giriiş
Yeni Linux sunucunuz gerçekten güzel... başına bir şey gelmesi çok yazık olurdu. Belki ilk başta sorunsuz çalışır, ancak üretime geçirmeden önce yapılandırmanızın güvenli olduğundan emin olmak için 10 adım atmanız gerekiyor. Bu adımların ayrıntıları dağıtımdan dağıtıma değişebilir, ancak temel kavram herhangi bir Linux dağıtımı için geçerlidir. Yeni sunucularda bu adımları uygulayarak, en yaygın siber saldırılara karşı en azından temel bir korumaya sahip olduklarından emin olabilirsiniz.
1 – Kullanıcı yapılandırması
Öncelikle, işletim sisteminizin ayarlarında zaten yer almıyorsa, root parolasını değiştirmeniz gerekir. Bu açık olmalı, ancak tipik bir sunucu kurulumu sırasında şaşırtıcı bir şekilde gözden kaçırılabilir. Parola en az 8 karakter uzunluğunda olmalı ve büyük ve küçük harfler, rakamlar ve semboller içermelidir. Ayrıca, yerel hesaplar kullanacaksanız, yaş, kilitlenme, geçmiş ve karmaşıklık gereksinimlerini belirten bir parola politikası oluşturmalısınız. Çoğu durumda, root kullanıcısını tamamen devre dışı bırakmalı ve yükseltilmiş ayrıcalıklara ihtiyaç duyanlar için sudo erişimine sahip root olmayan hesaplar oluşturmalısınız.
2 – Ağ yapılandırması
Yapmanız gereken en temel yapılandırmalardan biri, sunucuya bir IP adresi ve ana bilgisayar adı atayarak ağ bağlantısını etkinleştirmektir. Çoğu sunucu için, istemcilerin kaynağı her zaman aynı adreste bulabilmesi için statik bir IP kullanmak isteyeceksiniz. Ağınız VLAN'lar kullanıyorsa, sunucu bölümünün ne kadar izole olduğunu ve nereye yerleştirmenin en iyi olacağını göz önünde bulundurun. IPv6 kullanmıyorsanız, devre dışı bırakın. Ana bilgisayar adını, etki alanını ve DNS sunucu bilgilerini ayarlayın. Yedeklilik için iki veya daha fazla DNS sunucusu kullanılmalı ve ad çözümlemesinin düzgün çalıştığından emin olmak için nslookup'ı test etmelisiniz.
3 – Paket Yönetimi
Yeni sunucunuzu muhtemelen belirli bir amaç için kuruyorsunuz, bu nedenle kullandığınız dağıtımın bir parçası değilse ihtiyaç duyabileceğiniz tüm paketleri yükleyin. Bunlar PHP, MongoDB, ngnix gibi yardımcı paketler veya pear gibi destek paketleri olabilir. Benzer şekilde, sunucu ayak izini en aza indirmek için sisteminize yüklenmiş tüm fazladan paketler kaldırılmalıdır. Tüm bunlar, ileride daha kolay yönetim için Yum veya apt gibi dağıtımınızın paket yönetim çözümü aracılığıyla yapılmalıdır.
4 – Kurulum ve yapılandırmayı güncelleyin
Sunucunuza doğru paketleri kurduktan sonra, her şeyin güncel olduğundan emin olmalısınız. Sadece kurduğunuz paketler değil, çekirdek ve varsayılan paketler de güncel olmalıdır. Belirli bir sürüme ihtiyacınız yoksa, sisteminizin güvenliğini sağlamak için her zaman en son üretim sürümünü kullanmalısınız. Genellikle, paket yönetim çözümünüz en son desteklenen sürümü sağlayacaktır. Ayrıca, bu sunucuda barındırdığınız hizmetler için uygunsa, paket yönetim aracınızda otomatik güncellemeleri de ayarlamalısınız.
5 – NTP yapılandırması
Sunucunuzun zamanını NTP sunucularıyla senkronize edecek şekilde yapılandırın. Bu, ortamınızda dahili NTP sunucuları veya herkesin erişebileceği harici zaman sunucuları varsa yapılabilir. Önemli olan, sunucu saatinin gerçek zamandan sapmasını önlemektir. Bu, sunucu ile kimlik doğrulama altyapısı arasındaki zaman sapmasının erişim izni verilmeden önce ölçüldüğü kimlik doğrulama sorunları da dahil olmak üzere birçok soruna neden olabilir. Bu basit bir yöntem gibi görünse de, güvenilir bir altyapı çok önemlidir.
6 – Güvenlik Duvarı ve iptables
Dağıtımınıza bağlı olarak, tablolar tamamen kilitli olabilir ve yalnızca ihtiyaç duyduklarınızı açmanızı isteyebilir, ancak varsayılan yapılandırmadan bağımsız olarak, her zaman kontrol etmeli ve istediğiniz şekilde ayarlandığından emin olmalısınız. Her zaman en az ayrıcalık ilkesini kullanmayı ve yalnızca o sunucudaki hizmetler için ihtiyaç duyduğunuz portları açmayı unutmayın. Sunucunuz özel bir güvenlik duvarının arkasındaysa, orada gerekli olanlar dışında her şeyi reddettiğinizden emin olun. iptables/güvenlik duvarınızın varsayılan olarak kısıtlayıcı olduğunu varsayarsak, sunucunuzun çalışması için ihtiyaç duyduklarınızı açmayı unutmayın!
7 – SSH Güvenliğini Sağlama
SSH, Linux dağıtımları için uzaktan erişimin birincil yöntemidir ve bu nedenle düzgün bir şekilde güvenli hale getirilmelidir. Hesabı devre dışı bırakmış olsanız bile, root kullanıcısının uzaktan SSH erişimini devre dışı bırakmalısınız; böylece sunucuda root yetkisi herhangi bir nedenle etkinleştirilmiş olsa bile, uzaktan istismar edilemez. Ayrıca, bağlanan istemci IP adresleriniz sabitse, SSH'yi belirli IP aralıklarıyla sınırlandırabilirsiniz. İsteğe bağlı olarak, varsayılan SSH portunu gizleyerek değiştirebilirsiniz, ancak dürüst olmak gerekirse, basit bir tarama, yeni açık portu bulmak isteyen herkese gösterecektir. Son olarak, parola kimlik doğrulamasını tamamen devre dışı bırakabilir ve SSH'nin istismar edilme olasılığını daha da azaltmak için sertifika tabanlı kimlik doğrulamasını kullanabilirsiniz.
8 – Arka plan servisi yapılandırması
Paketlerinizi temizlediniz, ancak yeniden başlatmada otomatik olarak başlayacak doğru programları ayarlamak da önemlidir. İhtiyaç duymadığınız tüm arka plan işlemlerini (daemon'ları) kapatmayı unutmayın. Güvenli bir sunucunun anahtarlarından biri, aktif ayak izini mümkün olduğunca azaltmaktır; böylece saldırı için kullanılabilir tek yüzey alanları, uygulama(lar) tarafından gerekli olanlardır. Bu yapıldıktan sonra, dayanıklılığı sağlamak için kalan hizmetler mümkün olduğunca güçlendirilmelidir.
9 – SELinux ve daha fazla güvenlik güçlendirmesi
Eğer daha önce bir Red Hat dağıtımı kullandıysanız, sistemi çeşitli işlemlerden koruyan bir çekirdek güçlendirme aracı olan SELinux'a aşina olabilirsiniz. SELinux, yetkisiz kullanım ve sistem kaynaklarına erişime karşı koruma konusunda mükemmeldir. Ancak uygulamaları bozma konusunda da oldukça etkilidir, bu nedenle yapılandırmanızı SELinux etkinleştirilmiş olarak test ettiğinizden ve hiçbir meşru işlemin engellenmediğinden emin olmak için günlükleri kullandığınızdan emin olun. Bunun ötesinde, MySQL veya Apache gibi uygulamaların güçlendirilmesi konusunda da araştırma yapmalısınız, çünkü her birinin izlenmesi gereken kendi en iyi uygulama yöntemleri vardır.
10 – Giriş Yap
Son olarak, ihtiyacınız olan günlük kaydı seviyesinin etkinleştirildiğinden ve bunun için yeterli kaynağa sahip olduğunuzdan emin olmalısınız. Bu sunucuda sorun giderme işlemine eninde sonunda geçeceksiniz, bu nedenle kendinize bir iyilik yapın ve sorunları hızlı bir şekilde çözmek için ihtiyacınız olan günlük kaydı yapısını şimdi oluşturun. Çoğu yazılımın yapılandırılabilir günlükleri vardır, ancak yeterli bilgi ile yetersiz bilgi arasında doğru dengeyi bulmak için biraz deneme yanılma yapmanız gerekecektir. Toplamadan görselleştirmeye kadar her konuda yardımcı olabilecek bir dizi üçüncü taraf günlük kaydı aracı vardır, ancak her ortam öncelikle kendi ihtiyaçları açısından değerlendirilmelidir. Daha sonra bunları karşılamanıza yardımcı olacak araçları bulabilirsiniz.
Sonuç
Bu adımların her birinin tamamlanması, özellikle ilk seferde, biraz zaman alabilir. Ancak bir başlangıç sunucu yapılandırma rutini oluşturarak, ortamınızdaki yeni makinelerin dayanıklı olmasını sağlayabilirsiniz. Bu adımlardan herhangi birinin tamamlanmaması, sunucunuz bir saldırının hedefi haline gelirse çok ciddi sonuçlar doğurabilir. Bunları takip etmek güvenliği garanti etmez – veri ihlalleri yaşanır – ancak kötü niyetli kişilerin üstesinden gelmesini çok daha zorlaştırır ve üstesinden gelmek için belirli bir beceri gerektirir.
