İçerik Tablosu
- 1. Fail2Ban’i Kurma
- 2. Fail2Ban’i Yapılandırma
- Temel Yapılandırma
- Zimbra Auth Jail
- Zimbra SMTP Jail
- 3. Fail2Ban Hizmetini Başlatma ve Etkinleştirme
- 4. Fail2Ban Durumunu Kontrol Etme
- Banlanan IP Adreslerini Görüntüleme
- Fail2Ban Log Dosyalarını İnceleme
- 5. Fail2Ban’i Test Etme
- E-posta Bildirimlerini Test Etme
- Fail2Ban’in E-posta Gönderdiğini Test Etme
- 6. Güvenlik Güncellemelerini Uygulama
- 7. Güçlü Parola Politikaları Uygulama
Zimbra Sunucusu Güvenliği: Fail2Ban Kurulumu ve Yönetimi
Zimbra sunucusunun güvenliğini sağlamak için, başarısız oturum açma girişimlerini izleyerek şüpheli IP adreslerini otomatik olarak engelleyen güçlü bir araç olan Fail2Ban’i kullanabilirsiniz. Bu makalede, Zimbra sunucusunda Fail2Ban’in kurulumunu, yapılandırılmasını, yönetimini ve e-posta bildirim ayarlarını adım adım anlatacağım.
1. Fail2Ban’i Kurma
Öncelikle, Fail2Ban paketini sisteminize kurmanız gerekiyor. Aşağıdaki komutları kullanarak Fail2Ban’i kurabilirsiniz:
sudo apt-get update
sudo apt-get install fail2ban
2. Fail2Ban’i Yapılandırma
Fail2Ban’in ana yapılandırma dosyası /etc/fail2ban/jail.conf
dosyasıdır. Ancak, doğrudan bu dosyayı düzenlemektense, /etc/fail2ban/jail.local
dosyasını oluşturup düzenlemek daha güvenlidir. Bu, gelecekteki güncellemelerin yapılandırmanızı bozmasını önler.
sudo nano /etc/fail2ban/jail.local
Temel Yapılandırma
jail.local
dosyasına aşağıdaki temel yapılandırmayı ekleyebilirsiniz:
[DEFAULT]
# IP ban süresi (600 saniye = 10 dakika)
bantime = 600
# Banlanmadan önceki deneme sayısı
maxretry = 3
# Ban süresinin hesaplanacağı zaman aralığı
findtime = 600
# E-posta bildirimlerini etkinleştirme
destemail = your-email@example.com
sender = fail2ban@example.com
action = %(action_mwl)s
# SSH için jail yapılandırması
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
Zimbra İçin Fail2Ban Yapılandırması
Zimbra servisleri için de Fail2Ban konfigürasyonu eklememiz gerekecek. Aşağıdaki örnek, Zimbra hizmetleri için yapılandırmayı göstermektedir:
Zimbra Auth Jail
/etc/fail2ban/filter.d/zimbra-auth.conf
dosyasını oluşturun ve düzenleyin:
sudo nano /etc/fail2ban/filter.d/zimbra-auth.conf
Aşağıdaki içeriği ekleyin:
[Definition]
failregex = AUTH.*authentication failed for .*ip=<HOST>
sasl.*ip=<HOST>
ignoreregex =
jail.local
dosyasına Zimbra auth jail ekleyin:
[zimbra-auth]
enabled = true
filter = zimbra-auth
logpath = /var/log/zimbra.log
maxretry = 3
Zimbra SMTP Jail
/etc/fail2ban/filter.d/zimbra-smtp.conf
dosyasını oluşturun ve düzenleyin:
sudo nano /etc/fail2ban/filter.d/zimbra-smtp.conf
Aşağıdaki içeriği ekleyin:
[Definition]
failregex = smtpd.*\[<HOST>\]: SASL (LOGIN|PLAIN|XOAUTH2) authentication failed
ignoreregex =
jail.local
dosyasına Zimbra SMTP jail ekleyin:
[zimbra-smtp]
enabled = true
filter = zimbra-smtp
logpath = /var/log/zimbra.log
maxretry = 3
3. Fail2Ban Hizmetini Başlatma ve Etkinleştirme
Fail2Ban hizmetini başlatın ve sistem başlatıldığında otomatik olarak başlaması için etkinleştirin:
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
4. Fail2Ban Durumunu Kontrol Etme
Fail2Ban’in durumu ve hangi IP adreslerinin engellendiğini görmek için aşağıdaki komutu kullanabilirsiniz:
sudo fail2ban-client status
Spesifik bir jail’in durumunu kontrol etmek için:
sudo fail2ban-client status sshd
Banlanan IP Adreslerini Görüntüleme
Belirli bir jail için banlanan IP adreslerini listelemek ve bir IP adresinin banını kaldırmak için aşağıdaki komutları kullanabilirsiniz:
Banlı IP’leri listeleme:
sudo fail2ban-client status sshd
Bir IP adresinin banını kaldırma:
sudo fail2ban-client set sshd unbanip <IP_ADDRESS>
Fail2Ban Log Dosyalarını İnceleme
Banlanan IP adreslerini log dosyalarında görmek için:
sudo tail -f /var/log/fail2ban.log
5. Fail2Ban’i Test Etme
Fail2Ban’i test etmek için, yanlış SSH kimlik bilgileri ile birkaç kez oturum açmayı deneyebilirsiniz. Üç başarısız denemeden sonra IP adresinizin engellendiğini görmelisiniz.
E-posta Bildirimlerini Test Etme
E-posta bildirimlerinin çalıştığını doğrulamak için, Fail2Ban’in kullanacağı e-posta komutlarını manuel olarak çalıştırabilirsiniz:
echo -e "Subject: Fail2Ban Test Email\n\nThis is a test email from Fail2Ban." | sendmail -v your-email@example.com
Bu komut, sendmail
kullanarak test bir e-posta gönderir. Eğer bu komut çalışıyorsa, Fail2Ban’in de aynı e-posta komutlarını kullanarak e-posta göndermesi gerekir.
Fail2Ban’in E-posta Gönderdiğini Test Etme
Yanlış SSH kimlik bilgileri ile birkaç kez oturum açmayı deneyerek Fail2Ban’in e-posta göndermesini tetikleyebilirsiniz. Üç başarısız denemeden sonra Fail2Ban’in e-posta bildirimlerini gönderip göndermediğini kontrol edin.
ssh wronguser@your-server-ip
Yanlış kullanıcı adı veya parola ile birkaç kez giriş yapmayı deneyin. Fail2Ban’in IP adresinizi banlaması ve e-posta göndermesi gerekir.
6. Güvenlik Güncellemelerini Uygulama
Fail2Ban kurulumundan sonra, Zimbra sunucunuzun ve işletim sisteminizin güncel olduğundan emin olun. Güvenlik güncellemeleri, bilinen açıkların kapatılmasını sağlar.
Güncellemeleri Kontrol Etme ve Yükleme:
sudo apt-get update
sudo apt-get upgrade
7. Güçlü Parola Politikaları Uygulama
Kullanıcılar için güçlü parola politikaları uygulayın. Parolaların karmaşık ve zor tahmin edilebilir olmasını sağlayın.
Güçlü Parola Oluşturma:
sudo apt-get install libpam-pwquality
/etc/pam.d/common-password
dosyasını düzenleyerek parola politikalarını ekleyin:
password requisite pam_pwquality.so retry=3 minlen=12 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
Bu adımları izleyerek Zimbra sunucunuzun güvenliğini artırabilir ve olası ihlalleri tespit edebilirsiniz. Fail2Ban’i doğru bir şekilde yapılandırarak, yetkisiz erişim girişimlerini otomatik olarak engelleyebilir ve sunucunuzun bütünlüğünü koruyabilirsiniz. E-posta bildirim ayarlarını doğru yapılandırarak, banlanan IP adresleri hakkında anında bilgilendirilirsiniz.
No Comment! Be the first one.