Ubuntu Server’da Firewall Logging Aktifleştirme

Ubuntu Server ortamlarında güvenlik yönetimi, sistem yöneticilerinin en kritik sorumluluklarından biridir. Firewall logging, ağ trafiğini izleyerek olası tehditleri tespit etmeyi, politika ihlallerini belgelemeyi ve forensic analizler için vazgeçilmez veri sağlar. Bu makalede, Ubuntu Server üzerinde varsayılan firewall aracı olan Uncomplicated Firewall (UFW) ile logging özelliğini adım adım aktifleştirme sürecini ele alacağız. Bu işlem, sunucunuzun güvenliğini artırırken, günlük dosyaları üzerinden şeffaf bir izleme imkanı sunar. Özellikle kurumsal ortamlarda, uyumluluk gereksinimleri ve olay yanıtı süreçleri için logging zorunludur. Aşağıdaki talimatlar, Ubuntu 20.04 ve üstü sürümler için optimize edilmiştir ve pratik uygulamalara odaklanmaktadır.

UFW Kurulumu ve Temel Yapılandırma

UFW, Ubuntu’nun hafif ve kullanıcı dostu firewall çözümüdür. Logging’i etkinleştirmeden önce UFW’nin düzgün kurulduğundan emin olunmak gerekir. Öncelikle, terminal üzerinden sudo apt update komutunu çalıştırarak paket listesini güncelleyin, ardından sudo apt install ufw ile UFW’yi yükleyin. Bu adım, sisteminizde UFW’nin mevcut olup olmadığını kontrol eder ve gerekirse kurar.

UFW’yi etkinleştirmek için sudo ufw enable komutunu kullanın. Varsayılan olarak incoming trafiği engelleyip outgoing’i izin veren politika ayarlayın: sudo ufw default deny incoming ve sudo ufw default allow outgoing. SSH erişimini korumak adına sudo ufw allow OpenSSH ekleyin. Bu temel yapılandırma, logging devreye alındığında trafiğin güvenli bir şekilde kaydedilmesini sağlar. Kurulum sonrası sudo ufw status verbose ile durumu doğrulayın; logging off olarak görünecektir.

Gerekli Paketlerin Doğrulanması

UFW logging için rsyslog servisinin çalışır durumda olması şarttır. sudo systemctl status rsyslog ile kontrol edin; aktif değilse sudo systemctl start rsyslog ve sudo systemctl enable rsyslog komutlarını uygulayın. Bu servis, UFW loglarını /var/log/ufw.log dosyasına yönlendirir. Ek olarak, journald entegrasyonu için systemd-journald’nin güncel olduğundan emin olun. Bu adımlar, log verilerinin tutarlı ve erişilebilir olmasını garanti eder, kurumsal denetimlerde kritik öneme sahiptir.

Firewall Logging Seviyelerini Ayarlama

Logging seviyesi, kaydedilecek olayların detay düzeyini belirler. UFW dört seviye sunar: off, low, medium, full ve high (medium varsayılan). sudo ufw logging low komutuyla düşük seviyeyi aktifleştirin; bu, yalnızca bloklanan paketleri kaydeder ve performans etkisini minimize eder. Medium seviye için sudo ufw logging medium kullanın; invalid paketler ve limit ihlalleri de dahil edilir. Yüksek detay için sudo ufw logging full uygundur, ancak disk alanı ve CPU kullanımını artırır.

1. sudo ufw logging on: Logging’i genel olarak açar (medium seviye).
2. Değişiklikleri test etmek için başka bir terminalden trafiği simüle edin, örneğin telnet sunucu_ip 80.
3. sudo ufw reload ile konfigürasyonu yenileyin.

Bu ayarlar /etc/ufw/ufw.conf dosyasında LoggingLevel parametresiyle kalıcı hale getirilebilir. Düzenleme sonrası yeniden yükleyin. Kurumsal sunucularda medium seviye önerilir; hem yeterli detay sağlar hem de kaynak tüketimini dengeler.

Seviye Farklılıkları ve Etkileri

Low: Yalnızca policy deny ve reject’leri loglar, hızlıdır. Medium: Rate limited ve invalid paketleri ekler, IDS benzeri işlev görür. Full: Broadcast/multicast trafiği dahil tüm paketleri yakalar, ancak yüksek hacimli ortamlarda log rotasyonu gerektirir. Seviye seçimi, sunucu trafiğine göre yapılmalıdır; örneğin web sunucularda full, veritabanı sunucularda low tercih edilebilir. Değişiklik sonrası tail -f /var/log/ufw.log ile gerçek zamanlı izleyin.

Log Dosyalarını İzleme ve Yönetim

UFW logları varsayılan olarak /var/log/ufw.log’da tutulur. Gerçek zamanlı görüntüleme için tail -f /var/log/ufw.log komutunu kullanın; timestamp, IP kaynak/hedef, port ve action (ALLOW/DENY) detaylarını gösterir. Örnek satır: [UFW BLOCK] IN=eth0 OUT= SRC=192.168.1.100 DST=10.0.0.1 PROTO=TCP SPT=12345 DPT=22. Bu veri, brute-force saldırılarını tespit etmekte etkilidir.

Log rotasyonu için logrotate yapılandırın: /etc/logrotate.d/ufw dosyasını inceleyin ve retention süresini ayarlayın (örneğin weekly rotate 4). Analiz için grep kullanın: grep "DPT=22" /var/log/ufw.log | wc -l ile SSH denemelerini sayın. Fail2ban entegrasyonu için log path’ini /etc/fail2ban/jail.local’da belirtin. Bu yöntemler, proaktif güvenlik sağlar.

Gelişmiş Analiz Teknikleri

Awstats veya GoAccess gibi araçlarla logları görselleştirin; manuel olarak awk ile özetleyin: awk '{print $NF}' /var/log/ufw.log | sort | uniq -c | sort -nr en sık action’ları listeler. Uzun vadeli depolama için logları merkezi bir SIEM’e (örneğin ELK Stack) yönlendirin, ancak yerel yönetim için journalctl -u rsyslog ile systemd loglarını sorgulayın. Düzenli inceleme, zero-day tehditlere karşı erken uyarı verir ve uyumluluk raporları üretir.

UFW logging’i aktifleştirmek, Ubuntu Server’ınızın güvenliğini katmanlı hale getirir ve olay sonrası analizleri hızlandırır. Bu adımları uygulayarak, trafiğinizi şeffaf bir şekilde denetleyebilir, politikaları optimize edebilir ve potansiyel riskleri minimize edebilirsiniz. Düzenli bakım ve seviye ayarlamalarıyla, kurumsal standartlara tam uyum sağlayın; güvenlik bir süreçtir, sürekli izleme anahtardır.