Ana içeriğe geç

Sunucu Güvenliği (Hardening) 🛡️

Tebrikler! Bu rehberdeki adımları tamamladıysanız, sunucunuz artık sıradan bir Linux kutusu değil, Katmanlı Savunma (Defense in Depth) ile korunan bir kaledir.

Aşağıdaki liste, uyguladığımız tüm güvenlik katmanlarının özetidir.

🧱 Katmanlı Güvenlik Mimarisi (Defense in Depth)

Modern sunucu güvenliği, tek bir önleme değil, birbirini tamamlayan çok katmanlı savunma stratejisine dayanır. Bir katman aşılsa bile, diğer katmanlar saldırganı durdurur.

Temel Güvenlik Katmanları

Sistem Temeli:
Güvenlik, temiz bir sistemle başlar. Gereksiz servisleri temizleyerek saldırı yüzeyini küçültün, otomatik güncellemelerle yazılım açıklarını kapatın ve kernel parametrelerini sıkılaştırarak network saldırılarını engelleyin.

Erişim Kontrolü:
SSH'ı sertleştirin (port değiştirme, root girişi kapatma, anahtar kullanımı), 2FA ekleyin ve firewall kurallarıyla sadece gerekli portları açın. CrowdSec veya Fail2ban ile brute-force saldırılarını otomatik engelleyin.

Dosya Sistemi ve Bütünlük:
/tmp dizinini sertleştirerek zararlı script çalıştırılmasını önleyin, AIDE ile dosya bütünlüğünü izleyin ve yetkisiz değişiklikleri tespit edin.

Kaynak ve Kısıtlamalar:
Derleyicileri kısıtlayarak sunucuda zararlı yazılım derlenmesini engelleyin, CPU/RAM limitleriyle crypto miner gibi kaynak tüketen saldırıları boğun.

Uygulama Güvenliği:
Şifreleri güvenli yönetin (.env, Vault, Docker Secrets), Docker konteynerlerini izole edin (non-root, read-only FS, UserNS) ve monitoring ile anomalileri tespit edin.

Malware Koruması:
ClamAV ve Rkhunter ile düzenli zararlı taraması yapın.

İleri Seviye Katmanlar

Temel güvenlik sağlandıktan sonra, Bastion Host ile erişim noktalarını merkezileştirin, Honeypot ve Tarpit ile saldırganları tuzağa düşürün, OpenSCAP ile uyumluluk standartlarını kontrol edin ve SIEM/EDR araçlarıyla kurumsal düzeyde tehdit analizi yapın.

Tüm katmanların etkinliğini düzenli olarak Lynis ile test edin.

🚀 Uygulama Sırası (Roadmap)

Sıfırdan kuruluma başladıysanız bu sırayı takip edin:

Aşama 1: Temel (İlk Kurulum)

  1. Servisleri Temizle
  2. Güncellemeleri Aç
  3. SSH Ayarla
  4. Firewall Aç

Aşama 2: Sıkılaştırma (Hardening)

  1. Kernel Ayarları
  2. Fail2ban/Crowdsec Kur
  3. /tmp Hardening
  4. Derleyicileri Kısıtla

Aşama 3: İleri Seviye (Paranoya Modu)

  1. SSH 2FA Ekle
  2. Docker Hardening Uygula
  3. Monitoring Scriptlerini Kur
  4. Her Şeyi Tara (Lynis)

Hangisini Seçmeliyim: CrowdSec mi Fail2ban mi?

Kriter Fail2ban 🐍 CrowdSec 🐹
Teknoloji Python (Eski, Güvenilir) Go (Modern, Bulut Tabanlı)
Koruma Reaktif: Size saldırırsa banlar. Proaktif: Dünyada birine saldıranı size gelmeden banlar.
Öneri 512MB RAM altı sunucular için. Modern, 1GB+ RAM sunucular için (Önerilen).

[!TIP] Güvenlik bir varış noktası değil, yolculuktur. Haftalık Lynis taramalarınızı aksatmayın!