Sunucunuz internete açıldığı andan itibaren otomatik botlar tarafından taranmaya başlar; ilk kaba kuvvet denemeleri çoğu zaman ilk saatlerde gelir. İyi haber: saldırıların büyük kısmı otomatiktir ve aşağıdaki 10 temel önlemi uygulayan bir sunucu, bu otomatik taramaların neredeyse tamamını boşa çıkarır. Bu rehber yeni kurulmuş bir VDS veya dedicated server için sıkılaştırma (hardening) adımlarını sırasıyla anlatır.
1. Sistemi Güncel Tutun
Bilinen açıkların yamalanması en ucuz güvenlik önlemidir. Ubuntu/Debian'da apt update && apt upgrade -y, AlmaLinux/Rocky'de dnf update -y komutunu düzenli çalıştırın; kritik güvenlik güncellemelerini otomatikleştirmek için unattended-upgrades (Debian ailesi) veya dnf-automatic kullanın.
2. Root ile Günlük Çalışmayın
Yönetim için sudo yetkili ayrı bir kullanıcı oluşturun: adduser yonetici && usermod -aG sudo yonetici. Uygulamalarınızı hiçbir zaman root olarak çalıştırmayın; bir servis ele geçirilirse zarar o kullanıcının yetkisiyle sınırlı kalır.
3. SSH'ı Anahtar Tabanlı Girişe Geçirin
Parolalar tahmin edilebilir; SSH anahtarları edilemez. Kendi makinenizde ssh-keygen -t ed25519 ile anahtar üretip ssh-copy-id ile sunucuya yükleyin. Anahtarla girişi doğruladıktan sonra /etc/ssh/sshd_config içinde şu iki satırı ayarlayın:
PasswordAuthentication no
PermitRootLogin prohibit-password
Ardından systemctl restart sshd ile servisi yeniden başlatın. Bu tek adım, SSH kaba kuvvet saldırılarını tamamen anlamsız hale getirir.
4. Güvenlik Duvarını Doğru Kurun (Kapatmayın!)
En sık görülen hata, bir servis çalışmadığında firewall'u tamamen kapatmaktır. Doğru yaklaşım "varsayılan kapalı, gerekli olan açık" politikasıdır. Ubuntu'da:
ufw default deny incoming
ufw allow OpenSSH
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable
AlmaLinux/Rocky'de aynı yapı firewall-cmd ile kurulur. SSH iznini firewall'u etkinleştirmeden ÖNCE eklemeyi unutmayın; aksi halde kendinizi dışarıda bırakırsınız.
5. Fail2Ban ile Kaba Kuvveti Engelleyin
Fail2Ban, art arda başarısız giriş deneyen IP'leri otomatik yasaklar. apt install fail2ban ile kurun; varsayılan yapılandırma SSH'ı hemen korumaya alır. cPanel/Plesk kullanıyorsanız panellerin kendi eşdeğer araçlarını (cPHulk, Fail2Ban eklentisi) etkinleştirin.
6. Kullanılmayan Servisleri Kapatın
ss -tulpn komutu hangi portların dinlendiğini gösterir. İhtiyaç duymadığınız her servis (kullanılmayan FTP, eski bir veritabanı, deneme amaçlı kurulmuş uygulamalar) bir saldırı yüzeyidir; systemctl disable --now servis-adi ile kapatın.
7. Veritabanını Dışarıya Kapatın
MySQL/MariaDB ve Redis gibi servisler yalnızca yerel bağlantı alacaksa bind-address = 127.0.0.1 ayarıyla dış dünyaya kapatılmalıdır. Uzak erişim şartsa IP kısıtlaması ve güçlü parola olmadan asla port açmayın.
8. Düzenli ve HARİCİ Yedek Alın
Sıkılaştırma ihtimalleri azaltır ama sıfırlamaz; fidye yazılımı veya disk arızası senaryosunda sizi kurtaracak şey sunucu DIŞINDA tutulan yedektir. Otomatik yedeklerinizi FTP Backup gibi ayrı bir depolama alanına gönderin ve arada bir geri dönüş (restore) denemesi yapın — test edilmemiş yedek, yedek değildir.
9. Logları İzleyin
lastb başarısız giriş denemelerini, journalctl -u sshd SSH hareketlerini gösterir. Haftada bir bakmak bile anormal bir durumu erken fark etmenizi sağlar. Yoğun sistemlerde logwatch gibi araçlarla günlük e-posta özeti alabilirsiniz.
10. DDoS ve Ağ Katmanını Planlayın
Uygulama ne kadar güvenli olursa olsun ağ katmanı hedef olabilir. Sunucu seçiminde lokasyonun ve ağ altyapısının DDoS toleransını sorun; kritik projelerde ek IP planlaması için IP adresi hizmeti ve ağ durumunu izlemek için sistem durumu sayfamızı kullanabilirsiniz.
Özet Kontrol Listesi
- Sistem güncel, otomatik güvenlik yaması açık
- Sudo kullanıcı var, root girişi kısıtlı
- SSH yalnızca anahtarla, parola girişi kapalı
- Firewall "varsayılan kapalı" politikasında, Fail2Ban aktif
- Gereksiz servisler kapalı, veritabanı yerel dinliyor
- Harici yedek düzenli alınıyor ve test ediliyor
Bu adımların tamamı, orta ölçekli bir sunucuda bir saatten kısa sürer ve saldırı yüzeyinizi dramatik biçimde daraltır. Kurulum sonrası bağlantı adımları için SSH bağlantı rehberimize, panel kuracaksanız cPanel ve Plesk rehberlerimize göz atın. Güvenli ve güncel altyapılı bir sunucuyla başlamak isterseniz VPS ve NVMe VDS paketlerimizi inceleyebilirsiniz.
İlgili rehberler
VPS/VDS · 3 dk
VPS Sunucuya SSH ile Bağlanma (Windows, macOS, Linux)
VPS sunucuya SSH ile bağlanma rehberi: Windows PowerShell, PuTTY, macOS ve Linux terminal adımları, ilk giriş güvenliği ve bağlantı sorunlarının çözümü.
Linux · 5 dk
Ubuntu Firewall Kapatma, Ama Nasıl Yapılır?
Ubuntu firewall kapatma, UFW yönetimi, güvenli port açma, VDS ve dedicated server güvenliği için dikkat edilmesi gerekenler.

