Linux'ta Güvenlik Denetimi: Lynis, AIDE ve ClamAV Kullanımı
Linux sunucu güvenlik denetimi araçları. Lynis ile sistem tarama, AIDE ile dosya bütünlüğü kontrolü ve ClamAV ile malware tarama rehberi.
Linux Güvenlik Denetimi: Lynis, AIDE ve ClamAV
Sunucu güvenliği reaktif değil proaktif olmalıdır. Düzenli güvenlik denetimleri olası ihlalleri erken tespit eder. Bu rehberde üç temel araç ele alınmaktadır.
1. Lynis — Sistem Güvenlik Tarayıcısı
Lynis, Linux/Unix sistemler için kapsamlı güvenlik denetim aracıdır. 300'den fazla güvenlik testini otomatik çalıştırır.
Kurulum:
# Ubuntu/Debian
apt install lynis
# RHEL/Rocky Linux
dnf install lynis
# Veya kaynak koddan
cd /tmp
git clone https://github.com/CISOfy/lynis
cd lynis
Sistem Taraması:
# Tam sistem taraması
lynis audit system
# Belirli kategorileri tara
lynis audit --tests-from-group authentication
lynis audit --tests-from-group networking
lynis audit --tests-from-group malware
# Sessiz mod (sadece öneriler)
lynis audit system --quiet
Rapor Yorumlama:
[+] Warnings: Acil dikkat gerektiren sorunlar
[+] Suggestions: İyileştirme önerileri
[+] Hardening Index: Sertleştirme skoru (100 üzerinden)
# Detaylı rapor
cat /var/log/lynis.log
# Öneri listesi
lynis show suggestions
Yaygın Lynis Önerileri ve Düzeltmeleri:
# Kernel sysctl sertleştirme
echo "kernel.dmesg_restrict = 1" >> /etc/sysctl.conf
echo "kernel.kptr_restrict = 2" >> /etc/sysctl.conf
sysctl -p
# Kullanılmayan servisleri kapat
systemctl disable avahi-daemon
systemctl disable cups
# Dosya izinleri düzeltme
chmod 700 /root
chmod 600 /etc/cron.allow
2. AIDE — Dosya Bütünlüğü İzleme
AIDE (Advanced Intrusion Detection Environment), sistem dosyalarının değişip değişmediğini izler. Bir saldırgan dosya değiştirirse AIDE tespit eder.
Kurulum:
apt install aide # Ubuntu/Debian
dnf install aide # RHEL/Rocky Linux
İlk Veritabanı Oluşturma:
# Yapılandırma dosyası
vim /etc/aide/aide.conf
# Veritabanını başlat (ilk kurulumda)
aide --init
# Veritabanını aktif hale getir
mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db
AIDE Yapılandırması:
# /etc/aide/aide.conf
database_in = file:/var/lib/aide/aide.db
database_out = file:/var/lib/aide/aide.db.new
# İzlenecek dizinler
/etc CONTENT_EX
/bin CONTENT_EX
/sbin CONTENT_EX
/usr/bin CONTENT_EX
/usr/sbin CONTENT_EX
# İzlenmeyecek dizinler
!/var/log
!/proc
!/sys
Bütünlük Kontrolü:
# Değişiklikleri kontrol et
aide --check
# Sonuçları filtrele
aide --check 2>&1 | grep -E "changed|added|removed"
# Güncel veritabanı oluştur (güncellemelerden sonra)
aide --update
Cron ile Otomatik Kontrol:
# /etc/cron.daily/aide-check
#!/bin/bash
/usr/bin/aide --check | mail -s "AIDE Report - $(hostname)" admin@sitem.com
3. ClamAV — Antivirüs ve Malware Tarama
ClamAV, açık kaynaklı antivirüs motorudur. Özellikle web sunucularında yüklenen dosyaları taramak için kullanılır.
Kurulum:
# Ubuntu/Debian
apt install clamav clamav-daemon
# RHEL/Rocky Linux
dnf install clamav clamd clamav-update
Virüs Veritabanını Güncelle:
# Daemon'u durdur, güncelle, başlat
systemctl stop clamav-freshclam
freshclam
systemctl start clamav-freshclam
systemctl enable clamav-freshclam
Manuel Tarama:
# Dizin tarama
clamscan -r /var/www/html
# Virüslü dosyaları taşı
clamscan -r --move=/quarantine /var/www/html
# Virüslü dosyaları sil (dikkatli!)
clamscan -r --remove /var/www/html
# Sadece virüslü dosyaları göster
clamscan -r --infected /var/www/html
# Hariç tut
clamscan -r --exclude="*.log" /var/www
Otomatik Tarama (Cron):
# /etc/cron.d/clamav-scan
0 2 * * * root clamscan -r --infected --quiet /var/www/html | mail -s "ClamAV Report" admin@sitem.com
OnAccess Tarama (Gerçek Zamanlı):
# /etc/clamav/clamd.conf
OnAccessIncludePath /var/www/html
OnAccessExcludeUname clamav
OnAccessPrevention yes
systemctl enable --now clamav-daemon
Güvenlik Denetim Takvimi
| Araç | Sıklık | Amaç |
|---|---|---|
| Lynis | Aylık | Sistem sertleştirme denetimi |
| AIDE | Günlük | Dosya değişikliği tespiti |
| ClamAV | Haftalık | Malware tarama |
Entegre Güvenlik Yaklaşımı
# Haftalık güvenlik raporu scripti
cat > /usr/local/bin/security-report.sh << 'EOF'
#!/bin/bash
echo "=== Lynis Özeti ==="
lynis audit system --quiet 2>&1 | tail -20
echo "=== ClamAV Tarama ==="
clamscan -r --infected --quiet /var/www/html
echo "=== AIDE Kontrolü ==="
aide --check
EOF
chmod +x /usr/local/bin/security-report.sh
Büyükweb hosting ve VDS çözümlerimiz, Imunify360 entegrasyonu ile gerçek zamanlı malware koruması sağlar. Düzenli denetimler için bu araçları kendi sunucularınızda da kullanmanızı öneririz.
Web Guvenligi Kontrol Listesi
SSL/TLS Yapilandirmasi
TLS 1.2 ve 1.3 destekleyin, eski protokolleri devre disi birakin. HSTS etkinlestirin. SSL Labs testinde A+ hedefleyin.
Guvenlik Basliklari
X-Content-Type-Options, X-Frame-Options, Content-Security-Policy ve Permissions-Policy yapilandirin. XSS ve clickjacking koruması saglayin.
WAF Korumasi
ModSecurity veya Imunify360 ile SQL injection, XSS saldirilarina karsi koruma. OWASP kurallarini aktif edin. Rate limiting ile brute-force onleyin.
Malware Tarama
Imunify360 veya ClamAV ile duzenli tarama. Dosya degisikliklerini izleyin. Suphelileri karantinaya alin.
Parola Politikasi
Minimum 12 karakter, karma karakterler, 2FA etkinlestirme. Parola yoneticisi kullanin.
Yedekleme ve Felaket Kurtarma
Duzenli yedek alin ve test edin. Offline kopya tutun. Felaket kurtarma planini dokumante edin.
Sik Sorulan Sorular
Ucretsiz SSL ile ucretli farki nedir?
Let's Encrypt teknik olarak ayni sifreleme sunar. Ucretli sertifikalar garanti ve OV/EV dogrulama sunar.
Mixed content nasil cozulur?
Tum URL'leri https ile guncelleyin. WordPress'te Better Search Replace ile toplu guncelleme yapin.
Sertifika suresi doldu ne olur?
Ziyaretciler uyari gorur, SEO duser. certbot renew ile otomatik yenileme kullanin.
Sonuc
Guvenlik surekli bir surectir. Katmanli yaklasim ile sitenizi koruyun. Buyukweb paketlerinde Imunify360 ve ucretsiz SSL dahildir.
SSL Sertifika Turleri
| Tur | Dogrulama | Kullanim | Fiyat |
|---|---|---|---|
| DV (Domain) | Domain sahipligi | Kisisel site, blog | Ucretsiz-dusuk |
| OV (Organization) | Sirket dogrulama | Kurumsal site | Orta |
| EV (Extended) | Detayli dogrulama | Banka, e-ticaret | Yuksek |
| Wildcard | Tum subdomainler | Coklu subdomain | Orta-yuksek |
Let's Encrypt Otomatik Yenileme
Certbot ile sertifikalari otomatik yenileyin. Cron veya systemd timer ile 60 gunde bir yenileme zamanlayIn.
Guvenlik Denetim Kontrol Listesi
- SSL/TLS versiyonlari guncel mi?
- Guvenlik basliklari dogru yapilandirildi mi?
- WAF kurallari aktif mi?
- fail2ban calisiyor mu?
- Gereksiz portlar kapali mi?
- Root girisi devre disi mi?
- 2FA aktif mi?
- Yedekler duzenli aliniyor mu?
- Dosya izinleri dogru mu?
- Kullanilmayan servisler kapatildi mi?
Bu listeyi ayda bir kontrol ederek sunucunuzun guvenligini ust seviyede tutun.
Turkiye'de Hosting Sektoru 2025-2026
Sektorel Trendler
Turkiye hosting pazari hizla buyumektedir. E-ticaretin genislemesi, dijitallesme calismalarI ve uzaktan calisma trendi hosting talebini artirmaktadir. NVMe SSD, HTTP/3 ve edge computing gibi teknolojiler hosting performansini yeni seviyelere tasimaktadir.
Dikkat Edilmesi Gerekenler
Hosting sektoru rekabetci bir pazardir. Dusuk fiyat vaat eden ancak altyapı kalitesinden odun veren firmalardan kacinin. Gizli maliyet, yenileme fiyat artisi ve yetersiz destek en sik karsilasilan sorunlardir.
Hosting Firmasi Secim Kriterleri
- Veri merkezi lokasyonu: Turkiye'de veri merkezi olan firmalari tercih edin
- Uptime garantisi: Minimum %99.5, ideal %99.8+
- Teknik destek: 7/24 Turkce destek zorunlu
- Guvenlik: DDoS korumasi, SSL, WAF dahil olmali
- Yedekleme: Gunluk otomatik yedekleme olmali
- Olceklenebilirlik: Ihtiyac artiginda kolayca yukseltme yapilabilmeli
- Musteri yorumlari: Gercek kullanici deneyimlerini arastirin
Buyukweb 2009'dan beri bu kriterlerin tumunu karsilayarak 5.200+ musteriye guvenilir hosting hizmeti sunmaktadir. Sorulariniz icin 0850 302 60 70 numarasini arayabilir veya destek@buyukweb.com adresine yazabilirsiniz.
Sik Yapilan Hosting Hatalari
Hosting secimi ve yonetiminde en sik karsilasilan hatalar:
1. Sadece Fiyata Bakmak
En ucuz hosting her zaman en iyi secim degildir. Performans, guvenlik ve destek kalitesi fiyattan daha onemlidir. Dusuk maliyetli hostinglerde yenileme fiyatlari genellikle cok daha yuksektir.
2. Yedekleme Almamak
Otomatik yedekleme olsa bile, onemli degisikliklerden once manuel yedek almak hayati onem tasir. Yedeklerin geri yuklenebilirligini test etmeyen sirketler veri kaybi yasadiginda ciddi sorunlarla karsilasir.
3. Guncellemeleri Ertelemek
WordPress, eklentiler ve isletim sistemi guncellemelerini ertelemek guvenlik aciklarına davetiye cikarir. Otomatik guvenlik guncellemeleri yapilandirmak en temel onlemdir.
4. SSL Kullanmamak
Hala SSL sertifikasi olmayan web siteleri mevcut. SSL olmadan Google siralama duser, ziyaretci guveni azalir ve veri guvenligi tehlikeye girer. Ucretsiz Let's Encrypt sertifikasi bile yeterlidir.
5. Kaynak Planlamasi Yapmamak
Trafik artisina hazirliksiz yakalanmak, sitenizin cokmesine neden olabilir. Trafik trendlerini izleyin ve ihtiyac halinde kaynakları zamaninda artirin.
Etiketler:
