Yeni bir ubuntu sunucu açtığınız anda saldırı denemeleri başlar. Otomatik botlar IP adresinizi dakikalar içinde tarar ve zayıf parolaları dener. İlk saatlerde atacağınız birkaç adım, bu gürültünün büyük kısmını durdurur.İyi haber şu: temel sertleştirme karmaşık değil. Bir ubuntu sunucu için en önemli güvenlik kazanımları, birkaç komutla elde edilir. Bu rehberde kurulumdan hemen sonra uygulayacağınız ilk 10 adımı, komutlarıyla birlikte sıralıyoruz.Adımları sırayla uygulayın. Özellikle SSH ayarlarını değiştirirken, mevcut oturumu kapatmadan ikinci bir terminalde erişimi test edin. Yanlış bir ayar sizi sunucudan kilitleyebilir.
Ubuntu Sunucu Güvenliğinde İlk Adım: Güncelleme
Her şeyden önce sistemi güncelleyin. Dağıtımla gelen paketler çoğu zaman eskidir ve bilinen açıklar taşır. Tek komutla paket listesini tazeleyip yükseltmeleri kurun.
sudo apt update && sudo apt upgrade -y
Güncelleme bittikten sonra çekirdek yükseltmesi geldiyse sunucuyu yeniden başlatın. Bu temizlik, geri kalan adımların sağlam bir zemine oturmasını sağlar.
SSH Sertleştirme: Anahtar ve Port
SSH, internete açık sunucularda en sık hedeflenen kapıdır. İlk iş, parola yerine anahtar tabanlı kimlik doğrulamaya geçmektir. Yerel makinenizde bir ed25519 anahtarı üretin ve sunucuya kopyalayın.
ssh-keygen -t ed25519 ssh-copy-id kullanici@sunucu_ip
Anahtarla giriş yaptığınızı doğruladıktan sonra parola girişini kapatın. Düzenlemeyi /etc/ssh/sshd_config dosyasında yapın ve servisi yeniden başlatın.
PasswordAuthentication no PermitRootLogin no
Değişiklik sonrası sudo systemctl restart ssh komutunu çalıştırın. İsterseniz varsayılan 22 portunu farklı bir değere taşıyarak otomatik taramaların çoğunu da gölgede bırakırsınız.
Root Hesabını Devre Dışı Bırakın
Root ile doğrudan giriş, tek bir parolanın ele geçmesi durumunda tüm sunucuyu açar. Bunun yerine sudo yetkili normal bir kullanıcı kullanın. Üstteki PermitRootLogin no satırı root oturumlarını zaten engeller.Günlük yönetimi sudo kullanıcısıyla yapın. Yetkisiz erişim riskini azaltmak için, her servise ayrı kullanıcı tanımlamak ve gereksiz hesapları kaldırmak iyi bir alışkanlıktır.Sudo kullanıcınıza güçlü bir parola atayın ve mümkünse onun girişini de yalnızca anahtarla yapın. Kullanılmayan eski hesapları sudo deluser ile kaldırın. Sistemdeki kullanıcıları görmek için cat /etc/passwd dosyasına bakabilir, beklenmeyen bir hesap görürseniz hemen araştırabilirsiniz.
UFW Firewall ile Trafiği Kapatın
Bir ubuntu sunucu varsayılan olarak gereğinden fazla portu dinleyebilir. UFW, güvenlik duvarını sade kurallarla yönetmenizi sağlar. Önce her gelen trafiği reddedin, giden trafiğe izin verin, sonra yalnızca ihtiyaç duyduğunuz portları açın.
sudo ufw default deny incoming sudo ufw default allow outgoing sudo ufw allow OpenSSH sudo ufw enable
Web sunucusu çalıştırıyorsanız 80 ve 443 portlarını da ekleyin. Komutların ayrıntısı ve ileri kuralar için resmi Ubuntu Server güvenlik duvarı dokümantasyonu başvurulacak en doğru kaynaktır.
Fail2ban ile Kaba Kuvvet Engelleme
Fail2ban, kimlik doğrulama günlüklerini izler ve çok sayıda başarısız deneme yapan IP adreslerini geçici olarak engeller. SSH brute force saldırılarına karşı basit ama etkili bir savunmadır. Kurulumu tek komutluk bir iştir.
sudo apt install fail2ban -y sudo systemctl enable --now fail2ban
Varsayılan ayarlar çoğu sunucu için yeterlidir. Eşik değerlerini değiştirmek isterseniz /etc/fail2ban/jail.local dosyasını oluşturup düzenleyin. Engellenen adresleri sudo fail2ban-client status sshd ile görebilirsiniz.
Otomatik Güvenlik Güncellemeleri
Güvenlik yamalarını elle takip etmek zordur. Ubuntu, kritik güncellemeleri arka planda kuran bir paket sunar. Bu özelliği açtığınızda bilinen açıklar siz fark etmeden kapanır.
sudo apt install unattended-upgrades -y sudo dpkg-reconfigure --priority=low unattended-upgrades
Kurulum sonrası gelen ekranda otomatik güncellemeyi etkinleştirin. Bu adım, sunucunuzu zamanla biriken risklerden uzak tutan en pratik korumalardan biridir.
İlk 10 Adımın Kontrol Listesi
Aşağıdaki tablo, uygulanması gereken adımları ve her birinin amacını özetler. Bir ubuntu sunucu için bu listeyi tamamladığınızda temel güvenlik katmanı hazırdır.
AdımAmaç
Sistem güncelleme | Bilinen açıkları kapatmak
SSH anahtar girişi | Parola tahminini engellemek
Parola girişini kapatma | Brute force yüzeyini daraltmak
Root girişini kapatma | Tek nokta riskini kaldırmak
Sudo kullanıcısı | Yetkili erişimi sınırlamak
UFW firewall | Gereksiz portları kapatmak
Fail2ban | Saldırgan IP'leri engellemek
Otomatik güncelleme | Yamaları sürekli uygulamak
SSH port değişimi | Otomatik taramayı azaltmak
Erişim testi | Kilitlenmeyi önlemek
Özet
Bu on adım, internete açık bir sunucuya yönelen gürültünün büyük bölümünü durdurur. Güncelleme, SSH sertleştirme, firewall ve fail2ban bir araya geldiğinde temel saldırı yüzeyi belirgin biçimde küçülür. İlk kurulumda harcayacağınız yarım saat, ilerideki birçok sorunu baştan önler.KRITM Cloud Solutions altyapısında NVMe diskli, Türkiye lokasyonlu sunucular dakikalar içinde kurulur ve güvenlik sertleştirmesini ilk dakikadan uygulayabilirsiniz. Sunucu altyapısı seçenekleri için bulut çözümleri sayfamızı inceleyin, kurulum ve sertleştirme desteği isterseniz bize ulaşın.