Linux Sunucu Güvenliği İçin 10 Kritik Ayar
SSH sertleştirme, Fail2Ban, iptables ve WAF dahil — production ortamında uygulamanız gereken 10 kritik Linux sunucu güvenlik adımı.
Linux Sunucu Güvenliği İçin Yapılması Gereken 10 Kritik Ayar
Linux sunucular performans ve esneklik açısından güçlü olsa da varsayılan kurulumlar çoğu zaman yeterli güvenliği sağlamaz. Özellikle internet erişimine açık VPS ve dedicated sunucular sürekli olarak botlar, brute-force saldırıları ve exploit taramalarıyla karşı karşıya kalır.
Bu yazıda Linux sunucu güvenliğini artırmak için uygulanması gereken en önemli 10 güvenlik ayarını anlatıyorum.
1. Root SSH Girişini Kapatın
Root kullanıcısının doğrudan SSH erişimine açık olması ciddi güvenlik riskidir.
SSH yapılandırma dosyasını düzenleyin:
nano /etc/ssh/sshd_config
Aşağıdaki satırı değiştirin:
PermitRootLogin no
Daha sonra SSH servisini yeniden başlatın:
systemctl restart ssh
2. SSH Portunu Değiştirin
Bot saldırılarının büyük kısmı 22 portunu hedef alır.
Örneğin:
Port 22022
Port değiştirmek tek başına güvenlik sağlamaz ancak gereksiz saldırı trafiğini azaltır.
3. Fail2Ban Kurulumu Yapın
Fail2Ban başarısız giriş denemelerini analiz ederek saldırgan IP adreslerini otomatik engeller.
Kurulum:
apt install fail2ban -y
Servis durumu:
systemctl status fail2ban
4. Güçlü Firewall Yapılandırması Kullanın
UFW veya iptables kullanarak yalnızca gerekli portları açın.
Örnek UFW yapılandırması:
ufw allow 80
ufw allow 443
ufw allow 22022
ufw enable
5. Gereksiz Servisleri Kapatın
Kullanmadığınız servisler saldırı yüzeyini büyütür.
Aktif servisleri listeleyin:
systemctl list-units --type=service
Gereksiz servisleri devre dışı bırakın.
6. Otomatik Güvenlik Güncellemelerini Açın
Ubuntu/Debian sistemlerde:
apt install unattended-upgrades
Bu özellik kritik güvenlik yamalarının otomatik kurulmasını sağlar.
7. ModSecurity ile WAF Kullanın
Web sunucularında WAF kullanımı büyük avantaj sağlar.
ModSecurity sayesinde:
- SQL Injection
- XSS
- LFI/RFI saldırıları
- Kötü bot trafiği
engellenebilir.
8. Log Takibi ve Monitoring Yapın
Birçok saldırı önce loglarda belirti verir.
Takip edilmesi gereken loglar:
/var/log/auth.log
/var/log/nginx/access.log
/var/log/syslog
Monitoring için:
- Netdata
- Prometheus
- Grafana
kullanabilirsiniz.
9. Cloudflare veya Reverse Proxy Kullanın
Gerçek IP adresinizi gizlemek ve DDoS riskini azaltmak için reverse proxy mimarisi önemlidir.
Özellikle:
- Rate limiting
- Bot filtering
- Geo blocking
kuralları aktif edilmelidir.
10. Düzenli Yedek Alma Stratejisi Oluşturun
Güvenlik yalnızca saldırıları engellemek değildir.
Olası veri kayıplarına karşı:
- Otomatik yedekleme
- Offsite backup
- Snapshot sistemi
kullanılmalıdır.
Sonuç
Linux sunucu güvenliği tek seferlik işlem değildir. Sürekli izleme, güncelleme ve iyileştirme gerektirir.
Özellikle internet erişimine açık sistemlerde temel güvenlik önlemleri alınmadığında sunucular çok kısa sürede saldırıların hedefi haline gelir.
Bu nedenle güvenlik; performans ve erişilebilirlik kadar kritik bir sistem bileşenidir.
Yorumlar
İlgili Yazılar
Linux Sunucu Güvenliği İçin Fail2Ban Gerçekten Yeterli mi?
Fail2Ban birçok Linux sunucuda ilk güvenlik katmanı olarak kullanılıyor. Peki production ortamında gerçekten yeterli mi?
4 dkGüvenlikNginx Rate Limiting ile Layer 7 DDoS Koruması
Cloudflare arkasında gerçek IP doğrulaması, rate limiting ve Fail2Ban ile Layer 7 DDoS saldırılarına karşı Nginx güçlendirme rehberi.
2 dk