Sunucu Güvenlik Sertleştirme: CIS Benchmark

CIS (Center for Internet Security) Benchmark, dünya genelinde kabul görmüş güvenlik sertleştirme kılavuzlarıdır. Sunucunuzu CIS standardına göre sertleştirmek, güvenlik risklerini önemli ölçüde azaltır.

Dosya Sistemi Sertleştirme

# /tmp noexec ile mount et
echo "tmpfs /tmp tmpfs defaults,nosuid,nodev,noexec 0 0" >> /etc/fstab
mount -o remount /tmp

# Sticky bit /tmp
chmod +t /tmp

# /var/tmp'yi /tmp'ye bağla
echo "/tmp /var/tmp none bind 0 0" >> /etc/fstab

# Dünya yazılabilir dosyaları bul
find / -xdev -type f -perm -0002 -not -path "/proc/*" 2>/dev/null

# SUID/SGID dosyaları bul ve listele
find / -xdev -type f ( -perm -4000 -o -perm -2000 ) 2>/dev/null

Kullanıcı ve Hesap Güvenliği

# Şifre politikası (PAM)
# /etc/security/pwquality.conf
cat >> /etc/security/pwquality.conf << 'EOF'
minlen = 14
minclass = 4
maxrepeat = 2
maxclasrepeat = 4
EOF

# Şifre sona erme
chage --maxdays 90 --mindays 7 --warndays 14 kullanici

# Kilitli hesapları bul
awk -F: '$2 == "!!" {print $1}' /etc/shadow

# Kullanılmayan hesapları kilitleyip sonra sil
usermod -L -e 1 eskikullanici

# Root dışında UID 0 olan hesaplar (olmamalı)
awk -F: '$3 == 0 {print $1}' /etc/passwd

SSH Sertleştirme

# /etc/ssh/sshd_config için CIS önerileri
cat >> /etc/ssh/sshd_config << 'EOF'
Protocol 2
MaxAuthTries 4
MaxSessions 10
IgnoreRhosts yes
HostbasedAuthentication no
PermitRootLogin no
PermitEmptyPasswords no
PermitUserEnvironment no
X11Forwarding no
AllowTcpForwarding no
TCPKeepAlive no
ClientAliveInterval 300
ClientAliveCountMax 0
LoginGraceTime 60
Banner /etc/issue.net
EOF

# SSH uyarı mesajı
echo "Yetkisiz erişim yasaktır. Tüm oturumlar kaydedilmektedir." > /etc/issue.net

sshd -t && systemctl restart sshd

Ağ Sertleştirme

# /etc/sysctl.conf kernel ağ güvenlik ayarları
cat >> /etc/sysctl.conf << 'EOF'
# IP Spoofing koruması
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# SYN Flood koruması
net.ipv4.tcp_syncookies = 1

# ICMP redirect kabul etme
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0

# Source routing kapat
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# Broadcast ping
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Bogus ICMP yanıtları
net.ipv4.icmp_ignore_bogus_error_responses = 1

# IP forwarding (router değilseniz)
net.ipv4.ip_forward = 0
EOF

sysctl -p

Servis Sertleştirme

# Gereksiz servisleri devre dışı bırak
for service in avahi-daemon cups bluetooth rpcbind; do
    systemctl disable --now $service 2>/dev/null
done

# Açık port kontrolü
ss -tlnp
netstat -tlnp

# inetd/xinetd servisleri (devre dışı bırakın)
systemctl disable inetd 2>/dev/null

# Gereksiz paketleri kaldır
apt purge telnet rsh-client rsh-redone-client nis yp-tools 2>/dev/null
dnf remove telnet rsh ypbind ypserv tftp-server 2>/dev/null

Audit ve Loglama

# auditd kurulumu
apt install auditd  # Ubuntu
dnf install audit   # RHEL

systemctl enable --now auditd

# /etc/audit/rules.d/cis.rules
cat > /etc/audit/rules.d/cis.rules << 'EOF'
# Sistem zamanı değişikliği
-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time-change

# Kullanıcı/grup değişiklikleri
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/sudoers -p wa -k identity

# Ağ yapılandırması değişiklikleri
-a always,exit -F arch=b64 -S sethostname -S setdomainname -k system-locale

# Login bilgileri
-w /var/log/lastlog -p wa -k logins
-w /var/run/faillock/ -p wa -k logins

# Sudo kullanımı
-w /var/log/sudo.log -p wa -k actions

# Kernel modülü yükleme
-w /sbin/insmod -p x -k modules
-w /sbin/rmmod -p x -k modules
EOF

service auditd restart

# Audit loglarını sorgula
ausearch -k identity -ts today
aureport --summary

Dosya İzinleri

# Kritik dosya izinleri
chmod 644 /etc/passwd
chmod 000 /etc/shadow
chmod 644 /etc/group
chmod 600 /etc/gshadow
chmod 600 /etc/ssh/sshd_config
chmod 700 /root

# SUID bit kaldır (gerekli olmayan)
chmod u-s /usr/bin/at
chmod u-s /usr/sbin/usernetctl

# Log dosyaları
chmod 640 /var/log/syslog
chmod 640 /var/log/auth.log

CIS-CAT ile Otomatik Denetim

# CIS-CAT Lite (ücretsiz) indirin
# https://www.cisecurity.org/cis-benchmarks/

# Çalıştır
./CIS-CAT.sh -a -b benchmarks/Ubuntu_20.04_LTS.xml

# Sonuç raporu HTML formatında oluşturulur

Kısa Kontrol Listesi

• Gereksiz servisler kapalı
• SSH sertleştirilmiş
• Şifre politikası güçlü
• Sistem güncellemeleri yapılıyor
• Audit logları etkin
• Güvenlik duvarı yapılandırılmış
• Root erişimi kısıtlı
• Dosya izinleri doğru

Büyükweb VDS sunucularını teslim aldığınızda bu sertleştirme adımlarını uygulayarak kurumsal güvenlik standartlarına kolaylıkla ulaşabilirsiniz.

---

Web Guvenligi Kontrol Listesi

SSL/TLS Yapilandirmasi

TLS 1.2 ve 1.3 destekleyin, eski protokolleri devre disi birakin. HSTS etkinlestirin. SSL Labs testinde A+ hedefleyin.

Guvenlik Basliklari

X-Content-Type-Options, X-Frame-Options, Content-Security-Policy ve Permissions-Policy yapilandirin. XSS ve clickjacking koruması saglayin.

WAF Korumasi

ModSecurity veya Imunify360 ile SQL injection, XSS saldirilarina karsi koruma. OWASP kurallarini aktif edin. Rate limiting ile brute-force onleyin.

Malware Tarama

Imunify360 veya ClamAV ile duzenli tarama. Dosya degisikliklerini izleyin. Suphelileri karantinaya alin.

Parola Politikasi

Minimum 12 karakter, karma karakterler, 2FA etkinlestirme. Parola yoneticisi kullanin.

Yedekleme ve Felaket Kurtarma

Duzenli yedek alin ve test edin. Offline kopya tutun. Felaket kurtarma planini dokumante edin.

Sik Sorulan Sorular

Ucretsiz SSL ile ucretli farki nedir?

Let's Encrypt teknik olarak ayni sifreleme sunar. Ucretli sertifikalar garanti ve OV/EV dogrulama sunar.

Mixed content nasil cozulur?

Tum URL'leri https ile guncelleyin. WordPress'te Better Search Replace ile toplu guncelleme yapin.

Sertifika suresi doldu ne olur?

Ziyaretciler uyari gorur, SEO duser. certbot renew ile otomatik yenileme kullanin.

Sonuc

Guvenlik surekli bir surectir. Katmanli yaklasim ile sitenizi koruyun. Buyukweb paketlerinde Imunify360 ve ucretsiz SSL dahildir.

SSL Sertifika Turleri

Tur	Dogrulama	Kullanim	Fiyat
DV (Domain)	Domain sahipligi	Kisisel site, blog	Ucretsiz-dusuk
OV (Organization)	Sirket dogrulama	Kurumsal site	Orta
EV (Extended)	Detayli dogrulama	Banka, e-ticaret	Yuksek
Wildcard	Tum subdomainler	Coklu subdomain	Orta-yuksek

Let's Encrypt Otomatik Yenileme

Certbot ile sertifikalari otomatik yenileyin. Cron veya systemd timer ile 60 gunde bir yenileme zamanlayIn.

Guvenlik Denetim Kontrol Listesi

• SSL/TLS versiyonlari guncel mi?
• Guvenlik basliklari dogru yapilandirildi mi?
• WAF kurallari aktif mi?
• fail2ban calisiyor mu?
• Gereksiz portlar kapali mi?
• Root girisi devre disi mi?
• 2FA aktif mi?
• Yedekler duzenli aliniyor mu?
• Dosya izinleri dogru mu?
• Kullanilmayan servisler kapatildi mi?

Bu listeyi ayda bir kontrol ederek sunucunuzun guvenligini ust seviyede tutun.

Hosting ve Sunucu Terimleri Sozlugu

Terim	Aciklama
VDS	Virtual Dedicated Server - Sanal ozel sunucu
NVMe SSD	Non-Volatile Memory Express - En hizli disk teknolojisi
LiteSpeed	Yuksek performansli web sunucu yazilimi
CloudLinux	Paylasimli hosting icin kaynak izolasyon isletim sistemi
cPanel	Populer web hosting kontrol paneli
Plesk	Web hosting ve sunucu yonetim paneli
KVM	Kernel-based Virtual Machine - Tam sanallastirma teknolojisi
DDoS	Distributed Denial of Service - Dagitik hizmet engelleme saldirisi
SSL/TLS	Veri iletisimini sifreleyen guvenlik protokolu
TTFB	Time to First Byte - Sunucu yanit suresi
CDN	Content Delivery Network - Icerik dagitim agi
WAF	Web Application Firewall - Web uygulama guvenligi duvari
IOPS	Input/Output Operations Per Second - Disk performans olcusu
Uptime	Sunucunun kesintisiz calisma suresi yuzdesi
Bandwidth	Veri transfer kapasitesi

Bu terimleri anlamak, hosting ve sunucu hizmetlerini daha bilinçli secmenize yardimci olur. Detayli bilgi icin Buyukweb blog yazilarini takip edin veya teknik destek ekibimize danisIn.