Linux sunucularınız üzerinde güvenlik önlemlerinin alınması hakkında yapılması gereken olmazsa olmazlarımızı yazacağım, yapıp yapmadığınızı bu liste aracılığı ile kontrol edebilirsiniz. Ayrıca eklemek istediklerinizi yorum olarak belirtirseniz sevinirim.
- Mümkün olan en güncel sürüm işletim sistemi kullanın
- Minimal bir temel kurulum kullanmayı tercih edin
- /home /tmp /var /root /opt /usr /boot için ayrılmış dosya sistemleri oluşturun
- Mümkünse disk şifrelemesi kullanın
- BIOS üzerinde parola korumalarını aktif edin
- Boot dizinini kitleyin
- GRUB bootloader üzerinde şifreleme uygulayın
- Sunucu üzerinde USB kullanımını devre dışı bırakın
- Genele açık dizinler için sticky bit kullanın
- Dump alınabilmesinin önüne geçin
- Şifrelenmemiş kimlik doğrulama kullanan uygulamalardan kurtulun (FTP, telnet vb)
- Kullanılmayacak servisleri devre dışı bırakın(DNS, LDAP, DHCP, NFS vb)
- Loglar için rsyslog kullanımına özen gösterin, bir kopyasını uzak sunucuda saklayın
- NTP kullanımına özen gösterin
- Cron ve servislerine kısıtlama getirin, kullanılmıyorsa kapatın
- Servisler için root kullanıcısını kullanmayı bırakın mümkünse her bir servise ayrı ayrı kullanıcı oluşturun
- Güçlü parola kullanımına özen gösterin
- root kullanıcı izinlerini kısıtlamak için sudo işlevselliğini kullanın(eğer sistemi birden fazla operatör kontrol ediyor ise)
- Network bağlantılarını optimize edin
- IP yönlendirmelerini kalıcı olarak kernel üzerinden kapatın
- SSH servislerinde mutlaka güncel sürümü ve güncel protokolleri kullanın
- SSH servislerinde parolalı girişleri kapatın, mümkünse ssh key aracılığı ile girişe zorlayın
- SSH üzerinde asla root kullanıcısı kullanımına izin vermeyin. Yetkilendirilmiş normal kullanıcılar kullanın
- IPS kullanımına özen gösterin mümkünse fail2ban kullanın
- Web sunucusu üzerinde root kullanıcısını kullanmayın
- Web sunucusun’da mümkünse TLS kullanımına özen gösterin
- HTTP Trace metodunu kalıcı olarak kapatın
- Web sunucusunda kullanılmayan eklentileri kaldırın
- Web sunucusu üzerinde halka açık dizinlerde 777 izinlerini vermeyin
- Web sunucusunu bilgi sızdırmayacak şekilde yapılandırın(sürüm bilgilerinin gizlenmesi vb)
- SSH’dan giriş yapacak kullanıcılar için banner tanımlaması yaparak üzerinde işlem yapılan sunucu hakkında kısaca bilgi verin
- Sunucu üzerinde açık olan portları kontrol edin
- Iptables gibi güvenlik duvarı uygulamaları kullanmaya özen gösterin
- Sunucu üzerinde belirli aralıklarla malware taraması gerçekleştirin(ClamAV, rootkit vb)
- Sistemde kullanılmayan kullanıcı hesaplarını kalıcı olarak kaldırın
- sysrq tuş kombinasyonunun kullanılmasına izin vermeyin
- Kullanılmayan yazılımları kaldırın
- Otomatik güncelleştirmeleri aktif edin
- Kernel güncelleştirmelerini mutlaka yapın
- Kernel sıkılaştırmalarını yapın
- Kullanıcıların sistemde kalıcı olarak oturum açmalarına izin vermeyin, timeout sürelerini düzenleyin
- SFTP kullanımına özen gösterin
- Uygulamaların sıkılaştırma işlemleri için AppArmor vb uygulamaları sisteminize dahil edin
- Mümkünse uygulamaları sandbox olarak çalıştırın
- Sunucunun kullanılan verimerkezi hakkında bilgileri paylaşmayın(mümkünse ip bilgilerini temizletin)
- Sistemde kullanılan tüm komutları kayıt altına alın
- Kullanılmıyorsa IPv6 kapatın(sadece IPv4 üzerinden iletişim sağlanacaksa)
- Kullanılmıyorsa IPv4 kapatın(sadece IPv6 üzerinden iletişim sağlanacaksa)
- Kullanıcı dizinlerini 3 ve 6 aylık aralıklar ile gözden geçirin, mümkünse virüs taraması yapın
- Desktop ekipmanlarını sunuculardan kalıcı olarak kaldırın
- Uzaktan erişim için kullanılan uygulamaların servislerini kalıcı olarak kapatın(VNC, Teamviewer vb)
- Düzenli olarak yedeklerinizi alın
- Yedeklerinizde bulunan kişisel verileri korumak için GPG şifrelemesi kullanımına özen gösterin
- Fiziksel sunucu güvenliğinizi mutlaka tamamlayın(kabin ve sistem odası güvenliği)
Ellerinize sağlık. Çok güzel bir çalışma olmuş.
Hocam selam öğrenciyim siber güvenlik ile alakalı bir blog oluşturmak istiyorum ama vps fiyatları ortalama 100-120tl güvenilir bir paylaşımlı hosting yıllık 120tl arada 12 kat fark var hostingim cloudlinux ve cagefs kullanıyor imunify360 vb shell engelleyen çözümler var acaba önerirmisiniz?
Merhaba
tabii ki https://www.netinternet.com.tr/linux-cpanel-web-hosting?period=annually adresinde yer alan paketlere bakabilirsiniz. bu tarz sistemler genel olarak güvenlidir. Herkes kendi kaynağını kullanır kimse kimseye bulaşamaz. Sistemler güncelse atlatma yöntemleri de bulunmaz.
Hesaplı hosting fiyatları günden güne kalmamakta yıllık veya iki yıllık alım yapmanızı öneririm.
Merhaba, kontrol listelerine erişemiyorum kaldırıldı mı yoksa benim erişimimde mi bir sorun var?
Herhangi bir sorun göremedim liste yerinde duruyor.