Kişisel kullanım için Linux ortamınızın güvenliğini artırmak için altı basit adım yeterli olacaktır. Bu adımlar Ubuntu 18.04 kullanarak test edildi, ancak bu adımlar diğer Linux dağıtımları için de kullanılabilir.
1. Güncellemeleri çalıştırın
Geliştiriciler, bilinen güvenlik açıklarına yama uygulayarak sürekli olarak sunucuları daha kararlı, hızlı ve güvenli hale getirmenin yollarını buluyorlar. Güncellemeleri düzenli olarak çalıştırmak, güvenliği en üst düzeye çıkarmak için iyi bir alışkanlıktır. Bu işlemi aşağıdaki komut ile gerçekleştirebilirsiniz:
sudo apt-get update && apt-get upgrade
2. Güvenlik duvarı korumasını etkinleştirin
Bir güvenlik duvarının etkinleştirilmesi , sunucunuzdaki gelen ve giden trafiği kontrol etmeyi kolaylaştırır. Linux’ta kullanabileceğiniz, firewall-cmd ve Uncomplicated Firewall ( UFW ) dahil olmak üzere birçok güvenlik duvarı uygulaması vardır . Aşağıdaki örnekler UFW ‘ye özeldir, ancak bu ilkeler seçtiğiniz herhangi bir arayüz için geçerlidir.
UFW’yi yükleyin:
sudo apt-get install ufw
Sunucunuzu daha da güvenli hale getirmek istiyorsanız, gelen ve giden bağlantıları reddedebilirsiniz. Dikkat edin: Bu, sunucunuzun dünyayla bağlantısını keser, bu nedenle tüm trafiği engellediğinizde, sisteminizden hangi giden bağlantılara izin verileceğini belirtmeniz gerekir:
sudo ufw default deny incoming sudo ufw default allow outgoing
Kişisel kullanım için ihtiyaç duyduğunuz gelen bağlantılara izin vermek için kurallar da yazabilirsiniz:
ufw allow <service>
Örneğin, SSH bağlantılarına izin vermek için:
ufw allow ssh
Son olarak, güvenlik duvarınızı şununla etkinleştirin:
sudo ufw enable
3. Parola korumasını güçlendirin
Güçlü bir parola politikası uygulamak, bir sunucuyu siber saldırılardan ve veri ihlallerinden korumanın önemli bir yönüdür. Parola ilkelerine yönelik en iyi uygulamalardan bazıları, minimum uzunluğun zorunlu kılınması ve parola yaşının belirtilmesini içerir. Bu görevleri gerçekleştirmek için libpam-cracklib paketini kullanıyorum.
Libpam-cracklib paketini kurun:
sudo apt-get install libpam-cracklib
Şifre uzunluğunu zorunlu kılmak için:
- /Etc/pam.d/common-password dosyasını açın.
- Minlen = 12 satırını istediğiniz kadar karakterle değiştirerek tüm parolaların minimum karakter uzunluğunu değiştirin.
Şifrenin yeniden kullanılmasını önlemek için:
- Aynı dosyaya (/etc/pam.d/common-password), Remember = x satırını ekleyin.
- Örneğin, bir kullanıcının son beş şifresinden birini tekrar kullanmasını önlemek istiyorsanız, şunu kullanın: Remember = 5
Şifre yaşını zorunlu kılmak için:
- /Etc/login.defs dosyasında aşağıdaki satırları bulun ve bunları tercih ettiğiniz süre (gün) ile değiştirin. Örneğin:
PASS_MIN_AGE: 3
PASS_MAX_AGE: 90
PASS_WARN_AGE: 14
Karakter özelliklerini uygulamak için:
- Parolalarda karakter özelliklerini zorunlu kılan dört parametre lcredit (küçük harf), ucredit (büyük harf), dcredit (rakam) ve ocredit (diğer karakterler) ‘dir.
- Aynı dosyada (/etc/pam.d/common-password), pam_cracklib.so içeren satırı bulun.
- Aşağıdakileri bu satırın sonuna ekleyin:
lcredit = -a ucredit = -b dcredit = -c ocredit = -d
- Örneğin, aşağıdaki satır parolaların her parametreden birini içermesini gerektirir. Numaraları, tercih ettiğiniz şifre güvenliği düzeyine göre değiştirebilirsiniz:
lcredit = -1 ucredit = -1 dcredit = -1 ocredit = -1
4. Suistimale açık, gereksiz hizmetleri devre dışı bırakın
Gereksiz hizmetleri devre dışı bırakmak çok iyi bir tercihtir. Bu, daha az bağlantı noktasının sömürü için açık olmasını sağlar.
Systemd paketini kurun:
sudo apt-get install systemd
Hangi hizmetlerin çalıştığını görün:
systemctl list-units
Hangi hizmetlerin sisteminizde olası güvenlik açıklarına neden olabileceğini bulun ve sonrasında , her hizmet için:
- Şu anda çalışıyorsa hizmeti durdurun:
systemctl stop <service>
- Hizmetin önyüklemede başlamasını devre dışı bırakın:
systemctl disable <service>
- Bu komutları çalıştırdıktan sonra, servisin durumunu kontrol edin:
systemctl status <service>
5. Dinleme bağlantı noktalarını kontrol edin
Açık bağlantı noktaları güvenlik riskleri oluşturabilir, bu nedenle sunucunuzda dinleyen bağlantı noktalarını kontrol etmeniz önemlidir. Tüm ağ bağlantılarını göstermek için netstat komutunu kullanabilirsiniz :
netstat -tulpn
Bağlantı noktası numarasını belirlemek için adres sütunlarına bakın . Açık bağlantı noktalarını bulduğunuzda, gerekli olduklarından emin olmak için bunları gözden geçirin. Değilse , çalıştırdığınız hizmetleri ayarlayın veya güvenlik duvarı ayarlarınızı yapın (veya fail2ban’ın sizin için ayarlamasına izin verin ).
6. Kötü amaçlı yazılımları tarayın
Virüsten koruma tarama yazılımı, virüsleri sisteminizden uzak tutmak için yararlı olabilir. Bunları kullanmak, sunucunuzu kötü amaçlı yazılımlardan korumanın basit bir yoludur. Bunun için ClamAV tercih edebilirsiniz.
ClamAV’ı yükleyin:
sudo apt-get install clamav
Virüs imzalarını güncelleyin:
sudo freshclam
Tüm dosyaları tarayın ve virüslü dosyaları yazdırın, biri bulunduğunda zil çalar:
sudo clamscan -r --bell -i /
Taramaları otomatikleştirebilir ve yapmalısınız, böylece bunları manuel olarak yapmak için zaman harcamak zorunda kalmazsınız. Bunun gibi basit bir otomasyon için, systemd zamanlayıcıları veya en sevdiğiniz cron’u kullanabilirsiniz .
Yazının orijinalini buradan okuyabilirsiniz.
Kariyerime 26 yıl önce başladım. Windows ve Linux sistemlerinin kurulumu, yapılandırılması, yönetimi ve bakımı dahil olmak üzere birden fazla sistem üzerinde uzmanlaştım.
Açık kaynak dünyasındaki en son gelişmelerden haberdar olmaktan ve Linux hakkındaki en son araçları, özellikleri ve hizmetleri denemekten hoşlanıyorum.
Son 6 yıldır sistem ve ağ yöneticisi olarak görev yapıyorum ayrıca Pardus Dönüşüm Projesini yönetiyorum ve Pardus İşletim Sisteminin yaygınlaşması adına uğraş gösteriyorum.
Boş zamanlarımda açık kaynaklı uygulamaların Türkçe çevirisine katılıyorum ve The Document Foundation üyesiyim.