hosting şirketi

VPS Linux Hosting için 15 Güvenlik İpucu

Yazar: Birhost / Aralık 28, 2021 / Yorumlar Kapalı
VPS Hosting Güvenlik İpuc

VPS Linux Hosting

VPS Linux Hosting (Sanal Özel Sunucular), web sitesi sahiplerine sitelerinin yapılandırması ve deneyimi üzerinde oldukça fazla kontrol sağlar, bu nedenle çoğu web sitesi sahibi standart paylaşımlı hosting yerine VPS Linux Hosting kullanmayı tercih eder. Ancak, sunucu ayarları üzerinde daha fazla kontrol bulunduğundan VPS hizmetinin güvenliğini sağlamak daha zordur ve güvenlik, VPS için öncelikli bir durumdur.

VPS nedir?

VPS NedirVPS, web hosting firmalarının paylaşımlı sunucuları kullanarak tüm kaynakları paylaşmak yerine, fiziksel bir sunucuyu küçük sanal örneklerine bölmesi anlamına gelir. Her bölüm, müşterilere özel bir sunucu gibi görünür ve hissettirir. Ancak bu bölümler özel kaynaklara sahip sanal bir makinedir. Kaynaklar müşterinin hizmet düzeyine göre tahsis edilir ve tahsis edilen kaynaklar her sanal makine için değişebilir.

VPS Hosting ‘in önemli bir avantajı müşterilerin kendi tercih ettikleri Linux versiyonlarını çalıştırabilmeleridir. Çeşitli nedenlerle ana sunucuda kendi seçtikleri farklı versiyonlarla birkaç sanal makine çalıştırabilirler. Genellikle, şirket içi altyapıyı oluşturmaktan daha uygun fiyatlı bir seçenektir.

Linux VPS Hacklenebilir mi?

VPS Hacklenebilir miEvet, VPS saldırıya uğrayabilir. Güvenlik kontrolleri tamamlanmış olsa bile sanal makineler de dahil olmak üzere herhangi bir sunucu saldırıya uğrayabilir. Hiçbir sistem %100 risksiz değildir. Ancak yöneticiler tehditleri önlemek ve saldırıları durdurmak için riski mümkün olan en düşük seviyeye indirebilir. Linux işletim sistemi genellikle güvenlidir, ancak kullanıcılar sistemi yanlış yapılandırdığında, güvenlik açığı bulunan yazılımlar eklediğinde, uygulamaları yamasız bıraktığında veya yerel olarak kötü amaçlı yazılım indirip yüklediğinde güvenlik açıkları ortaya çıkar. Sistem değiştikçe, neyin değiştiğine bağlı olarak risk de artar veya azalır.

Bir VPS sanal makinedeki kötü amaçlı yazılımlar sunucudaki diğer müşterileri etkilemese bile bulunduğu sanal sunucudaki uygulamaları ve verileri etkiler. Bir müşteri sunucuda hassas bilgiler tutuyorsa ve sanal sunucu güvenli değilse bu bilgiler saldırganlara ifşa edilebilir.

Bir VPS Nasıl Güvenli Olur?

VPS Nasıl Güvenli OlurVPS hosting güvenliğini sağlamak için birkaç adım bulunur. Hosting sağlayıcıları, müşterileri için bir VPS ‘i daha iyi koruyacak yazılımları yapılandırabilir ve yükleyebilir. Sitelerini VPS ‘de barındıran müşteriler de sitelerini ve hizmetlerini güvence altına almak için kendi adımlarını atabilirler.

Güvenliği Önemseyen Bir Hosting Firması Seçin

Güvenliği Önemseyen Bir Hosting Firması SeçinMüşteriler, altyapılarını güvende tutmak için web hosting firmalarına güvenmelidir. Ancak her web hosting sağlayıcısı güvenlik konusunda aynı özelliklere ve altyapıya sahip değildir. Bir web sitesini güvende tutmak için müşteriler web hosting firmalarını akıllıca seçmelidirler.

Varsayılan SSH Bağlantı Noktasını Değiştirin

SSH Bağlantı Noktasını DeğiştirinBir sunucuya uzaktan erişim için SSH gereklidir ve 22 numaralı bağlantı varsayılan bağlantı noktasıdır. Saldırganlar, SSH ‘ye uzaktan erişim elde etmek için sunucuların öncelikle 22 gibi açık bağlantı noktalarını tarar. Bir saldırgan, 22 numaralı bağlantı noktasında SSH ‘yi algıladıktan sonra, kök kullanıcının kimlik bilgilerini tahmin ederek sunucuya uzaktan erişim elde etmek için bir kaba kuvvet saldırısı başlatabilir.

Bu saldırıyla mücadele etmek için SSH bağlantı noktası alternatif bir bağlantı noktasına taşınmalıdır. SSH alternatif bir bağlantı noktasında çalıştığında, otomatik taramalar bağlantı noktası 22 için hiçbir şey ifade etmez. Bağlantı noktasını değiştirmek için aşağıdaki dosyanın güncellenmesi gerekir.

/etc/ssh/sshd_config

Dosyayı düzenlemeden önce, bağlantı noktasının başka bir hizmet tarafından kullanılmadığından emin olun, aksi takdirde bir çakışma yaşarsınız her iki hizmet de düzgün çalışmaz.

Sunucu Günlüklerini İzleyin

Sunucu Günlüklerini İzleyinHem ana bilgisayar yöneticileri hem de web sitesi sahipleri, izlemeyi etkinleştirmiş olmalıdır. Sunucuları izlemek, kimlik doğrulama hataları, başarısız yüklemeler, hatalar ve diğer yaygın tehditler gibi belirli olayların günlüğe kaydedilmesini gerektirir. Bu günlükler daha sonra yöneticilere sunucuda gerçekleşen etkinlikler hakkında ayrıntılı bilgi ve öngörüler sağlayabilecek analiz ve raporlarda kullanılabilir. Günlükler, yöneticilere devam eden bir saldırı hakkında bilgi verecektir.

Hosting firmaları, müşterilerine ait sitelerinin güvenli olduğundan emin olmak için sunucularındaki etkinliği izlerler. Bununla birlikte web sitesi sahipleri kendi sitelerini de izlemelidir. Bir güvenlik açığı ne kadar erken bulunursa, bir saldırganın verileri sızdırması o kadar hızlı engellenebilir.

Kullanılmayan Bağlantı Noktalarını Devre Dışı Bırakın

Kullanılmayan Bağlantı Noktalarını Devre Dışı BırakınLinux, birkaç bağlantı noktasını açarak kurulur. Bazıları belirli uygulamalar için gereklidir ve diğerleri gereksizdir. Örneğin, 80 numaralı bağlantı noktası genellikle web uygulamaları için açılır, ancak bu bağlantı noktasının açık olmasına ihtiyacınız olmayabilir. Kullanılmayan bağlantı noktalarını açık bırakmak, sunucunun saldırı düzeyini artırır, bu nedenle en iyi uygulamalar, bunların devre dışı bırakılmasını önerir.

netstat komutunu kullanarak açık portları belirleyebilirsiniz. Ardından güvenlik duvarı ayarlarını kullanabilir veya iptables komutunu kullanarak açık bağlantı noktalarını düzenleyebilirsiniz. İlk olarak, açık bağlantı noktalarını görüntülemek için netstat ‘ı kullanın:

netstat -a

Örneğin, 22 numaralı bağlantı noktasını kapatmak istediğinizi varsayalım. Netstat, 22 numaralı bağlantı noktasının açık olduğunu onaylayacaktır. Onayladıktan sonra, 22 numaralı bağlantı noktasını kapatmak ve bu nedenle kullanılmasını engellemek için aşağıdaki komutu yazın:

iptables -I ENTER -p tcp –dport 22 -j DROP

GnuPG Şifrelemesini Kullanın

GnuPG Şifrelemesiİnternet üzerinden aktarılan herhangi bir veri gizlice dinlenmeye açıktır. Web siteleri, müşteriler ve web siteleri arasındaki verileri şifrelemek için HTTPS kullanır, ancak sunucu hizmetlerine gönderilen kimlik bilgileri veya FTP üzerinden aktarılan dosyalar gibi diğer veriler ele geçirilebilir. Bu sorunun üstesinden gelmek için, verileri daha sonra yalnızca alıcının özel anahtarıyla çözülebilen bir genel anahtarla şifrelemek için eş zamansız şifreleme kullanılır.

GnuPG uygulaması, yöneticilerin ve site sahiplerinin eş zamansız şifreleme kullanarak veri aktarmasını sağlar. Oluşturulan genel anahtar, herhangi bir üçüncü kişi tarafından site sahibine şifreli veri göndermek ya da özel anahtar şifresini çözmek için kullanılabilir. Özel anahtar verilerin şifresini çözmek için kullanıldığından, güvenli hale getirilmeli ve asla üçüncü bir tarafa ifşa edilmemelidir.

Güçlü Bir Parola Politikası Uygulayın

Güçlü Bir Parola PolitikasıAğ kaynaklarına erişimi olan herhangi bir kullanıcı için her zaman bir parola uygulamak gereklidir. Kullanıcılar genellikle kaba kuvvet saldırıları kullanılarak kolayca tahmin edilebilecek zayıf parolalar kullanır. Bu sebeple bir parola ilkesi oluşturulmalı ve kullanıcılar yeni parolalar ve parola sıfırlamaları da dahil olmak üzere uzun ve karmaşık parolalar belirlemeye zorunlu bırakılmalıdır.

Genel olarak, şifreler şunları yapmaya zorlanmalıdır:

  • En az 10 karakter ve son derece hassas verilere erişim için 12 karakter içermelidir.
  • En az 1 sayısal karakter içermelidir.
  • En az 1 özel karakter içermelidir.
  • Büyük ve küçük harfler içermelidir.

Disk Bölümlendirmeyi Kullanın

Disk Bölümlendirmeİşletim sistemi üzerinde yürütülebilir dosyalar çalıştırabilen saldırganlar, işletim sistemindeki işlevleri değiştirebilir ve verileri gizlice dinleyebilir. Saldırgan, işletim sistemine erişmek için /tmp ve /var/tmp kullanıcı dizinlerini kullanarak kötü amaçlı dosyalar yükleyebilir ve bunları çalıştırabilir. Sunucuyu güvenli hale getirmek için işletim sistemini dosya bölümlerine ayırabilirsiniz.

Sistemi iki bölüme ayırmak ve güvenli bir şekilde entegre etmek için noexec  ve nosuid (set-user-identifier veya set-group-identifier’a izin verme) seçeneğini kullanabilirsiniz:

# mount -t tmpfs -o noexec,nosuid,nodev tmpfs /tmp 

# mount -t tmpfs -o noexec,nosuid,nodev tmpfs /var/tmp

SFTP ’yi kullanın

SFTPGüvenli bir FTP, sunucuya yüklenen dosya aktarımlarına şifreleme ekler. FTP üzerinden aktarılan tüm veriler açık metindir, ancak SFTP, dosya aktarımlarına şifreleme ekleyen SSH üzerinden FTP ‘dir. Bazı site sahiplerine FTPS kullanmak cazip gelebilir, ancak FTPS yalnızca sunucuda kimliği doğrulanmış olarak gönderilen kimlik bilgilerini şifreler. SFTP hem kimlik bilgilerini hem de aktarılan dosyaları şifreler.

İşletim Sistemini Güncel Tutun

İşletim Sistemini Güncel TutunLinux işletim sistemi güvenlik öncelikli tutularak oluşturulmuştur. Ancak bazen düzeltilmesi gereken sorunlar bulunur. Yamalar gerekli olduğunda, üretici bir güncelleme yayınlayacaktır. Bazı durumlarda, keşfedilen güvenlik açığı kritik olarak kabul edilir. Güvenlik açığı kritik olduğunda, kötüye kullanım sunucuyu tehlikeye atabileceğinden yöneticilerin işletim sistemini hemen güncellemeleri önemlidir.

İşletim sistemi ne kadar uzun süre güncelleme yapılmadan bırakılırsa, saldırganlar için fırsat penceresi o kadar uzun süre açık kalacaktır. Yöneticiler genellikle sunucu güncellemeleri için belirli bir program belirler, ancak gecikmeli güncellemeler, yamalar yüklenene kadar sunucuyu istismarlara açık bırakacaktır.

Anonim FTP Yüklemelerini Engelleyin

Anonim FTP YüklemeleriLinux sunucunuzda anonim FTP yüklemelerine izin verirseniz, sunucunuza yasa dışı yazılım veya diğer uygunsuz içeriklerin yüklenmesi çok olasıdır. FTP sunucusunu anonim yüklemelere açık bırakmak yerine, yalnızca onaylı kullanıcıların FTP ‘ye yükleme yapabilmesi için anonim devre dışı bırakılmalıdır.

Anonim erişimi devre dışı bırakmak için aşağıdaki dosyayı açın:

/etc/vsftpd/vsftpd.conf

Aşağıdaki şekilde değiştirerek anonim erişim yapılandırmasını düzenleyin:

anonim_enabled=NO

Bir Rootkit Tarayıcısı Kurun

ootkit TarayıcısıRootkit ‘ler en tehlikeli kötü amaçlı yazılım uygulamalarından biridir. Saldırgana sunucu üzerinde kontrol verebilir, işletim sisteminde başka kötü amaçlı yazılımları çalıştırabilir veya herhangi bir virüs koruma uygulamasını devre dışı bırakabilirler.

Rootkit ‘leri kaldırmak, standart kötü amaçlı yazılımlardan çok daha zordur, çünkü işletim sistemiyle bütünleşir ve standart kötü amaçlı yazılımdan koruma hizmetleri tarafından algılanmayabilir. Gelişmiş Rootkit ‘ler için işletim sistemini yeniden kurmak gerekebilir. Bu nedenle, onları algılayan ve durduran koruma uygulamaları kullanmak önemlidir.

Root Girişlerini Devre Dışı Bırakın

Root GirişleriHer VPS, sistemdeki en yüksek düzeyde yetkiler içeren kök hesapla oluşturulur. Bilgisayar korsanları, birçok yöneticinin root ‘u etkin bıraktığını ve sunucuyu yapılandırmak için bu hesabı kullandığını bilir. Güvenlik açısından, kök hesap devre dışı bırakılmalı ve kök ayrıcalıklarına sahip başka bir kullanıcı hesabı oluşturulmalıdır. Bu strateji, sunucuyu kök hesaba yönelik kaba kuvvet saldırılarından korur.

Root’ u devre dışı bırakmadan önce, yüksek yetkilere sahip bir kullanıcı hesabı oluşturun ve ardından aşağıdaki dosyayı açın:

/etc/ssh/sshd_config

Root oturum açma parametresini aşağıdaki gibi değiştirin:

PermitRootLogin=no

Bu değişikliği yaptıktan sonra sshd hizmetini yeniden başlatın.

Yazılımlarınızı Güncel Tutun

Yazılımlarınızı Güncelİşletim sisteminin güncel kalması gerektiğini biliyoruz ama sunucu üzerinde çalışan diğer yazılımları da unutmayın. Yaygın güvenlik açıkları CVE veritabanına kaydedilir , ancak sistemde yüklü yazılımlarla ilgili güvenlik sorunlarını ele alan en son güncellemeler ve yamalar hakkında bilgi sahibi olmalısınız.

Yazılım satıcıları güncellemeler yayınlar ve her yama için ele alınan hataları ve güvenlik açıklarını belirlerler. Yazılımı manuel olarak güncelleyebilir ve her gün güncellemeleri kontrol edebilirsiniz. Yazılımları zamanında güncel tutarak, saldırganların ortak bir güvenlik açığından yararlanmalarını önleyebilirsiniz.

Düzenli Yedek Alın

Düzenli YedekSisteminiz onarılamayacak şekilde tehlikeye girerse veya herhangi bir veri kaybı yaşarsanız sisteminiz geri yüklenebilmelidir. Örneğin, işletim sistemi bir rootkit güvenliğinden muzdaripse, işletim sistemini yeniden yüklemek yerine bir yedekten geri dönebilirsiniz. Bir VPS tüm özellikleri ile yedekleyebilir ve gerektiğinde geri yükleyebilirsiniz.

Yedeklemeleri güvende tutmalı ve yedekleme dosyalarını silmeden veya arşivlemeden önce belirli bir süre boyunca saklamak için bir planınız olmalıdır. Ana bilgisayarın herhangi bir kesinti yaşaması durumunda en az bir yedek site dışında bırakılmalıdır.

Tam Sunucu Koruması Yükleyin

Tam Sunucu KorumasıBir sunucunun güvenliğini sağlamak ve sürekli olarak izlemek gününüzün büyük bir bölümünü alabilir, bu nedenle VPS sahibi birçok işletme sahibinin sunucu yazılımını ve kaynaklarını düzgün bir şekilde korumak için zamanı olmayabilir. Bu sebeple sunucuları manuel olarak taramak ve kötü amaçlı yazılımları kaldırmak yerine, kötü amaçlı yazılım tarayıcıları ve Proaktif Savunma gibi bu işi sizin için yapacak yazılımlar kullanabilirsiniz.

Bu liste kapsamlı olmasa da VPS yöneticilerini sunucularını güvence altına almak için doğru bir başlangıçtır. Veri ve zaman kaybı, gelir kaybı ve marka itibarı kaybına mal olur. Doğru sunucu konfigürasyonları ile bir VPS üzerinde barındırılan bir site daha güvenli olacak, herhangi bir garip aktivite izlenecektir.