Pardus Linux Cihazları Sıkılaştırma (Hardening)

Siber Güvenlik Açısından Sunucu, İstemci ve Ağ Cihazlarının Güvenli Hale Getirilmesi



Giriş

Bir sistem ilk kurulduğunda üretici tarafından genel kullanıma uygun şekilde yapılandırılmıştır. Bu yapılandırma kullanım kolaylığı sağlasa da güvenlik açısından birçok açık barındırabilir.

Siber saldırganların büyük bölümü;

  • Yanlış yapılandırılmış sistemleri

  • Güncellenmemiş yazılımları

  • Gereksiz çalışan servisleri

  • Varsayılan hesapları

  • Zayıf parolaları

  • Açık ağ portlarını

hedef alırlar.

Bu nedenle profesyonel kurumlarda ilk yapılan işlemlerden biri Hardening (Sıkılaştırma) sürecidir.

Hardening, yalnızca saldırıları engellemek değil, aynı zamanda saldırı yüzeyini mümkün olduğunca küçültmektir.


Hardening Nedir?

Hardening;

Bir işletim sistemi, sunucu, ağ cihazı, uygulama veya veritabanının gereksiz tüm risklerden arındırılarak güvenli hale getirilmesidir.

Amaç;

  • Saldırı yüzeyini azaltmak

  • Yetkisiz erişimi engellemek

  • Veri sızıntısını önlemek

  • Yönetici hesaplarını korumak

  • Güvenlik standartlarına uyum sağlamaktır.


Hardening'in Temel Prensipleri

En önemli güvenlik prensipleri şunlardır.

1. Least Privilege (En Az Yetki)

Her kullanıcı yalnızca ihtiyaç duyduğu kadar yetkiye sahip olmalıdır.

Yanlış:

Tüm kullanıcılar sudo yetkisine sahip.

Doğru:

Yalnızca sistem yöneticileri sudo kullanabilir.

2. Need to Know

Bir kullanıcı yalnızca görmesi gereken verilere erişebilmelidir.

Örneğin;

Muhasebe personeli

Web sunucusundaki log dosyalarını göremez.


3. Defense in Depth

Tek katmanlı güvenlik yeterli değildir.

Örnek;

Firewall
IDS
IPS
Antivirüs
EDR
MFA
Log Analizi

Katmanlı savunma en güvenli yaklaşımdır.


4. Secure by Default

Varsayılan ayarlar güvenli hale getirilmelidir.

Örneğin;

  • SSH Root Login kapalı

  • Güçlü parola politikası

  • Gereksiz servisler kapalı


Hardening Yapılacak Sistemler

Hardening yalnızca Linux için değildir.

Aşağıdaki tüm sistemlere uygulanır.

  • Linux Sunucuları

  • Windows Sunucuları

  • Windows İstemcileri

  • Pardus

  • Ubuntu

  • Debian

  • Red Hat

  • VMware ESXi

  • Docker Host

  • Kubernetes

  • Router

  • Firewall

  • Switch

  • NAS

  • Veritabanı Sunucuları

  • Web Sunucuları

  • Mail Sunucuları


Hardening Aşamaları

Profesyonel ortamda genellikle aşağıdaki sırayla ilerlenir.

Envanter
Risk Analizi
Güncelleme
Servis Temizliği
Kullanıcı Hesapları
Parola Politikaları
Firewall
Loglama
Denetim
Sürekli İzleme

1. İşletim Sistemini Güncel Tutmak

En önemli adımdır.

Linux

sudo apt update
sudo apt full-upgrade

Pardus

sudo apt update
sudo apt upgrade

RedHat

sudo dnf update

2. Gereksiz Paketleri Kaldırmak

Sunucuda kullanılmayan yazılımlar saldırı yüzeyini artırır.

Örneğin;

FTP
Telnet
RSH
NFS
Samba
Apache
Postfix

Kullanılmıyorsa kaldırılmalıdır.

Kurulu paketler

dpkg -l

3. Gereksiz Servisleri Kapatmak

Çalışan servisleri görüntüle

systemctl list-units --type=service

Servisi durdur

sudo systemctl stop cups

Kalıcı kapat

sudo systemctl disable cups

Mask

sudo systemctl mask cups

4. Açık Portları Kontrol Etmek

ss -tulpn

veya

netstat -tulpn

Örnek çıktı

22 SSH
80 HTTP
443 HTTPS
631 CUPS

631 kullanılmıyorsa kapatılmalıdır.


5. Firewall Kullanımı

Linux

ufw

veya

nftables

Temel örnek

sudo ufw default deny incoming
sudo ufw allow 22
sudo ufw allow 443
sudo ufw enable

6. SSH Hardening

SSH en çok hedef alınan servistir.

Root Login'i Kapatın

PermitRootLogin no

Parola Yerine Anahtar

PasswordAuthentication no
PubkeyAuthentication yes

SSH Portunu Değiştirmek

Port 2222

Tek başına güvenlik sağlamaz ancak otomatik taramaları azaltabilir.


Belirli Kullanıcılar

AllowUsers admin

Idle Timeout

ClientAliveInterval 300
ClientAliveCountMax 0

Fail2Ban

SSH brute-force saldırılarını engeller.

Kurulum

sudo apt install fail2ban

7. Güçlü Parola Politikaları

Öneriler

Minimum

14 karakter

İçermeli

  • Büyük harf

  • Küçük harf

  • Sayı

  • Özel karakter

Kullanılmamalı

123456
password
admin
pardus
root

8. MFA Kullanımı

SSH

VPN

Mail

Web Panel

mutlaka MFA ile korunmalıdır.


9. Kullanılmayan Hesapları Silmek

cat /etc/passwd

Kilit

sudo usermod -L kullanıcı

Sil

sudo deluser kullanıcı

10. Dosya İzinlerini Düzenlemek

Kontrol

ls -la

Yetki

chmod 640 dosya

Sahip

chown root:root dosya

11. SUID Dosyalarını Kontrol Etmek

find / -perm -4000

Gereksiz olanlar incelenmelidir.


12. Log Yönetimi

journalctl
/var/log/auth.log
/var/log/syslog

Merkezi log yönetimi önerilir.


13. Audit Sistemi

Linux

auditd

Kurulum

sudo apt install auditd

14. Dosya Bütünlüğü

Araçlar

  • AIDE

  • Tripwire

  • Samhain

AIDE

sudo apt install aide

15. Kernel Hardening

Örnek

/etc/sysctl.conf

IP Forwarding

net.ipv4.ip_forward = 0

ICMP Redirect

net.ipv4.conf.all.accept_redirects = 0

Source Route

net.ipv4.conf.all.accept_source_route = 0

Martian Log

net.ipv4.conf.all.log_martians = 1

16. BIOS/UEFI Güvenliği

  • BIOS parolası

  • Secure Boot

  • TPM

  • USB Boot kapalı

  • PXE Boot kapalı


17. Disk Şifreleme

Linux

LUKS

Windows

BitLocker

macOS

FileVault

18. Antivirüs / EDR

Linux için

  • ClamAV

  • Microsoft Defender for Endpoint

  • CrowdStrike Falcon

  • SentinelOne


19. Zaman Senkronizasyonu

chrony

veya

systemd-timesyncd

Doğru zaman, log analizinin doğruluğu için kritik öneme sahiptir.


20. Güvenlik Taramaları

Sıkılaştırma sonrasında sistemin doğrulanması gerekir.

Araçlar

  • Lynis

  • OpenSCAP

  • CIS-CAT Lite

  • Nmap

  • Nessus

  • Greenbone/OpenVAS

Örneğin, Lynis sistemi tarayarak eksik yapılandırmaları ve iyileştirme önerilerini raporlar. OpenSCAP ve CIS-CAT Lite ise sistemin güvenlik standartlarına uygunluğunu denetlemek için kullanılabilir.


Pardus Sunucuları İçin Önerilen Hardening Adımları

KontrolDurum
Güncellemeler yapılmış    
Gereksiz servisler kapalı    
SSH Root Login kapalı    
SSH Anahtar Doğrulama etkin    
UFW/NFTables yapılandırılmış    
Fail2Ban kurulu    
auditd etkin    
AIDE kurulmuş    
Güçlü parola politikası uygulanmış    
sudo yetkileri sınırlandırılmış    
Zaman senkronizasyonu aktif    
Merkezi log sunucusuna kayıt gönderiliyor    
Disk şifreleme etkin    
Düzenli yedekleme yapılıyor    

CIS Benchmark Nedir?

CIS (Center for Internet Security) Benchmark, işletim sistemleri, ağ cihazları, bulut servisleri ve uygulamalar için kabul görmüş güvenlik yapılandırma standartlarını sunan rehberlerdir. Kuruluşlar bu rehberleri uygulayarak sistemlerini güvenlik açısından daha dayanıklı hale getirebilir ve denetim süreçlerini kolaylaştırabilir.


Hardening Sonrası Doğrulama

Aşağıdaki kontroller düzenli olarak yapılmalıdır:

sudo lynis audit system
ss -tulpn
sudo ufw status verbose
sudo fail2ban-client status
sudo aide --check
sudo journalctl -p err -b

Bu kontroller; açık portları, güvenlik duvarı kurallarını, başarısız oturum açma girişimlerini, dosya bütünlüğünü ve sistem hatalarını düzenli olarak gözden geçirmenize yardımcı olur.


Yaygın Hardening Hataları

  • Güncelleme yapmadan sistemi internete açmak

  • Varsayılan kullanıcı hesaplarını silmemek veya devre dışı bırakmamak

  • Gereksiz servis ve portları açık bırakmak

  • Root hesabıyla günlük işlemler yapmak

  • SSH'da parola doğrulamasını açık bırakmak

  • Yedek almadan güvenlik değişiklikleri yapmak

  • Logları izlememek veya merkezi loglama kullanmamak

  • Güvenlik duvarını yanlış yapılandırmak

  • Yapılan değişiklikleri belgelendirmemek


Sonuç

Cihaz sıkılaştırma (Hardening), yalnızca birkaç ayar değiştirmekten ibaret değildir; işletim sistemi, ağ, kullanıcı yönetimi, servisler, dosya izinleri ve sürekli izleme süreçlerini kapsayan kapsamlı bir güvenlik yaklaşımıdır. Düzenli güncellemeler, en az yetki prensibi, güvenli kimlik doğrulama, etkin log yönetimi ve sürekli denetim birlikte uygulandığında, saldırı yüzeyi önemli ölçüde azalır ve sistemler modern siber tehditlere karşı daha dirençli hale gelir.

Kurumsal ortamlarda hardening süreci, CIS Benchmarks, DISA STIG, NIST Cybersecurity Framework ve ISO/IEC 27001 gibi uluslararası güvenlik standartları doğrultusunda yürütülmeli; otomatik denetim araçlarıyla düzenli olarak doğrulanmalı ve değişen tehdit ortamına göre sürekli güncellenmelidir.



Pardus Linux Cihazları Sıkılaştırma (Hardening) 

Pardus Sistemlerini Siber Saldırılara Karşı Güçlendirme

Modern saldırıların büyük bölümü yazılım açıklarından değil, yanlış yapılandırılmış sistemlerden kaynaklanmaktadır. Güvenli bir işletim sistemi kurmak tek başına yeterli değildir. Kurulum sonrasında sistemin saldırı yüzeyini azaltmak amacıyla çeşitli güvenlik önlemlerinin uygulanması gerekir.

Bu işlemlerin tamamına Hardening (Sıkılaştırma) adı verilir.

Pardus işletim sistemi Debian tabanlı olduğu için Debian güvenlik altyapısından faydalanırken aynı zamanda kurumların güvenlik politikalarına uygun şekilde yapılandırılabilir.


Hardening Nedir?

Hardening;

Bir sistemde

  • gereksiz servislerin kapatılması

  • güvenli kimlik doğrulama

  • dosya izinlerinin düzenlenmesi

  • log takibi

  • güvenlik güncellemeleri

  • ağ erişimlerinin sınırlandırılması

  • kernel güvenliği

  • kullanıcı yetkilendirmesi

gibi işlemlerle saldırı yüzeyini azaltma işlemidir.

Amaç;

Sistemin çalışmasını engellemeden saldırganın işini mümkün olduğunca zorlaştırmaktır.


Hardening Katmanları

Kullanıcı Güvenliği
Yetkilendirme (sudo)
SSH / Uzak Yönetim Güvenliği
Ağ Güvenliği (Firewall)
Servislerin Güvenliği
Dosya Sistemi Güvenliği
Kernel ve Sistem Ayarları
Güncelleme Yönetimi
Fiziksel Güvenlik

1. İşletim Sistemini Güncel Tutmak

İlk güvenlik adımı güncellemeleri yapmaktır.

sudo apt update
sudo apt full-upgrade

Kullanılmayan paketleri kaldırın.

sudo apt autoremove
sudo apt autoclean

Otomatik Güvenlik Güncellemeleri

Kurulum

sudo apt install unattended-upgrades

Etkinleştirme

sudo dpkg-reconfigure unattended-upgrades

Yapılandırma

/etc/apt/apt.conf.d/50unattended-upgrades

2. Gereksiz Paketleri Kaldırın

Yüklü paketleri görüntüleyin.

dpkg -l

veya

apt list --installed

Örneğin;

telnet
ftp
rsh
rexec
talk
xinetd

gibi eski servisler kullanılmıyorsa kaldırılmalıdır.

sudo apt purge telnet

3. Gereksiz Servisleri Kapatın

Servisleri listele

systemctl list-unit-files --type=service

Çalışan servisler

systemctl list-units --type=service

Örneğin

cups
avahi-daemon
rpcbind
nfs
bluetooth

gerekmiyorsa

sudo systemctl disable servis_adi
sudo systemctl stop servis_adi

Kalıcı olarak

sudo systemctl mask servis_adi

4. Açık Portları Kontrol Edin

ss -tulpn

veya

netstat -tulpn

Her açık port potansiyel saldırı noktasıdır.


5. Güvenlik Duvarı Kullanımı

Pardus'ta önerilen araç

UFW

Kurulum

sudo apt install ufw

Varsayılan politika

sudo ufw default deny incoming
sudo ufw default allow outgoing

SSH izni

sudo ufw allow 22/tcp

HTTP

sudo ufw allow 80/tcp

HTTPS

sudo ufw allow 443/tcp

Firewall'u etkinleştirme

sudo ufw enable

Durum

sudo ufw status verbose

6. SSH Hardening

SSH yapılandırması

/etc/ssh/sshd_config

Önemli ayarlar

PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
PermitEmptyPasswords no
MaxAuthTries 3
LoginGraceTime 30
X11Forwarding no
AllowUsers admin

SSH yeniden başlatılır.

sudo systemctl restart ssh

SSH Portunu Değiştirme

Port 2222

Bu tek başına güvenlik sağlamaz.

Ancak bot saldırılarını azaltır.


Anahtar Tabanlı Kimlik Doğrulama

İstemcide

ssh-keygen

Anahtarı gönder

ssh-copy-id kullanıcı@sunucu

Parola girişini kapat

PasswordAuthentication no

7. Root Hesabını Kapatın

sudo passwd -l root

veya

sudo usermod -L root

Yönetici işlemleri sudo ile yapılmalıdır.


8. sudo Yetkilerini Sınırlandırın

Yetkileri düzenlemek için

sudo visudo

Örnek

%admins ALL=(ALL) ALL

Belirli komutlara izin

backup ALL=(ALL) /usr/bin/rsync

9. Güçlü Parola Politikası

Kurulum

sudo apt install libpam-pwquality

Dosya

/etc/security/pwquality.conf

Örnek

minlen=14
dcredit=-1
ucredit=-1
lcredit=-1
ocredit=-1
retry=3

10. Hesap Kilitleme

pam_faillock

Örneğin

5 başarısız giriş
10 dakika kilit

11. Dosya İzinleri

Kontrol

ls -l

Kritik dosyalar

/etc/passwd
/etc/shadow
/etc/group
/etc/sudoers

Shadow izinleri

640

Sahibi

root

12. SUID Dosyalarını Denetleyin

find / -perm -4000

Gereksiz SUID kaldırılabilir.

chmod u-s dosya

13. Dünya Yazılabilir Dosyalar

find / -type f -perm -0002

14. USB Depolamayı Devre Dışı Bırakma

sudo modprobe -r usb_storage

Kalıcı

/etc/modprobe.d/disable-usb.conf
blacklist usb_storage

15. Çekirdek (Kernel) Güvenliği

/etc/sysctl.conf

Önerilen ayarlar

net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.conf.all.accept_redirects=0
net.ipv4.conf.default.accept_redirects=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.default.send_redirects=0
net.ipv4.tcp_syncookies=1
kernel.randomize_va_space=2

Yükle

sudo sysctl -p

16. ASLR Kontrolü

cat /proc/sys/kernel/randomize_va_space

Sonuç

2

olmalıdır.


17. AppArmor

Durum

aa-status

Etkinleştir

sudo systemctl enable apparmor

18. Denetim (Audit)

Kurulum

sudo apt install auditd

Başlat

sudo systemctl enable auditd

Kontrol

auditctl -l

19. Günlük (Log) İzleme

journalctl -xe

Son boot

journalctl -b

SSH

journalctl -u ssh

Başarısız girişler

lastb

20. Dosya Bütünlüğü

AIDE kurulumu

sudo apt install aide

Veritabanı oluştur

sudo aideinit

Kontrol

sudo aide --check

21. Fail2Ban

Kurulum

sudo apt install fail2ban

Durum

fail2ban-client status

SSH koruması

fail2ban-client status sshd

22. Malware Kontrolü

ClamAV

sudo apt install clamav

Veritabanı

freshclam

Tarama

clamscan -r /

23. Güvenlik Denetimi

Lynis

sudo apt install lynis

Tarama

sudo lynis audit system

24. Yetkisiz Ağ Dinlemelerini Tespit Etme

ss -lntup

veya

lsof -i

25. Cron İşlerini Denetleme

crontab -l

Sistem görevleri

/etc/crontab
/etc/cron.d

26. Fiziksel Güvenlik

BIOS parolası

USB Boot kapatma

Secure Boot

Disk şifreleme (LUKS)

GRUB parola koruması


27. Güvenli Yedekleme

Yedekler

  • şifrelenmeli

  • çevrimdışı tutulmalı

  • düzenli test edilmeli

Araçlar

  • rsync

  • BorgBackup

  • Restic


28. Sürekli İzleme

Önerilen araçlar

Araç        Amaç
Lynis        Güvenlik analizi
Auditd        Olay kayıtları
AIDE        Dosya bütünlüğü
Fail2Ban        Brute Force koruması
CrowdSec        Topluluk tabanlı tehdit engelleme
UFW        Güvenlik duvarı
AppArmor        Uygulama izolasyonu
ClamAV        Zararlı yazılım tarama

Örnek Hardening Kontrol Listesi

KontrolDurum
Sistem güncel mi?    
Gereksiz paketler kaldırıldı mı?    
Gereksiz servisler kapatıldı mı?    
Güvenlik duvarı etkin mi?    
SSH anahtar tabanlı mı?    
Root girişi kapalı mı?    
Güçlü parola politikası uygulanıyor mu?    
AppArmor etkin mi?    
Auditd çalışıyor mu?    
AIDE yapılandırıldı mı?    
Fail2Ban etkin mi?    
Lynis ile denetim yapıldı mı?    
Günlükler düzenli inceleniyor mu?    
Gereksiz açık portlar kapatıldı mı?    
USB depolama politikası uygulanıyor mu?    
Disk şifreleme etkin mi?    
Düzenli yedekleme yapılıyor mu?    

Sonuç

Pardus sistemlerinde sıkılaştırma, tek seferlik bir işlem değil, yaşam döngüsü boyunca sürdürülen bir güvenlik yaklaşımıdır. Düzenli güncellemeler, gereksiz servislerin kaldırılması, güçlü kimlik doğrulama, güvenlik duvarı yapılandırması, dosya bütünlüğü izleme ve sürekli denetim birlikte uygulandığında sistemlerin saldırı yüzeyi önemli ölçüde azalır. Eğitim kurumlarında kullanılan Pardus ETAP cihazlarından kurumsal sunuculara kadar her ortamda bu adımlar, güvenilir ve sürdürülebilir bir güvenlik altyapısı oluşturmanın temelini oluşturur.

İleri Seviye Ek Konular

Bu makalenin devamı niteliğinde aşağıdaki konular da ayrıntılı olarak ele alınabilir:

  • CIS Benchmark standartlarına göre Pardus sıkılaştırma

  • DISA STIG yaklaşımlarının Debian/Pardus sistemlerine uyarlanması

  • auditd ile ayrıntılı denetim kuralları yazılması

  • sysctl ile gelişmiş çekirdek sertleştirme ayarları

  • nftables kullanarak gelişmiş ağ güvenlik duvarı yapılandırması

  • systemd servisleri için sandbox (izolasyon) özelliklerinin kullanımı

  • AppArmor profil geliştirme ve özelleştirme

  • LUKS ile tam disk şifreleme ve TPM entegrasyonu

  • AIDE, Lynis ve CrowdSec entegrasyonu ile sürekli güvenlik izleme

  • Kurumsal ortamlarda otomatik sıkılaştırma için Ansible playbook'larının hazırlanması

Bu konular, Pardus sistemlerini yalnızca temel seviyede değil, kurumsal ve kritik altyapılarda kullanılabilecek güvenlik seviyesine taşımaya yardımcı olur.

Siber güvenlikte cihaz sıkılaştırma (hardening), bir sistemin saldırı yüzeyini küçülterek olası zafiyetleri en aza indirme sürecidir. Özellikle laboratuvarlar, akıllı tahtalar ve kurumsal ağlarda kullanılan işletim sistemlerinin varsayılan ayarları genellikle kullanım kolaylığı düşünülerek yapılandırılır; bu da güvenlik sıkılaştırmasını zorunlu kılar.

Bir işletim sistemini kurduktan sonra atılması gereken ilk adım, sistemin dışarıdan ve içeriden gelebilecek tehditlere karşı korunaklı hale getirilmesidir. Bu makalede, Pardus sistemlerinizi (özellikle etkileşimli tahtalar ve laboratuvar cihazları) nasıl sıkılaştıracağınızı adım adım inceleyeceğiz.

1. Sistem Güncellemeleri ve Temel Bakım

Sıkılaştırmanın sıfırıncı kuralı, sistemi güncel tutmaktır. Bilinen güvenlik açıklarının (CVE) büyük bir kısmı yayınlanan yamalarla kapatılır.

  • Paket listelerini ve sistemi güncelleyin:

  • sudo apt update && sudo apt upgrade -y

  • sudo apt dist-upgrade -y

  • Gereksiz paketleri temizleyin: Kullanılmayan yazılımlar fazladan saldırı yüzeyi oluşturur.


  • sudo apt autoremove --purge

  •  

2. Masaüstü ve Oturum Güvenliği (Cinnamon)

Özellikle etkileşimli tahtalar ve laboratuvar bilgisayarlarında fiziksel ve oturum güvenliği kritik bir rol oynar.

Pardus ETAP 23 gibi sürümler, XFCE yerine güçlü ve esnek Cinnamon masaüstü ortamını temel alır. Bu ortamda oturum güvenliğini sağlamak ve cihazları yetkisiz fiziksel erişime karşı korumak için ekran kilitleme mekanizmalarının doğru yapılandırılması gerekir.

  • Ekran Kilitleme Komutu: Cinnamon tabanlı sistemlerde standart loginctl komutları bazen istenen tepkiyi vermeyebilir veya ekranı tam olarak kilitlemeyebilir. Uzaktan yönetim betiklerinde veya klavye kısayollarında ekranı güvenli bir şekilde kilitlemek için dm-tool kullanılması en kesin çözümdür:


  • dm-tool lock

  •  

  • Bu komutu, sınıf yönetimi uygulamalarınızın (örneğin Python/PyQt6 ile geliştirdiğiniz arayüzlerin) içine entegre ederek cihazların tek tuşla güvenli konuma geçmesini sağlayabilirsiniz.

3. Ağ Güvenliği ve Güvenlik Duvarı (UFW)

Ağ üzerinden gelebilecek tarama (Nmap vb.) ve sızma girişimlerine (Blue Team savunması kapsamında) karşı güvenlik duvarı aktif edilmelidir.

  • UFW (Uncomplicated Firewall) Kurulumu ve Aktivasyonu:

  • sudo apt install ufw

  • sudo ufw enable

  • Varsayılan Politikaları Belirleme: Gelen tüm bağlantıları reddedip, sadece çıkan bağlantılara izin verin.

  • sudo ufw default deny incoming

  • sudo ufw default allow outgoing

  • Gerekli Portlara İzin Verme: Eğer sistemde SSH kullanılıyorsa (Örn: standart dışı bir port olan 2222), yalnızca bu porta izin verin:


  • sudo ufw allow 2222/tcp

  •  

4. SSH Sıkılaştırması

Uzaktan yönetim için SSH kullanıyorsanız, varsayılan ayarlar büyük bir risk taşır. /etc/ssh/sshd_config dosyasını düzenleyerek aşağıdaki sıkılaştırmaları yapın:

  1. Root Girişini Kapatın:


  2. PermitRootLogin no

  3.  

  4. Varsayılan Portu Değiştirin: Brute-force saldırılarının birçoğu 22 numaralı portu hedefler.


  5. Port 2222

  6.  

  7. Boş Parolaları Engelleyin:


  8. PermitEmptyPasswords no

  9.  

  10. Parola Doğrulamasını Kapatıp Anahtar (Key) Kullanımına Geçin: (Öncesinde SSH anahtarlarınızı oluşturup cihaza kopyaladığınızdan emin olun).


  11. PasswordAuthentication no

  12.  

Değişikliklerin ardından SSH servisini yeniden başlatın: sudo systemctl restart ssh

5. Kullanıcı, Parola ve Yetki Yönetimi

Sistemde bulunan her kullanıcı hesabı potansiyel bir kapıdır.

  • Parola Politikaları: /etc/login.defs dosyasını düzenleyerek parolaların minimum uzunluğunu ve geçerlilik süresini (örneğin PASS_MAX_DAYS 90) yapılandırın.

  • Sudo Yetkileri: Yalnızca mutlak surette ihtiyaç duyan kullanıcıları sudo grubuna dahil edin. /etc/sudoers dosyasında (mutlaka visudo komutu ile) gereksiz yetki aşımlarını kontrol edin.

  • Grub Şifreleme: Kötü niyetli bir kullanıcının fiziksel erişim sağlayıp sistemi "single-user mode" (tek kullanıcı modu) ile açmasını engellemek için GRUB bootloader'a parola koyun.

6. Zararlı Yazılım ve Brute-Force Koruması

Sisteminizi otomatize edilmiş saldırılara karşı korumak için ek araçlar konumlandırın.

Fail2ban Kurulumu: SSH veya diğer servislere yapılan sürekli ve başarısız giriş denemelerini tespit edip IP adresini banlamak için kullanılır.
  • sudo apt install fail2ban

  • sudo systemctl enable fail2ban

  • sudo systemctl start fail2ban

AppArmor: Pardus çekirdeğinde yerleşik olarak gelen AppArmor'un aktif olduğundan emin olun. AppArmor, uygulamaların sistem kaynaklarına erişimini profiller aracılığıyla kısıtlayarak sıfırıncı gün (zero-day) açıklarının etkisini azaltır.

Sonuç

Cihaz sıkılaştırma tek seferlik bir işlem değil, sürekli devam eden bir süreçtir. Geliştirdiğiniz yazılımlarda, yazdığınız betiklerde ve yönettiğiniz laboratuvar ağlarında bu temel prensipleri uygulamak, hem sistem kararlılığını artıracak hem de verilerinizi güvence altına alacaktır. Minimum yetki (least privilege) ve gereksiz servislerin kapatılması kurallarını hiçbir zaman unutmayın.


Yorumlar

Bu blogdaki popüler yayınlar

Android Telefon/Tablet Ekranını Pardus ETAP 23 Yüklü Akıllı Tahtaya Yansıtma

Pardus Etap 23’de Unutulmuş Etap Yetkili Parolasını Sıfırlama

Pardus Etap 23 Yazıcı Kurulumu