"Enter"a basıp içeriğe geçin
Sunucu Kurulumu Güvenliği: SSH, Kullanıcı Yönetimi ve Firewall ile Temel Şablon

Sunucu Kurulumu Güvenliği: SSH, Kullanıcı Yönetimi ve Firewall ile Temel Şablon

Tarih: 21 Nisan 2026 | Yazar: admin

Sunucu kurulumu güvenliği, işletmenizin dijital güvenliğinin temel taşlarından biridir. Doğru yapılandırılmamış bir sunucu, sadece saldırı riskini artırmakla kalmaz; performans düşüşleri ve uyumsuzluk sorunlarına da yol açabilir. Bu rehberde, SSH güvenliği, kullanıcı yönetimi, firewall ve log politikaları açısından uygulanabilir bir temel yapılandırma şablonu sunuyoruz. Adımları takip etmek, hack girişimlerine karşı dayanıklılığı artırır ve olay sonrası incelemeleri kolaylaştırır. Peki, bu adımları nereden başlamalısınız? Cevap: sistem odanızı güvenli bir şekilde kurmakla başlayın ve her katmanda kayıtlı bir politika oluşturun.

İçindekiler

Sunucu kurulumu güvenli SSH konfigürasyonu ve anahtar yönetimi

Güvenli bir SSH konfigürasyonu, sunucunun dışa açık kapısını güvenli hale getirir. En temel adımlardan biri, kimlik doğrulama için anahtar tabanlı yöntemi devreye almak ve şifre tabanlı oturumları devre dışı bırakmaktır. Ayrıca, kök kullanıcıya doğrudan erişimi engellemek, SSH protokolünü güvenli sürüm olan 2 ile sabitlemek ve gerektiğinde portu değiştirmek etkili önlemler arasındadır. (İsteğe bağlı olarak, portu değiştirmek, otomatik tarama yükünü azaltabilir; fakat bu tek başına güvenlik sağlamaz, ek katman gerekir.)

  • Anahtar tabanlı kimlik doğrulama: Sunucuya giriş için public/private anahtar çifti kullanın. Parola ile girişleri kapatın: PasswordAuthentication no.
  • Kök kullanıcı erişimini kısıtlayın: PermitRootLogin no olarak ayarlayın ve mümkünse sadece belirli kullanıcıların SSH kullanmasına izin verin.
  • Güvenlik protokolü ve konfigürasyon: Protocol 2, ChallengeResponseAuthentication no, UsePAM yes gibi ayarları düşünün.
  • Anahtar yönetimi: Anahtarlarınızı güvenli bir şekilde depolayın, anahtarları çöpe atır gibi bırakmayın ve periyodik olarak anahtar yenileme yapın.
  • Güçlü güvenlik katmanı: Fail2ban veya benzeri araçlarla brute-force saldırılarını sınırlayın ve kısa süreli IP engellemeleri uygulayın.

Komut örnekleri dikkatli kullanılmalıdır. Örneğin, Ubuntu/NODE dağıtımlarında /etc/ssh/sshd_config dosyasını düzenlerken şu satırlar tipiktir: Protocol 2, PermitRootLogin no, PasswordAuthentication no, PermitEmptyPasswords no. Değişikliklerden sonra systemctl reload sshd ile yeniden yükleme yapılır. Ayrıca, anahtar tabanlı kimlik doğrulama için authorized_keys dosyasına kullanıcı public anahtarını eklemek gerekir. Bu adımlar, uzaktan bağlantı güvenliğini önemli ölçüde artırır.

Güvenli SSH anahtar yönetimini gösteren sunucu odası close-up
Güvenli SSH anahtar yönetimini gösteren sunucu odası close-up

Kullanıcı yönetimi: yetki dağılımı ve güvenli hesaplar

Kullanıcı yönetimi, güvenliğin merkezinde yer alır. Cogu güvenlik ihlali, zayıf hesaplar ya da gereksiz yetkilerden kaynaklanır. En mantıklı yaklaşım, her kullanıcının yalnızca ihtiyaç duyduğu yetkileri almasıdır. Ayrıca, paylaşılan hesaplar yerine bireysel hesaplar ve çok faktörlü kimlik doğrulama (2FA) kullanımı tavsiye edilir. Aşağıdaki adımlar bunu somutlaştırır.

  • Hesap ayrımı: Her çalışanın veya servisin kendi hesabı olsun. sudo yetkisi olan hesaplar için ayrı bir grup ve izleme sağlayın.
  • Güvenli sudo politikası: visudo ile sadece güvenli kullanıcıları yetkili yapın; belirli komutlar için sınırlı izin verin.
  • 2FA entegrasyonu: SSH erişimi için MFA kullanımı, özellikle yönetici hesaplarında güvenliği artırır.
  • Hesap devre dışı bırakma ve süre sınırı: uzun süredir kullanılmayan hesapları kapanışa alın; kullanıcıların hesaplarını periyodik olarak inceleyin.

Pratik örnek:

  1. Yeni bir yönetici hesabı oluşturun: adduser admin_kullanici.
  2. Sudo grubuna ekleyin: usermod -aG sudo admin_kullanici.
  3. /etc/sudoers üzerinde gereksiz komutlardan korunmak için kısıtlamalar ekleyin.
  4. SSH üzerinden 2FA için PAM modüllerini devreye alın ve kullanıcıya özel MFA zorunluluğunu uygulayın.

Bu yapı, yalnızca kimlik doğrulama güvenliğini değil, hesap davranışlarını da izlenebilir kılar. Deneyimlerimize göre, hesap güvenliğini güçlendirmek, ihlallerin %40-50 civarında azaltılabileceği durumlar yaratır. Bu önemli bir farktır.

Firewall yapılandırması: Trafik kontrolü ve ağ güvenliği

Firewall, dışardan gelen istekleri filtreleyen ilk savunma hattını oluşturur. Basit bir kural setiyle bile ciddi güvenlik kazanımları elde edilebilir. Burada, uçtan uca bir yaklaşım benimsenir: varsayılan olarak tüm trafiği engelleyin, sadece gerekli portları açın ve lojistik ağlar için kuralları netleştirin.

  • Varsayılan politikalar: deny all veya default deny yaklaşımıyla başlayın; ardından gerekli trafiğe izin verin.
  • Gelen trafiğin kısıtlanması: SSH için özel port açın (ör. 2222) ve sadece belirli IP aralıklarına izin verin.
  • Çıkış trafiği: Sunucunun dışa çıkış trafiğini gerekli olan hizmetlerle sınırlayın.
  • Hız sınırları ve loglama: SSH gibi kritik hizmetler için rate-limit ekleyin; firewall loglarını merkezi bir yere yönlendirin.

Uygulama örneği olarak ufw (Ubuntu/Debian) kullanımı şu şekilde özetlenebilir: ufw default deny incoming, ufw default allow outgoing, ufw allow 2222/tcp, ufw enable, ve ufw limit 2222/tcp ile brute-force riskini azaltın. Bu adımlar, ağ güvenliğini somut olarak güçlendirir.

Firewall kurallarını gösteren ağ güvenliği görseli
Firewall kurallarını gösteren ağ güvenliği görseli

Log politikaları ve merkezi log yönetimi

Olayları izlemek, güvenliğin ayrılmaz bir parçasıdır. Loglar sayesinde kimler ne zaman hangi işlemi yaptı diye geriye dönük inceleme yapılabilir. Merkezi log yönetimi, birden çok sunucunun loglarını tek noktada toplayıp analiz etmenizi sağlar. Aşağıdaki pratik öneriler dikkate alınmalıdır.

  • Yerel ve merkezi yönetişim: rsyslog, journald veya logstash gibi çözümlerle logları merkezi sunucuya yönlendirin.
  • Log formatları ve güvenliği: JSON tabanlı yapı, sadece gerektiğinde değiştirilmelidir. Loglar imzalanmalı ve depolama sırasında değiştirilmemelidir.
  • Rotasyon ve saklama politikası: Log dosyalarının boyutlarını sınırlayın ve periyodik arşivleme ile saklama süresini belirleyin.
  • İrsi olaylar için uyarılar: Şüpheli tekrar giriş denemeleri, başarısız oturum açma ve yetkisiz erişim girişimleri için otomatik uyarılar kurun.

Gerçek dünyadan bir not: Merkezi log yönetimi olmadığında, bir ihlalin tespit edilmesi ve hızlı müdahale imkanı azalır. Yapılan arastirmalara göre merkezi log çözümleri, olay müdahalesi süresini önemli ölçüde kısaltabilir ve uyum gereksinimlerini kolaylaştırabilir.

İşletim sistemi güncellemeleri ve güvenlik sürümü

Güncel tutulan bir işletim sistemi, bilinen güvenlik açıklarının kapatılması için en temel savunmadır. Paket güncellemelerini zamanında yapmak, güvenlik yamalarını uygulamak ve kerneli gerektiğinde güncellemek hayati önem taşır. Aşağıda, günlük uygulama için net öneriler var.

  • Otomatik güncellemeler: Debian/Ubuntu için unattended-upgrades paketini kullanabilir veya belirli kritik güvenlik güncellemelerini otomatik olarak alacak şekilde yapılandırabilirsiniz.
  • Paket yöneticileri: APT veya YUM/DNF ile güncelleme planını periyodik olarak çalıştırın; kritik güvenlik açıklarında manuel onay gerektiğini unutmayın.
  • Kernel güncellemeleri: Kernel güvenliğinin sağlanması için mümkün olduğunca sık kernel güncellemelerini uygulayın; reboot gereksinimini planlayın.
  • Sistem bildirimleri: Güncelleme durumu için loglar ve uyarı sistemleri kurun; güncelleme sonrası servislere dair testleri unutmayın.

İzlenebilirlik açısından, hangi güncellemelerin hangi sürümlere geldiğini ve uygulanıp uygulanmadığını bir değişiklik günlüğünde izlemek, uyum güvenliği açısından faydalıdır.

Merkezi log yönetimi paneli ve grafikler
Merkezi log yönetimi paneli ve grafikler

Güvenlik otomasyonu ve yapay zeka entegrasyonu

Günümüzün modern sunucu ortamlarında, güvenlik otomasyonu ve yapay zeka destekli analitik yaklaşımlar, saldırı davranışlarını erken tespit etmek için kullanılabilir. Basit örnekler arasında anomali tespiti, log analizlerinde kalıpları öğrenen modeller ve otomatik yanıt süreçleri sayılabilir. Detaylı uygulama için şu yönler değerlendirilebilir:

  • Anomali tespiti: Log verileri üzerinden olağandışı erişim kalıplarını otomatik olarak belirleyen modeller kurun.
  • Otomatik yanıtlar: Belirli şüpheli aktivitelerde kısa vadeli IP engellemeleri veya MFA zorunluluğunu tetikleyen politikalar uygulayın.
  • Güvenlik ve performans dengesi: AI tabanlı çözümler, kayıp performans olmadan güvenlik kontrolünü güçlendirebilir; mevcut altyapı ile entegrasyon sürecini dikkatle yönetin.

Not: Bu teknolojiler karmaşık olabilir; başlarda küçük bir pilot ile başlamak ve güvenlik ekibi ile koordineli ilerlemek en sağlıklısıdır.

Uyum ve belge yönetimi

Uyum, güvenliğin yazılı bir parçasıdır. Policy ve prosedürlerin yazılı olması, denetimler için referans sağlar. Aşağıdaki temel unsurları göz önünde bulundurun:

  • Dokümantasyon: SSH konfigürasyonu, kullanıcı yönetimi, firewall kuralları ve log politikaları için güncel dokümanlar oluşturun.
  • Depolama politikası: Logların saklama süresi, güvenlik politikalarına uygun olarak belirlenmelidir; aşırı veri maliyetine yol açmamalıdır.
  • Uyum denetimleri: Düzenli aralıklarla denetimler yapın; gerektiğinde güncelleme ve revizyonlar için sorumlu atayın.

Uyum odaklı bir yaklaşım, sadece güvenliği değil, operasyonel sürekliliği de destekler. Şirket politikalarınıza uygun bir yapı kurduğunuzda, iç ve dış paydaşlar için güvenilir bir altyapı sunmuş olursunuz.

FAQ

Sıkça sorulan sorular

  • En güvenli sunucu kurulumu için hangi SSH ayarları gereklidir? Anahtar tabanlı kimlik doğrulama, root login kapalı, Protocol 2 kullanımı ve PasswordAuthentication no tercihleri ile başlayın. Ayrıca logonun başarısız denemelerini engelleyen fail2ban veya benzeri çözümler ekleyin.
  • Kullanıcı yönetiminde hangi adımlar vazgeçilmezdir? Her kullanıcı için benzersiz hesaplar, gereksiz hesapların kapatılması, sudoers ile yetki kısıtlaması ve mümkünse 2FA kullanımıdır.
  • Merkezi log yönetimi neden önemli ve nasıl başlarım? Birden çok sunucunun logunu tek noktada toplamak olay müdahalesini hızlandırır. rsyslog, logstash gibi çözümlerle merkezi yapı kurun; logları güvenli biçimde saklayın ve otomatik uyarılar kurun.
  • Güncellemeler için en iyi uygulama nedir? Otomatik güvenlik güncellemelerini etkinleştirin, kritik yamalar için manuel onay süreçleri oluşturun ve güncelleme sonrası testleri unutmayın.

Sonuç olarak, güvenli bir sunucu kurulumu için adımların birbirini tamamlaması gerekir. SSH güvenliği, kullanıcı yönetimi, firewall ve log politikaları tek başına yeterli değildir; birlikte çalıştıklarında gerçek güvenlik katmanı oluştururlar. Şimdi bu adımları sınırları zorlamadan uygulamaya koyun ve gerektiğinde profesyonel destek almayı düşünün. Unutmayın, güvenlik bir yolculuktur — adım adım ilerlemek en sağlıklı yaklaşım.

İsterseniz size özel bir güvenlik değerlendirme planı çıkaralım. Hemen iletişime geçin ve güvenli sunucu kurulumunun ilk adımlarını birlikte atalım.

Tarih: Genel, Güvenlik, Linux ve Performans

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Yükleniyor...