SSH Güvenliği: Anahtar Tabanlı Kimlik Doğrulama ve Hardening
SSH sunucunuzu güvenli hale getirin: anahtar tabanlı kimlik doğrulama, port değiştirme, fail2ban, ve SSH hardening en iyi uygulamalar.
SSH Güvenliği: Anahtar Tabanlı Kimlik Doğrulama ve Hardening
SSH (Secure Shell), sunucu yönetiminin vazgeçilmez aracıdır. Ancak yanlış yapılandırılmış SSH sunucuları ciddi güvenlik açıkları yaratır. Bu rehberde SSH'ı en güvenli şekilde nasıl yapılandıracağınızı öğreneceksiniz.
SSH Anahtar Çiftleri Oluşturma
Ed25519 (Önerilen)
# Modern, güvenli Ed25519 anahtarı
ssh-keygen -t ed25519 -C "admin@buyukweb.com" -f ~/.ssh/id_ed25519
# Parola korumalı (önerilen)
ssh-keygen -t ed25519 -C "admin@buyukweb.com" -f ~/.ssh/id_ed25519 -N "güçlü-parola"
# RSA 4096 (uyumluluk gerektiriyorsa)
ssh-keygen -t rsa -b 4096 -C "admin@buyukweb.com" -f ~/.ssh/id_rsa
Ortak Anahtarı Sunucuya Kopyalama
# Otomatik yöntem
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@sunucu.buyukweb.com
# Manuel yöntem
cat ~/.ssh/id_ed25519.pub | ssh user@sunucu "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"
# İzinleri ayarla
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys
SSH Sunucu Hardening (/etc/ssh/sshd_config)
# /etc/ssh/sshd_config - Güvenli yapılandırma
# Temel ayarlar
Port 2222 # Varsayılan porttan değiştir
AddressFamily inet # Sadece IPv4 (gerekirse inet6 ekle)
ListenAddress 0.0.0.0
# Kimlik doğrulama
PermitRootLogin no # Root girişini engelle
PasswordAuthentication no # Parola girişini devre dışı bırak
PubkeyAuthentication yes # Anahtar tabanlı kimlik doğrulama
AuthorizedKeysFile .ssh/authorized_keys
PermitEmptyPasswords no
# Güvenlik
MaxAuthTries 3 # Maksimum deneme sayısı
MaxSessions 5 # Maksimum oturum sayısı
LoginGraceTime 30 # Giriş zaman aşımı (saniye)
ClientAliveInterval 300 # İstemci canlılık kontrolü
ClientAliveCountMax 2
# Özellikler (kapalı)
X11Forwarding no # X11 yönlendirme kapalı
AllowAgentForwarding no
AllowTcpForwarding no
PermitTunnel no
GatewayPorts no
# Şifreleme algoritmaları (güçlü)
KexAlgorithms curve25519-sha256,ecdh-sha2-nistp256
Ciphers aes256-gcm@openssh.com,aes128-gcm@openssh.com
MACs hmac-sha2-256,hmac-sha2-512
# Sadece belirli kullanıcılara izin ver
AllowUsers admin webmaster
# DenyUsers root guest
# Yapılandırmayı test et ve uygula
sshd -t # Sözdizimi kontrolü
systemctl restart sshd
systemctl status sshd
Fail2ban ile Brute Force Koruması
# Kurulum
apt install fail2ban -y
# /etc/fail2ban/jail.local
[DEFAULT]
bantime = 3600 # 1 saat ban
findtime = 600 # 10 dakika içinde
maxretry = 5 # 5 başarısız deneme
[sshd]
enabled = true
port = 2222 # Özel SSH portu
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 86400 # 24 saat ban
# Fail2ban başlat
systemctl enable fail2ban
systemctl start fail2ban
# Durum kontrolü
fail2ban-client status sshd
fail2ban-client status
# Yasaklı IP'leri görüntüle
fail2ban-client get sshd banned
# IP banını kaldır
fail2ban-client set sshd unbanip 1.2.3.4
SSH İstemci Yapılandırması (~/.ssh/config)
# ~/.ssh/config - Çoklu sunucu yönetimi
# Varsayılan ayarlar
Host *
ServerAliveInterval 60
ServerAliveCountMax 3
ConnectTimeout 10
HashKnownHosts yes
# Buyukweb üretim sunucusu
Host buyukweb-prod
HostName 195.85.xxx.xxx
User admin
Port 2222
IdentityFile ~/.ssh/id_ed25519
IdentitiesOnly yes
# Buyukweb geliştirme sunucusu
Host buyukweb-dev
HostName 195.85.xxx.yyy
User developer
Port 2222
IdentityFile ~/.ssh/id_ed25519_dev
ForwardAgent yes
# Bastion (sıçrama) sunucusu üzerinden erişim
Host internal-server
HostName 10.0.0.50
User admin
ProxyJump buyukweb-prod
# Bağlantı komutları
ssh buyukweb-prod
ssh buyukweb-dev
ssh internal-server
# Port yönlendirme
ssh -L 8080:localhost:80 buyukweb-prod # Yerel port yönlendirme
ssh -R 9090:localhost:3000 buyukweb-prod # Uzak port yönlendirme
ssh -D 1080 buyukweb-prod # SOCKS proxy
SSH Sertifika Yetkilisi (SSH CA)
# CA anahtarı oluştur (tek seferlik)
ssh-keygen -t ed25519 -f /etc/ssh/ssh_ca -C "Buyukweb SSH CA"
# Kullanıcı anahtarını imzala
ssh-keygen -s /etc/ssh/ssh_ca -I "admin@buyukweb.com" -n admin,root -V +52w -z 1 ~/.ssh/id_ed25519.pub
# sshd_config'e ekle
TrustedUserCAKeys /etc/ssh/ssh_ca.pub
# Sertifikayı doğrula
ssh-keygen -L -f ~/.ssh/id_ed25519-cert.pub
SSH Güvenlik Denetimi
# SSH audit aracı
pip install ssh-audit
ssh-audit localhost
# Aktif bağlantıları görüntüle
ss -tnp | grep ':22|:2222'
who
w
last | head -20
# SSH log analizi
grep "Accepted|Failed|Invalid" /var/log/auth.log | tail -50
journalctl -u sshd -f
# Port tarama tespiti
grep "Did not receive identification" /var/log/auth.log
İki Faktörlü Kimlik Doğrulama (2FA)
# Google Authenticator kurulumu
apt install libpam-google-authenticator -y
# Kullanıcı için kurulum
google-authenticator
# /etc/pam.d/sshd dosyasına ekle
auth required pam_google_authenticator.so
# sshd_config
ChallengeResponseAuthentication yes
AuthenticationMethods publickey,keyboard-interactive
Sonuç
SSH güvenliği, sunucu yönetiminin en kritik parçasıdır. Anahtar tabanlı kimlik doğrulama, port değiştirme, fail2ban ve düzenli denetim ile sunucunuzu brute force ve yetkisiz erişim saldırılarına karşı koruyabilirsiniz. Buyukweb VDS ve dedicated sunucularında SSH hardening standart olarak uygulanmaktadır.
Ilgili Buyukweb Hizmetleri:
- Proxy paketlerimizi inceleyin
- VDS sunucu paketlerimizi goruntuleyin
- Tum hosting ve sunucu paketlerimiz
Ag Yonetimi ve Sorun Giderme
DNS
A, AAAA, CNAME, MX, TXT kayitlarini yapilandirin. TTL ayarlayin. DNSSEC ile spoofing koruması. Yedekli DNS kullanin.
Performans Olcumu
iperf3 bant genisligi, mtr traceroute, ping gecikme, dig DNS analizi. Smokeping ile uzun vadeli izleme.
Load Balancing
HAProxy/Nginx ile trafik dagitimi. Health check ile ariza tespiti. Round-robin veya least connections algoritmasi.
VPN
WireGuard minimal ve hizli. OpenVPN genis platform destegi. Site-to-site VPN ile lokasyonlari baglayin.
DDoS Koruma
L3/L4: rate limiting, SYN cookie. L7: WAF, CAPTCHA, JS challenge. Buyukweb L3-L7 koruma sunar.
IPv6
Dual-stack yapilandirma ile IPv4 ve IPv6 birlikte. IPv4 tukeniyor, IPv6 gecisi kacinilmaz.
Sik Sorulan Sorular
Ping atamiyorum ne yapmaliyim?
ICMP engellenebilir. Port bazli test yapin. DNS kontrol edin.
DNS degisikligi ne zaman yayilir?
TTL'e bagli. Dusuk TTL (300s) ile 5-10 dakika. Degisiklik oncesi TTL dusurmenizi oneririz.
Sonuc
Ag altyapisi dijital hizmetlerin temelidir. DNS, guvenlik ve performans ile kesintisiz hizmet sunun.
Ag Sorun Giderme Adimlari
1. Fiziksel Katman
Kablo baglantilari, switch portlari ve NIC durumu kontrol edin.
2. IP Katmani
ip addr ile IP yapilandirmasi, ip route ile yonlendirme tablosu kontrol edin.
3. DNS Katmani
dig veya nslookup ile DNS cozumlemesi test edin.
4. Uygulama Katmani
curl ile HTTP yanit kodlari, telnet ile port erisimi kontrol edin.
Ag Guvenlik Kontrol Listesi
- Guvenlik duvari kurallari minimize
- IDS/IPS aktif (Snort, Suricata)
- VPN ile uzaktan erisim
- Ag segmentasyonu (VLAN)
- Port security yapilandirmasi
- Trafik izleme ve analiz
- Duzenli guvenlik taramasi
Bant Genisligi Hesaplama
Ortalama sayfa boyutu x gunluk ziyaretci x sayfa/ziyaret = gunluk trafik. Guvenlik marji %50 ekleyin. Buyukweb 1 Gbps paylasımsız port sunar.
Hosting ve Sunucu Terimleri Sozlugu
| Terim | Aciklama |
|---|---|
| VDS | Virtual Dedicated Server - Sanal ozel sunucu |
| NVMe SSD | Non-Volatile Memory Express - En hizli disk teknolojisi |
| LiteSpeed | Yuksek performansli web sunucu yazilimi |
| CloudLinux | Paylasimli hosting icin kaynak izolasyon isletim sistemi |
| cPanel | Populer web hosting kontrol paneli |
| Plesk | Web hosting ve sunucu yonetim paneli |
| KVM | Kernel-based Virtual Machine - Tam sanallastirma teknolojisi |
| DDoS | Distributed Denial of Service - Dagitik hizmet engelleme saldirisi |
| SSL/TLS | Veri iletisimini sifreleyen guvenlik protokolu |
| TTFB | Time to First Byte - Sunucu yanit suresi |
| CDN | Content Delivery Network - Icerik dagitim agi |
| WAF | Web Application Firewall - Web uygulama guvenligi duvari |
| IOPS | Input/Output Operations Per Second - Disk performans olcusu |
| Uptime | Sunucunun kesintisiz calisma suresi yuzdesi |
| Bandwidth | Veri transfer kapasitesi |
Bu terimleri anlamak, hosting ve sunucu hizmetlerini daha bilinçli secmenize yardimci olur. Detayli bilgi icin Buyukweb blog yazilarini takip edin veya teknik destek ekibimize danisIn.
Teknik Destek ve Yardim Kanallari
Buyukweb olarak musterilerimize birden fazla destek kanali sunuyoruz:
Canli Destek (Tawk.to)
Web sitemiz uzerinden 7/24 canli destek ile aninda yardim alin. Teknik sorulariniz, fatura islemleriniz ve genel bilgi talepleriniz icin canli destek ekibimiz hizmetinizdedir.
Telefon Destegi
0850 302 60 70 numarasindan hafta ici ve hafta sonu teknik destek alabilirsiniz. Acil durumlar ve karmasik sorunlar icin telefon destegi en hizli cozum yoludur.
E-posta Destegi
destek@buyukweb.com adresine detayli sorun tanimlamanizi gonderin. Ekran goruntuleri ve hata mesajlari ile birlikte gonderdiginiz talepler daha hizli cozumlenir.
Musteri Paneli
my.buyukweb.com uzerinden destek talepleri olusturun, faturalarinizi yonetin ve hizmetlerinizi kontrol edin. Ticket sistemi ile tum iletisiminiz kayit altindadir.
Bilgi Bankasi
Blog yazilarimiz ve rehberlerimiz ile sik karsilasilan sorunlarin cozumlerini kendiniz bulabilirsiniz. WordPress kurulumu, DNS ayarlari, e-posta yapilandirmasi gibi konularda adim adim rehberler mevcuttur.
Buyukweb teknik ekibi, hosting alaninda 17 yillik tecrubesi ile her turlu sorununuza profesyonel cozum sunar.
Etiketler:
