Hosting Hizmetlerinin Güvenliğini Artırmak İçin 10 İpuçu

Sunucu güvenliği web hosting sağlayıcılıların hizmet yönetime ve yöneticileri için en önemli unsurlarından biridir. Bu makalede sizlere sunucuların güvenlik seviyesini denetlemek ve güçlendirmenin on farklı yöntemini anlatıyor olacağım.

1. SSH için Public Key Doğrulaması kullanın.

Şifrelenmemiş erişimi kaldırın. Sunucuları yönetmek için kimse telnet, FTP veya http kullanmamalı. SSH, SFTP ve https kabul edilir standartlardır. Daha iyi bir güvenlik için SSH’teki parola doğrulamasından tamamen kurtulun. Onun yerine SSH anahtarlarını kullanın ve her kullanıcı için özel ve ortak anahtarlar oluşturun.

Özel anahtar kullanıcıya özeldir. Ortak anahtar ise sunucuda saklanmıştır. Kullanıcı giriş yapmaya denediği zaman, SSH ortak anahtarın özel anahtarla eşleşmesini sağlar. Şifre girişi devre dışı bırakıldığında, zayıf bir şifreye karşı başarılı kaba kuvvet saldırısının riski yoktur.

2. Güçlü Şifreler

Hackerlar için arttırılmış güvenlik hizmetlerini kırmak zordur, ancak ne kadar çok sunucu yöneticisinin kapıyı açık bıraktığını öğrendiğinizde, şaşıracaksınız. Genelde çoğu insanlar basit şifre seçmeye meyillidir.

Geçen sene zayıf SSH şifreli sunuculara karşı yapılan kaba kuvvet saldırıları fidye saldırısıyla sonuçlandı. Uzun ve rasgele şifreleri kullanın -uzun anahtar parolası daha iyidir ve sonuç olarak oturum açma türü erişimi olan kullanıcıları kısıtlayabilirsiniz.

3. CSF Güvenlik Duvarını kurun ve yapılandırın.

Config Server güvenlik duvarı, bir sunucuyu çok çeşitli saldırılara karşı koruyabilen zengin özelliklere sahip, ücretsiz bir güvenlik duvarıdır. Özellikler arasında: durum paket denetimi, kimlik doğrulama hata sınırlaması, feyezandan koruma, dizin izleme ve harici blok listelerin kullanımı içerir. CSF çok mükemmel bir araçtır ve yönetmesi  iptable’a göre daha kolaydır.

4. Fail2ban’ı Kurun ve Yapılandırın

Her web sunucusu zayıf yanlarını arayan botlar tarafından rahatsız edilmektedir. Fail2Ban sunucunuzun günlükleri üzerinden başarısız olan çok fazla kimlik doğrulama denemesi veya aynı IP’den çok fazla bağlantı gibi kötü amaçlı bağlantıları belirten kalıpları aramak için dolaşır. Daha sonra bu IP üzerinden gelen bağlantıları engelleyebilir ve yönetici hesabını  bilgilendirir.

5. Malware Tarayan Yazılım programını Kurun

Tercihen  sunucunuza zarar verecek dosyalardan uzak tutmak isteyebilirsiniz, ancak sunucunuzun güvenliği ihlal edilirse, en kısa zamanda bilgilendirilmek istersiniz. ClamAv, Linux için mükemmel zararlı yazılım tarama aracıdır  ve rkhunter ise rootkitleri bulmakta yararlıdır. Birlikte, bir hacker’in sunucunuzda yüklenen herhangi malware’i bulabilme şansı yüksektir.

AIDE sistemdeki dosyaların anahtarlı(hash) tablosunu kurmakta kullanılabilir ve daha sonra günlük sistemdeki kritik dosyalara değişiklik yapılmadığını onaylamak için komut sayılarını karşılaştırır.

Özellikle paylaşımlı hosting firmaları kullanırken bu konuda sıkıntı yaşamamak için, hosting satın almadan mutlaka malware tarayıcı olup olmadığını firmaya sunun.

6.  Yazılımı Güncel Tutun

Eski yazılımların, Equifax’ın da keşfettiği herkese zararı olan ve hackerlarca bilinen güvenlik açığına sahiptir. Eğer bu makaledeki diğer tavsiyeleri görmezden gelirsiniz -ki bence etmemelisiniz- en azından Linux dağıtım paket yönetimini kullanarak güncellemelisiniz.

7. Düzenli olarak yedekleyin

Yedeklemeyi bir güvenlik önlemi olarak düşünmeyebilirsiniz ancak sunucuyu güvence altına almamızın temel nedeni, verilerin depolanmasını sağlamaktır. Bir sunucunun hiçbir zaman risk altında olmayacağı garanti edilemez. Bu yüzden veriler şifrelenmeli ve site dışı bir yerde yedeklenmelidir. Kapsamlı yedeklerde gerçekleştirilen düzenli kurtarma testleri sunucuyu fidye saldırılarına karşı koruyacaktır.

8. Kayıtlar(logs) Gözlemleyin

Kayıtlar önemli güvenlik araçlarıdır. Sunucuya kimin bağlandığı ve ne yaptığıyla ilgili muazzam bir bilgi toplamaktadır. Bu verideki kalıplar, zarar verici davranışlar veya güvenlik tehditlerini ifşa ederler.

Logwatch, sunucunuzda nelerin olup bittiğiyle ilgili analiz edilmiş, özetlenmiş günlük raporlar  üreten bir özet aracıdır. Girişlerin daha etkin gözlemlenmesi için saatlik raporlar üreten Logsentry kullanılabilirsiniz.

9. Gereksiz Hizmetleri Kapatın

Sunucunuzun işlemi için gerek olmayan herhangi internete bağlı yazılımları etkisizleştirin.

Sunucunun online aktiviteleri ile dış dünya arasındaki temas ne kadar azalırsa, bu güvenlik için her zaman daha iyi olacaktır. Çoğu Linux dağıtımlar –CentOS ve Ubuntu dahil- hizmetleri yöneten araçlar içerir.

Aynı kural web sunucuları için de geçerlidir, gerek olmayan modülleri kapatın, kullanılmayan dil modüllerini silin, web sunucu durumu ve hata ayıklanan sayfaları etkisizleştirin. Altta yatan altyapınız hakkında ne kadar az bilgi verirseniz, saldırı için daha az açık kapı bırakmış olursunuz.

10. ModSecurity’yi Kurun

ModSecurity -Web uygulama güvenlik duvarıdır- CFS güvenlik duvarına göre daha yüksek bir seviyede çalışır ve uygulama katmanına yönelik saldırılara karşı durmanızı sağlar.

Kısacası, WordPress tarzı içerik yönetimi içeren sistemler ve Magneto gibi e-commerce mağazalarına benzeyen web uygulamalarına  yönelik saldırıları durdurur.

ModSecurity Apache modülüydü, ancak Nginx’te de bulunabiliyor.

Sizlere bu yazıda hosting sunucunuzu ciddi bir şekilde korumayı öğrettik. Eğer sizin de uyguladığınız ek tavsiyeler varsa, bunları bizimle mutlaka paylaşın.

Son olarak aramızda belki site ya da blog açma hayatına yeni giriş yapacak arkadaşlar olacaktır. A’dan Z’ye blog açma rehberini takip ederek, hem güvenli hem de kolay bir şekilde blog açabilirsiniz.