Açık KaynakSiber GüvenlikZimbra

Fail2Ban Kurulumu ve Yönetimi

Arslan GÜRAL
25 Temmuz 2024
3 Mins Read
77 Views
0 Comments

İçerik Tablosu

Zimbra Sunucusu Güvenliği: Fail2Ban Kurulumu ve Yönetimi

Zimbra sunucusunun güvenliğini sağlamak için, başarısız oturum açma girişimlerini izleyerek şüpheli IP adreslerini otomatik olarak engelleyen güçlü bir araç olan Fail2Ban’i kullanabilirsiniz. Bu makalede, Zimbra sunucusunda Fail2Ban’in kurulumunu, yapılandırılmasını, yönetimini ve e-posta bildirim ayarlarını adım adım anlatacağım.

1. Fail2Ban’i Kurma

Öncelikle, Fail2Ban paketini sisteminize kurmanız gerekiyor. Aşağıdaki komutları kullanarak Fail2Ban’i kurabilirsiniz:

sudo apt-get update
sudo apt-get install fail2ban

2. Fail2Ban’i Yapılandırma

Fail2Ban’in ana yapılandırma dosyası /etc/fail2ban/jail.conf dosyasıdır. Ancak, doğrudan bu dosyayı düzenlemektense, /etc/fail2ban/jail.local dosyasını oluşturup düzenlemek daha güvenlidir. Bu, gelecekteki güncellemelerin yapılandırmanızı bozmasını önler.

sudo nano /etc/fail2ban/jail.local

Temel Yapılandırma

jail.local dosyasına aşağıdaki temel yapılandırmayı ekleyebilirsiniz:

[DEFAULT]
# IP ban süresi (600 saniye = 10 dakika)
bantime = 600

# Banlanmadan önceki deneme sayısı
maxretry = 3

# Ban süresinin hesaplanacağı zaman aralığı
findtime = 600

# E-posta bildirimlerini etkinleştirme
destemail = [email protected]
sender = [email protected]
action = %(action_mwl)s

# SSH için jail yapılandırması
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log

Zimbra İçin Fail2Ban Yapılandırması

Zimbra servisleri için de Fail2Ban konfigürasyonu eklememiz gerekecek. Aşağıdaki örnek, Zimbra hizmetleri için yapılandırmayı göstermektedir:

Zimbra Auth Jail

/etc/fail2ban/filter.d/zimbra-auth.conf dosyasını oluşturun ve düzenleyin:

sudo nano /etc/fail2ban/filter.d/zimbra-auth.conf

Aşağıdaki içeriği ekleyin:

[Definition]
failregex = AUTH.*authentication failed for .*ip=<HOST>
            sasl.*ip=<HOST>
ignoreregex =

jail.local dosyasına Zimbra auth jail ekleyin:

[zimbra-auth]
enabled = true
filter = zimbra-auth
logpath = /var/log/zimbra.log
maxretry = 3

Zimbra SMTP Jail

/etc/fail2ban/filter.d/zimbra-smtp.conf dosyasını oluşturun ve düzenleyin:

sudo nano /etc/fail2ban/filter.d/zimbra-smtp.conf

Aşağıdaki içeriği ekleyin:

[Definition]
failregex = smtpd.*\[<HOST>\]: SASL (LOGIN|PLAIN|XOAUTH2) authentication failed
ignoreregex =

jail.local dosyasına Zimbra SMTP jail ekleyin:

[zimbra-smtp]
enabled = true
filter = zimbra-smtp
logpath = /var/log/zimbra.log
maxretry = 3

3. Fail2Ban Hizmetini Başlatma ve Etkinleştirme

Fail2Ban hizmetini başlatın ve sistem başlatıldığında otomatik olarak başlaması için etkinleştirin:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

4. Fail2Ban Durumunu Kontrol Etme

Fail2Ban’in durumu ve hangi IP adreslerinin engellendiğini görmek için aşağıdaki komutu kullanabilirsiniz:

sudo fail2ban-client status

Spesifik bir jail’in durumunu kontrol etmek için:

sudo fail2ban-client status sshd

Banlanan IP Adreslerini Görüntüleme

Belirli bir jail için banlanan IP adreslerini listelemek ve bir IP adresinin banını kaldırmak için aşağıdaki komutları kullanabilirsiniz:

Banlı IP’leri listeleme:

sudo fail2ban-client status sshd

Bir IP adresinin banını kaldırma:

sudo fail2ban-client set sshd unbanip <IP_ADDRESS>

Fail2Ban Log Dosyalarını İnceleme

Banlanan IP adreslerini log dosyalarında görmek için:

sudo tail -f /var/log/fail2ban.log

5. Fail2Ban’i Test Etme

Fail2Ban’i test etmek için, yanlış SSH kimlik bilgileri ile birkaç kez oturum açmayı deneyebilirsiniz. Üç başarısız denemeden sonra IP adresinizin engellendiğini görmelisiniz.

E-posta Bildirimlerini Test Etme

E-posta bildirimlerinin çalıştığını doğrulamak için, Fail2Ban’in kullanacağı e-posta komutlarını manuel olarak çalıştırabilirsiniz:

echo -e "Subject: Fail2Ban Test Email\n\nThis is a test email from Fail2Ban." | sendmail -v [email protected]

Bu komut, sendmail kullanarak test bir e-posta gönderir. Eğer bu komut çalışıyorsa, Fail2Ban’in de aynı e-posta komutlarını kullanarak e-posta göndermesi gerekir.

Fail2Ban’in E-posta Gönderdiğini Test Etme

Yanlış SSH kimlik bilgileri ile birkaç kez oturum açmayı deneyerek Fail2Ban’in e-posta göndermesini tetikleyebilirsiniz. Üç başarısız denemeden sonra Fail2Ban’in e-posta bildirimlerini gönderip göndermediğini kontrol edin.

ssh wronguser@your-server-ip

Yanlış kullanıcı adı veya parola ile birkaç kez giriş yapmayı deneyin. Fail2Ban’in IP adresinizi banlaması ve e-posta göndermesi gerekir.

6. Güvenlik Güncellemelerini Uygulama

Fail2Ban kurulumundan sonra, Zimbra sunucunuzun ve işletim sisteminizin güncel olduğundan emin olun. Güvenlik güncellemeleri, bilinen açıkların kapatılmasını sağlar.

Güncellemeleri Kontrol Etme ve Yükleme:

sudo apt-get update
sudo apt-get upgrade

7. Güçlü Parola Politikaları Uygulama

Kullanıcılar için güçlü parola politikaları uygulayın. Parolaların karmaşık ve zor tahmin edilebilir olmasını sağlayın.

Güçlü Parola Oluşturma:

sudo apt-get install libpam-pwquality

/etc/pam.d/common-password dosyasını düzenleyerek parola politikalarını ekleyin:

password requisite pam_pwquality.so retry=3 minlen=12 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1

Bu adımları izleyerek Zimbra sunucunuzun güvenliğini artırabilir ve olası ihlalleri tespit edebilirsiniz. Fail2Ban’i doğru bir şekilde yapılandırarak, yetkisiz erişim girişimlerini otomatik olarak engelleyebilir ve sunucunuzun bütünlüğünü koruyabilirsiniz. E-posta bildirim ayarlarını doğru yapılandırarak, banlanan IP adresleri hakkında anında bilgilendirilirsiniz.

Tags:

Please share this article if you like it!

Share It!
Written By

Arslan GÜRAL

Other Articles

No Comment! Be the first one.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

Beğenebileceğiniz Makaleler

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept