Ubuntu Server’da Firewall Rule Logging

Ubuntu Server ortamlarında güvenlik yönetimi, ağ trafiğinin izlenmesiyle doğrudan ilişkilidir. Firewall kurallarının loglanması, yetkisiz erişim girişimlerini tespit etmek, kuralların etkinliğini doğrulamak ve olası güvenlik ihlallerini hızlıca yanıtlamak için vazgeçilmez bir unsurdur. UFW (Uncomplicated Firewall) aracı, Ubuntu’nun varsayılan firewall yöneticisi olarak iptables/netfilter altyapısını kullanarak loglama özelliklerini sunar. Bu makalede, UFW ile firewall kural loglamasını etkinleştirmek, yönetmek ve analiz etmek için adım adım rehberlik sağlayacağız. Bu işlemler, sunucu yöneticilerinin proaktif güvenlik stratejileri geliştirmesine yardımcı olur.

UFW Loglamasını Etkinleştirme ve Temel Ayarlar

UFW loglamasını etkinleştirmek, sunucunuzdaki tüm firewall etkinliklerini kaydetmeye başlar. Öncelikle UFW’nin yüklü olduğundan emin olun; genellikle Ubuntu Server kurulumunda varsayılan olarak gelir. Loglama, syslog veya systemd journal gibi sistem log mekanizmalarına entegre edilir ve düşük seviyeli kernel mesajlarından yüksek seviyeli paket bilgilerine kadar çeşitli detaylar içerir.

Loglamayı başlatmak için terminalde şu komutu çalıştırın: sudo ufw logging on. Bu komut, varsayılan ‘low’ seviyesinde loglamayı etkinleştirir. Seviyeyi belirlemek için sudo ufw logging high veya sudo ufw logging full kullanabilirsiniz. ‘Low’ seviyesi, yalnızca kabul edilmeyen paketleri kaydederken, ‘full’ seviyesi tüm trafiği kapsar. Bu ayarlar kalıcıdır ve UFW yeniden başlatıldığında korunur. Örnek bir çıktı şöyle olabilir: Logging enabled (low). Ardından UFW’yi yeniden yükleyin: sudo ufw reload.

Log Seviyelerinin Karşılaştırması

UFW log seviyeleri, netfilter’in LOG modülüne dayalıdır. ‘Off’ seviyesi hiçbir log üretmezken, ‘low’ yalnızca DROP ve REJECT kurallarını kapsar. ‘Medium’ seviyesi bağlantı takibi ekler, ‘high’ ise ICMP mesajlarını da dahil eder. ‘Full’ en detaylıdır ve her paketi kaydeder, ancak disk alanı ve performans yükü getirir. Kurumsal ortamlarda ‘medium’ seviyesi önerilir, çünkü dengeli bir izleme sağlar. Seviye değişikliği için sudo ufw logging <seviye> komutunu kullanın ve etkinliği sudo ufw status verbose ile doğrulayın. Bu yaklaşım, gereksiz log gürültüsünü önler ve analiz kolaylığı sunar.

Kural Bazında Loglama Uygulaması

Belirli kurallara özgü loglama için UFW’de LOG prefix ekleyin. Örneğin, SSH trafiğini loglamak için: sudo ufw log ssh allow log-all. Bu, ‘log-all’ parametresiyle hem kabul hem reddedilen paketleri kaydeder. Prefix ile filtreleme kolaylaşır; syslog dosyalarında ‘UFW-BLOCK’ gibi etiketler aranabilir. Kurumsal sunucularda, hassas portlar (örneğin 22, 80, 443) için bu yöntemi uygulayın. Değişiklikleri kaydedin: sudo ufw reload. Bu, olay incelemelerinde zaman kazandırır ve uyumluluk raporları için idealdir.

Log Dosyalarını Yönetme ve Optimizasyon

Firewall logları hızla büyüyebilir, bu yüzden etkili yönetim şarttır. Ubuntu’da loglar varsayılan olarak /var/log/ufw.log dosyasında tutulur, ancak rsyslog ile özelleştirilebilir. Log rotasyonu, disk doluluğunu önler ve eski kayıtları arşivler. Düzenli bakım, sunucu performansını korur ve yasal uyumluluk gereksinimlerini karşılar.

Rsyslog konfigürasyonunu düzenleyin: sudo nano /etc/rsyslog.d/20-ufw.conf. İçeriğe şu satırları ekleyin: :msg, contains, "UFW" /var/log/ufw.log ve & stop. Servisi yeniden başlatın: sudo systemctl restart rsyslog. Logrotate için /etc/logrotate.d/ufw dosyasını inceleyin; haftalık rotasyon ve 4 haftalık saklama varsayılanıdır. Bu ayarlar, 7/24 çalışan sunucularda log yönetimini otomatikleştirir.

Ayrı Log Dosyası Oluşturma

Özel log dosyaları için rsyslog filtreleri kullanın. Örneğin, yalnızca BLOCK loglarını ayırmak üzere conf dosyasına if $msg contains "UFW-BLOCK" then /var/log/ufw-block.log ekleyin. Bu, analiz araçlarının (örneğin ELK Stack) entegrasyonunu kolaylaştırır. Konfigürasyonu test edin: sudo rsyslogd -N1. Kurumsal ölçekte, birden fazla sunucu için merkezi log toplama bu yöntemle desteklenir, güvenlik ekiplerinin hızlı müdahalesini sağlar.

Performans Optimizasyonu İpuçları

Yoğun trafikte ‘full’ loglama CPU’yu yorar; ‘info’ seviyesine indirin. Netfilter modül parametrelerini ayarlayın: echo 1 > /proc/sys/net/netfilter/nf_log_all_netns=1. Disk I/O’yu azaltmak için log buffer boyutunu artırın: sysctl ile nf_log_max_modname=12. Bu tweaks, yüksek hacimli ortamlarda gecikmeyi %20-30 düşürebilir. Düzenli sudo ufw logging reset ile eski logları temizleyin.

Logları İzleme ve Güvenlik Analizi

Logları etkin kullanmak, tehditleri erkenden tespit etmeyi sağlar. Journalctl veya tail komutlarıyla gerçek zamanlı izleme yapın. Kurumsal ekipler için script’ler otomatize eder ve uyarılar üretir.

Temel görüntüleme: sudo tail -f /var/log/ufw.log. Filtreleme için grep: grep "SRC=192.168.1.100" /var/log/ufw.log. Systemd journal ile: journalctl -u ufw -f. Bu komutlar, IP bazlı saldırıları (örneğin brute-force) hızlıca gösterir. Fail2ban entegrasyonu için log formatını doğrulayın.

Gelişmiş analizde, awk veya Python script’leri kullanın. Örnek script: Saldırı sayısını saymak için awk '/IN=/ {print $NF}' /var/log/ufw.log | sort | uniq -c | sort -nr. Bu, en aktif IP’leri listeler ve bloklama kararlarını hızlandırır. Düzenli inceleme, zero-day tehditlere karşı proaktif koruma sağlar.

Firewall rule logging, Ubuntu Server güvenliğinin temel taşlarından biridir. Bu rehberdeki adımları uygulayarak, loglamayı optimize edin, logları yönetin ve analiz edin. Düzenli denetimler ve otomasyonla, sunucunuzu kurumsal standartlarda koruyun. Pratik deneyimle, bu teknikler güvenlik olaylarını %50’ye varan oranda azaltabilir.