Linux Sunucu Güvenliği Nasıl Sağlanır?

Merhaba, kişisel parolalarımızı bile dikkatle seçerken servislerimizi emanet ettiğimiz sunucunun güvenliğinden ne kadar eminiz? Sunucu güvenliği nasıl sağlanır gelin hep beraber bakalım. Şahsi tecrübelerime göre oluşturduğum Linux sunucu güvenliği rehberi…

Sunucu Güvenliği için Yapılması Gerekenler

1. Yüklemek istediğiniz işletim sisteminin son patch‘ini yüklediğinizden emin olun.
2. İhtiyaçlarınız dahilinde OS kurulumun minimal version olmasına özen gösterin.
3. Kurulum esnasında disk şifrelemesi kullanmaya özen gösterin.
4. Sunucu fiziksel gözetiminiz dahilinde değilse veya çok hassas veriler içeriyorsa BIOS parolası ekleyin.
5. Kullanımınız olmayacaksa USB seçeneğini devre dışı bırakın.
6. Miladı dolan protokolleri kaldırın veya kurmayın. (FTP vb.)
7. Cron servislerini kullanmıyorsanız devre dışı bırakın.
8. Kernel üzerinden IP Forwarding methodlarını kapatın.
9. SSH servislerini mümkün mertebe key aracılığıyla kullanın.
10. Web servislerini içeren alanlarda Chmod ayarlarını 777 yapmaktan kaçının.
11. Periyodik olarak Maldet türevi yazılımlar vasıtasıyla malware/shell taraması yapın.
12. Kernel güncelleştirmelerini her ay mutlaka kontrol edin.
13. İç yedekleme harici haftada en az bir kere dış yedekleme yapın.
14. Hedef alınabilecek düzeyde bir hizmet veriyorsanız Honeypot kullanın.
15. Rastgele zamanlarda “top -c” veya “ps aux” gibi komutlarla sunucuda neler olup bittiğini kontrol edin, tanımadığınız işlemleri kontrol edin.
16. Ağ trafiğini takip edin.
17. Orta / Üst düzey bir hizmet veriyorsanız, yada hassas bilgilere sahipseniz iç network yapısı kurarak Private VPN ile yönetim işlemlerinize devam edin.
18. Private VPN kullanmaya karar verdiyseniz Client tarafından bağlantı isteği göndermeden önce 2FA doğrulaması konfigüre edin.
19. Web servisleri için static dosyaların veya inc dosyalarının yer aldığı dizinlerde listelemeyi pasif duruma getirin.
20. Uploads dizinlerinde sadece static veya istediğiniz dosya formatlarının çalıştırılmasını sağlayın. (htaccess ile yapabilirsiniz.)
21. Yazma gerektirmeyen dizinlerde chattr +i komutu ile oluşturma/düzenleme yapılmasını engelleyin.
22. Büyük ölçekli projelerde web yönetim yazılımları kullanmaktan kaçının (cPanel, Plesk vb.)
23. Web servisleri için kullandığınız işleyicinin (Apache, Nginx, Litespeed vb.) son sürümünü kullandığınızdan emin olun.
24. Veritabanı bağlantı isteklerine sadece local cihazdan istek geliyorsa izin verin.
25. Sym, ln -s gibi fonksiyonları devre dışı bıraktığınızdan emin olun.
26. Periyodik olarak dosyaların son düzenlenme tarihlerini kontrol edin, şüpheli işlem görürseniz müdahele edin.
27. .bash_history dosyasını periyodik olarak kontrol edin.

Kesin değil!

Bu listeye sadık kalmak önemli düzeyde sunucu güvenliğinizi sağlar ancak garanti vermez. Her zaman bir yolu vardır, en önemli faktörlerin başında gelen insan seçeneğini unutmayın.

CVE raporlarını takip edin gerekli patchleri uygulayın.

Görüşmek üzere …