Linux sunucu güvenliği konusunda 15+ yıllık deneyimim boyunca öğrendiğim en önemli şey şu:
Varsayılan konfigürasyonlar hiçbir zaman yeterli değildir. Her yeni Linux sunucu kurduğumda, sistemi üretime almadan önce mutlaka uyguladığım 7 temel CIS (Center for Internet Security) güvenlik pratiği var. Bu yazıda, bu uygulamaları neden kritik bulduğumu ve nasıl hayata geçirdiğimi anlatacağım.
CIS Benchmarks Nedir ve Neden Önemlidir?
CIS Benchmarks, dünyanın dört bir yanından siber güvenlik uzmanlarının consensus esaslı katkılarıyla geliştirilmiş, kapsamlı güvenlik konfigürasyon rehberleridir. CIS standardlarının bilinen güvenlik açıklarının %80-95'ini eliminate ettiği kanıtlanmıştır.
CIS Benchmarks'in Temel Prensipleri: - Consensus-driven: Uzmanların ortaklaşa görüşüyle geliştirilir
- Vendor-neutral: Belirli bir üreticiye bağlı değildir
- Level 1 ve Level 2: Temel ve ileri seviye güvenlik konfigürasyonları
- Scored ve Not Scored: Zorunlu ve opsiyonel kontroller
1. SSH Sertleştirme: İlk Savunma Hattı
SSH, Linux sunuculara erişimin temel yöntemi olduğu için sertleştirme sürecimin en kritik parçasıdır.
Temel SSH Yapılandırması
# SSH konfigürasyon dosyasını düzenle sudo nano /etc/ssh/sshd_config # Kritik ayarlar: Protocol 2 # Sadece SSH v2 kullan PermitRootLogin no # Root kullanıcısının SSH erişimini engelle PasswordAuthentication no # Parola tabanlı girişi devre dışı bırak PubkeyAuthentication yes # Public key authentication aktif et Port 2222 # Varsayılan port değiştir MaxAuthTries 3 # Maksimum deneme sayısını sınırla MaxSessions 4 # Eşzamanlı oturum sayısını sınırla LoginGraceTime 30 # Giriş süresi sınırı AllowUsers your_username # Sadece belirli kullanıcılara izin ver ClientAliveInterval 300 # İnaktif bağlantıları sonlandır ClientAliveCountMax 2 # Maksimum hayatta kalma kontrolü HostBasedAuthentication no # Host tabanlı kimlik doğrulamayı devre dışı bırak IgnoreRhosts yes # .rhosts dosyalarını yoksay
Güçlü SSH Key Oluşturma
# RSA 4096 bit key oluştur ssh-keygen -t rsa -b 4096 -C "your_email@example.com" # ED25519 (önerilen - daha güvenli ve hızlı) ssh-keygen -t ed25519 -C "your_email@example.com" # SSH directory güvenliğini sağla chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keys chmod 600 ~/.ssh/id_rsa chmod 644 ~/.ssh/id_rsa.pub
SSH Monitoring ve Fail2Ban
# Fail2Ban kurulumu sudo apt install fail2ban -y # SSH için jail konfigürasyonu sudo nano /etc/fail2ban/jail.local enabled = true port = 2222 filter = sshd logpath = /var/log/auth.log maxretry = 3 bantime = 3600 findtime = 600 sudo systemctl enable fail2ban sudo systemctl start fail2ban
2. Firewall Konfigürasyonu: Ağ Trafiği Kontrolü
CIS Controls, host-based firewall ile varsayılan-reddet kuralının uygulanmasını önermektedir.
UFW (Uncomplicated Firewall) Kurulumu
# UFW'yi aktif et sudo ufw enable # Varsayılan politikaları ayarla sudo ufw default deny incoming sudo ufw default allow outgoing # Gerekli portları aç sudo ufw allow 2222/tcp # SSH (özel port) sudo ufw allow 80/tcp # HTTP sudo ufw allow 443/tcp # HTTPS # Belirli IP'den SSH erişimi (opsiyonel) sudo ufw allow from 192.168.1.100 to any port 2222 # Rate limiting ile SSH brute force koruması sudo ufw limit 2222/tcp # UFW durumunu kontrol et sudo ufw status verbose
İleri Seviye iptables Kuralları
# Temel iptables konfigürasyonu #!/bin/bash # Mevcut kuralları temizle iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X # Varsayılan politikalar iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # Loopback trafiğine izin ver iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Established ve related bağlantılara izin ver iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # SSH erişimi (rate limiting ile) iptables -A INPUT -p tcp --dport 2222 -m state --state NEW -m recent --set iptables -A INPUT -p tcp --dport 2222 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP iptables -A INPUT -p tcp --dport 2222 -j ACCEPT # Web servisleri iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT # ICMP (ping) sınırlı izin iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # Kuralları kaydet iptables-save > /etc/iptables/rules.v4
3. Kullanıcı Hesap Yönetimi: Least Privilege Prensibi
Güçlü Parola Politikası
# PAM konfigürasyonu ile parola karmaşıklığı sudo nano /etc/pam.d/common-password # Şu satırı ekle: password requisite pam_pwquality.so retry=3 minlen=12 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1 # Parola geçmişi kontrolü sudo nano /etc/pam.d/common-password # Şu satırı ekle: password required pam_pwhistory.so remember=5 # Hesap kilitleme politikası sudo nano /etc/pam.d/common-auth # Şu satırı ekle: auth required pam_tally2.so deny=3 unlock_time=600 onerr=fail audit even_deny_root
Sudo Konfigürasyonu
# Sudo konfigürasyonunu düzenle sudo visudo # Kullanıcı için sudo izinleri your_username ALL=(ALL:ALL) ALL # Parola timeout ayarı Defaults passwd_timeout=5 # Sudo session timeout Defaults timestamp_timeout=15 # Sudo kullanımını logla Defaults logfile="/var/log/sudo.log" Defaults log_input,log_output
Gereksiz Kullanıcı Hesaplarını Temizleme
# Sistem kullanıcılarını kontrol et cat /etc/passwd | grep -v "/usr/sbin/nologin\|/bin/false" | cut -d: -f1 # Gereksiz hesapları devre dışı bırak sudo usermod -L username # Hesabı kilitle sudo usermod -s /bin/false username # Shell erişimini engelle # Son giriş tarihlerini kontrol et sudo lastlog | grep -v "Never" # Pasif hesapları tespit et sudo last | head -20
4. Sistem Güncellemeleri ve Yamaları
Otomatik Güvenlik Güncellemeleri
# Unattended upgrades kurulumu sudo apt install unattended-upgrades apt-listchanges -y # Konfigürasyon sudo dpkg-reconfigure -plow unattended-upgrades # Manuel konfigürasyon sudo nano /etc/apt/apt.conf.d/50unattended-upgrades # İçerik: Unattended-Upgrade::Allowed-Origins { "${distro_id}:${distro_codename}-security"; "${distro_id}ESMApps:${distro_codename}-apps-security"; "${distro_id}ESM:${distro_codename}-infra-security"; }; Unattended-Upgrade::AutoFixInterruptedDpkg "true"; Unattended-Upgrade::MinimalSteps "true"; Unattended-Upgrade::Remove-Unused-Dependencies "true"; Unattended-Upgrade::Automatic-Reboot "false"; # E-posta bildirimlerini aktif et Unattended-Upgrade::Mail "admin@yourdomain.com";
Manuel Güncelleme Rutini
#!/bin/bash # update_system.sh echo "Sistem güncelleme başlıyor..." # Paket listesini güncelle apt update # Güncellenebilir paketleri listele apt list --upgradable # Güvenlik güncellemelerini uygula apt upgrade -y # Sistem temizleme apt autoremove -y apt autoclean # Kernel güncellemesi kontrolü if ; then echo "Sistem yeniden başlatma gerekiyor!" echo "Yeniden başlatma için: sudo reboot" fi echo "Güncelleme tamamlandı: $(date)"
5. Logging ve Monitoring: Güvenlik Olaylarını Yakalama
Rsyslog Konfigürasyonu
# Rsyslog konfigürasyonu sudo nano /etc/rsyslog.conf # Uzak log gönderimi için (opsiyonel) *.* @@logserver.yourdomain.com:514 # Lokal log rotasyonu sudo nano /etc/logrotate.d/rsyslog /var/log/syslog { daily missingok rotate 52 compress delaycompress notifempty create 0640 syslog adm postrotate /usr/lib/rsyslog/rsyslog-rotate endscript }
Auditd Kurulumu ve Konfigürasyonu
# Auditd kurulumu sudo apt install auditd audispd-plugins -y # Auditd kuralları sudo nano /etc/audit/rules.d/audit.rules # Kritik dosya değişikliklerini izle -w /etc/passwd -p wa -k passwd_changes -w /etc/shadow -p wa -k shadow_changes -w /etc/group -p wa -k group_changes -w /etc/sudoers -p wa -k sudoers_changes -w /etc/ssh/sshd_config -p wa -k ssh_config_changes # Sistem çağrılarını izle -a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change -a always,exit -F arch=b32 -S adjtimex -S settimeofday -S stime -k time_change # Network konfigürasyon değişikliklerini izle -w /etc/issue -p wa -k system_locale -w /etc/issue.net -p wa -k system_locale -w /etc/hosts -p wa -k system_locale -w /etc/network/ -p wa -k system_locale # Auditd'yi yeniden başlat sudo systemctl restart auditd sudo systemctl enable auditd
Log Analizi Araçları
# Logwatch kurulumu sudo apt install logwatch -y # Günlük rapor konfigürasyonu sudo nano /etc/logwatch/conf/logwatch.conf Detail = High MailTo = admin@yourdomain.com MailFrom = logwatch@yourdomain.com Format = html Range = today # Manuel logwatch raporu sudo logwatch --detail high --mailto admin@yourdomain.com --format html --range today
6. Servis Sertleştirme: Saldırı Yüzeyini Minimize Etme
Gereksiz Servislerin Tespiti ve Devre Dışı Bırakılması
# Çalışan servisleri listele systemctl list-units --type=service --state=running # Açık portları kontrol et sudo netstat -tulpn sudo ss -tulpn # Gereksiz servisleri devre dışı bırak sudo systemctl disable telnet sudo systemctl disable ftp sudo systemctl disable rsh sudo systemctl disable rlogin sudo systemctl disable tftp sudo systemctl disable xinetd sudo systemctl disable sendmail # Eğer mail server değilse # Servis durumlarını kontrol et sudo systemctl is-enabled service_name sudo systemctl is-active service_name
Web Server Sertleştirme (Apache/Nginx)
Apache Sertleştirme
# Apache güvenlik modülü sudo a2enmod security2 sudo a2enmod headers sudo a2enmod ssl # Güvenlik konfigürasyonu sudo nano /etc/apache2/conf-available/security.conf # İçerik: ServerTokens Prod ServerSignature Off TraceEnable Off # Güvenlik başlıkları Header always set X-Content-Type-Options nosniff Header always set X-Frame-Options DENY Header always set X-XSS-Protection "1; mode=block" Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" Header always set Content-Security-Policy "default-src 'self'" # Konfigürasyonu aktif et sudo a2enconf security sudo systemctl restart apache2
Nginx Sertleştirme
# Nginx güvenlik konfigürasyonu sudo nano /etc/nginx/nginx.conf # İçerik: server_tokens off; # SSL konfigürasyonu ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; # Rate limiting limit_req_zone $binary_remote_addr zone=login:10m rate=10r/m; # Güvenlik başlıkları add_header X-Frame-Options "SAMEORIGIN" always; add_header X-XSS-Protection "1; mode=block" always; add_header X-Content-Type-Options "nosniff" always; add_header Referrer-Policy "no-referrer-when-downgrade" always; add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;
7. Dosya Sistemi Güvenliği ve İzinler
Kritik Dosya İzinlerinin Ayarlanması
# Sistem dosya izinlerini kontrol et ve düzelt sudo chmod 644 /etc/passwd sudo chmod 600 /etc/shadow sudo chmod 644 /etc/group sudo chmod 600 /etc/gshadow sudo chmod 600 /etc/ssh/sshd_config sudo chmod 755 /etc/ssh # World-writable dosyaları bul ve düzelt find / -type f -perm -002 -exec ls -la {} \; 2>/dev/null find / -type d -perm -002 -exec ls -ld {} \; 2>/dev/null # SUID/SGID dosyalarını kontrol et find / -type f \( -perm -4000 -o -perm -2000 \) -exec ls -la {} \; 2>/dev/null # Sahibi olmayan dosyaları bul find / -nouser -o -nogroup 2>/dev/null
Disk Şifreleme ve Mount Güvenliği
# Fstab güvenlik ayarları sudo nano /etc/fstab # Örnek güvenli mount opsisonları: /dev/sda1 /tmp ext4 defaults,nodev,nosuid,noexec 0 2 tmpfs /dev/shm tmpfs defaults,nodev,nosuid,noexec 0 0 # Dosya sistemi bütünlük kontrolü (AIDE) sudo apt install aide -y # AIDE veritabanını başlat sudo aide --init sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db # Günlük bütünlük kontrolü için cron job echo "0 5 * * * root /usr/bin/aide --check | mail -s 'AIDE Integrity Check' admin@yourdomain.com" >> /etc/crontab
Otomatik CIS Compliance Kontrolleri
CIS-CAT Lite ile Automated Assessment
#!/bin/bash # cis_assessment.sh # CIS-CAT Lite indir (ücretsiz versiyon) wget https://learn.cisecurity.org/cis-cat-lite # Unzip ve çalıştır unzip cis-cat-lite.zip cd CIS-CAT-Lite/ # Ubuntu 20.04 için assessment çalıştır ./CIS-CAT.sh -i -a -x -r /opt/cis-reports/ # Raporu analiz et echo "CIS Assessment tamamlandı. Rapor: /opt/cis-reports/"
Lynis ile Security Auditing
# Lynis kurulumu sudo apt install lynis -y # Tam güvenlik denetimi sudo lynis audit system # Raporu incele sudo lynis show report # Öneriler için: sudo lynis show suggestions
Sürekli İyileştirme ve Monitoring
Haftalık Güvenlik Kontrolü Scripti
#!/bin/bash # weekly_security_check.sh echo "=== Haftalık Güvenlik Kontrolü ===" echo "Tarih: $(date)" # 1. Sistem güncellemelerini kontrol et echo "--- Mevcut Güncellemeler ---" apt list --upgradable # 2. Son giriş yapan kullanıcıları kontrol et echo "--- Son Kullanıcı Girişleri ---" last | head -10 # 3. Başarısız SSH girişlerini kontrol et echo "--- Başarısız SSH Girişleri ---" grep "Failed password" /var/log/auth.log | tail -10 # 4. Açık portları kontrol et echo "--- Açık Portlar ---" ss -tulpn # 5. Disk kullanımını kontrol et echo "--- Disk Kullanımı ---" df -h # 6. Yüksek CPU/Memory kullanımını kontrol et echo "--- Sistem Kaynakları ---" top -bn1 | head -20 # 7. Fail2Ban durumunu kontrol et echo "--- Fail2Ban Durumu ---" fail2ban-client status echo "=== Kontrol Tamamlandı ==="
Sonuç ve Tavsiyeler
Bu 7 CIS güvenlik pratiği, Linux sunucularınızın güvenlik seviyesini önemli ölçüde artıracaktır.
Ancak güvenlik bir hedef değil, sürekli bir süreçtir.
Hatırlanması Gerekenler:
- Test Ortamında Deneyin: Üretim sunucularında değişiklik yapmadan önce mutlaka test edin
- Dokümante Edin: Her değişikliği kayıt altına alın
- Düzenli Kontrol: Güvenlik ayarlarını düzenli olarak gözden geçirin
- Güncel Kalın: CIS Benchmarks düzenli güncellenir, takip edin
- Yedekleme: Kritik değişiklikler öncesi sistem yedeği alın
Sonraki Adımlar:
- IDS/IPS sistemi kurulumu
- WAF (Web Application Firewall) implementasyonu
- Vulnerability scanning otomasyonu
- SIEM entegrasyonu
- Incident response planı geliştirme
Linux güvenliği karmaşık görünse de, bu temel CIS pratiklerini sistematik olarak uygulayarak sunucularınızı siber tehditlere karşı önemli ölçüde koruyabilirsiniz. Güvenlik katmanları prensibi gereği, hiçbir tek önlem %100 koruma sağlamaz, ancak bu 7 uygulamanın kombinasyonu saldırganlar için yeterince yüksek bir engel oluşturacaktır. Her sunucu kurulumunda bu listeyi kontrol ederek, güvenli bir temel üzerine inşa etmeye devam edin. Unutmayın:
En iyi savunma, proaktif önlemlerdir.
