Konu İçeriği
Linux Sunucu Güvenliği Neden Kritik?
İlk Linux sunucumu kurduğumda güvenlik konusunda hiçbir şey bilmiyordum. Varsayılan SSH portu, root girişi açık, şifre ile erişim. İki hafta sonra logları incelediğimde binlerce başarısız giriş denemesi gördüm. Çin, Rusya, Brezilya’dan gelen botlar sunucumu saatlerce zorluyordu. O gün bir daha asla varsayılan ayarlarla sunucu çalıştırmadım.
Linux, web sunucularının %96’sında kullanılan bir işletim sistemi. Bu yaygınlık onu siber saldırıların da ana hedefi yapıyor. Bir Linux sunucusunu güvende tutmak için katmanlı bir güvenlik yaklaşımı gerekiyor. Tek bir önlem yetmiyor, birden fazla savunma hattı kurmalısınız.
Temel Güvenlik Önlemleri
Önceliklerinizi doğru belirlemek önemli. Ben şu tabloyu her sunucu kurulumunda kontrol listesi olarak kullanıyorum:
| Kategori | Önlem | Öncelik |
|---|---|---|
| SSH Güvenliği | Anahtar tabanlı kimlik doğrulama | Kritik |
| SSH Güvenliği | Root girişini devre dışı bırakma | Kritik |
| Güvenlik Duvarı | UFW/iptables yapılandırması | Yüksek |
| Güncellemeler | Otomatik güvenlik güncellemeleri | Kritik |
| Kullanıcı Yönetimi | En düşük yetki ilkesi | Yüksek |
| İzleme | Günlük izleme ve uyarı | Yüksek |
| Yedekleme | Düzenli otomatik yedekler | Kritik |
| İzinler | Dosya izinleri kontrolü | Orta |
Ben her zaman SSH güvenliğinden başlıyorum. Çünkü sunucunuza dışarıdan erişimin tek yolu bu. SSH güvenli değilse, diğer tüm önlemler anlamsız kalıyor.
SSH Yapılandırması
SSH ayarlarını değiştirmek ilk yapmanız gereken iş. Varsayılan ayarlar saldırganlara çok büyük kolaylık sağlıyor. Ben şu yapılandırmayı her sunucuda uyguluyorum:
# /etc/ssh/sshd_config dosyasını düzenleyin
Port 2222 # Varsayılan portu değiştirin
PermitRootLogin no # Root girişini yasaklayın
PasswordAuthentication no # Parola girişini kapatın
PubkeyAuthentication yes # Anahtar tabanlı giriş
MaxAuthTries 3 # Maksimum deneme sayısıPortu değiştirmek basit ama etkili. Ben 22 yerine 2222 kullanıyorum. Bu, otomatik tarayan botların %99’unu savuşturuyor. Tabi bu tek başına yeterli değil, anahtar tabanlı kimlik doğrulama da şart. Ben her sunucuma özel SSH anahtarı oluşturuyorum, şifre ile giriş tamamen kapalı.
Güvenlik Duvarı Kurulumu
Güvenlik duvarı olmadan sunucu çalıştırmak, evinizin kapısını açık bırakmak gibi. UFW (Basit Güvenlik Duvarı) kurulumu çok kolay:
# UFW ile temel güvenlik duvarı
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2222/tcp # SSH
sudo ufw allow 80/tcp # HTTP
sudo ufw allow 443/tcp # HTTPS
sudo ufw enableBen kuralım basit: varsayılan olarak gelen her şeyi engelle, sadece gerekli portları aç. Web sunucusu için 80 ve 443, SSH için kullandığınız port. Başka bir şeye gerek yok. Bir kez fazladan port açmıştım, gereksiz yere saldırı yüzeyi genişlemişti.
Saldırı Önleme: Fail2Ban
SSH güvenliğinizi üst seviyeye taşımak için Fail2Ban kurmalısınız. Bu araç, tekrar tekrar başarısız giriş deneyen IP adreslerini otomatik engelliyor. Benim sunucumda bir IP üç kez yanlış şifre girerse 24 saat boyunca banlanıyor.
- SSH deneme sayısını sınırlayın. Ben üç deneme olarak ayarlıyorum.
- Şüpheli IP’leri otomatik engelleyin. Fail2Ban bunu sizin yerinize yapıyor.
- Özelleştirilebilir filtre kuralları tanımlayın. Web sunucusu loglarını da izleyebilirsiniz.
- E-posta bildirimleri ayarlayın. Ben her ban durumunda e-posta alıyorum.
Otomatik Güvenlik Güncellemeleri
Güncellemeleri ertelemek en sık yapılan hatalardan biri. Ben bir süre güncellemediğim sunucumda bilinen bir açık yüzünden dosya kaybettim. O günden beri otomatik güvenlik güncellemesi aktif:
# Ubuntu/Debian
sudo apt install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgradesBu ayar sadece güvenlik güncellemelerini otomatik kuruyor. Normal paket güncellemeleri sizin kontrolünüzde kalıyor. Ben her Pazar sabahı manuel olarak tam güncelleme yapıyorum.
Güvenlik Denetim Araçları
Sunucunuzu düzenli olarak denetlemek, gözden kaçan açıkları yakalamak için önemli. Ben şu araçları kullanıyorum:
- Lynis: Açık kaynak güvenlik denetim aracı. Sunucunuzu tarayıp 100 üzerinden puan veriyor. Benim hedefim her zaman 85 ve üzeri.
- RKHunter: Rootkit tespit aracı. Haftada bir çalıştırıyorum, şüpheli dosya değişikliklerini raporluyor.
- ClamAV: Açık kaynak antivirüs. Özellikle dosya yüklemesi kabul eden sunucularda şart.
- OSSEC: Sunucu tabanlı saldırı tespit sistemi. Logları gerçek zamanlı analiz ediyor.
Sonuç
Linux sunucu güvenliği tek bir adımla sağlanamaz. Benim yaklaşımım katmanlı savunma: SSH güvenliği, güvenlik duvarı, otomatik güncelleme, saldırı tespit ve düzenli denetim. Her katman eklendiğinde güvenlik seviyeniz artıyor. Unutmayın, en güvenli sunucu internete bağlı olmayan sunucudur. Ama internete bağlayacaksanız, en azından kapıyı kilitleyin.
