BLOG

Linux Sunucu Güvenliği Kontrol Listesi

Hepimiz güvenli sunuculara sahip olmak isteriz. Bu yazıda Linux Sunucularda kontrol edilmesi gereken tüm adımları tek bir yerde toplamak istedim. Böylelikle unuttuğunuz, gözden kaçırdığınız ya da hiç bilmediğiniz adımları görebilicek ve gönül rahatlığıyla sunucu kurulumuna devam edebiliceksiniz.

Linux Sunucu Güveniği Kontrol Listesi

  • En güncel işletim sistemi kullanılmalı.
  • Minimal bir temel kurulum tercih edilmeli.
  • /home /tmp /var /root /opt /usr /boot için ayrılmış dosya sistemleri oluşturulmalı.
  • Mümkünse disk şifreleme kullanılmalı.
  • BIOS üzerinde parola kullanımı aktif edilmeli.
Image for post
  • Boot dizini kitlenmeli.
  • GRUB bootloader üzerinde şifreleme uygulanmalı.
  • Sunucu üzerinde USB kullanımını devre dışı bırakılmalı.
  • Genele açık dizinler için sticky bit kullanılmalı.
  • Dump alınabilmesinin önüne geçilmeli.
  • Şifrelenmemiş kimlik doğrulama kullanan uygulamalar kaldırılmalı(FTP, telnet vb).
Image for post
  • Kullanılmayacak servisleri devre dışı bırakılmalı(DNS, LDAP, DHCP, NFS vb).
  • Loglar için rsyslog kullanımına özen gösterin, bir kopyasını uzak sunucuda saklanmalı.
  • NTP kullanımına özen gösterilmeli.
  • Cron ve servislerine kısıtlama getirilmeli, kullanılmıyorsa kapatılmalı.
  • Web sunucusu üzerinde halka açık dizinlerde 777 izinlerini verilmemeli.
  • Web sunucusunda kullanılmayan eklentileri kaldırılmalı.
  • HTTP Trace metodunu kalıcı olarak kapatılmalı.
  • Web sunucusun’da mümkünse TLS kullanımına özen gösterilmeli.
  • Web sunucusu üzerinde root kullanıcısını kullanmayın.
Image for post
  • IPS kullanımına özen gösterin mümkünse fail2ban kullanılmalı.
  • SSH üzerinde asla root kullanıcısı kullanımına izin verilmemeli. Yetkilendirilmiş normal kullanıcılar kullanılmalı.
  • SSH servislerinde parolalı girişleri kapatılmalı, mümkünse ssh key aracılığı ile girişe zorlanmalı.
  • IP yönlendirmelerini kalıcı olarak kernel üzerinden kapatılmalı.
  • Network bağlantılarını optimize edilmeli.
  • root kullanıcı izinlerini kısıtlamak için sudo işlevselliğini kullanın(eğer sistemi birden fazla operatör kontrol ediyor ise)
  • HTTP Trace metodunu kalıcı olarak kapatın.
  • Web sunucusunda kullanılmayan eklentileri kaldırılmalı.
Image for post
  • Web sunucusunu bilgi sızdırmayacak şekilde yapılandırılmalı(sürüm bilgilerinin gizlenmesi vb).
  • SSH’ dan giriş yapacak kullanıcılar için banner tanımlaması yaparak üzerinde işlem yapılan sunucu hakkında kısaca bilgi verin.
  • Sunucu üzerinde açık olan portları kontrol edin.
  • Iptables gibi güvenlik duvarı uygulamaları kullanmaya özen gösterin.
Image for post
  • Sunucu üzerinde belirli aralıklarla malware taraması gerçekleştirilmeli.(ClamAV, rootkit vb)
  • Sistemde kullanılmayan kullanıcı hesaplarını kalıcı olarak kaldırılmalı.
  • sysrq tuş kombinasyonunun kullanılmasına izin verilmemeli.
  • Kullanılmayan yazılımları kaldırılmalı.
  • Otomatik güncelleştirmeleri aktif edilmeli.
  • Kernel güncelleştirmelerini mutlaka yapılmalı.
  • Kullanıcıların sistemde kalıcı olarak oturum açmalarına izin vermeyin, timeout sürelerini düzenleyin.
  • SFTP kullanımına özen gösterilmeli.
Image for post
  • Uygulamaların sıkılaştırma işlemleri için AppArmor vb uygulamaları sisteminize dahil edilmeli.
  • Mümkünse uygulamaları sandbox olarak çalıştırılmalı.
  • Sunucunun kullanılan verimerkezi hakkında bilgileri paylaşmayın(mümkünse ip bilgilerini temizletin)
  • Sistemde kullanılan tüm komutları kayıt altına alınmalı.
  • Kullanılmıyorsa IPv6 kapatılmalı(sadece IPv4 üzerinden iletişim sağlanacaksa).
  • Kullanıcı dizinlerini 3 ve 6 aylık aralıklar ile gözden geçirin, mümkünse virüs taraması yapın
  • Desktop ekipmanlarını sunuculardan kalıcı olarak kaldırılmalı.
  • Uzaktan erişim için kullanılan uygulamaların servislerini kalıcı olarak kapatılmalı(VNC, Teamviewer vb)
Image for post
  • Düzenli olarak yedeklerinizi alın.
  • Yedeklerinizde bulunan kişisel verileri korumak için GPG şifrelemesi kullanımına özen gösterilmeli.
  • Fiziksel sunucu güvenliğinizi mutlaka tamamlayın(kabin ve sistem odası güvenliği)

TAGS >

Post a comment