Fail2Ban servisini ssh servisimizin özelinde brute force ataklara karşı koruyaya yönelik önem almaya bakalım.
Fail2Ban, sunucu sistemlerimizdeki log dosyalarını inceleyerek çok fazla sayıda hatalı giriş yapılmaya çalışan servis için belirlediğimiz konfigurasyon yapılandırmasında belirtilen değer kadar login denemesine izin verir, bu değer aşıldığında sistemimiz üzerindeki firewalld ‘yi kullanarak ilgili ip adresinine yönelik otomatik kural oluşturur. Sistem yöneticisi olarak sürekli ilgil logları kontrol etmemizi, analizle uğraştırmadan basit ama etkili bir çözüm sunarak güvenlik seviyesini artırır.
Epel Repository kurulumu için,
sudo yum install epel-release
fail2ban kurulum için,
sudo yum install fail2ban
fail2ban servisini start ve sunucu her açıldığında açılması için,
sudo systemctl start fail2ban sudo systemctl enable fail2ban
jail.local konfigurasyon dosyasını oluşturmak için, jail.conf dosyasının bir kopyasını jail.local olarak oluşturalım.
cd /etc/fail2ban sudo cp jail.conf jail.local
Herhangi bir editör ile jail.local dosyasını açarak aşağıdaki değerleri ihtiyaçlarınıza göre güncelleyin,
bantime = 60m
findtime = 10m
[sshd] satırının altına (JAILS) başlığı altında
enabled=true değerini ekleyelim ve dosyayı kayıt edip çıkalım.
İşlemimiz tamamlandıktan sonra servisi yeniden başlatalım
sudo systemctl reload fail2ban
İşlem sonrası /var/log/ dizini altında cat komutu ile fail2ban.log dosyasını inceleyerek fail2ban servisinin loglarını kontrol edebiliriz.