Linux Sunucu Güvenliği Kontrol Listesi

Linux sunucularınız üzerinde güvenlik önlemlerinin alınması hakkında yapılması gereken olmazsa olmazlarımızı yazacağım, yapıp yapmadığınızı bu liste aracılığı ile kontrol edebilirsiniz. Ayrıca eklemek istediklerinizi yorum olarak belirtirseniz sevinirim.

1. Mümkün olan en güncel sürüm işletim sistemi kullanın
2. Minimal bir temel kurulum kullanmayı tercih edin
3. /home /tmp /var /root /opt /usr /boot için ayrılmış dosya sistemleri oluşturun
4. Mümkünse disk şifrelemesi kullanın
5. BIOS üzerinde parola korumalarını aktif edin
6. Boot dizinini kitleyin
7. GRUB bootloader üzerinde şifreleme uygulayın
8. Sunucu üzerinde USB kullanımını devre dışı bırakın
9. Genele açık dizinler için sticky bit kullanın
10. Dump alınabilmesinin önüne geçin
11. Şifrelenmemiş kimlik doğrulama kullanan uygulamalardan kurtulun (FTP, telnet vb)
12. Kullanılmayacak servisleri devre dışı bırakın(DNS, LDAP, DHCP, NFS vb)
13. Loglar için rsyslog kullanımına özen gösterin, bir kopyasını uzak sunucuda saklayın
14. NTP kullanımına özen gösterin
15. Cron ve servislerine kısıtlama getirin, kullanılmıyorsa kapatın
16. Servisler için root kullanıcısını kullanmayı bırakın mümkünse her bir servise ayrı ayrı kullanıcı oluşturun
17. Güçlü parola kullanımına özen gösterin
18. root kullanıcı izinlerini kısıtlamak için sudo işlevselliğini kullanın(eğer sistemi birden fazla operatör kontrol ediyor ise)
19. Network bağlantılarını optimize edin
20. IP yönlendirmelerini kalıcı olarak kernel üzerinden kapatın
21. SSH servislerinde mutlaka güncel sürümü ve güncel protokolleri kullanın
22. SSH servislerinde parolalı girişleri kapatın, mümkünse ssh key aracılığı ile girişe zorlayın
23. SSH üzerinde asla root kullanıcısı kullanımına izin vermeyin. Yetkilendirilmiş normal kullanıcılar kullanın
24. IPS kullanımına özen gösterin mümkünse fail2ban kullanın
25. Web sunucusu üzerinde root kullanıcısını kullanmayın
26. Web sunucusun’da mümkünse TLS kullanımına özen gösterin
27. HTTP Trace metodunu kalıcı olarak kapatın
28. Web sunucusunda kullanılmayan eklentileri kaldırın
29. Web sunucusu üzerinde halka açık dizinlerde 777 izinlerini vermeyin
30. Web sunucusunu bilgi sızdırmayacak şekilde yapılandırın(sürüm bilgilerinin gizlenmesi vb)
31. SSH’dan giriş yapacak kullanıcılar için banner tanımlaması yaparak üzerinde işlem yapılan sunucu hakkında kısaca bilgi verin
32. Sunucu üzerinde açık olan portları kontrol edin
33. Iptables gibi güvenlik duvarı uygulamaları kullanmaya özen gösterin
34. Sunucu üzerinde belirli aralıklarla malware taraması gerçekleştirin(ClamAV, rootkit vb)
35. Sistemde kullanılmayan kullanıcı hesaplarını kalıcı olarak kaldırın
36. sysrq tuş kombinasyonunun kullanılmasına izin vermeyin
37. Kullanılmayan yazılımları kaldırın
38. Otomatik güncelleştirmeleri aktif edin
39. Kernel güncelleştirmelerini mutlaka yapın
40. Kernel sıkılaştırmalarını yapın
41. Kullanıcıların sistemde kalıcı olarak oturum açmalarına izin vermeyin, timeout sürelerini düzenleyin
42. SFTP kullanımına özen gösterin
43. Uygulamaların sıkılaştırma işlemleri için AppArmor vb uygulamaları sisteminize dahil edin
44. Mümkünse uygulamaları sandbox olarak çalıştırın
45. Sunucunun kullanılan verimerkezi hakkında bilgileri paylaşmayın(mümkünse ip bilgilerini temizletin)
46. Sistemde kullanılan tüm komutları kayıt altına alın
47. Kullanılmıyorsa IPv6 kapatın(sadece IPv4 üzerinden iletişim sağlanacaksa)
48. Kullanılmıyorsa IPv4 kapatın(sadece IPv6 üzerinden iletişim sağlanacaksa)
49. Kullanıcı dizinlerini 3 ve 6 aylık aralıklar ile gözden geçirin, mümkünse virüs taraması yapın
50. Desktop ekipmanlarını sunuculardan kalıcı olarak kaldırın
51. Uzaktan erişim için kullanılan uygulamaların servislerini kalıcı olarak kapatın(VNC, Teamviewer vb)
52. Düzenli olarak yedeklerinizi alın
53. Yedeklerinizde bulunan kişisel verileri korumak için GPG şifrelemesi kullanımına özen gösterin
54. Fiziksel sunucu güvenliğinizi mutlaka tamamlayın(kabin ve sistem odası güvenliği)