{"id":15058,"date":"2025-12-02T11:01:05","date_gmt":"2025-12-02T08:01:05","guid":{"rendered":"https:\/\/www.ihs.com.tr\/blog\/?p=15058"},"modified":"2025-12-02T11:01:05","modified_gmt":"2025-12-02T08:01:05","slug":"yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari","status":"publish","type":"post","link":"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/","title":{"rendered":"Yeni Bir Linux Sunucusu Kurduktan Sonra Yap\u0131lmas\u0131 Gereken \u0130lk 10 G\u00fcvenlik Ayar\u0131"},"content":{"rendered":"<p>Yeni bir Linux sunucusu kurmak, dijital d\u00fcnyada yeni bir kale in\u015fa etmeye benzer. Ancak bu kaleyi in\u015fa etmek yeterli de\u011fildir; surlar\u0131n\u0131 g\u00fc\u00e7lendirmek, kap\u0131lar\u0131n\u0131 kilitlemek ve n\u00f6bet\u00e7ileri yerle\u015ftirmek de bir o kadar \u00f6nemlidir. Sunucunuzu internetin potansiyel tehditlerine kar\u015f\u0131 korumas\u0131z b\u0131rakmak, davetsiz misafirlere a\u00e7\u0131k bir kap\u0131 b\u0131rakmakla e\u015fde\u011ferdir. Bu rehber, yeni bir Linux sunucusu kurduktan sonra atman\u0131z gereken en kritik 10 g\u00fcvenlik ad\u0131m\u0131n\u0131 detayl\u0131 bir \u015fekilde ele alarak dijital kalenizin g\u00fcvenli\u011fini en \u00fcst d\u00fczeye \u00e7\u0131karman\u0131za yard\u0131mc\u0131 olacakt\u0131r.<\/p>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_77 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">\u0130\u00e7erik Tablosu<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69e1e664330df\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\" id=\"ez-toc-cssicon-toggle-item-69e1e664330df\" aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Root-Hesabi-Guvenligi-ve-Yeni-Kullanici-Olusturma\" >Root Hesab\u0131 G\u00fcvenli\u011fi ve Yeni Kullan\u0131c\u0131 Olu\u015fturma<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Root-Hesabiyla-Dogrudan-Girisin-Riskleri\" >Root Hesab\u0131yla Do\u011frudan Giri\u015fin Riskleri<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#sudo-Yetkilerine-Sahip-Yeni-Bir-Kullanici-Nasil-Olusturulur\" >`sudo` Yetkilerine Sahip Yeni Bir Kullan\u0131c\u0131 Nas\u0131l Olu\u015fturulur?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Root-Hesabinin-Devre-Disi-Birakilmasi\" >Root Hesab\u0131n\u0131n Devre D\u0131\u015f\u0131 B\u0131rak\u0131lmas\u0131<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Sistem-Paketlerinin-Guncellenmesi\" >Sistem Paketlerinin G\u00fcncellenmesi<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Guncel-Olmayan-Paketlerin-Yarattigi-Guvenlik-Aciklari\" >G\u00fcncel Olmayan Paketlerin Yaratt\u0131\u011f\u0131 G\u00fcvenlik A\u00e7\u0131klar\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Paket-Yoneticisi-ile-APT-YUMDNF-Sistemin-Guncellenmesi\" >Paket Y\u00f6neticisi ile (APT, YUM\/DNF) Sistemin G\u00fcncellenmesi<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Otomatik-Guvenlik-Guncellemelerinin-Yapilandirilmasi\" >Otomatik G\u00fcvenlik G\u00fcncellemelerinin Yap\u0131land\u0131r\u0131lmas\u0131<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#SSH-Secure-Shell-Servisinin-Guvenligini-Artirma\" >SSH (Secure Shell) Servisinin G\u00fcvenli\u011fini Art\u0131rma<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Varsayilan-SSH-Portunu-Degistirme\" >Varsay\u0131lan SSH Portunu De\u011fi\u015ftirme<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#SSH-Uzerinden-Root-Girisini-Engelleme\" >SSH \u00dczerinden Root Giri\u015fini Engelleme<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Parola-Tabanli-Kimlik-Dogrulama-Yerine-SSH-Anahtarlari-Kullanma\" >Parola Tabanl\u0131 Kimlik Do\u011frulama Yerine SSH Anahtarlar\u0131 Kullanma<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Iki-Faktorlu-Kimlik-Dogrulama-2FA-Entegrasyonu\" >\u0130ki Fakt\u00f6rl\u00fc Kimlik Do\u011frulama (2FA) Entegrasyonu<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Guvenlik-Duvari-Firewall-Kurulumu-ve-Yapilandirilmasi\" >G\u00fcvenlik Duvar\u0131 (Firewall) Kurulumu ve Yap\u0131land\u0131r\u0131lmas\u0131<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Guvenlik-Duvari-Nedir-ve-Neden-Gerekli\" >G\u00fcvenlik Duvar\u0131 Nedir ve Neden Gerekli?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#UFW-Uncomplicated-Firewall-Kullanarak-Temel-Kurallarin-Ayarlanmasi\" >UFW (Uncomplicated Firewall) Kullanarak Temel Kurallar\u0131n Ayarlanmas\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-17\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Yalnizca-Gerekli-Servisler-HTTP-HTTPS-SSH-Icin-Izin-Verme\" >Yaln\u0131zca Gerekli Servisler (HTTP, HTTPS, SSH) \u0130\u00e7in \u0130zin Verme<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-18\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Kaba-Kuvvet-Brute-Force-Saldirilarina-Karsi-Korunma-Fail2Ban\" >Kaba Kuvvet (Brute-Force) Sald\u0131r\u0131lar\u0131na Kar\u015f\u0131 Korunma: Fail2Ban<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-19\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Fail2Ban-Nedir-ve-Nasil-Calisir\" >Fail2Ban Nedir ve Nas\u0131l \u00c7al\u0131\u015f\u0131r?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-20\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Fail2Ban-Kurulumu-ve-Temel-Yapilandirmasi\" >Fail2Ban Kurulumu ve Temel Yap\u0131land\u0131rmas\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-21\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#SSH-ve-Diger-Servisler-Icin-Koruma-Kurallarinin-Aktiflestirilmesi\" >SSH ve Di\u011fer Servisler \u0130\u00e7in Koruma Kurallar\u0131n\u0131n Aktifle\u015ftirilmesi<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-22\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Gereksiz-Servislerin-ve-Portlarin-Kapatilmasi\" >Gereksiz Servislerin ve Portlar\u0131n Kapat\u0131lmas\u0131<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-23\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#%E2%80%9CAttack-Surface%E2%80%9D-Saldiri-Yuzeyi-Kavrami-ve-Azaltmanin-Onemi\" >&#8220;Attack Surface&#8221; (Sald\u0131r\u0131 Y\u00fczeyi) Kavram\u0131 ve Azaltman\u0131n \u00d6nemi<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-24\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Aktif-Olarak-Calisan-Servislerin-Listelenmesi-ss-netstat\" >Aktif Olarak \u00c7al\u0131\u015fan Servislerin Listelenmesi (`ss`, `netstat`)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-25\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Kullanilmayan-Servislerin-Devre-Disi-Birakilmasi-ve-Kaldirilmasi\" >Kullan\u0131lmayan Servislerin Devre D\u0131\u015f\u0131 B\u0131rak\u0131lmas\u0131 ve Kald\u0131r\u0131lmas\u0131<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-26\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Duzenli-Guvenlik-Denetimleri-ve-Izleme\" >D\u00fczenli G\u00fcvenlik Denetimleri ve \u0130zleme<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-27\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Sistem-Log-Dosyalarinin-Incelenmesi-varlogauthlog-varlogsecure\" >Sistem Log Dosyalar\u0131n\u0131n \u0130ncelenmesi (`\/var\/log\/auth.log`, `\/var\/log\/secure`)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-28\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#lynis-veya-chkrootkit-Gibi-Guvenlik-Tarama-Araclarinin-Kullanimi\" >`lynis` veya `chkrootkit` Gibi G\u00fcvenlik Tarama Ara\u00e7lar\u0131n\u0131n Kullan\u0131m\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-29\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Sistem-Butunlugunu-Kontrol-Etme\" >Sistem B\u00fct\u00fcnl\u00fc\u011f\u00fcn\u00fc Kontrol Etme<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-30\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Paylasilan-Bellek-Guvenligini-Saglama-devshm\" >Payla\u015f\u0131lan Bellek G\u00fcvenli\u011fini Sa\u011flama (\/dev\/shm)<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-31\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#devshm-Dizininin-Potansiyel-Riskleri\" >`\/dev\/shm` Dizininin Potansiyel Riskleri<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-32\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#etcfstab-Dosyasi-Uzerinden-Guvenlik-Ayarlarinin-Yapilmasi\" >`\/etc\/fstab` Dosyas\u0131 \u00dczerinden G\u00fcvenlik Ayarlar\u0131n\u0131n Yap\u0131lmas\u0131<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-33\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Ag-Parametrelerinin-Guclendirilmesi-Kernel-Hardening\" >A\u011f Parametrelerinin G\u00fc\u00e7lendirilmesi (Kernel Hardening)<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-34\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#sysctl-ile-Cekirdek-Kernel-Parametrelerini-Ayarlama\" >`sysctl` ile \u00c7ekirdek (Kernel) Parametrelerini Ayarlama<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-35\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#IP-Spoofing-ve-SYN-Flood-Saldirilarina-Karsi-Onlemler\" >IP Spoofing ve SYN Flood Sald\u0131r\u0131lar\u0131na Kar\u015f\u0131 \u00d6nlemler<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-36\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#ICMP-Redirect-Mesajlarinin-Reddedilmesi\" >ICMP Redirect Mesajlar\u0131n\u0131n Reddedilmesi<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-37\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#SELinux-veya-AppArmor-Kullanimi\" >SELinux veya AppArmor Kullan\u0131m\u0131<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-38\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Zorunlu-Erisim-Kontrolu-MAC-Nedir\" >Zorunlu Eri\u015fim Kontrol\u00fc (MAC) Nedir?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-39\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#SELinuxAppArmorun-Sistemin-Guvenligine-Katkisi\" >SELinux\/AppArmor&#8217;un Sistemin G\u00fcvenli\u011fine Katk\u0131s\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-40\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Temel-Modlarin-Enforcing-Permissive-Anlasilmasi-ve-Yonetimi\" >Temel Modlar\u0131n (Enforcing, Permissive) Anla\u015f\u0131lmas\u0131 ve Y\u00f6netimi<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-41\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Guvenli-Linux-Sunucu-Hizmetleri-Icin-Neden-IHS-Telekomu-Tercih-Etmelisiniz\" >G\u00fcvenli Linux Sunucu Hizmetleri \u0130\u00e7in Neden \u0130HS Telekom&#8217;u Tercih Etmelisiniz?<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-42\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Fiziksel-ve-Ag-Guvenligi-Altyapisi\" >Fiziksel ve A\u011f G\u00fcvenli\u011fi Altyap\u0131s\u0131<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-43\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Gelismis-DDoS-Korumasi-ve-Guvenlik-Duvari-Hizmetleri\" >Geli\u015fmi\u015f DDoS Korumas\u0131 ve G\u00fcvenlik Duvar\u0131 Hizmetleri<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-44\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Alaninda-Uzman-Teknik-Destek-ve-Proaktif-Sunucu-Izleme\" >Alan\u0131nda Uzman Teknik Destek ve Proaktif Sunucu \u0130zleme<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-45\" href=\"https:\/\/www.ihs.com.tr\/blog\/yeni-bir-linux-sunucusu-kurduktan-sonra-yapilmasi-gereken-ilk-10-guvenlik-ayari\/#Yuksek-Performansli-ve-Yedekli-Donanim-Altyapisi\" >Y\u00fcksek Performansl\u0131 ve Yedekli Donan\u0131m Altyap\u0131s\u0131<\/a><\/li><\/ul><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Root-Hesabi-Guvenligi-ve-Yeni-Kullanici-Olusturma\"><\/span>Root Hesab\u0131 G\u00fcvenli\u011fi ve Yeni Kullan\u0131c\u0131 Olu\u015fturma<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Bir Linux sisteminin temel ta\u015f\u0131, mutlak yetkilere sahip olan &#8216;root&#8217; kullan\u0131c\u0131s\u0131d\u0131r. Bu hesab\u0131n g\u00fcvenli\u011fi, t\u00fcm sistemin g\u00fcvenli\u011fi anlam\u0131na gelir. Bu nedenle, ilk ve en \u00f6nemli ad\u0131mlardan biri, root hesab\u0131n\u0131n do\u011frudan kullan\u0131m\u0131n\u0131 k\u0131s\u0131tlamak ve g\u00fcnl\u00fck i\u015flemler i\u00e7in daha az yetkili bir kullan\u0131c\u0131 olu\u015fturmakt\u0131r.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Root-Hesabiyla-Dogrudan-Girisin-Riskleri\"><\/span>Root Hesab\u0131yla Do\u011frudan Giri\u015fin Riskleri<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Root kullan\u0131c\u0131s\u0131, sistem \u00fczerinde herhangi bir k\u0131s\u0131tlama olmaks\u0131z\u0131n her komutu \u00e7al\u0131\u015ft\u0131rabilir. Bu, yanl\u0131\u015fl\u0131kla verilecek tek bir komutun bile t\u00fcm sistemi \u00e7al\u0131\u015fmaz hale getirebilece\u011fi veya geri d\u00f6nd\u00fcr\u00fclemez veri kay\u0131plar\u0131na yol a\u00e7abilece\u011fi anlam\u0131na gelir. Ayr\u0131ca, root hesab\u0131n\u0131n parolas\u0131n\u0131n ele ge\u00e7irilmesi durumunda, sald\u0131rganlar sunucu \u00fczerinde tam kontrol sahibi olur. Bu nedenle, root ile do\u011frudan SSH ba\u011flant\u0131s\u0131 yapmak son derece riskli bir uygulamad\u0131r.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"sudo-Yetkilerine-Sahip-Yeni-Bir-Kullanici-Nasil-Olusturulur\"><\/span>`sudo` Yetkilerine Sahip Yeni Bir Kullan\u0131c\u0131 Nas\u0131l Olu\u015fturulur?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Sistem y\u00f6netimi g\u00f6revleri i\u00e7in root hesab\u0131na ihtiya\u00e7 duyuldu\u011funda, `sudo` (superuser do) komutu devreye girer. Bu komut, normal kullan\u0131c\u0131lar\u0131n, kendi parolalar\u0131n\u0131 kullanarak ge\u00e7ici olarak root yetkileriyle komut \u00e7al\u0131\u015ft\u0131rmas\u0131na olanak tan\u0131r. Bu yakla\u015f\u0131m, her yetkili i\u015flemin kim taraf\u0131ndan yap\u0131ld\u0131\u011f\u0131n\u0131n kayd\u0131n\u0131 tutarak g\u00fcvenli\u011fi art\u0131r\u0131r. Yeni bir kullan\u0131c\u0131 olu\u015fturmak ve ona `sudo` yetkileri vermek i\u00e7in a\u015fa\u011f\u0131daki ad\u0131mlar\u0131 izleyebilirsiniz:<\/p>\n<p>\u0130lk olarak, sisteme root olarak giri\u015f yap\u0131n ve `adduser` komutu ile yeni bir kullan\u0131c\u0131 olu\u015fturun (\u00f6rne\u011fin, &#8216;ihsadmin&#8217;):<\/p>\n<p><code># adduser ihsadmin<\/code><\/p>\n<p>Ard\u0131ndan, bu kullan\u0131c\u0131y\u0131 &#8216;sudo&#8217; veya &#8216;wheel&#8217; grubuna ekleyerek ona y\u00f6netici yetkileri verin. Debian\/Ubuntu tabanl\u0131 sistemlerde bu genellikle &#8216;sudo&#8217; grubudur:<\/p>\n<p><code># usermod -aG sudo ihsadmin<\/code><\/p>\n<p>CentOS\/RHEL tabanl\u0131 sistemlerde ise &#8216;wheel&#8217; grubu kullan\u0131l\u0131r:<\/p>\n<p><code># usermod -aG wheel ihsadmin<\/code><\/p>\n<p>Bu ad\u0131mlardan sonra &#8216;ihsadmin&#8217; kullan\u0131c\u0131s\u0131, komutlar\u0131n ba\u015f\u0131na `sudo` ekleyerek y\u00f6netici i\u015flemleri yapabilir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Root-Hesabinin-Devre-Disi-Birakilmasi\"><\/span>Root Hesab\u0131n\u0131n Devre D\u0131\u015f\u0131 B\u0131rak\u0131lmas\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Yeni `sudo` yetkili kullan\u0131c\u0131n\u0131z\u0131 olu\u015fturup test ettikten sonra, root hesab\u0131na do\u011frudan parola ile giri\u015f yap\u0131lmas\u0131n\u0131 engellemek \u00f6nemlidir. Bu, hesab\u0131n parolas\u0131n\u0131 kilitleyerek yap\u0131labilir. Bu i\u015flem, root hesab\u0131n\u0131 silmez, sadece parola ile giri\u015fini imkans\u0131z hale getirir. `sudo` yetkili kullan\u0131c\u0131lar hala `sudo -i` gibi komutlarla root kabu\u011funa ge\u00e7i\u015f yapabilir.<\/p>\n<p><code># passwd -l root<\/code><\/p>\n<p>Bu komut, root hesab\u0131n\u0131n parolas\u0131n\u0131 kilitleyerek g\u00fcvenli\u011fi \u00f6nemli \u00f6l\u00e7\u00fcde art\u0131r\u0131r.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Sistem-Paketlerinin-Guncellenmesi\"><\/span>Sistem Paketlerinin G\u00fcncellenmesi<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Bir <a href=\"https:\/\/www.ihs.com.tr\/sunucu-kiralama\/linux-sanal-sunucu.html\">Linux sunucusu<\/a> kuruldu\u011funda, \u00fczerinde gelen yaz\u0131l\u0131m paketleri kurulum imaj\u0131n\u0131n olu\u015fturuldu\u011fu tarihteki versiyonlard\u0131r. Bu tarihten itibaren bir\u00e7ok g\u00fcvenlik a\u00e7\u0131\u011f\u0131 ke\u015ffedilmi\u015f ve yamalanm\u0131\u015f olabilir. Bu nedenle, sunucuyu kullanmaya ba\u015flamadan \u00f6nce t\u00fcm sistem paketlerini en son s\u00fcr\u00fcmlerine g\u00fcncellemek, bilinen zafiyetlere kar\u015f\u0131 ilk savunma hatt\u0131n\u0131 olu\u015fturur.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Guncel-Olmayan-Paketlerin-Yarattigi-Guvenlik-Aciklari\"><\/span>G\u00fcncel Olmayan Paketlerin Yaratt\u0131\u011f\u0131 G\u00fcvenlik A\u00e7\u0131klar\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Yaz\u0131l\u0131mlar s\u00fcrekli olarak geli\u015ftirilir ve bu s\u00fcre\u00e7te hatalar veya g\u00fcvenlik a\u00e7\u0131klar\u0131 ortaya \u00e7\u0131kabilir. Sald\u0131rganlar, bu bilinen a\u00e7\u0131klar\u0131 (exploit) kullanarak sistemlere s\u0131zmaya \u00e7al\u0131\u015f\u0131r. G\u00fcncel olmayan bir paket, sald\u0131rganlar\u0131n sisteminize kolayca eri\u015febilmesi i\u00e7in a\u00e7\u0131k bir kap\u0131 b\u0131rakmak demektir. \u00d6zellikle OpenSSH, Apache, Nginx gibi internete a\u00e7\u0131k servislerin g\u00fcncel tutulmas\u0131 hayati \u00f6nem ta\u015f\u0131r.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Paket-Yoneticisi-ile-APT-YUMDNF-Sistemin-Guncellenmesi\"><\/span>Paket Y\u00f6neticisi ile (APT, YUM\/DNF) Sistemin G\u00fcncellenmesi<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Linux da\u011f\u0131t\u0131mlar\u0131, paket y\u00f6netimi i\u00e7in g\u00fc\u00e7l\u00fc ara\u00e7lar sunar. Bu ara\u00e7lar, sistemdeki t\u00fcm yaz\u0131l\u0131mlar\u0131 kolayca g\u00fcncellemenizi sa\u011flar. Debian ve Ubuntu tabanl\u0131 sistemlerde `APT` (Advanced Package Tool) kullan\u0131l\u0131r:<\/p>\n<p><code>$ sudo apt update && sudo apt upgrade -y<\/code><\/p>\n<p>CentOS, RHEL ve Fedora gibi da\u011f\u0131t\u0131mlarda ise `YUM` veya daha modern versiyonu olan `DNF` kullan\u0131l\u0131r:<\/p>\n<p><code>$ sudo dnf update -y<\/code> veya <code>$ sudo yum update -y<\/code><\/p>\n<p>Bu komutlar, paket listelerini g\u00fcnceller ve ard\u0131ndan t\u00fcm y\u00fckl\u00fc paketleri en son kararl\u0131 s\u00fcr\u00fcmlerine y\u00fckseltir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Otomatik-Guvenlik-Guncellemelerinin-Yapilandirilmasi\"><\/span>Otomatik G\u00fcvenlik G\u00fcncellemelerinin Yap\u0131land\u0131r\u0131lmas\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>S\u00fcrekli manuel g\u00fcncelleme yapmak pratik olmayabilir. \u00d6zellikle kritik g\u00fcvenlik yamalar\u0131n\u0131n h\u0131zl\u0131ca uygulanmas\u0131 i\u00e7in otomatik g\u00fcncellemeleri yap\u0131land\u0131rmak ak\u0131ll\u0131ca bir \u00e7\u00f6z\u00fcmd\u00fcr. Debian\/Ubuntu sistemlerinde `unattended-upgrades` paketi bu i\u015flevi g\u00f6r\u00fcr. Bu paket genellikle varsay\u0131lan olarak gelir ancak aktif olmayabilir. Kurulum ve temel yap\u0131land\u0131rma i\u00e7in:<\/p>\n<p><code>$ sudo apt install unattended-upgrades<\/code><\/p>\n<p><code>$ sudo dpkg-reconfigure --priority=low unattended-upgrades<\/code><\/p>\n<p>CentOS\/RHEL sistemlerinde ise `dnf-automatic` veya `yum-cron` paketleri ile benzer bir otomasyon sa\u011flanabilir.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"SSH-Secure-Shell-Servisinin-Guvenligini-Artirma\"><\/span>SSH (Secure Shell) Servisinin G\u00fcvenli\u011fini Art\u0131rma<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>SSH, sunucunuza uzaktan g\u00fcvenli bir \u015fekilde ba\u011flanman\u0131z\u0131 sa\u011flayan en temel ara\u00e7t\u0131r. Ancak varsay\u0131lan ayarlar\u0131yla b\u0131rak\u0131ld\u0131\u011f\u0131nda, potansiyel sald\u0131r\u0131lara a\u00e7\u0131k olabilir. Birka\u00e7 basit de\u011fi\u015fiklikle <a href=\"https:\/\/www.ihs.com.tr\/blog\/ssh-nedir\/\">SSH<\/a> servisinin g\u00fcvenli\u011fini \u00f6nemli \u00f6l\u00e7\u00fcde art\u0131rabilirsiniz.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Varsayilan-SSH-Portunu-Degistirme\"><\/span>Varsay\u0131lan SSH Portunu De\u011fi\u015ftirme<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>SSH servisi varsay\u0131lan olarak 22 numaral\u0131 portu kullan\u0131r. Sald\u0131rgan botlar, internet \u00fczerindeki sunucular\u0131 tarayarak 22 numaral\u0131 porta kaba kuvvet (brute-force) sald\u0131r\u0131lar\u0131 d\u00fczenler. Port numaras\u0131n\u0131 standart d\u0131\u015f\u0131 bir de\u011fere (\u00f6rne\u011fin, 2222) de\u011fi\u015ftirmek, bu otomatik taramalar\u0131n b\u00fcy\u00fck \u00e7o\u011funlu\u011fundan kurtulman\u0131z\u0131 sa\u011flar. Bu de\u011fi\u015fiklik, SSH yap\u0131land\u0131rma dosyas\u0131 olan `\/etc\/ssh\/sshd_config` \u00fczerinden yap\u0131l\u0131r:<\/p>\n<p><code>Port 2222<\/code><\/p>\n<p>De\u011fi\u015fikli\u011fi yapt\u0131ktan sonra g\u00fcvenlik duvar\u0131n\u0131zda yeni porta izin vermeyi ve SSH servisini yeniden ba\u015flatmay\u0131 unutmay\u0131n.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"SSH-Uzerinden-Root-Girisini-Engelleme\"><\/span>SSH \u00dczerinden Root Giri\u015fini Engelleme<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>\u0130lk b\u00f6l\u00fcmde root hesab\u0131n\u0131 kilitlemi\u015f olsak da, SSH servisinin root kullan\u0131c\u0131s\u0131n\u0131n giri\u015f denemelerini tamamen reddetmesi ek bir g\u00fcvenlik katman\u0131 sa\u011flar. Bu, sald\u0131rganlar\u0131n do\u011frudan root parolas\u0131n\u0131 tahmin etme denemelerini bo\u015fa \u00e7\u0131kar\u0131r. Yine `\/etc\/ssh\/sshd_config` dosyas\u0131nda \u015fu sat\u0131r\u0131 bulup d\u00fczenleyin:<\/p>\n<p><code>PermitRootLogin no<\/code><\/p>\n<p>Bu ayar, herhangi bir kullan\u0131c\u0131n\u0131n `root` olarak SSH ba\u011flant\u0131s\u0131 kurmas\u0131n\u0131 engeller. Y\u00f6netim i\u015flemleri i\u00e7in \u00f6nce kendi kullan\u0131c\u0131 hesab\u0131n\u0131zla giri\u015f yap\u0131p ard\u0131ndan `sudo` kullanman\u0131z gerekir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Parola-Tabanli-Kimlik-Dogrulama-Yerine-SSH-Anahtarlari-Kullanma\"><\/span>Parola Tabanl\u0131 Kimlik Do\u011frulama Yerine SSH Anahtarlar\u0131 Kullanma<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Parolalar, kaba kuvvet sald\u0131r\u0131lar\u0131na kar\u015f\u0131 zay\u0131f kalabilir. SSH anahtar tabanl\u0131 kimlik do\u011frulama ise \u00e7ok daha g\u00fcvenli bir alternatiftir. Bu y\u00f6ntemde, birbiriyle e\u015fle\u015fen bir genel (public) ve bir \u00f6zel (private) anahtar olu\u015fturulur. Genel anahtar sunucuya kopyalan\u0131rken, \u00f6zel anahtar sizin bilgisayar\u0131n\u0131zda kal\u0131r. Ba\u011flant\u0131 s\u0131ras\u0131nda bu iki anahtar kriptografik olarak do\u011frulan\u0131r. Anahtar olu\u015fturulduktan ve sunucuya eklendikten sonra, parola ile giri\u015fi tamamen devre d\u0131\u015f\u0131 b\u0131rakabilirsiniz:<\/p>\n<p><code>\/etc\/ssh\/sshd_config<\/code> dosyas\u0131nda:<\/p>\n<p><code>PasswordAuthentication no<\/code><\/p>\n<p>Bu, sunucunuza yaln\u0131zca \u00f6zel anahtara sahip olan ki\u015filerin eri\u015febilmesini sa\u011flar.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Iki-Faktorlu-Kimlik-Dogrulama-2FA-Entegrasyonu\"><\/span>\u0130ki Fakt\u00f6rl\u00fc Kimlik Do\u011frulama (2FA) Entegrasyonu<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>G\u00fcvenli\u011fi en \u00fcst seviyeye \u00e7\u0131karmak isteyenler i\u00e7in SSH&#8217;a iki fakt\u00f6rl\u00fc kimlik do\u011frulama (2FA) eklemek m\u00fckemmel bir se\u00e7enektir. Bu y\u00f6ntemde, parolan\u0131za veya SSH anahtar\u0131n\u0131za ek olarak, telefonunuzdaki bir uygulama (Google Authenticator, Authy vb.) taraf\u0131ndan \u00fcretilen tek kullan\u0131ml\u0131k bir kodu da girmeniz gerekir. `libpam-google-authenticator` gibi k\u00fct\u00fcphaneler kullan\u0131larak bu entegrasyon kolayca yap\u0131labilir. Bu sayede, parolan\u0131z veya \u00f6zel anahtar\u0131n\u0131z \u00e7al\u0131nsa bile, ikinci fakt\u00f6r olmadan sunucunuza eri\u015fim sa\u011flanamaz.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Guvenlik-Duvari-Firewall-Kurulumu-ve-Yapilandirilmasi\"><\/span>G\u00fcvenlik Duvar\u0131 (Firewall) Kurulumu ve Yap\u0131land\u0131r\u0131lmas\u0131<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Sunucunuzun internetle aras\u0131ndaki trafi\u011fi kontrol eden bir <a href=\"https:\/\/www.ihs.com.tr\/blog\/firewall-nedir-ne-ise-yarar\/\">g\u00fcvenlik duvar\u0131<\/a>, siber g\u00fcvenli\u011fin olmazsa olmaz\u0131d\u0131r. \u0130stenmeyen ba\u011flant\u0131 taleplerini engelleyerek ve sadece belirli servislere izin vererek sunucunuzu d\u0131\u015f tehditlere kar\u015f\u0131 korur.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Guvenlik-Duvari-Nedir-ve-Neden-Gerekli\"><\/span>G\u00fcvenlik Duvar\u0131 Nedir ve Neden Gerekli?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>G\u00fcvenlik duvar\u0131, \u00f6nceden tan\u0131mlanm\u0131\u015f kurallara g\u00f6re a\u011f trafi\u011fini filtreleyen bir yaz\u0131l\u0131m veya donan\u0131md\u0131r. Temel amac\u0131, yetkisiz eri\u015fimi engellemektir. Bir g\u00fcvenlik duvar\u0131 olmadan, sunucunuz \u00fczerindeki her a\u00e7\u0131k port, potansiyel bir sald\u0131r\u0131 noktas\u0131d\u0131r. G\u00fcvenlik duvar\u0131, bu portlara gelen trafi\u011fi kontrol ederek sadece g\u00fcvendi\u011finiz kaynaklardan veya belirli hizmetler i\u00e7in gelen ba\u011flant\u0131lara izin verir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"UFW-Uncomplicated-Firewall-Kullanarak-Temel-Kurallarin-Ayarlanmasi\"><\/span>UFW (Uncomplicated Firewall) Kullanarak Temel Kurallar\u0131n Ayarlanmas\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Linux&#8217;taki `iptables` g\u00fc\u00e7l\u00fc bir g\u00fcvenlik duvar\u0131 arac\u0131 olsa da, yap\u0131land\u0131rmas\u0131 karma\u015f\u0131k olabilir. UFW (Uncomplicated Firewall), `iptables` i\u00e7in kullan\u0131c\u0131 dostu bir aray\u00fcz sunar ve \u00f6zellikle Ubuntu&#8217;da pop\u00fclerdir. UFW ile temel kurallar\u0131 ayarlamak olduk\u00e7a basittir. \u00d6ncelikle, varsay\u0131lan olarak t\u00fcm gelen ba\u011flant\u0131lar\u0131 reddedip gidenlere izin verelim:<\/p>\n<p><code>$ sudo ufw default deny incoming<\/code><\/p>\n<p><code>$ sudo ufw default allow outgoing<\/code><\/p>\n<h3><span class=\"ez-toc-section\" id=\"Yalnizca-Gerekli-Servisler-HTTP-HTTPS-SSH-Icin-Izin-Verme\"><\/span>Yaln\u0131zca Gerekli Servisler (HTTP, HTTPS, SSH) \u0130\u00e7in \u0130zin Verme<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Varsay\u0131lan politikay\u0131 belirledikten sonra, yaln\u0131zca ihtiya\u00e7 duydu\u011funuz servislere izin vermelisiniz. \u00d6rne\u011fin, bir web sunucusu i\u00e7in SSH (de\u011fi\u015ftirdi\u011finiz portu kullanarak), HTTP (80) ve HTTPS (443) portlar\u0131na izin vermek gerekir:<\/p>\n<p><code>$ sudo ufw allow 2222\/tcp<\/code> (veya SSH i\u00e7in belirledi\u011finiz yeni port)<\/p>\n<p><code>$ sudo ufw allow http<\/code><\/p>\n<p><code>$ sudo ufw allow https<\/code><\/p>\n<p>Kurallar\u0131 ekledikten sonra g\u00fcvenlik duvar\u0131n\u0131 etkinle\u015ftirin:<\/p>\n<p><code>$ sudo ufw enable<\/code><\/p>\n<p>Bu yap\u0131land\u0131rma, sunucunuzun sadece gerekli servisler i\u00e7in d\u0131\u015far\u0131dan eri\u015filebilir olmas\u0131n\u0131 sa\u011flar.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Kaba-Kuvvet-Brute-Force-Saldirilarina-Karsi-Korunma-Fail2Ban\"><\/span>Kaba Kuvvet (Brute-Force) Sald\u0131r\u0131lar\u0131na Kar\u015f\u0131 Korunma: Fail2Ban<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>G\u00fcvenlik duvar\u0131 ve g\u00fc\u00e7l\u00fc parolalar \u00f6nemli olsa da, s\u00fcrekli olarak sunucunuza giri\u015f denemesi yapan otomatik botlara kar\u015f\u0131 ek bir \u00f6nlem almak gerekir. Fail2Ban, bu t\u00fcr kaba kuvvet sald\u0131r\u0131lar\u0131n\u0131 tespit edip engelleyen etkili bir ara\u00e7t\u0131r.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Fail2Ban-Nedir-ve-Nasil-Calisir\"><\/span>Fail2Ban Nedir ve Nas\u0131l \u00c7al\u0131\u015f\u0131r?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Fail2Ban, sistem log dosyalar\u0131n\u0131 s\u00fcrekli olarak izleyen bir yaz\u0131l\u0131md\u0131r. Belirlenen kurallara uymayan (\u00f6rne\u011fin, belirli bir s\u00fcrede \u00e7ok say\u0131da hatal\u0131 parola denemesi yapan) <a href=\"https:\/\/www.ihs.com.tr\/blog\/ip-adresleri-nedir-ve-nasil-calisir\/\">IP adresleri<\/a> tespit etti\u011finde, bu IP&#8217;leri otomatik olarak g\u00fcvenlik duvar\u0131 kurallar\u0131na ekleyerek ge\u00e7ici veya kal\u0131c\u0131 olarak engeller. Bu sayede, sunucunuzun kaynaklar\u0131n\u0131 t\u00fcketen ve potansiyel bir g\u00fcvenlik riski olu\u015fturan brute-force denemelerini proaktif olarak durdurur.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Fail2Ban-Kurulumu-ve-Temel-Yapilandirmasi\"><\/span>Fail2Ban Kurulumu ve Temel Yap\u0131land\u0131rmas\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Fail2Ban&#8217;\u0131 kurmak olduk\u00e7a basittir. Debian\/Ubuntu sistemlerinde:<\/p>\n<p><code>$ sudo apt install fail2ban<\/code><\/p>\n<p>Kurulumdan sonra, varsay\u0131lan yap\u0131land\u0131rma dosyas\u0131n\u0131 kopyalayarak kendi yerel ayarlar\u0131n\u0131z\u0131 olu\u015fturmal\u0131s\u0131n\u0131z. Bu, paket g\u00fcncellemelerinde ayarlar\u0131n\u0131z\u0131n kaybolmas\u0131n\u0131 \u00f6nler:<\/p>\n<p><code>$ sudo cp \/etc\/fail2ban\/jail.conf \/etc\/fail2ban\/jail.local<\/code><\/p>\n<p>Ard\u0131ndan, `jail.local` dosyas\u0131n\u0131 d\u00fczenleyerek engelleme s\u00fcresi (`bantime`), deneme s\u00fcresi (`findtime`) ve maksimum deneme say\u0131s\u0131 (`maxretry`) gibi parametreleri \u00f6zelle\u015ftirebilirsiniz.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"SSH-ve-Diger-Servisler-Icin-Koruma-Kurallarinin-Aktiflestirilmesi\"><\/span>SSH ve Di\u011fer Servisler \u0130\u00e7in Koruma Kurallar\u0131n\u0131n Aktifle\u015ftirilmesi<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>`jail.local` dosyas\u0131 i\u00e7inde, korunacak servisler i\u00e7in b\u00f6l\u00fcmler bulunur. SSH korumas\u0131n\u0131 etkinle\u015ftirmek i\u00e7in `[sshd]` b\u00f6l\u00fcm\u00fcn\u00fc bulup `enabled = true` olarak ayarlaman\u0131z yeterlidir. E\u011fer SSH portunu de\u011fi\u015ftirdiyseniz, `port` de\u011ferini de g\u00fcncellemeniz gerekir:<\/p>\n<p><code>[sshd]<\/code><\/p>\n<p><code>enabled = true<\/code><\/p>\n<p><code>port = 2222<\/code><\/p>\n<p>Fail2Ban, Apache, Nginx, FTP sunucular\u0131 ve daha bir\u00e7ok servis i\u00e7in de \u00f6nceden tan\u0131mlanm\u0131\u015f kurallarla birlikte gelir. \u0130htiyac\u0131n\u0131z olan servisler i\u00e7in ilgili b\u00f6l\u00fcmleri bularak korumay\u0131 kolayca aktif hale getirebilirsiniz.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Gereksiz-Servislerin-ve-Portlarin-Kapatilmasi\"><\/span>Gereksiz Servislerin ve Portlar\u0131n Kapat\u0131lmas\u0131<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Bir sunucunun g\u00fcvenli\u011fi, sadece eklenen koruma katmanlar\u0131yla de\u011fil, ayn\u0131 zamanda potansiyel sald\u0131r\u0131 noktalar\u0131n\u0131 en aza indirmekle de sa\u011flan\u0131r. Kullan\u0131lmayan her servis ve a\u00e7\u0131k her port, sald\u0131rganlar i\u00e7in birer potansiyel giri\u015f kap\u0131s\u0131d\u0131r.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"%E2%80%9CAttack-Surface%E2%80%9D-Saldiri-Yuzeyi-Kavrami-ve-Azaltmanin-Onemi\"><\/span>&#8220;Attack Surface&#8221; (Sald\u0131r\u0131 Y\u00fczeyi) Kavram\u0131 ve Azaltman\u0131n \u00d6nemi<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Sald\u0131r\u0131 y\u00fczeyi (Attack Surface), bir sistemde sald\u0131rganlar\u0131n istismar edebilece\u011fi t\u00fcm potansiyel noktalar\u0131n toplam\u0131n\u0131 ifade eder. Bu, \u00e7al\u0131\u015fan servisleri, a\u00e7\u0131k a\u011f portlar\u0131n\u0131, y\u00fckl\u00fc uygulamalar\u0131 ve kullan\u0131c\u0131 hesaplar\u0131n\u0131 i\u00e7erir. Sald\u0131r\u0131 y\u00fczeyini ne kadar k\u00fc\u00e7\u00fclt\u00fcrseniz, sistem o kadar g\u00fcvenli hale gelir. &#8220;\u0130htiyac\u0131n olmayan \u015feyi \u00e7al\u0131\u015ft\u0131rma&#8221; prensibi, bu noktada temel bir g\u00fcvenlik ilkesidir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Aktif-Olarak-Calisan-Servislerin-Listelenmesi-ss-netstat\"><\/span>Aktif Olarak \u00c7al\u0131\u015fan Servislerin Listelenmesi (`ss`, `netstat`)<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Sunucunuzda hangi servislerin \u00e7al\u0131\u015ft\u0131\u011f\u0131n\u0131 ve hangi portlar\u0131 dinledi\u011fini bilmek, gereksiz olanlar\u0131 tespit etmenin ilk ad\u0131m\u0131d\u0131r. `ss` veya daha eski `netstat` komutlar\u0131 bu ama\u00e7la kullan\u0131l\u0131r. \u00d6rne\u011fin, `ss` komutu ile dinlemede olan t\u00fcm TCP ve UDP portlar\u0131n\u0131 g\u00f6rebilirsiniz:<\/p>\n<p><code>$ sudo ss -tuln<\/code><\/p>\n<p>Bu komutun \u00e7\u0131kt\u0131s\u0131, hangi uygulaman\u0131n hangi portu kulland\u0131\u011f\u0131n\u0131 g\u00f6sterir. Bu listede tan\u0131mad\u0131\u011f\u0131n\u0131z veya ihtiyac\u0131n\u0131z olmayan bir servis g\u00f6r\u00fcrseniz, bunu ara\u015ft\u0131rmal\u0131 ve kapatmay\u0131 d\u00fc\u015f\u00fcnmelisiniz.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Kullanilmayan-Servislerin-Devre-Disi-Birakilmasi-ve-Kaldirilmasi\"><\/span>Kullan\u0131lmayan Servislerin Devre D\u0131\u015f\u0131 B\u0131rak\u0131lmas\u0131 ve Kald\u0131r\u0131lmas\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Tespit etti\u011finiz gereksiz bir servisi (\u00f6rne\u011fin, bir mail sunucusuna ihtiyac\u0131n\u0131z yoksa `postfix`) durdurabilir ve sistem ba\u015flang\u0131c\u0131nda otomatik olarak \u00e7al\u0131\u015fmas\u0131n\u0131 engelleyebilirsiniz. `systemd` kullanan modern Linux sistemlerinde bu i\u015flemler \u015fu komutlarla yap\u0131l\u0131r:<\/p>\n<p><code>$ sudo systemctl stop postfix<\/code><\/p>\n<p><code>$ sudo systemctl disable postfix<\/code><\/p>\n<p>E\u011fer bu servise gelecekte de hi\u00e7 ihtiyac\u0131n\u0131z olmayacaksa, sistemden tamamen kald\u0131rmak en g\u00fcvenli yoldur:<\/p>\n<p><code>$ sudo apt remove postfix<\/code><\/p>\n<p>Bu yakla\u015f\u0131m, sisteminizi daha sade, y\u00f6netimi daha kolay ve \u00e7ok daha g\u00fcvenli hale getirir.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Duzenli-Guvenlik-Denetimleri-ve-Izleme\"><\/span>D\u00fczenli G\u00fcvenlik Denetimleri ve \u0130zleme<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Sunucu g\u00fcvenli\u011fi, bir kere yap\u0131l\u0131p unutulacak bir i\u015f de\u011fildir. S\u00fcrekli bir izleme ve denetim s\u00fcreci gerektirir. Sistem loglar\u0131n\u0131 d\u00fczenli olarak kontrol etmek ve otomatik g\u00fcvenlik taramalar\u0131 yapmak, olas\u0131 tehditleri erken a\u015famada tespit etmenizi sa\u011flar.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Sistem-Log-Dosyalarinin-Incelenmesi-varlogauthlog-varlogsecure\"><\/span>Sistem Log Dosyalar\u0131n\u0131n \u0130ncelenmesi (`\/var\/log\/auth.log`, `\/var\/log\/secure`)<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Linux sistemleri, yap\u0131lan hemen her i\u015flemin kayd\u0131n\u0131 log dosyalar\u0131nda tutar. \u00d6zellikle kimlik do\u011frulama ile ilgili olaylar, g\u00fcvenlik a\u00e7\u0131s\u0131ndan kritik bilgiler i\u00e7erir. Debian\/Ubuntu sistemlerinde `\/var\/log\/auth.log`, CentOS\/RHEL sistemlerinde ise `\/var\/log\/secure` dosyas\u0131, ba\u015far\u0131l\u0131 ve ba\u015far\u0131s\u0131z t\u00fcm giri\u015f denemelerini, `sudo` komutu kullan\u0131mlar\u0131n\u0131 ve di\u011fer g\u00fcvenlik olaylar\u0131n\u0131 kaydeder. Bu dosyalar\u0131 `less`, `grep` gibi komutlarla d\u00fczenli olarak incelemek, \u015f\u00fcpheli aktiviteleri fark etmenize yard\u0131mc\u0131 olur.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"lynis-veya-chkrootkit-Gibi-Guvenlik-Tarama-Araclarinin-Kullanimi\"><\/span>`lynis` veya `chkrootkit` Gibi G\u00fcvenlik Tarama Ara\u00e7lar\u0131n\u0131n Kullan\u0131m\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Manuel log incelemesi \u00f6nemli olsa da, otomatik tarama ara\u00e7lar\u0131 sisteminizdeki potansiyel zafiyetleri ve yap\u0131land\u0131rma hatalar\u0131n\u0131 bulmada \u00e7ok daha etkilidir. `lynis`, sisteminizi kapsaml\u0131 bir \u015fekilde denetleyen ve g\u00fcvenlik g\u00fc\u00e7lendirmeleri i\u00e7in \u00f6neriler sunan pop\u00fcler bir ara\u00e7t\u0131r. `chkrootkit` ve `rkhunter` ise sistemde rootkit olarak bilinen gizli ve zararl\u0131 yaz\u0131l\u0131mlar\u0131n varl\u0131\u011f\u0131n\u0131 tarar. Bu ara\u00e7lar\u0131 d\u00fczenli aral\u0131klarla (\u00f6rne\u011fin, haftal\u0131k olarak cron job ile) \u00e7al\u0131\u015ft\u0131rmak, proaktif bir g\u00fcvenlik duru\u015fu sergilemenizi sa\u011flar.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Sistem-Butunlugunu-Kontrol-Etme\"><\/span>Sistem B\u00fct\u00fcnl\u00fc\u011f\u00fcn\u00fc Kontrol Etme<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Sistem dosyalar\u0131n\u0131n de\u011fi\u015ftirilip de\u011fi\u015ftirilmedi\u011fini kontrol etmek, bir s\u0131z\u0131nt\u0131 olup olmad\u0131\u011f\u0131n\u0131 anlaman\u0131n en etkili yollar\u0131ndan biridir. AIDE (Advanced Intrusion Detection Environment) gibi ara\u00e7lar, \u00f6nemli sistem dosyalar\u0131n\u0131n bir veritaban\u0131n\u0131 (checksum) olu\u015fturur. Daha sonra bu veritaban\u0131 ile mevcut dosyalar\u0131n durumunu kar\u015f\u0131la\u015ft\u0131rarak yetkisiz de\u011fi\u015fiklikleri tespit edebilir. D\u00fczenli olarak b\u00fct\u00fcnl\u00fck kontrol\u00fc yapmak, sisteminize yap\u0131lan en ufak bir m\u00fcdahaleyi bile fark etmenizi sa\u011flar.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Paylasilan-Bellek-Guvenligini-Saglama-devshm\"><\/span>Payla\u015f\u0131lan Bellek G\u00fcvenli\u011fini Sa\u011flama (\/dev\/shm)<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>\u00c7o\u011fu zaman g\u00f6z ard\u0131 edilen ancak \u00f6nemli bir g\u00fcvenlik ad\u0131m\u0131 da, payla\u015f\u0131lan bellek dizini olan `\/dev\/shm`&#8217;nin g\u00fcvenli\u011fini sa\u011flamakt\u0131r. Bu dizin, i\u015flemler aras\u0131 ileti\u015fim i\u00e7in kullan\u0131l\u0131r ancak yanl\u0131\u015f yap\u0131land\u0131r\u0131ld\u0131\u011f\u0131nda sald\u0131rganlar taraf\u0131ndan istismar edilebilir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"devshm-Dizininin-Potansiyel-Riskleri\"><\/span>`\/dev\/shm` Dizininin Potansiyel Riskleri<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>`\/dev\/shm`, ge\u00e7ici bir dosya sistemi (`tmpfs`) olarak bellekte \u00e7al\u0131\u015f\u0131r ve \u00e7ok h\u0131zl\u0131d\u0131r. Ancak, baz\u0131 sald\u0131r\u0131 t\u00fcrleri bu alan\u0131 kullanarak zararl\u0131 kodlar\u0131 \u00e7al\u0131\u015ft\u0131rabilir veya sunucuda root yetkisi elde etmeye y\u00f6nelik script&#8217;leri bar\u0131nd\u0131rabilir. Varsay\u0131lan olarak, bu dizine dosya yaz\u0131labilir ve bu dosyalar \u00e7al\u0131\u015ft\u0131r\u0131labilir. Bu durum bir g\u00fcvenlik riski olu\u015fturur.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"etcfstab-Dosyasi-Uzerinden-Guvenlik-Ayarlarinin-Yapilmasi\"><\/span>`\/etc\/fstab` Dosyas\u0131 \u00dczerinden G\u00fcvenlik Ayarlar\u0131n\u0131n Yap\u0131lmas\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Bu riski azaltmak i\u00e7in, `\/dev\/shm`&#8217;nin sisteme nas\u0131l ba\u011fland\u0131\u011f\u0131n\u0131 tan\u0131mlayan `\/etc\/fstab` dosyas\u0131n\u0131 d\u00fczenlemeliyiz. Bu dizine `noexec` (\u00e7al\u0131\u015ft\u0131rma yok), `nosuid` (set-user-identifier biti yok) ve `nodev` (cihaz dosyalar\u0131 yok) gibi se\u00e7enekler ekleyerek g\u00fcvenli\u011fi art\u0131rabiliriz. `\/etc\/fstab` dosyas\u0131nda `\/dev\/shm` ile ilgili sat\u0131r\u0131 bulun ve a\u015fa\u011f\u0131daki gibi d\u00fczenleyin:<\/p>\n<p><code>tmpfs \/dev\/shm tmpfs defaults,noexec,nosuid,nodev 0 0<\/code><\/p>\n<p>Bu de\u011fi\u015fikli\u011fin etkili olmas\u0131 i\u00e7in sunucuyu yeniden ba\u015flatman\u0131z veya dizini yeniden ba\u011flaman\u0131z (`mount -o remount \/dev\/shm`) gerekir. Bu basit ayar, bir\u00e7ok potansiyel sald\u0131r\u0131 vekt\u00f6r\u00fcn\u00fc ortadan kald\u0131r\u0131r.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Ag-Parametrelerinin-Guclendirilmesi-Kernel-Hardening\"><\/span>A\u011f Parametrelerinin G\u00fc\u00e7lendirilmesi (Kernel Hardening)<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Linux \u00e7ekirde\u011fi (kernel), sistemin kalbidir ve bir\u00e7ok a\u011f parametresi varsay\u0131lan olarak esnekli\u011fe odakl\u0131d\u0131r. `sysctl` arac\u0131yla bu parametreleri g\u00fcvenli\u011fi art\u0131racak \u015fekilde d\u00fczenlemek, \u00e7e\u015fitli a\u011f tabanl\u0131 sald\u0131r\u0131lara kar\u015f\u0131 sunucunuzu daha diren\u00e7li hale getirir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"sysctl-ile-Cekirdek-Kernel-Parametrelerini-Ayarlama\"><\/span>`sysctl` ile \u00c7ekirdek (Kernel) Parametrelerini Ayarlama<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>`sysctl`, \u00e7al\u0131\u015fan bir Linux sisteminin \u00e7ekirdek parametrelerini anl\u0131k olarak okumak ve de\u011fi\u015ftirmek i\u00e7in kullan\u0131lan bir komut sat\u0131r\u0131 arac\u0131d\u0131r. Yap\u0131lan de\u011fi\u015fikliklerin kal\u0131c\u0131 olmas\u0131 i\u00e7in `\/etc\/sysctl.conf` veya `\/etc\/sysctl.d\/` alt\u0131ndaki bir dosyaya eklenmesi gerekir. Bu dosyadaki ayarlar, sistem her ba\u015flad\u0131\u011f\u0131nda otomatik olarak uygulan\u0131r.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"IP-Spoofing-ve-SYN-Flood-Saldirilarina-Karsi-Onlemler\"><\/span>IP Spoofing ve SYN Flood Sald\u0131r\u0131lar\u0131na Kar\u015f\u0131 \u00d6nlemler<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>IP Spoofing, bir sald\u0131rgan\u0131n paketlerin kaynak IP adresini de\u011fi\u015ftirerek kendini ba\u015fka bir sistem gibi g\u00f6stermesidir. SYN Flood ise, sunucunun ba\u011flant\u0131 kaynaklar\u0131n\u0131 t\u00fcketmeyi ama\u00e7layan bir <a href=\"https:\/\/www.ihs.com.tr\/blog\/ddos-saldirilarinin-ortalama-boyutu-yuzde-52-artti\/\">DDoS sald\u0131r\u0131s\u0131<\/a> t\u00fcr\u00fcd\u00fcr. Bu t\u00fcr sald\u0131r\u0131lara kar\u015f\u0131 \u00e7ekirde\u011fi g\u00fc\u00e7lendirmek i\u00e7in `\/etc\/sysctl.conf` dosyas\u0131na a\u015fa\u011f\u0131daki gibi parametreler eklenebilir:<\/p>\n<p><code># IP Spoofing korumas\u0131<\/code><\/p>\n<p><code>net.ipv4.conf.default.rp_filter=1<\/code><\/p>\n<p><code>net.ipv4.conf.all.rp_filter=1<\/code><\/p>\n<p><code># SYN Flood sald\u0131r\u0131lar\u0131na kar\u015f\u0131 koruma (SYN Cookies)<\/code><\/p>\n<p><code>net.ipv4.tcp_syncookies=1<\/code><\/p>\n<h3><span class=\"ez-toc-section\" id=\"ICMP-Redirect-Mesajlarinin-Reddedilmesi\"><\/span>ICMP Redirect Mesajlar\u0131n\u0131n Reddedilmesi<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>ICMP redirect mesajlar\u0131, bir y\u00f6nlendiricinin (router) bir ana makineye daha iyi bir yol oldu\u011funu bildirmesi i\u00e7in kullan\u0131l\u0131r. Ancak, sald\u0131rganlar bu \u00f6zelli\u011fi kullanarak a\u011f trafi\u011fini kendi kontrol ettikleri bir makineye y\u00f6nlendirebilir (Man-in-the-Middle sald\u0131r\u0131s\u0131). Sunucular\u0131n bu mesajlar\u0131 kabul etmesi genellikle gereksizdir ve g\u00fcvenlik riski olu\u015fturur. Bu \u00f6zelli\u011fi devre d\u0131\u015f\u0131 b\u0131rakmak i\u00e7in:<\/p>\n<p><code>net.ipv4.conf.all.accept_redirects=0<\/code><\/p>\n<p><code>net.ipv6.conf.all.accept_redirects=0<\/code><\/p>\n<p>Bu ayarlar\u0131 ekledikten sonra, `sudo sysctl -p` komutuyla de\u011fi\u015fiklikleri hemen uygulayabilirsiniz.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"SELinux-veya-AppArmor-Kullanimi\"><\/span>SELinux veya AppArmor Kullan\u0131m\u0131<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Standart Linux g\u00fcvenlik modeli (Discretionary Access Control &#8211; DAC), dosya izinlerine dayan\u0131r. Ancak SELinux ve AppArmor gibi Zorunlu Eri\u015fim Kontrol\u00fc (Mandatory Access Control &#8211; MAC) sistemleri, \u00e7ok daha gran\u00fcler ve kat\u0131 bir g\u00fcvenlik politikas\u0131 uygulayarak ek bir koruma katman\u0131 sa\u011flar.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Zorunlu-Erisim-Kontrolu-MAC-Nedir\"><\/span>Zorunlu Eri\u015fim Kontrol\u00fc (MAC) Nedir?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>MAC, sistem y\u00f6neticisi taraf\u0131ndan merkezi olarak belirlenen politikalara g\u00f6re, bir \u00f6znenin (kullan\u0131c\u0131, i\u015flem) bir nesne (dosya, port) \u00fczerinde hangi i\u015flemleri yapabilece\u011fini tan\u0131mlayan bir g\u00fcvenlik mekanizmas\u0131d\u0131r. Bir i\u015flemin, sahibi kim olursa olsun, politika taraf\u0131ndan izin verilmeyen bir eylemi ger\u00e7ekle\u015ftirmesini engeller. \u00d6rne\u011fin, bir web sunucusu i\u015flemi normalde yapmamas\u0131 gereken `\/etc\/passwd` dosyas\u0131na yazmaya \u00e7al\u0131\u015f\u0131rsa, MAC sistemi bu eylemi engelleyecektir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"SELinuxAppArmorun-Sistemin-Guvenligine-Katkisi\"><\/span>SELinux\/AppArmor&#8217;un Sistemin G\u00fcvenli\u011fine Katk\u0131s\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>SELinux (Security-Enhanced Linux), Red Hat tabanl\u0131 da\u011f\u0131t\u0131mlarda yayg\u0131n olarak kullan\u0131l\u0131rken, AppArmor daha \u00e7ok Ubuntu ve SUSE gibi da\u011f\u0131t\u0131mlarda tercih edilir. Her ikisi de, bir serviste bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131 istismar edilse bile, sald\u0131rgan\u0131n sistemin geri kalan\u0131na yay\u0131lmas\u0131n\u0131 b\u00fcy\u00fck \u00f6l\u00e7\u00fcde zorla\u015ft\u0131r\u0131r. \u00d6rne\u011fin, bir web sunucusu a\u00e7\u0131\u011f\u0131 \u00fczerinden sisteme giren bir sald\u0131rgan, SELinux politikalar\u0131 sayesinde sadece web sunucusunun eri\u015fim hakk\u0131 olan dosyalara ula\u015fabilir, sistem genelinde serbest\u00e7e dola\u015famaz. Bu, hasar\u0131n s\u0131n\u0131rland\u0131r\u0131lmas\u0131na yard\u0131mc\u0131 olur.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Temel-Modlarin-Enforcing-Permissive-Anlasilmasi-ve-Yonetimi\"><\/span>Temel Modlar\u0131n (Enforcing, Permissive) Anla\u015f\u0131lmas\u0131 ve Y\u00f6netimi<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Bu sistemler genellikle \u00fc\u00e7 modda \u00e7al\u0131\u015f\u0131r:<\/p>\n<ul>\n<li><strong>Enforcing (Zorlama):<\/strong> Politikalar aktif olarak uygulan\u0131r ve politika ihlalleri engellenir. Bu, en g\u00fcvenli moddur.<\/li>\n<li><strong>Permissive (\u0130zin Verici):<\/strong> Politikalar kontrol edilir ve ihlaller loglan\u0131r, ancak engellenmez. Bu mod, politika geli\u015ftirme ve sorun giderme i\u00e7in kullan\u0131l\u0131r.<\/li>\n<li><strong>Disabled (Devre D\u0131\u015f\u0131):<\/strong> Mekanizma tamamen kapat\u0131lm\u0131\u015ft\u0131r.<\/li>\n<\/ul>\n<p>SELinux i\u00e7in `getenforce` komutu mevcut modu g\u00f6sterirken, `setenforce 1` (Enforcing) veya `setenforce 0` (Permissive) komutlar\u0131 ile mod de\u011fi\u015ftirilebilir. AppArmor i\u00e7in ise `aa-status` komutu kullan\u0131l\u0131r. Bu sistemleri do\u011fru bir \u015fekilde yap\u0131land\u0131rmak ba\u015flang\u0131\u00e7ta zorlay\u0131c\u0131 olabilir, ancak sa\u011flad\u0131klar\u0131 ek g\u00fcvenlik katman\u0131 bu \u00e7abaya kesinlikle de\u011fer.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Guvenli-Linux-Sunucu-Hizmetleri-Icin-Neden-IHS-Telekomu-Tercih-Etmelisiniz\"><\/span>G\u00fcvenli Linux Sunucu Hizmetleri \u0130\u00e7in Neden \u0130HS Telekom&#8217;u Tercih Etmelisiniz?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Bir <a href=\"https:\/\/www.ihs.com.tr\/sunucu-kiralama\/\">sunucu kiralama<\/a> hizmeti se\u00e7erken, yaz\u0131l\u0131m katman\u0131nda alaca\u011f\u0131n\u0131z \u00f6nlemler kadar, hizmet sa\u011flay\u0131c\u0131n\u0131n sundu\u011fu altyap\u0131 ve g\u00fcvenlik hizmetleri de kritik \u00f6neme sahiptir. \u0130HS Telekom, g\u00fcvenli bir sunucu ortam\u0131 i\u00e7in gereken t\u00fcm bile\u015fenleri en \u00fcst d\u00fczeyde sunar.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Fiziksel-ve-Ag-Guvenligi-Altyapisi\"><\/span>Fiziksel ve A\u011f G\u00fcvenli\u011fi Altyap\u0131s\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Sunucunuzun bar\u0131nd\u0131r\u0131ld\u0131\u011f\u0131 veri merkezinin fiziksel g\u00fcvenli\u011fi, siber g\u00fcvenli\u011fin temelidir. \u0130HS Telekom, 7\/24 izlenen, biyometrik eri\u015fim kontrollerine sahip ve yedekli g\u00fc\u00e7 kaynaklar\u0131 ile donat\u0131lm\u0131\u015f veri merkezlerinde hizmet verir. Ayr\u0131ca, geli\u015fmi\u015f a\u011f altyap\u0131s\u0131 sayesinde y\u00fcksek performans ve kesintisiz eri\u015fim garanti edilir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Gelismis-DDoS-Korumasi-ve-Guvenlik-Duvari-Hizmetleri\"><\/span>Geli\u015fmi\u015f DDoS Korumas\u0131 ve G\u00fcvenlik Duvar\u0131 Hizmetleri<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Da\u011f\u0131t\u0131lm\u0131\u015f Hizmet Engelleme (DDoS) sald\u0131r\u0131lar\u0131, sunucular\u0131 eri\u015filemez hale getirmeyi ama\u00e7layan en yayg\u0131n tehditlerden biridir. \u0130HS Telekom, altyap\u0131 seviyesinde sundu\u011fu geli\u015fmi\u015f DDoS korumas\u0131 ile bu t\u00fcr sald\u0131r\u0131lar\u0131 sunucunuza ula\u015fmadan \u00f6nce tespit edip engeller. Ayr\u0131ca, iste\u011fe ba\u011fl\u0131 olarak y\u00f6netilen donan\u0131msal g\u00fcvenlik duvar\u0131 hizmetleri ile daha kat\u0131 ve \u00f6zelle\u015ftirilmi\u015f koruma politikalar\u0131 olu\u015fturman\u0131za olanak tan\u0131r.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Alaninda-Uzman-Teknik-Destek-ve-Proaktif-Sunucu-Izleme\"><\/span>Alan\u0131nda Uzman Teknik Destek ve Proaktif Sunucu \u0130zleme<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>G\u00fcvenlik karma\u015f\u0131k bir konudur ve bazen uzman yard\u0131m\u0131na ihtiya\u00e7 duyabilirsiniz. \u0130HS Telekom&#8217;un deneyimli teknik destek ekibi, g\u00fcvenlik yap\u0131land\u0131rmalar\u0131 ve olas\u0131 sorunlar\u0131n \u00e7\u00f6z\u00fcm\u00fc konusunda her zaman yan\u0131n\u0131zdad\u0131r. Sunulan proaktif izleme hizmetleri sayesinde, sunucunuzdaki anormal aktiviteler veya performans sorunlar\u0131 an\u0131nda tespit edilir ve m\u00fcdahale edilir.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Yuksek-Performansli-ve-Yedekli-Donanim-Altyapisi\"><\/span>Y\u00fcksek Performansl\u0131 ve Yedekli Donan\u0131m Altyap\u0131s\u0131<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>G\u00fcvenlik, ayn\u0131 zamanda performans ve s\u00fcreklilikle de yak\u0131ndan ili\u015fkilidir. \u0130HS Telekom, en g\u00fcncel ve y\u00fcksek performansl\u0131 sunucu donan\u0131mlar\u0131n\u0131 kullan\u0131r. Yedekli (redundant) donan\u0131m bile\u015fenleri (g\u00fc\u00e7 kaynaklar\u0131, a\u011f ba\u011flant\u0131lar\u0131 vb.) sayesinde, olas\u0131 bir donan\u0131m ar\u0131zas\u0131n\u0131n hizmetlerinizde kesintiye yol a\u00e7ma riski en aza indirilir. Bu, i\u015f s\u00fcreklili\u011finiz ve veri g\u00fcvenli\u011finiz i\u00e7in hayati bir g\u00fcvencedir.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Yeni bir Linux sunucusu kurmak, dijital d\u00fcnyada yeni bir kale in\u015fa etmeye benzer. Ancak bu kaleyi in\u015fa etmek yeterli de\u011fildir; surlar\u0131n\u0131 g\u00fc\u00e7lendirmek,&hellip;<\/p>\n","protected":false},"author":3,"featured_media":15062,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[414],"tags":[],"class_list":["post-15058","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sunucu"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/15058","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/comments?post=15058"}],"version-history":[{"count":1,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/15058\/revisions"}],"predecessor-version":[{"id":15060,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/posts\/15058\/revisions\/15060"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/media\/15062"}],"wp:attachment":[{"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/media?parent=15058"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/categories?post=15058"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ihs.com.tr\/blog\/wp-json\/wp\/v2\/tags?post=15058"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}