekler değil, eşleşmeyen örneklerle de test yaparak yanlış IP’lerin engellenmesinin önüne geçebilirsiniz.
Özel Bir Fail2ban Filtresi Oluşturmak
Regex’inizi test ettikten sonra aşağıdaki şekilde özel bir filtre dosyası oluşturun:
[Definition]
failregex = BURAYA TEST ETTİĞİNİZ REGEX
ignoreregex =Ardından jail.local içine şu şekilde ekleyin:
[benimservis]
enabled = true
port = ilgili-port
filter = benimfiltre
logpath = /var/log/ilgili_log_dosyası.log
maxretry = 3
bantime = 600Fail2ban’ı yeniden başlatmayı unutmayın:
sudo systemctl restart fail2banSıkça Sorulan Sorular (SSS)
fail2ban-regex neden IP algılamıyor?
fail2ban-regex, IP adresini algılaması için doğru bir şekilde yazılmış bir failregex ifadesi içinde <HOST> etiketine ihtiyaç duyar. Eğer log satırınız IP adresini farklı bir formatta gösteriyorsa (örneğin, köşeli parantez içinde veya port numarasıyla birlikte), <HOST> etiketinin bu biçimi doğru tanıması için regex ifadesi uygun şekilde uyarlanmalıdır.
Her log için <HOST> kullanılabilir mi?
<HOST> etiketi, IPv4 veya IPv6 adreslerini tespit eden özel bir tanımlayıcıdır ve genellikle IP adresi doğrudan log içinde yer alıyorsa sorunsuz çalışır. Ancak bazı servisler loglarda IP yerine hostname, kullanıcı adı veya karmaşık bağlantı bilgileri gösterebilir. Bu tür durumlarda <HOST> etiketi çalışmayabilir ve yerine açık regex grupları ((?P<host>...)) kullanılarak manuel eşleme yapılması gerekebilir.
Log biçimi sık sık değişirse ne yapılmalı?
Log biçiminin değişken olması, sabit regex ifadelerinin bozulmasına neden olabilir. Bu gibi durumlarda yapılması gerekenler:
datepatterngibi esnek tarih eşleştirme tanımları kullanmak- Birden fazla
failregexsatırı tanımlayarak farklı log biçimlerine uyum sağlamak - Regex ifadelerinde daha genel karakter eşleştirmelerine yer vermek (örneğin
.*?,\S+,\d{1,4}gibi) - Servis güncellemelerinden sonra log formatlarını yeniden gözden geçirmek
Fail2ban çalışıyor ama IP’yi banlamıyor, neden?
Fail2ban kurallarının çalışmaması durumunda öncelikle jail.local dosyasındaki ilgili jail’in aktif olup olmadığı (enabled = true) kontrol edilmelidir. Ardından logpath değerinin doğru log dosyasına işaret edip etmediği ve bu dosyaya erişim izni olup olmadığı incelenmelidir. Yazılan failregex ifadesinin log satırlarıyla eşleşip eşleşmediği fail2ban-regex aracıyla test edilmelidir. Ayrıca findtime, maxretry ve bantime gibi parametrelerin çok yüksek değerlerde ayarlanıp ayarlanmadığına dikkat edilmelidir.