1. Kernel Hardening (Çekirdek Sertleştirme)
Kernel, Linux işletim sisteminin beyin kısmıdır. Kernel, işletim sistemi üzerinde tam kontrol sağlar ve potansiyel bir saldırganın sisteminize girmesi için ilk hedef olur. Kernel hardening, çekirdek seviyesinde yapılan güvenlik önlemleridir. Bu işlemle birlikte, işletim sisteminizin saldırılara karşı daha dayanıklı hale gelmesini sağlarsınız. Örneğin, Sysctl parametrelerini ayarlayarak, sisteminizdeki bazı güvenlik açıklarını engelleyebilirsiniz.
# Güvenlik parametrelerini etkinleştirin
sysctl -w kernel.dmesg_restrict=1
sysctl -w kernel.randomize_va_space=22. Güvenli SSH Yapılandırması
SSH, Linux sunucuları için ana bağlantı noktasıdır. Ancak kötü yapılandırılmış SSH, siber saldırganların sunucunuza sızması için en popüler yol olabilir. SSH güvenliğini artırmak için, kullanıcı adı ve parola yerine anahtar tabanlı kimlik doğrulamasını kullanın. Ayrıca, SSH bağlantılarını sadece belirli IP adreslerine sınırlandırarak güvenliği daha da artırabilirsiniz.
# SSH üzerinden parola girişini kapatın
PasswordAuthentication no
# Sadece belirli IP'lerden bağlantı kabul edin
AllowUsers user@192.168.1.*3. SELinux veya AppArmor Kullanımı
Security-Enhanced Linux (SELinux) ve AppArmor, Linux sistemlerinde güçlü güvenlik özellikleri sağlayan iki önemli güvenlik modülüdür. SELinux, sisteminize daha katı erişim kontrolleri getirirken, AppArmor, belirli uygulamalar için güvenlik profilleri oluşturur. Bu modüller sayesinde, kullanıcılar ve uygulamalar arasında katı güvenlik sınırları belirler, sisteminizi daha dayanıklı hale getirirsiniz.
4. Uygulama Güvenliği: Sadece Güncelleme Yetmez
Birçok Linux sunucusunda, sistemin güvenliğini sağlamak için yalnızca sistem güncellemeleri yeterli görülür. Ancak, uygulama seviyesinde de güvenlik önlemleri almak önemlidir. Web sunucusu yazılımlarının en son sürümlerini kullanmak, veritabanı yazılımlarındaki açıkları kapatmak ve uygulama seviyesinde güvenlik duvarları (WAF) kullanmak, saldırılara karşı korumanızı artırır.
5. Güvenlik Duvarı ve IP Engelleme
Sunucunuzda bir güvenlik duvarı kullanmak, dışarıdan gelen saldırılara karşı savunma hattınızın ilk kısmıdır. Linux'ta iptables veya firewalld kullanarak, yalnızca gerekli portları açık bırakıp, diğerlerini kapatarak güçlü bir güvenlik duvarı oluşturabilirsiniz.
# Sadece gerekli portları açın
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT6. Dosya ve Dizin İzinleri
Linux, dosya ve dizinlere erişim izinleri konusunda oldukça esnektir. Ancak, gereksiz yere geniş izinler vermek, saldırganların sisteminize kolayca sızmasına neden olabilir. Kullanıcılar ve gruplar arasındaki izinleri dikkatli bir şekilde yapılandırarak, dosya ve dizin güvenliğini artırabilirsiniz.
# Dosya izinlerini sıkılaştırın
chmod 700 /home/user/private_file7. Saldırı Tespiti ve İzleme
Saldırıların tespit edilmesi için sisteminizin sürekli izlenmesi önemlidir. Fail2Ban, saldırganların başarısız giriş denemelerini tespit eder ve IP adreslerini engeller. Ayrıca, auditd gibi araçlar ile sistemdeki her hareketi kaydederek, potansiyel bir saldırıya karşı hazırlıklı olabilirsiniz.
8. Yedekleme ve Felaket Kurtarma Planı
Bir saldırı sonucu sisteminiz zarar görebilir, bu yüzden etkili bir yedekleme ve felaket kurtarma planınız olmalıdır. Yedeklemelerinizi düzenli olarak almalı ve bu yedeklerin güvenli bir şekilde saklandığından emin olmalısınız. Ayrıca, yedeklerinizi sadece yerel değil, uzak sunucularda da tutarak riskleri azaltabilirsiniz.
9. Log Yönetimi ve Denetim
Sunucunuzdaki tüm aktiviteleri kaydeden loglar, güvenlik sorunları hakkında size değerli bilgiler sunar. Ancak logların yönetimi önemlidir; yanlış yapılandırılmış loglar, önemli verilerin kaybolmasına neden olabilir. Logrotate gibi araçlar kullanarak, log dosyalarınızı düzenli olarak döndürmeli ve arşivlemelisiniz.
10. Güvenlik Testi ve Penetrasyon Testi
Sunucunuzun güvenliğini sürekli test etmek, saldırganların keşfetmeden önce zayıf noktaları bulmanıza yardımcı olur. Güvenlik taramaları ve penetrasyon testleri yaparak, potansiyel açıkları tespit edebilir ve bunları kapatabilirsiniz. OpenVAS ve Nikto gibi araçlar, bu tür testler için oldukça yararlıdır.
