Sunucu Odası ve Altyapı11 Mayıs 2026Serdar7 dk okuma

Linux Sunucu Sertleştirme: KOBİ Ortamı İçin 15 Adım

Linux Sunucu Sertleştirme: KOBİ Ortamı İçin 15 Adım

Özet: KOBİ Linux sunucuları için 15 adımlık sertleştirme rehberi; SSH güvenliği, firewall, kullanıcı yönetimi, log ve düzenli güncelleme.

Özet: Linux sunucusu kurulduğu anda "güvenli" değildir; varsayılan ayarlar makul ama yetersizdir. KOBİ ölçeğinde 15 adımlık bir sertleştirme listesi (SSH key tabanlı erişim, root login kapalı, fail2ban, ufw firewall, otomatik güvenlik yamaları, log forwarding, kullanıcı yönetimi, audit log, NTP senkron, bütünlük izleme) sunucuyu temel saldırılardan koruyacak şekilde yapılandırır. Bu 15 adım bir Ubuntu/Debian/RHEL sunucusunda 1-2 saatte tamamlanır ve tüm gelecek sunucu kurulumları için standart hâline getirilir.

KOBİ'lerde Linux sunucusu çoğu zaman "kuruldu, çalışıyor, dokunma" mantığında bırakılır. Varsayılan SSH portunda root erişimine açık, parolayla giriş yapılabilen, log'ları sadece yerel diskte tutan bir sunucu, otomatik tarama botları için cazip bir hedeftir. İlk hafta içinde başlayan brute-force denemeleri, başarılı bir login ile sonuçlandığında saldırgan tüm sistem üzerinde kontrole sahip olur.

Bu yazıda KOBİ ölçeğinde Linux sunucularının standart sertleştirme adımlarını sunuyoruz. Hedef kitlemiz IT yöneticileri, sistem yöneticileri ve "Linux kurdum, şimdi ne yapmalıyım?" sorusunu pratik bir kontrol listesine dönüştürmek isteyen karar vericiler.

Sertleştirme Felsefesi

Sertleştirme tek bir araç değil — bir disiplindir.

Üç Temel Prensip

  1. Saldırı yüzeyini küçült — kullanılmayan servisi kaldır
  2. Erişimi sıkılaştır — kim ne kadar yetkili?
  3. Görünürlüğü artır — log topla, anomali fark et

CIS Benchmarks

Center for Internet Security'nin yayınladığı sertleştirme rehberleri (CIS Benchmarks), endüstri standardı kabul edilir. Ubuntu, RHEL, Debian, CentOS için ayrı yayınlar var. Bu yazıdaki adımlar CIS Benchmark prensipleriyle uyumlu, KOBİ pratiğine indirgenmiştir.

15 Adım Sertleştirme Kontrol Listesi

1. Güncel Sistem

Yeni kurulumdan sonra ilk komut:

# Debian/Ubuntu
sudo apt update && sudo apt upgrade -y

# RHEL/Rocky/Alma
sudo dnf upgrade -y

Tüm yamaları al, sistem son sürümde olmalı.

2. SSH Anahtar Tabanlı Erişim

Parolalı SSH brute-force'a açık. Anahtar tabanlı erişime geç.

İstemcide (lokal Windows/Mac/Linux):

ssh-keygen -t ed25519 -C "kullanici@firma.com.tr"
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server.firma.com.tr

Sunucuda /etc/ssh/sshd_config:

PasswordAuthentication no
PubkeyAuthentication yes

Sonra:

sudo systemctl restart ssh

3. Root SSH Login Kapalı

/etc/ssh/sshd_config:

PermitRootLogin no

Root erişim için önce sıradan kullanıcıyla SSH, sonra sudo kullanılır. Bu, hesabı çalınmış olsa bile direkt root erişimi engeller.

4. SSH Port Değiştirme (İsteğe Bağlı)

Default 22 portu otomatik tarama botların ana hedefi. Farklı bir porta (örnek 2222) çekmek "security through obscurity" — tek başına savunma değil ama gürültüyü azaltır.

Port 2222

Firewall'da yeni portu açın, eski 22'yi kapatın.

Daha güçlü alternatif: SSH'i internete açmamak — VPN arkasına alma.

5. UFW veya Firewalld

Tüm gereksiz portları kapatın.

Ubuntu/Debian (UFW):

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2222/tcp  # SSH
sudo ufw allow 80/tcp    # HTTP
sudo ufw allow 443/tcp   # HTTPS
sudo ufw enable

RHEL (firewalld):

sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --permanent --add-port=2222/tcp
sudo firewall-cmd --reload

6. Fail2ban

Brute-force denemelerini otomatik bloke eder.

sudo apt install fail2ban -y

/etc/fail2ban/jail.local:

[DEFAULT]
bantime = 1h
findtime = 10m
maxretry = 5

[sshd]
enabled = true
port = 2222

sudo systemctl enable --now fail2ban

10 dakika içinde 5 başarısız denemeden sonra IP 1 saat banlanır.

7. Otomatik Güvenlik Yamaları

Yeni güvenlik açıkları yamalanmadığında riske açıksınız.

Ubuntu/Debian:

sudo apt install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades

RHEL/Rocky:

sudo dnf install dnf-automatic
sudo systemctl enable --now dnf-automatic.timer

Yapılandırma ile sadece güvenlik yamaları otomatik, diğerleri manuel.

8. Sudo İzin Yönetimi

Her kullanıcının sudo yetkisi olmamalı.

# Yeni kullanıcı sudo grubuna sadece gerekiyorsa
sudo usermod -aG sudo username

# Sudoers dosyası asla doğrudan düzenleme
sudo visudo

Sudo komutları log'a yazılır:

Defaults logfile=/var/log/sudo.log

9. Gereksiz Servisleri Devre Dışı

Çalışmayan servis = kullanılmayan saldırı vektörü.

# Hangi servisler çalışıyor?
systemctl list-units --type=service --state=running

# Gereksiz servisi devre dışı
sudo systemctl disable --now servicename

Tipik kapatılması gerekenler: avahi-daemon, cups (yazıcı paylaşımı), bluetooth (sunucuda).

10. Audit Log (auditd)

Sistem seviyesinde kim ne yaptı?

sudo apt install auditd -y
sudo systemctl enable --now auditd

/etc/audit/rules.d/audit.rules ile özel kurallar:

-w /etc/passwd -p wa -k passwd_changes
-w /etc/sudoers -p wa -k sudoers_changes

Loglar /var/log/audit/audit.log altında.

11. Centralized Logging — Syslog Forwarding

Loglar sadece sunucuda kalmamalı; merkezi log sunucusuna gönderilmeli.

/etc/rsyslog.d/forward.conf:

*.* @@logserver.firma.local:514

Merkezi log sunucusunda Graylog, ELK, Wazuh gibi platformlar.

12. NTP / chrony — Zaman Senkronizasyonu

Yanlış zamanlı log = işe yaramaz log. Zaman senkron şart.

sudo apt install chrony -y
sudo systemctl enable --now chrony

/etc/chrony/chrony.conf içinde Türkiye için:

server tr.pool.ntp.org iburst

13. Disk Şifreleme (LUKS)

Hassas veri taşıyan sunucularda disk şifrelemeli (kuruluşta yapılır, sonradan zor):

  • LUKS — Linux yerleşik
  • Anahtar yönetimi merkezi (HSM, Tang/Clevis ile network-bound)

Çalıştığında:

  • Disk fiziksel çalınsa bile veri açılamaz
  • Boot esnasında şifre/anahtar gerekir

14. File Integrity Monitoring — AIDE veya Tripwire

Kritik dosyalar değişti mi?

sudo apt install aide -y
sudo aideinit
sudo cp /var/lib/aide/aide.db.new /var/lib/aide/aide.db

Düzenli kontrol:

sudo aide --check

Beklenmedik değişiklik varsa (saldırgan dosya değiştirmiş) tespit edilir.

15. Antivirüs (ClamAV) — İsteğe Bağlı

Linux ortamında zorunlu değil ama özellikle dosya sunucusu rolünde önemli (Windows kullanıcıları dosyayı indirip açtığında):

sudo apt install clamav clamav-daemon -y
sudo freshclam

Cron ile haftalık tarama:

0 3 * * 0 root clamscan -r --remove /home /var/www

Ek Disiplinler

15 adım dışında değerlendirilebilecekler:

SELinux veya AppArmor

Mandatory Access Control — uygulama davranışını sınırla.

  • RHEL/CentOS: SELinux varsayılan açık
  • Ubuntu: AppArmor varsayılan açık
  • KOBİ'de varsayılanı bozmadan bırakmak makul

Resource Limits — limits.conf

Bir kullanıcının fork bomb veya kaynak tüketmesini sınırla:

* hard nproc 1000
* hard nofile 4096

sysctl Kernel Parametreleri

/etc/sysctl.d/99-hardening.conf:

net.ipv4.tcp_syncookies=1
net.ipv4.conf.all.rp_filter=1
net.ipv4.icmp_echo_ignore_broadcasts=1
kernel.randomize_va_space=2

CrowdSec — Modern Fail2ban Alternatifi

Topluluk tabanlı tehdit istihbaratı + lokal blokaj. Modern, açık kaynak.

curl -s https://install.crowdsec.net | sudo sh

Düzenli Bakım

Sertleştirme tek seferlik değil — düzenli bakım gerekir.

Aylık

  • Patch durumu kontrolü
  • Log gözden geçirme
  • Disk dolma kontrolü
  • AIDE check

Çeyrek Dönem

  • Sertifika yenileme kontrolü
  • Yedek geri yükleme test
  • Yetkisiz hesap audit

Yıllık

  • Tam güvenlik denetimi
  • CIS Benchmark karşılaştırması
  • Pentest

Yamanlar Bilişim Olarak Sunduğumuz Hizmetler

KOBİ ölçeğinde Linux sertleştirme destek alanlarımız:

  • Mevcut Linux sunucu güvenlik denetimi
  • 15 adım sertleştirme uygulaması
  • CIS Benchmark uyum kontrolü
  • Centralized logging mimarisi
  • AIDE / Tripwire kurulumu
  • Fail2ban / CrowdSec yapılandırma
  • Patch yönetimi otomasyonu
  • Yıllık sertleştirme güncelleme

Sıkça Sorulan Sorular

ssh serdar@server
sudo systemctl restart nginx

Bu hem güvenli (root'a doğrudan giriş yok) hem audit-friendly (kim ne yaptı belli).

  • Fail2ban: klasik, yerleşik, sadeloglu, IP bazlı bloke
  • CrowdSec: modern, topluluk istihbaratı paylaşır, makine öğrenme tabanlı

KOBİ için fail2ban yeterli başlangıç. CrowdSec daha "modern" — yeni saldırgan IP'leri global topluluk üzerinden alır, henüz brute-force başlamadan banlar. Tercih ekibinizin teknik olgunluğuna bağlı.

  • Wazuh: Açık kaynak SIEM, log + EDR + uyum tek platformda
  • Graylog: Açık kaynak log yönetimi, kullanıcı dostu
  • ELK Stack: En esnek, ama operasyonel maliyet yüksek
  • Splunk: Enterprise, KOBİ için pahalı

İlk seçim olarak Wazuh önerilir; KOBİ ölçeğinde tatmin edici, ücretsiz, kapsamlı.

Sonuç

Linux sunucu sertleştirme; "kuruldu, çalışıyor, bitti" mantığını "kuruldu, sertleştirildi, izleniyor" disiplinine taşıyan temel bir adımdır. 15 adımlık liste KOBİ ölçeğinde 1-2 saatte tamamlanır ve tüm sonraki sunucu kurulumları için standart hâline getirilir. Düzenli bakım — aylık patch, çeyrek dönem yetki audit, yıllık tam denetim — bu disiplinin sürekliliğini sağlar.

Yamanlar Bilişim olarak ölçeğinize uygun Linux sertleştirme paketi sunuyor, mevcut sunucularınızı CIS Benchmark uyumlu seviyeye taşıyoruz; "default kurulu" sunucularınızı saldırı tarama botlarının ilgisini çekmeyen, dirençli altyapı parçalarına dönüştürüyoruz.

Sıkça Sorulan Sorular

SSH portunu değiştirmek gerçekten güvenlik sağlar mı?

Tek başına değil — security through obscurity . 22 yerine 2222 de saldırgan yine bulur. Ama: brute force botların büyük çoğunluğu 22 yi tarar; port değişimi gürültüyü ciddi azaltır, log ları okunabilir kılar. Asıl savunma anahtar tabanlı erişim + fail2ban. Port değişimi katmanlardan biri.

root SSH login kapalıysa nasıl yönetim yapacağım?

Sıradan kullanıcı (örnek serdar ) ile SSH, sonra sudo ile yetki yükseltme:

Otomatik patch açmak risk değil mi?

Risk var ama yönetilebilir. Ubuntu unattended-upgrades varsayılan olarak sadece security yamalarını otomatik uygular — feature update veya kernel upgrade değil. Üretim sistemlerinde bile bu kabul edilir. Tam otomasyon istemiyorsanız: bildirim al, manuel onayla, planlı pencerede uygula.

Disk şifreleme performansı düşürür mü?

Modern CPU larda AES-NI donanım hızlandırma var, performans etkisi %1-5 düzeyinde. KOBİ sunucusunda bu kayıp fark edilmez. Ancak yedekleme/restore süresi şifreleme nedeniyle artar. Veritabanı server için disk seviyesi şifreleme + DB seviyesi TDE genelde aşırı; biri yeterli.

Fail2ban yeterli mi yoksa CrowdSec mi tercih edilmeli?

İkisi de iyi:

Centralized logging için hangi platform önerilir?

KOBİ için seçenekler:

#Linux Sertleştirme#Sunucu Güvenliği#SSH Güvenliği#Kurumsal IT#KOBİ IT
Paylaş:
Son güncelleme: 11 Mayıs 2026
S

Yazar

Serdar

Yamanlar Bilişim Uzmanı

Yamanlar Bilişim bünyesinde IT altyapısı, siber güvenlik ve dijital dönüşüm konularında içerikler üretmektedir. Sorularınız için iletişime geçebilirsiniz.

Profesyonel Destek

Bu konuda destek alın

Sunucu Odası ve Altyapı alanında ihtiyaç duyduğunuz çözümü birlikte tasarlayalım. Uzman ekibimiz 1 iş günü içinde size geri döner.

Teklif Alİletişime Geç

support@yamanlarbilisim.com.tr · Yanıt süresi: 1 iş günü

Devamını Oku

İlgili Makaleler

Tümünü Gör
Bulut Maliyet Optimizasyonu: Azure/AWS Faturanızı Düşürme
Sunucu Odası ve Altyapı

Bulut Maliyet Optimizasyonu: Azure/AWS Faturanızı Düşürme

KOBİ bulut faturasını düşürme stratejileri; Azure ve AWS'te maliyet kontrolü, kullanılmayan kaynak temizliği ve rezerv kapasite kararları.

10 Mayıs 20267 dk
Active Directory Sağlık Kontrolü: Yıllık Bakım Listesi
Sunucu Odası ve Altyapı

Active Directory Sağlık Kontrolü: Yıllık Bakım Listesi

Active Directory yıllık sağlık kontrolü; replikasyon, FSMO, GPO, kullanıcı/grup audit, şema sağlığı ve KOBİ için bakım kontrol listesi.

10 Mayıs 20267 dk
iSCSI ve SAN Temelleri: KOBİ Sunucu Odası
Sunucu Odası ve Altyapı

iSCSI ve SAN Temelleri: KOBİ Sunucu Odası

iSCSI ve SAN temel kavramları; KOBİ sunucu odasında merkezi depolama mimarisi, performans değerlendirmesi ve maliyet analizi.

10 Mayıs 20267 dk