Tüm sistemler çalışır durumda 21 kabul edilen kripto paralar · Monero hoş karşılanır KYC'siz politika
ChainVPS

Güvenlik

Yeni Bir VPS Nasıl Güvenli Hale Getirilir: Sıkılaştırma Kontrol Listesi

Yeni bir sunucudaki ilk saat için sırayla uygulanabilecek, kopyala-yapıştır hazır bir kontrol listesi — SSH anahtarlarından varsayılan olarak reddeden bir güvenlik duvarına kadar — saldırganların gerçekten kullandığı açıkları kapatır.

Güvenlik8 dakikalık okuma readChainVPS ekibi

Yeni Bir VPS Nasıl Güvenli Hale Getirilir: Sıkılaştırma Kontrol Listesi

Yeni bir VPS, çevrimiçi olduktan dakikalar sonra otomatik saldırılara maruz kalır — bu kontrol listesi, sunucunuzu sizin elinizde tutan ilk saatlik sıkılaştırma sürecinde size rehberlik eder.

Her yeni sunucu hayata aynı zayıflıklarla başlar: varsayılan bir root girişi, yalnızca parolayla korunan bir SSH kapısı, ardına kadar açık bir güvenlik duvarı ve otomatik yama yapılmaması. Botlar tüm IPv4 uzayını sürekli tarar, bu yüzden "IP'imi henüz kimse bilmiyor" düşüncesi asla doğru değildir.

Bu rehber, sırayla uygulanabilecek, kopyala-yapıştır hazır bir sıkılaştırma kontrol listesidir. Yeni bir Debian veya Ubuntu sunucusunda yukarıdan aşağıya çalışırsanız, güvenlik gösterişinin endişelendiği açıkları değil, saldırganların gerçekten kullandığı açıkları kapatmış olursunuz.

Sunucuya dokunmadan önce

İlk girişinizden önce alacağınız iki karar, daha sonra saatler kazandırır. SSH anahtarınızı hazırlayın ve root olmayan bir kullanıcı adı belirleyin.

  1. 1

    Modern bir SSH anahtarı oluşturun

    Kendi makinenizde ssh-keygen -t ed25519 -C "you@device" komutunu çalıştırın. Ed25519 anahtarları kısa, hızlı ve eski RSA-2048 varsayılanından daha güçlüdür.

  2. 2

    Özel anahtarı sunucudan uzak tutun

    Özel anahtarın yarısı asla dizüstü bilgisayarınızdan çıkmamalıdır. Sunuculara yalnızca .pub dosyasını kopyalarsınız. Bu kuralı ihlal etmek, insanların kendilerini yeniden kurulum yapmak zorunda bırakmasının en yaygın nedenidir.

  3. 3

    Kurulum kimlik bilgilerinizi not edin

    Çoğu sağlayıcı, geçici bir root parolasını e-posta ile gönderir veya anahtarınızı kurulum sırasında sunucuya ekler. Anahtar zaten eklenmişse, doğrudan kullanıcı oluşturma adımına geçebilirsiniz.

Sağlayıcınız SSH anahtarınızı dağıtım sırasında ekliyorsa, parola tabanlı bir pencereniz hiç olmaz — en büyük saldırı yüzeyi sunucu ilk açılmadan önce ortadan kalkmış olur.

Adım 1 — Her şeyi yamalayın, sonra yamalı tutun

Yaması yapılmamış bir çekirdek veya OpenSSL, hiçbir güvenlik duvarı kuralının düzeltemeyeceği tek kusurdur. Başka herhangi bir şeyi yapılandırmadan önce güncelleyin.

  • Debian/Ubuntu: apt update && apt full-upgrade -y komutunu çalıştırın, çekirdek değiştiyse yeniden başlatın.
  • Güvenlik yamalarının otomatik olarak uygulanması için unattended-upgrades'i etkinleştirin: apt install unattended-upgrades && dpkg-reconfigure unattended-upgrades.
  • Yeniden başlatmayı kendi kontrolünüzdeki bir zamana göre planlayın — çekirdekleri yarım yamalı bırakmak yerine Unattended-Upgrade::Automatic-Reboot ayarını sakin bir saate ayarlayın.

Adım 2 — Gerçek bir kullanıcı oluşturun ve root'u devre dışı bırakın

Root olarak giriş yapmak, tek bir ele geçirilmiş oturumun tüm makineye hakim olması ve hiçbir denetim izi bırakmaması anlamına gelir. Bunun yerine kendinize adlandırılmış bir sudo hesabı oluşturun.

  1. 1

    Kullanıcıyı ekleyin

    adduser deploy komutunu çalıştırın, ardından usermod -aG sudo deploy (RHEL ailesi sistemlerde wheel kullanın).

  2. 2

    Bu kullanıcı için anahtarınızı kurun

    Dizüstü bilgisayarınızdan: ssh-copy-id deploy@your-server-ip. Bu komut, genel anahtarınızı doğru izinlerle ~/.ssh/authorized_keys dosyasına yazar.

  3. 3

    Kapıyı kilitlemeden önce test edin

    İkinci bir terminal açın ve ssh deploy@server ile bağlanıp sudo -v komutunu çalıştırabildiğinizi doğrulayın. Yeni bir oturum çalışana kadar root'u veya parolaları asla devre dışı bırakmayın.

SSH sıkılaştırmasının altın kuralı: herhangi bir kimlik doğrulama ayarını değiştirmeden önce mevcut oturumunuzu açık tutun ve yeni girişin ikinci bir pencerede çalıştığını kanıtlayın. Bu tek alışkanlık, neredeyse tüm kilitlenmeleri önler.

Adım 3 — SSH sıkılaştırması, en önemli kısım

SSH, her VPS'in ön kapısıdır ve otomatik giriş denemelerinin büyük çoğunluğunun hedef aldığı yerdir. /etc/ssh/sshd_config dosyasını (veya /etc/ssh/sshd_config.d/ içindeki bir drop-in dosyasını) düzenleyin ve şu anahtarları ayarlayın.

PermitRootLoginno — root, ağ üzerinden asla giriş yapamaz
PasswordAuthenticationno — yalnızca anahtarlar, kaba kuvvet saldırılarını tamamen etkisiz kılar
KbdInteractiveAuthenticationno — PAM parola yedeğini kapatır
PubkeyAuthenticationyes — gerçekten kullandığınız yöntem
AllowUsersdeploy — yalnızca kabuk erişimine ihtiyaç duyan hesapları izin listesine ekleyin
X11Forwardingno — gerçekten GUI uygulamaları tünellemiyorsanız kapalı tutun

Söz dizimini doğrulamak için sshd -t komutunu çalıştırın, ardından systemctl restart ssh ile uygulayın. sshd -t bir hata bildirirse, yeniden başlatmadan önce düzeltin, aksi halde servisi devre dışı bırakabilirsiniz.

SSH portunu 22'den değiştirmek isteğe bağlıdır ve yalnızca log gürültüsünü azaltır — bu bir belirsizliktir, güvenlik değil. PasswordAuthentication kapatıldığında, port tarayan botların tahmin edebileceği hiçbir şey kalmaz, bu yüzden port oyunları yerine çabanızı anahtarlara harcayın.

Adım 4 — Varsayılan olarak reddeden bir güvenlik duvarı açın

Sıkılaştırılmış bir SSH servisi bile makineyi dinleyen diğer her hizmetle paylaşır. Bir güvenlik duvarı, "ben açmadıkça kapalı" ilkesini varsayılan haline getirir.

  1. 1

    Temel kuralı belirleyin

    ufw ile: ufw default deny incoming ve ufw default allow outgoing.

  2. 2

    Yalnızca sunduğunuz şeye izin verin

    ufw allow OpenSSH, ayrıca bu sunucu gerçekten web trafiği barındırıyorsa ufw allow 80,443/tcp.

  3. 3

    Etkinleştirin ve doğrulayın

    ufw enable komutunu çalıştırın, ardından ufw status verbose ile kontrol edin. Listelenmeyen her şey artık internetten erişilemez durumda.

ufw'yi etkinleştirmeden önce SSH kuralını güvenlik duvarına ekleyin. Kendi portunuz için bir izin kuralı olmadan varsayılan olarak reddeden bir güvenlik duvarını etkinleştirmek, oturumunuzu kesecektir.

Adım 5 — Fail2ban ile kaba kuvvet saldırılarını yavaşlatın

Parolalar devre dışı bırakılmış olsa bile botlar kapıyı çalmaya devam eder ve loglarınızı şişirir. Fail2ban, tekrar eden saldırganları güvenlik duvarı seviyesinde engeller.

  • apt install fail2ban — birlikte gelen sshd jail'i kutudan çıktığı gibi çalışır.
  • jail.conf dosyasını jail.local olarak kopyalayın ve tercihinize göre bantime süresini artırın (örn. 1h), maxretry değerini azaltın (örn. 3).
  • Engellenen IP sayılarını görmek için fail2ban-client status sshd komutuyla çalıştığını kontrol edin.

Adım 6 — Saldırı yüzeyini azaltın

En güvenli hizmet, çalışmayan hizmettir. Neyin dinlediğini denetleyin ve ihtiyacınız olmayanı kaldırın.

Açık portları denetleyin

ss -tulpn, dinleyen her soketi ve arkasındaki süreci listeler. Bilerek başlatmadığınız her şeyi araştırın.

Kullanılmayan paketleri kaldırın

Kullanmadığınız hizmetleri devre dışı bırakın veya kaldırın — çalışır durumda bırakılan bir veritabanı veya posta ajanı saf bir risktir.

Hizmetleri izole edin

Veritabanları gibi dahili servisleri 127.0.0.1 adresine bağlayın, böylece güvenlik duvarı bir hata yapsa bile asla dışarıya açık olmazlar.

İzinleri sıkılaştırın

~/.ssh dizininin 700, authorized_keys dosyasının 600 olduğundan emin olun. Yanlış izinler, sshd'nin anahtarınızı sessizce yok saymasına neden olur.

Adım 7 — Kayıt tutun, izleyin ve temel durumunuzu bilin

Sıkılaştırma tek seferlik bir işlem değildir. Bir şey değiştiğinde bunu fark etmeniz gerekir.

  • Başarısız girişler için journalctl -u ssh veya lastb ile kimlik doğrulama etkinliğini inceleyin.
  • Ayrıcalıklı işlemlerin müdahaleye karşı korumalı bir kaydı için auditd kullanmayı değerlendirin.
  • /etc dizininizin ve verilerinizin sunucu dışında bir yedeğini tutun, böylece ele geçirilmiş bir sunucuya sonradan güvenmek yerine sıfırdan temiz bir şekilde yeniden kurabilirsiniz.

Sağlayıcının kendisinin önemli olduğu yerler

Yazılım sıkılaştırması işletim sistemini korur, ancak altında ne olduğuna sağlayıcı karar verir — ağ filtreleme, ödeme izi ve bir kimliğin sunucuyla hiç ilişkilendirilip ilişkilendirilmeyeceği. ChainVPS'te her plan DDoS filtreleme ve ölçümsüz bant genişliğiyle gelir; sunucular, Monero dahil 21 kripto para biriminden oluşan ön ödemeli bir bakiyeden, KYC olmadan ödenir. Tehdit modeliniz bir sunucuyu kimliğinizle ilişkilendirmemeyi içeriyorsa, offshore VPS planlarımız tam olarak bunun için tasarlandı.

Konum da sıkılaştırmanın bir parçasıdır: on beş bölgemizden altısı gizlilik odaklı yargı bölgeleridir (NL, CH, RO, IS, MD, LU). Sıkılaştırılmış bir işletim sistemini offshore bir dedicated server ile eşleştirmek, hem yazılım hem de hukuki yüzeyi sıkı tutar.

Bir saatlik kontrol listesi, özet

  • Tam sistem güncellemesi + otomatik güvenlik yamaları etkinleştirildi
  • Adlandırılmış sudo kullanıcısı oluşturuldu, anahtar kuruldu, giriş test edildi
  • Root SSH girişi ve parola kimlik doğrulaması devre dışı bırakıldı
  • SSH yapılandırması sshd -t ile doğrulandı ve yeniden yüklendi
  • Varsayılan olarak reddeden güvenlik duvarı aktif, yalnızca gerekli portlar açık
  • Fail2ban, sshd jail'inde çalışıyor
  • Açık portlar denetlendi, kullanılmayan hizmetler kaldırıldı
  • Sunucu dışı yedekleme ve log incelemesi mevcut
SSH portunu 22'den başka bir port ile değiştirmeli miyim?

Bu isteğe bağlıdır ve yalnızca log gürültüsünü azaltır, gerçek riski değil. Parola kimlik doğrulaması kapatıldığında ve anahtarlar zorunlu hale geldiğinde, portu değiştirmek güvenlik değil belirsizlik katar — önce parolaları devre dışı bırakmaya öncelik verin.

Yalnızca tek bir anahtarım varsa parola kimlik doğrulamasını devre dışı bırakmak güvenli mi?

Evet, anahtarla girişi ayrı bir oturumda test ettiyseniz ve özel anahtarın bir yedeğini tuttuysanız güvenlidir. Birçok sağlayıcı ayrıca bir web konsolu veya kurtarma modu sunar, bu yüzden donanımdan gerçek anlamda dışlanmış olmazsınız.

SSH tek hizmet olsa bile hâlâ bir güvenlik duvarına ihtiyacım var mı?

Evet. Varsayılan olarak reddeden bir güvenlik duvarı, kurduğunuzu unuttuğunuz hizmetlerden ve gelecekte kurulacak bir paketin sessizce dinlemeye başlayabileceği her şeyden sizi korur. Hiçbir bedeli yoktur ve sürprizleri önler.

Sıkılaştırmayı ne sıklıkla gözden geçirmeliyim?

Otomatik güvenlik güncellemeleri günlük işleri halleder, ancak herhangi bir büyük yazılım kurulumundan sonra ve en az ayda bir kez dinleyen portları ve kimlik doğrulama loglarını gözden geçirin. Sıkılaştırılmış bir temel durumu, bir kez ayarlayıp unutulacak bir şey değil, doğrulanması gereken bir şey olarak ele alın.

Uygulamaya geçirin.

$3.49/mo'dan başlayan bir offshore sunucu dağıtın · 21 kripto para birimi · KYC yok.