Pardus Linux Cihazları Sıkılaştırma (Hardening)
Siber Güvenlik Açısından Sunucu, İstemci ve Ağ Cihazlarının Güvenli Hale Getirilmesi
Giriş
Bir sistem ilk kurulduğunda üretici tarafından genel kullanıma uygun şekilde yapılandırılmıştır. Bu yapılandırma kullanım kolaylığı sağlasa da güvenlik açısından birçok açık barındırabilir.
Siber saldırganların büyük bölümü;
Yanlış yapılandırılmış sistemleri
Güncellenmemiş yazılımları
Gereksiz çalışan servisleri
Varsayılan hesapları
Zayıf parolaları
Açık ağ portlarını
hedef alırlar.
Bu nedenle profesyonel kurumlarda ilk yapılan işlemlerden biri Hardening (Sıkılaştırma) sürecidir.
Hardening, yalnızca saldırıları engellemek değil, aynı zamanda saldırı yüzeyini mümkün olduğunca küçültmektir.
Hardening Nedir?
Hardening;
Bir işletim sistemi, sunucu, ağ cihazı, uygulama veya veritabanının gereksiz tüm risklerden arındırılarak güvenli hale getirilmesidir.
Amaç;
Saldırı yüzeyini azaltmak
Yetkisiz erişimi engellemek
Veri sızıntısını önlemek
Yönetici hesaplarını korumak
Güvenlik standartlarına uyum sağlamaktır.
Hardening'in Temel Prensipleri
En önemli güvenlik prensipleri şunlardır.
1. Least Privilege (En Az Yetki)
Her kullanıcı yalnızca ihtiyaç duyduğu kadar yetkiye sahip olmalıdır.
Yanlış:
Tüm kullanıcılar sudo yetkisine sahip.
Doğru:
Yalnızca sistem yöneticileri sudo kullanabilir.
2. Need to Know
Bir kullanıcı yalnızca görmesi gereken verilere erişebilmelidir.
Örneğin;
Muhasebe personeli
↓
Web sunucusundaki log dosyalarını göremez.
3. Defense in Depth
Tek katmanlı güvenlik yeterli değildir.
Örnek;
Firewall↓IDS↓IPS↓Antivirüs↓EDR↓MFA↓Log Analizi
Katmanlı savunma en güvenli yaklaşımdır.
4. Secure by Default
Varsayılan ayarlar güvenli hale getirilmelidir.
Örneğin;
SSH Root Login kapalı
Güçlü parola politikası
Gereksiz servisler kapalı
Hardening Yapılacak Sistemler
Hardening yalnızca Linux için değildir.
Aşağıdaki tüm sistemlere uygulanır.
Linux Sunucuları
Windows Sunucuları
Windows İstemcileri
Pardus
Ubuntu
Debian
Red Hat
VMware ESXi
Docker Host
Kubernetes
Router
Firewall
Switch
NAS
Veritabanı Sunucuları
Web Sunucuları
Mail Sunucuları
Hardening Aşamaları
Profesyonel ortamda genellikle aşağıdaki sırayla ilerlenir.
Envanter↓Risk Analizi↓Güncelleme↓Servis Temizliği↓Kullanıcı Hesapları↓Parola Politikaları↓Firewall↓Loglama↓Denetim↓Sürekli İzleme
1. İşletim Sistemini Güncel Tutmak
En önemli adımdır.
Linux
sudo apt updatesudo apt full-upgrade
Pardus
sudo apt updatesudo apt upgrade
RedHat
sudo dnf update
2. Gereksiz Paketleri Kaldırmak
Sunucuda kullanılmayan yazılımlar saldırı yüzeyini artırır.
Örneğin;
FTPTelnetRSHNFSSambaApachePostfix
Kullanılmıyorsa kaldırılmalıdır.
Kurulu paketler
dpkg -l
3. Gereksiz Servisleri Kapatmak
Çalışan servisleri görüntüle
systemctl list-units --type=service
Servisi durdur
sudo systemctl stop cups
Kalıcı kapat
sudo systemctl disable cups
Mask
sudo systemctl mask cups
4. Açık Portları Kontrol Etmek
ss -tulpn
veya
netstat -tulpn
Örnek çıktı
22 SSH80 HTTP443 HTTPS631 CUPS
631 kullanılmıyorsa kapatılmalıdır.
5. Firewall Kullanımı
Linux
ufw
veya
nftables
Temel örnek
sudo ufw default deny incomingsudo ufw allow 22sudo ufw allow 443sudo ufw enable
6. SSH Hardening
SSH en çok hedef alınan servistir.
Root Login'i Kapatın
PermitRootLogin no
Parola Yerine Anahtar
PasswordAuthentication no
PubkeyAuthentication yes
SSH Portunu Değiştirmek
Port 2222
Tek başına güvenlik sağlamaz ancak otomatik taramaları azaltabilir.
Belirli Kullanıcılar
AllowUsers admin
Idle Timeout
ClientAliveInterval 300ClientAliveCountMax 0
Fail2Ban
SSH brute-force saldırılarını engeller.
Kurulum
sudo apt install fail2ban
7. Güçlü Parola Politikaları
Öneriler
Minimum
14 karakter
İçermeli
Büyük harf
Küçük harf
Sayı
Özel karakter
Kullanılmamalı
123456passwordadminpardusroot
8. MFA Kullanımı
SSH
VPN
Web Panel
mutlaka MFA ile korunmalıdır.
9. Kullanılmayan Hesapları Silmek
cat /etc/passwd
Kilit
sudo usermod -L kullanıcı
Sil
sudo deluser kullanıcı
10. Dosya İzinlerini Düzenlemek
Kontrol
ls -la
Yetki
chmod 640 dosya
Sahip
chown root:root dosya
11. SUID Dosyalarını Kontrol Etmek
find / -perm -4000
Gereksiz olanlar incelenmelidir.
12. Log Yönetimi
journalctl
/var/log/auth.log
/var/log/syslog
Merkezi log yönetimi önerilir.
13. Audit Sistemi
Linux
auditd
Kurulum
sudo apt install auditd
14. Dosya Bütünlüğü
Araçlar
AIDE
Tripwire
Samhain
AIDE
sudo apt install aide
15. Kernel Hardening
Örnek
/etc/sysctl.conf
IP Forwarding
net.ipv4.ip_forward = 0
ICMP Redirect
net.ipv4.conf.all.accept_redirects = 0
Source Route
net.ipv4.conf.all.accept_source_route = 0
Martian Log
net.ipv4.conf.all.log_martians = 1
16. BIOS/UEFI Güvenliği
BIOS parolası
Secure Boot
TPM
USB Boot kapalı
PXE Boot kapalı
17. Disk Şifreleme
Linux
LUKS
Windows
BitLocker
macOS
FileVault
18. Antivirüs / EDR
Linux için
ClamAV
Microsoft Defender for Endpoint
CrowdStrike Falcon
SentinelOne
19. Zaman Senkronizasyonu
chrony
veya
systemd-timesyncd
Doğru zaman, log analizinin doğruluğu için kritik öneme sahiptir.
20. Güvenlik Taramaları
Sıkılaştırma sonrasında sistemin doğrulanması gerekir.
Araçlar
Lynis
OpenSCAP
CIS-CAT Lite
Nmap
Nessus
Greenbone/OpenVAS
Örneğin, Lynis sistemi tarayarak eksik yapılandırmaları ve iyileştirme önerilerini raporlar. OpenSCAP ve CIS-CAT Lite ise sistemin güvenlik standartlarına uygunluğunu denetlemek için kullanılabilir.
Pardus Sunucuları İçin Önerilen Hardening Adımları
| Kontrol | Durum |
|---|---|
| Güncellemeler yapılmış | ✅ |
| Gereksiz servisler kapalı | ✅ |
| SSH Root Login kapalı | ✅ |
| SSH Anahtar Doğrulama etkin | ✅ |
| UFW/NFTables yapılandırılmış | ✅ |
| Fail2Ban kurulu | ✅ |
| auditd etkin | ✅ |
| AIDE kurulmuş | ✅ |
| Güçlü parola politikası uygulanmış | ✅ |
| sudo yetkileri sınırlandırılmış | ✅ |
| Zaman senkronizasyonu aktif | ✅ |
| Merkezi log sunucusuna kayıt gönderiliyor | ✅ |
| Disk şifreleme etkin | ✅ |
| Düzenli yedekleme yapılıyor | ✅ |
CIS Benchmark Nedir?
CIS (Center for Internet Security) Benchmark, işletim sistemleri, ağ cihazları, bulut servisleri ve uygulamalar için kabul görmüş güvenlik yapılandırma standartlarını sunan rehberlerdir. Kuruluşlar bu rehberleri uygulayarak sistemlerini güvenlik açısından daha dayanıklı hale getirebilir ve denetim süreçlerini kolaylaştırabilir.
Hardening Sonrası Doğrulama
Aşağıdaki kontroller düzenli olarak yapılmalıdır:
sudo lynis audit system
ss -tulpn
sudo ufw status verbose
sudo fail2ban-client status
sudo aide --check
sudo journalctl -p err -b
Bu kontroller; açık portları, güvenlik duvarı kurallarını, başarısız oturum açma girişimlerini, dosya bütünlüğünü ve sistem hatalarını düzenli olarak gözden geçirmenize yardımcı olur.
Yaygın Hardening Hataları
Güncelleme yapmadan sistemi internete açmak
Varsayılan kullanıcı hesaplarını silmemek veya devre dışı bırakmamak
Gereksiz servis ve portları açık bırakmak
Root hesabıyla günlük işlemler yapmak
SSH'da parola doğrulamasını açık bırakmak
Yedek almadan güvenlik değişiklikleri yapmak
Logları izlememek veya merkezi loglama kullanmamak
Güvenlik duvarını yanlış yapılandırmak
Yapılan değişiklikleri belgelendirmemek
Sonuç
Cihaz sıkılaştırma (Hardening), yalnızca birkaç ayar değiştirmekten ibaret değildir; işletim sistemi, ağ, kullanıcı yönetimi, servisler, dosya izinleri ve sürekli izleme süreçlerini kapsayan kapsamlı bir güvenlik yaklaşımıdır. Düzenli güncellemeler, en az yetki prensibi, güvenli kimlik doğrulama, etkin log yönetimi ve sürekli denetim birlikte uygulandığında, saldırı yüzeyi önemli ölçüde azalır ve sistemler modern siber tehditlere karşı daha dirençli hale gelir.
Kurumsal ortamlarda hardening süreci, CIS Benchmarks, DISA STIG, NIST Cybersecurity Framework ve ISO/IEC 27001 gibi uluslararası güvenlik standartları doğrultusunda yürütülmeli; otomatik denetim araçlarıyla düzenli olarak doğrulanmalı ve değişen tehdit ortamına göre sürekli güncellenmelidir.
Pardus Linux Cihazları Sıkılaştırma (Hardening)
Pardus Sistemlerini Siber Saldırılara Karşı Güçlendirme
Modern saldırıların büyük bölümü yazılım açıklarından değil, yanlış yapılandırılmış sistemlerden kaynaklanmaktadır. Güvenli bir işletim sistemi kurmak tek başına yeterli değildir. Kurulum sonrasında sistemin saldırı yüzeyini azaltmak amacıyla çeşitli güvenlik önlemlerinin uygulanması gerekir.
Bu işlemlerin tamamına Hardening (Sıkılaştırma) adı verilir.
Pardus işletim sistemi Debian tabanlı olduğu için Debian güvenlik altyapısından faydalanırken aynı zamanda kurumların güvenlik politikalarına uygun şekilde yapılandırılabilir.
Hardening Nedir?
Hardening;
Bir sistemde
gereksiz servislerin kapatılması
güvenli kimlik doğrulama
dosya izinlerinin düzenlenmesi
log takibi
güvenlik güncellemeleri
ağ erişimlerinin sınırlandırılması
kernel güvenliği
kullanıcı yetkilendirmesi
gibi işlemlerle saldırı yüzeyini azaltma işlemidir.
Amaç;
Sistemin çalışmasını engellemeden saldırganın işini mümkün olduğunca zorlaştırmaktır.
Hardening Katmanları
Kullanıcı Güvenliği│Yetkilendirme (sudo)│SSH / Uzak Yönetim Güvenliği│Ağ Güvenliği (Firewall)│Servislerin Güvenliği│Dosya Sistemi Güvenliği│Kernel ve Sistem Ayarları│Güncelleme Yönetimi│Fiziksel Güvenlik
1. İşletim Sistemini Güncel Tutmak
İlk güvenlik adımı güncellemeleri yapmaktır.
sudo apt updatesudo apt full-upgrade
Kullanılmayan paketleri kaldırın.
sudo apt autoremovesudo apt autoclean
Otomatik Güvenlik Güncellemeleri
Kurulum
sudo apt install unattended-upgrades
Etkinleştirme
sudo dpkg-reconfigure unattended-upgrades
Yapılandırma
/etc/apt/apt.conf.d/50unattended-upgrades
2. Gereksiz Paketleri Kaldırın
Yüklü paketleri görüntüleyin.
dpkg -l
veya
apt list --installed
Örneğin;
telnetftprshrexectalkxinetd
gibi eski servisler kullanılmıyorsa kaldırılmalıdır.
sudo apt purge telnet
3. Gereksiz Servisleri Kapatın
Servisleri listele
systemctl list-unit-files --type=service
Çalışan servisler
systemctl list-units --type=service
Örneğin
cupsavahi-daemonrpcbindnfsbluetooth
gerekmiyorsa
sudo systemctl disable servis_adisudo systemctl stop servis_adi
Kalıcı olarak
sudo systemctl mask servis_adi
4. Açık Portları Kontrol Edin
ss -tulpn
veya
netstat -tulpn
Her açık port potansiyel saldırı noktasıdır.
5. Güvenlik Duvarı Kullanımı
Pardus'ta önerilen araç
UFW
Kurulum
sudo apt install ufw
Varsayılan politika
sudo ufw default deny incomingsudo ufw default allow outgoing
SSH izni
sudo ufw allow 22/tcp
HTTP
sudo ufw allow 80/tcp
HTTPS
sudo ufw allow 443/tcp
Firewall'u etkinleştirme
sudo ufw enable
Durum
sudo ufw status verbose
6. SSH Hardening
SSH yapılandırması
/etc/ssh/sshd_config
Önemli ayarlar
PermitRootLogin noPasswordAuthentication noPubkeyAuthentication yesPermitEmptyPasswords noMaxAuthTries 3LoginGraceTime 30X11Forwarding noAllowUsers admin
SSH yeniden başlatılır.
sudo systemctl restart ssh
SSH Portunu Değiştirme
Port 2222
Bu tek başına güvenlik sağlamaz.
Ancak bot saldırılarını azaltır.
Anahtar Tabanlı Kimlik Doğrulama
İstemcide
ssh-keygen
Anahtarı gönder
ssh-copy-id kullanıcı@sunucu
Parola girişini kapat
PasswordAuthentication no
7. Root Hesabını Kapatın
sudo passwd -l root
veya
sudo usermod -L root
Yönetici işlemleri sudo ile yapılmalıdır.
8. sudo Yetkilerini Sınırlandırın
Yetkileri düzenlemek için
sudo visudo
Örnek
%admins ALL=(ALL) ALL
Belirli komutlara izin
backup ALL=(ALL) /usr/bin/rsync
9. Güçlü Parola Politikası
Kurulum
sudo apt install libpam-pwquality
Dosya
/etc/security/pwquality.conf
Örnek
minlen=14dcredit=-1ucredit=-1lcredit=-1ocredit=-1retry=3
10. Hesap Kilitleme
pam_faillock
Örneğin
5 başarısız giriş10 dakika kilit
11. Dosya İzinleri
Kontrol
ls -l
Kritik dosyalar
/etc/passwd/etc/shadow/etc/group/etc/sudoers
Shadow izinleri
640
Sahibi
root
12. SUID Dosyalarını Denetleyin
find / -perm -4000
Gereksiz SUID kaldırılabilir.
chmod u-s dosya
13. Dünya Yazılabilir Dosyalar
find / -type f -perm -0002
14. USB Depolamayı Devre Dışı Bırakma
sudo modprobe -r usb_storage
Kalıcı
/etc/modprobe.d/disable-usb.conf
blacklist usb_storage
15. Çekirdek (Kernel) Güvenliği
/etc/sysctl.conf
Önerilen ayarlar
net.ipv4.icmp_echo_ignore_broadcasts=1net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.default.accept_redirects=0net.ipv4.conf.all.send_redirects=0net.ipv4.conf.default.send_redirects=0net.ipv4.tcp_syncookies=1kernel.randomize_va_space=2
Yükle
sudo sysctl -p
16. ASLR Kontrolü
cat /proc/sys/kernel/randomize_va_space
Sonuç
2
olmalıdır.
17. AppArmor
Durum
aa-status
Etkinleştir
sudo systemctl enable apparmor
18. Denetim (Audit)
Kurulum
sudo apt install auditd
Başlat
sudo systemctl enable auditd
Kontrol
auditctl -l
19. Günlük (Log) İzleme
journalctl -xe
Son boot
journalctl -b
SSH
journalctl -u ssh
Başarısız girişler
lastb
20. Dosya Bütünlüğü
AIDE kurulumu
sudo apt install aide
Veritabanı oluştur
sudo aideinit
Kontrol
sudo aide --check
21. Fail2Ban
Kurulum
sudo apt install fail2ban
Durum
fail2ban-client status
SSH koruması
fail2ban-client status sshd
22. Malware Kontrolü
ClamAV
sudo apt install clamav
Veritabanı
freshclam
Tarama
clamscan -r /
23. Güvenlik Denetimi
Lynis
sudo apt install lynis
Tarama
sudo lynis audit system
24. Yetkisiz Ağ Dinlemelerini Tespit Etme
ss -lntup
veya
lsof -i
25. Cron İşlerini Denetleme
crontab -l
Sistem görevleri
/etc/crontab/etc/cron.d
26. Fiziksel Güvenlik
BIOS parolası
USB Boot kapatma
Secure Boot
Disk şifreleme (LUKS)
GRUB parola koruması
27. Güvenli Yedekleme
Yedekler
şifrelenmeli
çevrimdışı tutulmalı
düzenli test edilmeli
Araçlar
rsync
BorgBackup
Restic
28. Sürekli İzleme
Önerilen araçlar
| Araç | Amaç |
|---|---|
| Lynis | Güvenlik analizi |
| Auditd | Olay kayıtları |
| AIDE | Dosya bütünlüğü |
| Fail2Ban | Brute Force koruması |
| CrowdSec | Topluluk tabanlı tehdit engelleme |
| UFW | Güvenlik duvarı |
| AppArmor | Uygulama izolasyonu |
| ClamAV | Zararlı yazılım tarama |
Örnek Hardening Kontrol Listesi
| Kontrol | Durum |
|---|---|
| Sistem güncel mi? | ☐ |
| Gereksiz paketler kaldırıldı mı? | ☐ |
| Gereksiz servisler kapatıldı mı? | ☐ |
| Güvenlik duvarı etkin mi? | ☐ |
| SSH anahtar tabanlı mı? | ☐ |
| Root girişi kapalı mı? | ☐ |
| Güçlü parola politikası uygulanıyor mu? | ☐ |
| AppArmor etkin mi? | ☐ |
| Auditd çalışıyor mu? | ☐ |
| AIDE yapılandırıldı mı? | ☐ |
| Fail2Ban etkin mi? | ☐ |
| Lynis ile denetim yapıldı mı? | ☐ |
| Günlükler düzenli inceleniyor mu? | ☐ |
| Gereksiz açık portlar kapatıldı mı? | ☐ |
| USB depolama politikası uygulanıyor mu? | ☐ |
| Disk şifreleme etkin mi? | ☐ |
| Düzenli yedekleme yapılıyor mu? | ☐ |
Sonuç
Pardus sistemlerinde sıkılaştırma, tek seferlik bir işlem değil, yaşam döngüsü boyunca sürdürülen bir güvenlik yaklaşımıdır. Düzenli güncellemeler, gereksiz servislerin kaldırılması, güçlü kimlik doğrulama, güvenlik duvarı yapılandırması, dosya bütünlüğü izleme ve sürekli denetim birlikte uygulandığında sistemlerin saldırı yüzeyi önemli ölçüde azalır. Eğitim kurumlarında kullanılan Pardus ETAP cihazlarından kurumsal sunuculara kadar her ortamda bu adımlar, güvenilir ve sürdürülebilir bir güvenlik altyapısı oluşturmanın temelini oluşturur.
İleri Seviye Ek Konular
Bu makalenin devamı niteliğinde aşağıdaki konular da ayrıntılı olarak ele alınabilir:
CIS Benchmark standartlarına göre Pardus sıkılaştırma
DISA STIG yaklaşımlarının Debian/Pardus sistemlerine uyarlanması
auditdile ayrıntılı denetim kuralları yazılmasısysctlile gelişmiş çekirdek sertleştirme ayarlarınftableskullanarak gelişmiş ağ güvenlik duvarı yapılandırmasısystemdservisleri için sandbox (izolasyon) özelliklerinin kullanımıAppArmorprofil geliştirme ve özelleştirmeLUKS ile tam disk şifreleme ve TPM entegrasyonu
AIDE,LynisveCrowdSecentegrasyonu ile sürekli güvenlik izlemeKurumsal ortamlarda otomatik sıkılaştırma için
Ansibleplaybook'larının hazırlanması
Bu konular, Pardus sistemlerini yalnızca temel seviyede değil, kurumsal ve kritik altyapılarda kullanılabilecek güvenlik seviyesine taşımaya yardımcı olur.
Siber güvenlikte cihaz sıkılaştırma (hardening), bir sistemin saldırı yüzeyini küçülterek olası zafiyetleri en aza indirme sürecidir. Özellikle laboratuvarlar, akıllı tahtalar ve kurumsal ağlarda kullanılan işletim sistemlerinin varsayılan ayarları genellikle kullanım kolaylığı düşünülerek yapılandırılır; bu da güvenlik sıkılaştırmasını zorunlu kılar.
Bir işletim sistemini kurduktan sonra atılması gereken ilk adım, sistemin dışarıdan ve içeriden gelebilecek tehditlere karşı korunaklı hale getirilmesidir. Bu makalede, Pardus sistemlerinizi (özellikle etkileşimli tahtalar ve laboratuvar cihazları) nasıl sıkılaştıracağınızı adım adım inceleyeceğiz.
1. Sistem Güncellemeleri ve Temel Bakım
Sıkılaştırmanın sıfırıncı kuralı, sistemi güncel tutmaktır. Bilinen güvenlik açıklarının (CVE) büyük bir kısmı yayınlanan yamalarla kapatılır.
Paket listelerini ve sistemi güncelleyin:
sudo apt update && sudo apt upgrade -y
sudo apt dist-upgrade -y
Gereksiz paketleri temizleyin: Kullanılmayan yazılımlar fazladan saldırı yüzeyi oluşturur.
sudo apt autoremove --purge
2. Masaüstü ve Oturum Güvenliği (Cinnamon)
Özellikle etkileşimli tahtalar ve laboratuvar bilgisayarlarında fiziksel ve oturum güvenliği kritik bir rol oynar.
Pardus ETAP 23 gibi sürümler, XFCE yerine güçlü ve esnek Cinnamon masaüstü ortamını temel alır. Bu ortamda oturum güvenliğini sağlamak ve cihazları yetkisiz fiziksel erişime karşı korumak için ekran kilitleme mekanizmalarının doğru yapılandırılması gerekir.
Ekran Kilitleme Komutu: Cinnamon tabanlı sistemlerde standart loginctl komutları bazen istenen tepkiyi vermeyebilir veya ekranı tam olarak kilitlemeyebilir. Uzaktan yönetim betiklerinde veya klavye kısayollarında ekranı güvenli bir şekilde kilitlemek için dm-tool kullanılması en kesin çözümdür:
dm-tool lock
Bu komutu, sınıf yönetimi uygulamalarınızın (örneğin Python/PyQt6 ile geliştirdiğiniz arayüzlerin) içine entegre ederek cihazların tek tuşla güvenli konuma geçmesini sağlayabilirsiniz.
3. Ağ Güvenliği ve Güvenlik Duvarı (UFW)
Ağ üzerinden gelebilecek tarama (Nmap vb.) ve sızma girişimlerine (Blue Team savunması kapsamında) karşı güvenlik duvarı aktif edilmelidir.
UFW (Uncomplicated Firewall) Kurulumu ve Aktivasyonu:
sudo apt install ufw
sudo ufw enable
Varsayılan Politikaları Belirleme: Gelen tüm bağlantıları reddedip, sadece çıkan bağlantılara izin verin.
sudo ufw default deny incoming
sudo ufw default allow outgoing
Gerekli Portlara İzin Verme: Eğer sistemde SSH kullanılıyorsa (Örn: standart dışı bir port olan 2222), yalnızca bu porta izin verin:
sudo ufw allow 2222/tcp
4. SSH Sıkılaştırması
Uzaktan yönetim için SSH kullanıyorsanız, varsayılan ayarlar büyük bir risk taşır. /etc/ssh/sshd_config dosyasını düzenleyerek aşağıdaki sıkılaştırmaları yapın:
Root Girişini Kapatın:
PermitRootLogin no
Varsayılan Portu Değiştirin: Brute-force saldırılarının birçoğu 22 numaralı portu hedefler.
Port 2222
Boş Parolaları Engelleyin:
PermitEmptyPasswords no
Parola Doğrulamasını Kapatıp Anahtar (Key) Kullanımına Geçin: (Öncesinde SSH anahtarlarınızı oluşturup cihaza kopyaladığınızdan emin olun).
PasswordAuthentication no
Değişikliklerin ardından SSH servisini yeniden başlatın: sudo systemctl restart ssh
5. Kullanıcı, Parola ve Yetki Yönetimi
Sistemde bulunan her kullanıcı hesabı potansiyel bir kapıdır.
Parola Politikaları: /etc/login.defs dosyasını düzenleyerek parolaların minimum uzunluğunu ve geçerlilik süresini (örneğin PASS_MAX_DAYS 90) yapılandırın.
Sudo Yetkileri: Yalnızca mutlak surette ihtiyaç duyan kullanıcıları sudo grubuna dahil edin. /etc/sudoers dosyasında (mutlaka visudo komutu ile) gereksiz yetki aşımlarını kontrol edin.
Grub Şifreleme: Kötü niyetli bir kullanıcının fiziksel erişim sağlayıp sistemi "single-user mode" (tek kullanıcı modu) ile açmasını engellemek için GRUB bootloader'a parola koyun.
6. Zararlı Yazılım ve Brute-Force Koruması
Sisteminizi otomatize edilmiş saldırılara karşı korumak için ek araçlar konumlandırın.
Fail2ban Kurulumu: SSH veya diğer servislere yapılan sürekli ve başarısız giriş denemelerini tespit edip IP adresini banlamak için kullanılır.sudo apt install fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
Sonuç
Cihaz sıkılaştırma tek seferlik bir işlem değil, sürekli devam eden bir süreçtir. Geliştirdiğiniz yazılımlarda, yazdığınız betiklerde ve yönettiğiniz laboratuvar ağlarında bu temel prensipleri uygulamak, hem sistem kararlılığını artıracak hem de verilerinizi güvence altına alacaktır. Minimum yetki (least privilege) ve gereksiz servislerin kapatılması kurallarını hiçbir zaman unutmayın.
Yorumlar