D\u0131\u015f d\u00fcnyaya a\u00e7\u0131k her Linux sunucu, saniyeler i\u00e7inde taranmaya ba\u015flar. \u00d6zellikle zay\u0131f \u015fifreler, a\u00e7\u0131k b\u0131rak\u0131lm\u0131\u015f portlar ve g\u00fcncel olmayan paketler varsa, linux sunucu g\u00fcvenli\u011fi k\u00e2\u011f\u0131t \u00fczerinde kal\u0131r ve ilk otomatik taramada bile sistem ele ge\u00e7irilebilir. Can s\u0131k\u0131c\u0131 olan ise, \u00e7o\u011fu ihlalin \u00e7ok basit \u00f6nlemlerle engellenebilir olmas\u0131.<\/p>\n
Ger\u00e7ek hayatta \u00fcretim ortamlar\u0131n\u0131 y\u00f6netirken g\u00f6rd\u00fc\u011f\u00fcm ortak nokta \u015fu: G\u00fcvenlik hi\u00e7bir zaman tek bir b\u00fcy\u00fck ad\u0131mla gelmiyor. Tutarl\u0131, iyi planlanm\u0131\u015f ve tekrar edilebilir linux hardening ad\u0131mlar\u0131 olmadan, en pahal\u0131 donan\u0131m bile savunmas\u0131z kal\u0131yor. A\u015fa\u011f\u0131daki 10 temel ad\u0131m, \u00e7o\u011fu Linux sunucunun g\u00fcvenlik seviyesini dramatik \u015fekilde y\u00fckseltmek i\u00e7in yeterli bir \u00e7er\u00e7eve sunar.<\/p>\n
Bu ad\u0131mlar\u0131 uygularken hem ssh g\u00fcvenli\u011fi hem de genel sistem sertle\u015ftirmesi \u00fczerinde duraca\u011f\u0131z. \u00d6rnekler, \u00fcretim ortam\u0131nda \u00e7al\u0131\u015fan bir Linux sunucuyu esas al\u0131yor; dolay\u0131s\u0131yla her ad\u0131m\u0131 \u00f6nce test ortam\u0131nda denemenizi \u00f6zellikle \u00f6neririm.<\/p>\n
\u0130lk bak\u0131\u015fta 10 ad\u0131m \u00e7ok gibi g\u00f6r\u00fcnebilir, ama her biri net bir soruna odaklan\u0131r:<\/p>\n
\u015eimdi bu linux hardening ad\u0131mlar\u0131 aras\u0131ndan her birini, \u00fcretim ortam\u0131nda kullan\u0131labilir \u015fekilde tek tek a\u00e7al\u0131m.<\/p>\n
\u0130\u015fletim sistemi ve paket g\u00fcncellemeleri, linux sunucu g\u00fcvenli\u011fi i\u00e7in belki de en s\u0131k ihmal edilen ama en kritik konudur. \u00c7o\u011fu g\u00fcvenlik a\u00e7\u0131\u011f\u0131, yay\u0131nland\u0131ktan \u00e7ok k\u0131sa s\u00fcre sonra otomatik taramalarla istismar edilir; siz yama ge\u00e7 kal\u0131rsan\u0131z, sald\u0131rganlar h\u0131zl\u0131 davran\u0131r.<\/p>\n
Debian\/Ubuntu tabanl\u0131 sistemlerde temel komut \u015fu \u015fekildedir:<\/p>\n
sudo apt update && sudo apt upgrade -y<\/code><\/pre>\nRHEL\/CentOS\/AlmaLinux taraf\u0131nda ise:<\/p>\n
sudo dnf update -y<\/code><\/pre>\nBu komutlar \u00e7ekirdek dahil baz\u0131 bile\u015fenleri g\u00fcncelleyebilir ve reboot gerektirebilir. \u00dcretim ortam\u0131nda bu nedenle \u015fu prensiplere uyun:<\/p>\n
\n- \u00d6nce staging\/test sunucusunda g\u00fcncellemeyi deneyin<\/li>\n
- Bak\u0131m penceresi planlay\u0131n ve ilgili ekipleri bilgilendirin<\/li>\n
- \u00d6nemli servislere ait rollback plan\u0131 haz\u0131rlay\u0131n<\/li>\n
- Kritik paketlerin major s\u00fcr\u00fcm ge\u00e7i\u015flerinde de\u011fi\u015fiklik notlar\u0131n\u0131 mutlaka okuyun<\/li>\n<\/ul>\n
\u0130sterseniz otomatik g\u00fcvenlik g\u00fcncellemelerini etkinle\u015ftirebilirsiniz; fakat tam otomasyon yerine, sadece g\u00fcvenlik g\u00fcncellemelerini otomatik al\u0131p uygulamay\u0131 manuel tetiklemek daha kontroll\u00fc bir yakla\u015f\u0131md\u0131r.<\/p>\n
2. SSH g\u00fcvenli\u011fi i\u00e7in sald\u0131r\u0131 y\u00fczeyini k\u00fc\u00e7\u00fclt<\/h2>\n
Uzaktan eri\u015fim noktan\u0131z k\u0131r\u0131l\u0131rsa, sunucunun geri kalan\u0131 zaten anlams\u0131z hale gelir. Bu y\u00fczden ssh g\u00fcvenli\u011fi, linux sunucu g\u00fcvenli\u011fi i\u00e7inde ayr\u0131 bir ba\u015fl\u0131k olarak ele al\u0131nmal\u0131d\u0131r.<\/p>\n
Parola yerine anahtar temelli kimlik do\u011frulama kullan<\/h3>\n
Parola ile SSH eri\u015fimi a\u00e7\u0131k b\u0131rak\u0131lm\u0131\u015f her sunucu, kaba kuvvet sald\u0131r\u0131lar\u0131n\u0131n do\u011fal hedefi olur. Standart yakla\u015f\u0131m \u015fu olmal\u0131:<\/p>\n
\n- SSH i\u00e7in \u015fifreli giri\u015fleri kapat<\/li>\n
- Sadece SSH anahtar\u0131 (public key) ile giri\u015fe izin ver<\/li>\n
- Her kullan\u0131c\u0131 i\u00e7in ayr\u0131 anahtar \u00fcret ve payla\u015f\u0131m\u0131 asla kopyala-yap\u0131\u015ft\u0131r mant\u0131\u011f\u0131yla yapma<\/li>\n<\/ul>\n
SSH yap\u0131land\u0131rma dosyas\u0131n\u0131 d\u00fczenlerken (genellikle \/etc\/ssh\/sshd_config), \u00f6zellikle \u015fu parametrelere dikkat edin:<\/p>\n
# Parola ile giri\u015fi kapat\nPasswordAuthentication no\n\n# Root kullan\u0131c\u0131n\u0131n do\u011frudan giri\u015fini kapat\nPermitRootLogin no<\/code><\/pre>\nBu t\u00fcr de\u011fi\u015fikliklerden sonra ssh servisini yeniden ba\u015flatmadan \u00f6nce mutlaka ikinci bir oturum a\u00e7\u0131p anahtar\u0131n\u0131zla giri\u015f yapabildi\u011finizi test edin. Aksi halde sunucunun d\u0131\u015f\u0131nda kal\u0131rs\u0131n\u0131z.<\/p>\n
SSH portunu ve eri\u015fim k\u0131s\u0131tlar\u0131n\u0131 d\u00fczenle<\/h3>\n
SSH portunu 22 d\u0131\u015f\u0131na almak tek ba\u015f\u0131na bir g\u00fcvenlik \u00f6nlemi de\u011fildir, ama log g\u00fcr\u00fclt\u00fcs\u00fcn\u00fc ciddi bi\u00e7imde azalt\u0131r. As\u0131l kritik nokta, SSH eri\u015fimini g\u00fcvenilir IP aral\u0131klar\u0131yla s\u0131n\u0131rland\u0131rmakt\u0131r.<\/p>\n
\u00d6rne\u011fin firewall \u00fczerinde yaln\u0131zca ofis IP blo\u011funuza ve VPN a\u011f\u0131n\u0131za SSH izni verip, geri kalan trafi\u011fi engellemek pratik ve etkili bir \u00e7\u00f6z\u00fcmd\u00fcr. Ayr\u0131ca \u015funlar\u0131 g\u00f6zden ge\u00e7irin:<\/p>\n
\n- fail2ban veya benzeri ara\u00e7larla ba\u015far\u0131s\u0131z giri\u015f denemelerini engelleme<\/li>\n
- MFA (\u00e7ok fakt\u00f6rl\u00fc kimlik do\u011frulama) deste\u011fi varsa etkinle\u015ftirme<\/li>\n
- SSH \u00fczerinden port y\u00f6nlendirmelerini sadece gerekti\u011finde a\u00e7ma<\/li>\n<\/ul>\n
3. Kullan\u0131c\u0131, grup ve sudo yetkilerini sadele\u015ftir<\/h2>\n
Yetkilendirme karma\u015f\u0131k hale geldik\u00e7e, hatalar\u0131n fark edilmesi zorla\u015f\u0131r. Sa\u011flam bir linux sunucu g\u00fcvenli\u011fi modeli i\u00e7in ilke \u015fu olmal\u0131: Gerekenden fazlas\u0131n\u0131 asla verme.<\/p>\n
\u00d6nerilen yakla\u015f\u0131m:<\/p>\n
\n- Her ger\u00e7ek ki\u015fi i\u00e7in ayr\u0131 kullan\u0131c\u0131 hesab\u0131 a\u00e7<\/li>\n
- Servisler i\u00e7in sistem kullan\u0131c\u0131lar\u0131 kullan ve bu hesaplarla giri\u015f yap\u0131lmas\u0131n\u0131 engelle<\/li>\n
- Sudo yetkilerini sadece ger\u00e7ekten ihtiyac\u0131 olan kullan\u0131c\u0131larla s\u0131n\u0131rland\u0131r<\/li>\n
- Sudo kullan\u0131m\u0131n\u0131 log dosyalar\u0131nda d\u00fczenli olarak denetle<\/li>\n<\/ul>\n
\/etc\/sudoers veya \/etc\/sudoers.d alt\u0131ndaki dosyalarda yap\u0131lan her de\u011fi\u015fiklik, \u00fcretim ortam\u0131nda ciddi sonu\u00e7lar do\u011furabilir. Bu nedenle d\u00fczenleme yaparken visudo kullanmak, s\u00f6zdizimi hatalar\u0131n\u0131 \u00f6nlemek i\u00e7in zorunludur.<\/p>\n
sudo visudo<\/code><\/pre>\nAyr\u0131lan personel veya devre d\u0131\u015f\u0131 b\u0131rak\u0131lan projeler i\u00e7in hesap ve anahtar temizliklerini atlamay\u0131n. En s\u0131k g\u00f6rd\u00fc\u011f\u00fcm zafiyetlerden biri, y\u0131llar \u00f6nce ayr\u0131lm\u0131\u015f \u00e7al\u0131\u015fanlar\u0131n halen sunucularda aktif kullan\u0131c\u0131 ve SSH anahtarlar\u0131na sahip olmas\u0131d\u0131r.<\/p>\n
4. Firewall ile sadece gerekli portlar\u0131 a\u00e7\u0131k b\u0131rak<\/h2>\n
A\u011f taraf\u0131, linux hardening ad\u0131mlar\u0131 i\u00e7inde en g\u00f6r\u00fcn\u00fcr olanlardan biridir. D\u0131\u015far\u0131ya sadece ger\u00e7ekten ihtiyac\u0131n\u0131z olan portlar\u0131 a\u00e7mak, otomatik taramalara kar\u015f\u0131 ilk savunma hatt\u0131d\u0131r.<\/p>\n
Basit bir model olarak \u015fu kurallar\u0131 benimseyebilirsiniz:<\/p>\n
\n- Varsay\u0131lan politika: T\u00fcm gelen trafi\u011fi reddet<\/li>\n
- Sadece HTTP\/HTTPS, SSH ve gerekiyorsa belirli uygulama portlar\u0131n\u0131 a\u00e7<\/li>\n
- Y\u00f6netim eri\u015fimini m\u00fcmk\u00fcnse sadece VPN \u00fczerinden sa\u011fla<\/li>\n<\/ul>\n
Ubuntu taraf\u0131nda ufw, RHEL tabanl\u0131 sistemlerde firewalld veya do\u011frudan nftables\/iptables kullan\u0131labilir. \u00d6nemli olan, kurallar\u0131 dok\u00fcmante etmek ve de\u011fi\u015fiklikleri change management s\u00fcrecine ba\u011flamakt\u0131r.<\/p>\n
Firewall kural\u0131 eklerken canl\u0131da aktif ba\u011flant\u0131lar\u0131 kestirebilecek bir hata yapma riskiniz her zaman vard\u0131r. Bu y\u00fczden mutlaka mevcut oturumunuzu kapatmadan yeni bir oturum a\u00e7\u0131p ba\u011flant\u0131n\u0131z\u0131n devam etti\u011fini test edin.<\/p>\n
5. Gereksiz servisleri ve portlar\u0131 kapat<\/h2>\n
Firewall \u00fczerinde port kapatmak \u00f6nemli, ama yeterli de\u011fil. Sunucu \u00fczerinde gereksiz \u00e7al\u0131\u015fan her servis, potansiyel sald\u0131r\u0131 y\u00fczeyidir.<\/p>\n
D\u00fczenli aral\u0131klarla \u015fu kontrolleri yap\u0131n:<\/p>\n
\n- Hangi portlar dinlemede: netstat veya ss \u00e7\u0131kt\u0131s\u0131n\u0131 inceleyin<\/li>\n
- Her portun arkas\u0131ndaki servis ger\u00e7ekten gerekli mi, sorgulay\u0131n<\/li>\n
- Ge\u00e7ici testler i\u00e7in a\u00e7\u0131lm\u0131\u015f servisleri zaman\u0131nda kapat\u0131n<\/li>\n<\/ul>\n
sudo ss -tulpen<\/code><\/pre>\n\u00d6rne\u011fin, development a\u015famas\u0131nda b\u0131rak\u0131lm\u0131\u015f bir test veritaban\u0131 veya gereksiz bir RPC servisi, tahmin etti\u011finizden \u00e7ok daha b\u00fcy\u00fck a\u00e7\u0131klar olu\u015fturabilir. \u00dcretim ortam\u0131nda prensip \u015fu olmal\u0131: Kullan\u0131lmayan her servis kald\u0131r\u0131l\u0131r veya devre d\u0131\u015f\u0131 b\u0131rak\u0131l\u0131r.<\/p>\n
6. Dosya izinlerini ve kritik dizinleri g\u00f6zden ge\u00e7ir<\/h2>\n
Bir\u00e7ok ihlal senaryosunda, sald\u0131rgan sisteme s\u0131zd\u0131ktan sonra hassas bilgilere yanl\u0131\u015f yap\u0131land\u0131r\u0131lm\u0131\u015f dosya izinleri sayesinde ula\u015f\u0131yor. \u00d6zellikle web sunucular\u0131, uygulama loglar\u0131 ve yedekleme dizinleri dikkatle incelenmelidir.<\/p>\n
Temel prensipler:<\/p>\n
\n- Uygulama kodlar\u0131n\u0131n sahibi ile \u00e7al\u0131\u015ft\u0131ran kullan\u0131c\u0131y\u0131 ay\u0131r<\/li>\n
- Web k\u00f6k dizininde (\u00f6rne\u011fin \/var\/www) gereksiz yazma izni verme<\/li>\n
- Log dosyalar\u0131nda sadece ilgili servis kullan\u0131c\u0131s\u0131 ve yetkili y\u00f6neticilere okuma izni tan\u0131<\/li>\n
- SSH anahtarlar\u0131 (~\/.ssh) i\u00e7in izinleri d\u00fczenli kontrol et<\/li>\n<\/ul>\n
\u00d6zellikle ~\/.ssh dizini i\u00e7in tipik izinler \u015fu \u015fekilde olmal\u0131d\u0131r:<\/p>\n
chmod 700 ~\/.ssh\nchmod 600 ~\/.ssh\/authorized_keys<\/code><\/pre>\nGeli\u015ftirme ekipleri bazen pratik olsun diye t\u00fcm proje dizinlerine geni\u015f yazma izinleri verir. Bu k\u0131sa vadede i\u015fleri kolayla\u015ft\u0131r\u0131r gibi g\u00f6r\u00fcnse de, \u00fcretim ortam\u0131 i\u00e7in kabul edilebilir bir pratik de\u011fildir.<\/p>\n
7. Loglama, izleme ve uyar\u0131 mekanizmas\u0131n\u0131 kur<\/h2>\n
Hi\u00e7 log tutmayan bir sunucu ile savunma yapmak, g\u00f6zleriniz ba\u011fl\u0131yken ara\u00e7 kullanmaya benzer. Sa\u011flam bir linux sunucu g\u00fcvenli\u011fi yakla\u015f\u0131m\u0131, olaylar\u0131 sadece engellemeyi de\u011fil, ayn\u0131 zamanda tespit etmeyi de i\u00e7erir.<\/p>\n
En az\u0131ndan \u015fu bile\u015fenleri devreye al\u0131n:<\/p>\n
\n- SSH giri\u015f denemeleri ve sudo kullan\u0131m\u0131 i\u00e7in log analizi<\/li>\n
- Disk, CPU, RAM ve load ortalamas\u0131 i\u00e7in e\u015fik temelli alarmlar<\/li>\n
- Belirli say\u0131da ba\u015far\u0131s\u0131z kimlik do\u011frulama denemesinden sonra uyar\u0131<\/li>\n
- \u00d6nemli konfig\u00fcrasyon dosyalar\u0131ndaki de\u011fi\u015fiklikler i\u00e7in takip<\/li>\n<\/ul>\n
Merkezi log toplama (\u00f6rne\u011fin bir syslog sunucusuna g\u00f6nderim) \u00f6zellikle birden fazla sunucuyu y\u00f6netti\u011finiz ortamlarda kritik hale gelir. Sald\u0131r\u0131 durumunda, olaylar\u0131 korele etmek ve zaman \u00e7izelgesi olu\u015fturmak ancak merkezi loglar sayesinde m\u00fcmk\u00fcnd\u00fcr.<\/p>\n
8. Yedekleme ve felaket kurtarma plan\u0131 olu\u015ftur<\/h2>\n
G\u00fcvenli\u011fin as\u0131l s\u0131nav\u0131, bir \u015feyler ters gitti\u011finde ba\u015flar. Fidye yaz\u0131l\u0131mlar, yanl\u0131\u015fl\u0131kla silinen veriler veya ba\u015far\u0131s\u0131z bir g\u00fcncelleme sonras\u0131nda sisteminizi aya\u011fa kald\u0131rmak i\u00e7in sa\u011flam bir yedekleme stratejisine ihtiyac\u0131n\u0131z var.<\/p>\n
Pratikte dikkat edilmesi gereken ba\u015fl\u0131klar:<\/p>\n
\n- Yedekleme s\u0131kl\u0131\u011f\u0131: Veri de\u011fi\u015fim h\u0131z\u0131na g\u00f6re g\u00fcnl\u00fck, saatlik veya daha s\u0131k<\/li>\n
- Yedekleme t\u00fcr\u00fc: Tam, art\u0131ml\u0131, fark yedekleri kombinasyonu<\/li>\n
- Depolama yeri: Ayn\u0131 sunucuda tek kopya asla yeterli de\u011fildir<\/li>\n
- \u015eifreleme: \u00d6zellikle d\u0131\u015f ortama \u00e7\u0131kan yedekler mutlaka \u015fifrelenmeli<\/li>\n
- Geri d\u00f6n\u00fc\u015f testleri: Yedek almaktan daha \u00f6nemli olan, geri d\u00f6nebilmektir<\/li>\n<\/ul>\n
\u00dcretim ortam\u0131nda tavsiyem, en az\u0131ndan 3-2-1 kural\u0131na yak\u0131n bir model benimsemenizdir: En az \u00fc\u00e7 kopya, iki farkl\u0131 ortam ve bir kopya da farkl\u0131 lokasyonda olacak \u015fekilde tasar\u0131m yap\u0131n.<\/p>\n
9. Otomatik g\u00fcvenlik taramalar\u0131 ve hardening ara\u00e7lar\u0131 kullan<\/h2>\n
Elle kontrol her zaman gereklidir ama yeterli de\u011fildir. \u00d6zellikle b\u00fcy\u00fck ortamlarda linux hardening ad\u0131mlar\u0131 i\u00e7in otomatik ara\u00e7lara ihtiya\u00e7 duyars\u0131n\u0131z.<\/p>\n
Kullanabilece\u011finiz tip ara\u00e7 ve yakla\u015f\u0131mlar:<\/p>\n
\n- G\u00fcvenlik benchmarklar\u0131na (\u00f6rne\u011fin CIS) g\u00f6re otomatik konfig\u00fcrasyon denetimi<\/li>\n
- SSH, sudo, dosya izinleri ve kernel parametreleri i\u00e7in periyodik taramalar<\/li>\n
- Eksik g\u00fcvenlik yamalar\u0131n\u0131 raporlayan ara\u00e7lar<\/li>\n<\/ul>\n
Bu t\u00fcr ara\u00e7lar, insan hatas\u0131n\u0131 azalt\u0131r ve standart bir g\u00fcvenlik seviyesi olu\u015fturur. Ancak \u00e7\u0131kan raporlar\u0131 sorgulamadan k\u00f6r\u00fc k\u00f6r\u00fcne uygulamak, \u00f6zellikle \u00fcretim ortam\u0131nda ciddi yan etkilere yol a\u00e7abilir. Her \u00f6neriyi \u00f6nce test ortam\u0131nda deneyip etki analizini yapt\u0131ktan sonra devreye al\u0131n.<\/p>\n
10. Konfig\u00fcrasyon y\u00f6netimi ve altyap\u0131 standardizasyonu sa\u011fla<\/h2>\n
Elle kurcalanan, dok\u00fcmante edilmemi\u015f ve birbirinden farkl\u0131 yap\u0131land\u0131rmalara sahip sunucular, orta vadede y\u00f6netilemez hale gelir. Bu sadece operasyonel bir sorun de\u011fil, ayn\u0131 zamanda ciddi bir g\u00fcvenlik zafiyetidir.<\/p>\n
Sa\u011flam bir linux sunucu g\u00fcvenli\u011fi stratejisi i\u00e7in:<\/p>\n
\n- Sunucu kurulumlar\u0131n\u0131 olabildi\u011fince otomatikle\u015ftir<\/li>\n
- Konfig\u00fcrasyon y\u00f6netim ara\u00e7lar\u0131yla (\u00f6rne\u011fin Ansible tarz\u0131 \u00e7\u00f6z\u00fcmler) standart yap\u0131land\u0131rmalar olu\u015ftur<\/li>\n
- T\u00fcm de\u011fi\u015fiklikleri versiyon kontrol sistemi \u00fczerinden takip et<\/li>\n
- Roller baz\u0131nda (web, veritaban\u0131, cache gibi) net profil tan\u0131mlar\u0131 yap<\/li>\n<\/ul>\n
B\u00f6ylece yeni bir sunucu ekledi\u011finizde, ayn\u0131 g\u00fcvenlik politikalar\u0131n\u0131n otomatik olarak uygulanmas\u0131n\u0131 sa\u011flars\u0131n\u0131z. Elle yap\u0131lan ve ki\u015fiye ba\u011fl\u0131 ayarlar ortadan kalkt\u0131k\u00e7a, hem denetim hem de iyile\u015ftirme s\u00fcre\u00e7leri kolayla\u015f\u0131r.<\/p>\n
S\u00fcreklilik, denetim ve insan fakt\u00f6r\u00fc<\/h2>\n
G\u00fcvenlik tek seferlik bir proje de\u011fil, s\u00fcrekli devam eden bir s\u00fcre\u00e7tir. Bu 10 ad\u0131m, sa\u011flam bir ba\u015flang\u0131\u00e7 sunar ama burada durursan\u0131z birka\u00e7 ay i\u00e7inde risk seviyeniz yeniden y\u00fckselmeye ba\u015flar.<\/p>\n
\u00d6zellikle \u015fu pratikleri rutine d\u00f6n\u00fc\u015ft\u00fcrmeye \u00e7al\u0131\u015f\u0131n:<\/p>\n
\n- Ayl\u0131k veya \u00fc\u00e7 ayl\u0131k periyotlarla eri\u015fim listelerini g\u00f6zden ge\u00e7irmek<\/li>\n
- Y\u0131lda en az bir kez harici s\u0131zma testi veya g\u00fcvenlik de\u011ferlendirmesi yapt\u0131rmak<\/li>\n
- Geli\u015ftirme ve DevOps ekipleriyle d\u00fczenli g\u00fcvenlik odakl\u0131 geri bildirim toplant\u0131lar\u0131 yapmak<\/li>\n
- Yeni servis devreye al\u0131n\u0131rken g\u00fcvenlik kontrol listesini zorunlu hale getirmek<\/li>\n<\/ul>\n
Unutulmamas\u0131 gereken bir nokta daha var: \u00c7o\u011fu ihlalde teknik zafiyet kadar, hatta bazen ondan daha fazla, insan hatas\u0131 rol oynar. Payla\u015f\u0131lan parolalar, yetkisiz eri\u015fim taleplerine verilen h\u0131zl\u0131 ama yanl\u0131\u015f onaylar veya aceleyle atlanan kontroller, sald\u0131rganlar\u0131n i\u015fini kolayla\u015ft\u0131r\u0131r.<\/p>\n
G\u00fcvenlik seviyeni bug\u00fcn y\u00fckselt<\/h2>\n
Bu 10 ad\u0131m\u0131n tamam\u0131n\u0131 bir g\u00fcnde uygulamak zorunda de\u011filsiniz. Ancak bug\u00fcn i\u00e7inde en az birini \u00fcretim d\u0131\u015f\u0131 bir sunucuda test edip, sonras\u0131nda canl\u0131 sistemlere uyarlamaya ba\u015flaman\u0131z m\u00fcmk\u00fcn. \u0130lk ad\u0131m olarak SSH konfig\u00fcrasyonunuzu ve firewall kurallar\u0131n\u0131z\u0131 g\u00f6zden ge\u00e7irip, ard\u0131ndan kullan\u0131c\u0131 ve sudo yetkilerini sadele\u015ftirmeniz bile risk seviyenizi hissedilir derecede d\u00fc\u015f\u00fcr\u00fcr.<\/p>\n
E\u011fer Linux tabanl\u0131 altyap\u0131n\u0131z\u0131 g\u00fcvenli ve esnek bir platform \u00fczerinde \u00e7al\u0131\u015ft\u0131rmak istiyorsan\u0131z, kaynaklar\u0131 kolayca \u00f6l\u00e7ekleyebilece\u011finiz sanal sunucu \u00e7\u00f6z\u00fcmleri i\u015finizi ciddi anlamda kolayla\u015ft\u0131r\u0131r. \u00d6rne\u011fin, T\u00fcrkiye lokasyonunda performansl\u0131 VPS ar\u0131yorsan\u0131z VPS.TC Linux VPS sunucular\u0131<\/a> veya daha ayr\u0131nt\u0131l\u0131 kaynak kontrol\u00fc i\u00e7in VPS.TC VDS \u00e7\u00f6z\u00fcmleri<\/a> ile hem performans hem de g\u00fcvenlik a\u00e7\u0131s\u0131ndan tutarl\u0131 bir temel olu\u015fturabilirsiniz.<\/p>\n\u0130lk ad\u0131m olarak kendi ortam\u0131n\u0131z i\u00e7in k\u0131sa bir kontrol listesi \u00e7\u0131kar\u0131n, bu yaz\u0131daki 10 ba\u015fl\u0131\u011f\u0131 o listeye uyarlay\u0131n ve her ad\u0131m\u0131 dok\u00fcmante ederek ilerleyin. Birka\u00e7 hafta sonra loglar\u0131n\u0131za, uyar\u0131lar\u0131n\u0131za ve eri\u015fim kay\u0131tlar\u0131n\u0131za bakt\u0131\u011f\u0131n\u0131zda, aradaki fark\u0131 net bi\u00e7imde g\u00f6receksiniz.<\/p>\n
\nS\u0131k\u00e7a Sorulan Sorular<\/h2>\n\nLinux sunucu g\u00fcvenli\u011fi i\u00e7in ilk uygulanmas\u0131 gereken ad\u0131m nedir?<\/h3>\n
G\u00fcncel olmayan paketler \u00e7o\u011fu bilinen a\u00e7\u0131\u011f\u0131n temel nedenidir. Bu y\u00fczden \u00f6nce test ortam\u0131nda, sonra \u00fcretim ortam\u0131nda d\u00fczenli ve kontroll\u00fc g\u00fcvenlik g\u00fcncellemeleri uygulamak ilk ad\u0131m olmal\u0131d\u0131r.<\/p>\n<\/div>\n
\nSSH g\u00fcvenli\u011fini art\u0131rmak i\u00e7in hangi ayarlar zorunlu kabul edilmeli?<\/h3>\n
Parola ile giri\u015fi kapatmak, sadece anahtar temelli kimlik do\u011frulama kullanmak, root kullan\u0131c\u0131s\u0131n\u0131n do\u011frudan SSH eri\u015fimini yasaklamak ve yetkili IP aral\u0131klar\u0131 d\u0131\u015f\u0131ndan eri\u015fimi firewall ile engellemek temel ad\u0131mlar olarak kabul edilmelidir.<\/p>\n<\/div>\n
\nLinux hardening ad\u0131mlar\u0131 ne s\u0131kl\u0131kla g\u00f6zden ge\u00e7irilmelidir?<\/h3>\n
Yeni a\u00e7\u0131klar, paket g\u00fcncellemeleri ve mimari de\u011fi\u015fiklikler nedeniyle hardening ayarlar\u0131n\u0131 en az \u00fc\u00e7 ayda bir g\u00f6zden ge\u00e7irmek ve \u00f6nemli de\u011fi\u015fikliklerden sonra ek denetim yapmak sa\u011fl\u0131kl\u0131 bir yakla\u015f\u0131md\u0131r.<\/p>\n<\/div>\n
\nYedekleme olmadan linux sunucu g\u00fcvenli\u011fi yeterli olur mu?<\/h3>\n
Hi\u00e7bir zaman olmaz. En iyi korunmu\u015f sistem bile disk ar\u0131zas\u0131, insan hatas\u0131 veya fidye yaz\u0131l\u0131m nedeniyle kullan\u0131lamaz hale gelebilir. Test edilmi\u015f ve d\u00fczenli \u015fekilde \u00e7al\u0131\u015fan bir yedekleme ve geri d\u00f6n\u00fc\u015f plan\u0131, g\u00fcvenlik stratejisinin ayr\u0131lmaz bir par\u00e7as\u0131d\u0131r.<\/p>\n<\/div>\n<\/div>\n