Zimbra Sunucusu Güvenliği: Fail2Ban Kurulumu ve Yönetimi

Zimbra sunucusunun güvenliğini sağlamak için, başarısız oturum açma girişimlerini izleyerek şüpheli IP adreslerini otomatik olarak engelleyen güçlü bir araç olan Fail2Ban’i kullanabilirsiniz. Bu makalede, Zimbra sunucusunda Fail2Ban’in kurulumunu, yapılandırılmasını, yönetimini ve e-posta bildirim ayarlarını adım adım anlatacağım.

1. Fail2Ban’i Kurma

Öncelikle, Fail2Ban paketini sisteminize kurmanız gerekiyor. Aşağıdaki komutları kullanarak Fail2Ban’i kurabilirsiniz:

sudo apt-get update
sudo apt-get install fail2ban

2. Fail2Ban’i Yapılandırma

Fail2Ban’in ana yapılandırma dosyası /etc/fail2ban/jail.conf dosyasıdır. Ancak, doğrudan bu dosyayı düzenlemektense, /etc/fail2ban/jail.local dosyasını oluşturup düzenlemek daha güvenlidir. Bu, gelecekteki güncellemelerin yapılandırmanızı bozmasını önler.

sudo nano /etc/fail2ban/jail.local

Temel Yapılandırma

jail.local dosyasına aşağıdaki temel yapılandırmayı ekleyebilirsiniz:

[DEFAULT]
# IP ban süresi (600 saniye = 10 dakika)
bantime = 600

# Banlanmadan önceki deneme sayısı
maxretry = 3

# Ban süresinin hesaplanacağı zaman aralığı
findtime = 600

# E-posta bildirimlerini etkinleştirme
destemail = yo********@*****le.com
sender = fa******@*****le.com
action = %(action_mwl)s

# SSH için jail yapılandırması
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log

Zimbra İçin Fail2Ban Yapılandırması

Zimbra servisleri için de Fail2Ban konfigürasyonu eklememiz gerekecek. Aşağıdaki örnek, Zimbra hizmetleri için yapılandırmayı göstermektedir:

Zimbra Auth Jail

/etc/fail2ban/filter.d/zimbra-auth.conf dosyasını oluşturun ve düzenleyin:

sudo nano /etc/fail2ban/filter.d/zimbra-auth.conf

Aşağıdaki içeriği ekleyin:

[Definition]
failregex = AUTH.*authentication failed for .*ip=<HOST>
            sasl.*ip=<HOST>
ignoreregex =

jail.local dosyasına Zimbra auth jail ekleyin:

[zimbra-auth]
enabled = true
filter = zimbra-auth
logpath = /var/log/zimbra.log
maxretry = 3

Zimbra SMTP Jail

/etc/fail2ban/filter.d/zimbra-smtp.conf dosyasını oluşturun ve düzenleyin:

sudo nano /etc/fail2ban/filter.d/zimbra-smtp.conf

Aşağıdaki içeriği ekleyin:

[Definition]
failregex = smtpd.*\[<HOST>\]: SASL (LOGIN|PLAIN|XOAUTH2) authentication failed
ignoreregex =

jail.local dosyasına Zimbra SMTP jail ekleyin:

[zimbra-smtp]
enabled = true
filter = zimbra-smtp
logpath = /var/log/zimbra.log
maxretry = 3

3. Fail2Ban Hizmetini Başlatma ve Etkinleştirme

Fail2Ban hizmetini başlatın ve sistem başlatıldığında otomatik olarak başlaması için etkinleştirin:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

4. Fail2Ban Durumunu Kontrol Etme

Fail2Ban’in durumu ve hangi IP adreslerinin engellendiğini görmek için aşağıdaki komutu kullanabilirsiniz:

sudo fail2ban-client status

Spesifik bir jail’in durumunu kontrol etmek için:

sudo fail2ban-client status sshd

Banlanan IP Adreslerini Görüntüleme

Belirli bir jail için banlanan IP adreslerini listelemek ve bir IP adresinin banını kaldırmak için aşağıdaki komutları kullanabilirsiniz:

Banlı IP’leri listeleme:

sudo fail2ban-client status sshd

Bir IP adresinin banını kaldırma:

sudo fail2ban-client set sshd unbanip <IP_ADDRESS>

Fail2Ban Log Dosyalarını İnceleme

Banlanan IP adreslerini log dosyalarında görmek için:

sudo tail -f /var/log/fail2ban.log

5. Fail2Ban’i Test Etme

Fail2Ban’i test etmek için, yanlış SSH kimlik bilgileri ile birkaç kez oturum açmayı deneyebilirsiniz. Üç başarısız denemeden sonra IP adresinizin engellendiğini görmelisiniz.

E-posta Bildirimlerini Test Etme

E-posta bildirimlerinin çalıştığını doğrulamak için, Fail2Ban’in kullanacağı e-posta komutlarını manuel olarak çalıştırabilirsiniz:

echo -e "Subject: Fail2Ban Test Email\n\nThis is a test email from Fail2Ban." | sendmail -v yo********@*****le.com

Bu komut, sendmail kullanarak test bir e-posta gönderir. Eğer bu komut çalışıyorsa, Fail2Ban’in de aynı e-posta komutlarını kullanarak e-posta göndermesi gerekir.

Fail2Ban’in E-posta Gönderdiğini Test Etme

Yanlış SSH kimlik bilgileri ile birkaç kez oturum açmayı deneyerek Fail2Ban’in e-posta göndermesini tetikleyebilirsiniz. Üç başarısız denemeden sonra Fail2Ban’in e-posta bildirimlerini gönderip göndermediğini kontrol edin.

ssh wronguser@your-server-ip

Yanlış kullanıcı adı veya parola ile birkaç kez giriş yapmayı deneyin. Fail2Ban’in IP adresinizi banlaması ve e-posta göndermesi gerekir.

6. Güvenlik Güncellemelerini Uygulama

Fail2Ban kurulumundan sonra, Zimbra sunucunuzun ve işletim sisteminizin güncel olduğundan emin olun. Güvenlik güncellemeleri, bilinen açıkların kapatılmasını sağlar.

Güncellemeleri Kontrol Etme ve Yükleme:

sudo apt-get update
sudo apt-get upgrade

7. Güçlü Parola Politikaları Uygulama

Kullanıcılar için güçlü parola politikaları uygulayın. Parolaların karmaşık ve zor tahmin edilebilir olmasını sağlayın.

Güçlü Parola Oluşturma:

sudo apt-get install libpam-pwquality

/etc/pam.d/common-password dosyasını düzenleyerek parola politikalarını ekleyin:

password requisite pam_pwquality.so retry=3 minlen=12 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1

---

Bu adımları izleyerek Zimbra sunucunuzun güvenliğini artırabilir ve olası ihlalleri tespit edebilirsiniz. Fail2Ban’i doğru bir şekilde yapılandırarak, yetkisiz erişim girişimlerini otomatik olarak engelleyebilir ve sunucunuzun bütünlüğünü koruyabilirsiniz. E-posta bildirim ayarlarını doğru yapılandırarak, banlanan IP adresleri hakkında anında bilgilendirilirsiniz.