SSH Nedir?
SSH (Secure Shell), güvenli bir ağ üzerinden başka bir makine ile iletişim kurmak için kullanılan bir protokoldür. SSH, kullanıcıların belli bir port üzerinden başka bir bilgisayara güvenli bir şekilde erişim sağlamasına olanak tanır. Genellikle sunucu yönetimi ve uzak bağlantılar için tercih edilir.
Neden Güçlendirme Gereklidir?
SSH, standart olarak güçlü bir güvenlik sağlamasına rağmen, çeşitli zafiyetler ve güvenlik tehditleri ile karşı karşıya kalabilir. Özellikle SSH sunucuları, güçlü şifre kırma saldırıları, brute force saldırıları ve kimlik avı girişimlerine maruz kalabilir. Bu nedenle, SSH yapılandırmasının güçlendirilmesi, sunucu güvenliği için kritik bir adımdır.
SSH Yapılandırma Dosyasının İncelenmesi
Rocky Linux 9’da SSH yapılandırması, genellikle `/etc/ssh/sshd_config` dosyasında bulunur. Bu dosyada yapılacak değişiklikler, SSH sunucusunun güvenliğini artırır. Dosyayı düzenlemek için bir metin düzenleyici kullanılır:
“`bash
sudo nano /etc/ssh/sshd_config
“`
Yalnızca Anahtar Tabanlı Kimlik Doğrulamasını Kullanma
Parola bazlı kimlik doğrulamasından ziyade, anahtar tabanlı kimlik doğrulaması tercih edilmelidir. Anahtar tabanlı kimlik doğrulaması, özel bir anahtar ile oluşturulan dijital imzalar kullanılarak kimlik doğrulaması yapılmasını sağlar. Yapılandırma dosyasında aşağıdaki ayarı değiştirerek bu yöntemi aktif hale getirilebilir:
“`plaintext
PasswordAuthentication no
“`
Yukarıdaki ayar yapıldıktan sonra, yalnızca anahtar ile kimlik doğrulaması yapılacak, parolalarla oturum açma imkanı kapatılacaktır.
Root Kullanıcısı ile Giriş Engelleme
Root kullanıcısının doğrudan SSH ile girişine izin verilmemelidir. Bu, potansiyel saldırganların erişimini zorlaştırır. Aşağıdaki satır yapılandırma dosyasına eklenerek root girişi engellenebilir:
“`plaintext
PermitRootLogin no
“`
SSH Portunu Değiştirme
Varsayılan SSH bağlantı noktası 22’dir. Saldırıların çoğu bu port üzerinden gerçekleştiği için, port değiştirilmesi güvenliği artırabilir. Yapılandırma dosyasında aşağıdaki satır ile port değeri değiştirilir:
“`plaintext
Port 2222
“`
Port numarası 1024 ile 65535 arasında herhangi bir değer olmalıdır; ancak, popüler ve bilindik portlardan kaçınılmalıdır.
MaxAuthTries ve Rate Limiting
Bağlantı sayısını sınırlamak için `MaxAuthTries` değeri düşürülmelidir. Bu değer, belirli bir IP adresinden kaç kez kimlik doğrulama denemesi yapılabileceğini belirler. Aşağıdaki ayar ile bu değer düşürülebilir:
“`plaintext
MaxAuthTries 3
“`
Aynı zamanda, korunmasız noktaların ortadan kaldırılması için rate limiting uygulanabilir. UFW veya iptables gibi güvenlik duvarları ile belirli IP adreslerine gelen SSH istekleri sınırlanabilir.
Gereksiz Servis ve Protokollerin Kapatılması
Kullanılmayan veya gereksiz olan servislerin kapatılması, potansiyel zafiyetleri azaltır. SSH sadece belirli IP’lerden gelecek bağlantılara izin verecek şekilde yapılandırılabilir. Bu ayar, aşağıdaki gibi yapılabilir:
“`plaintext
AllowUsers user1@192.168.1.
“`
Bu şekilde yalnızca belirlenen kullanıcının ve IP aralığının SSH erişimine izin verilecektir.
Fail2Ban Kurulumu
Brute force saldırılarını önlemek için Fail2Ban kurulum ve konfigürasyonu yapılabilir. Fail2Ban, belirli bir süre içinde çok fazla hatalı giriş denemesi yapan IP adreslerini otomatik olarak engelleyen bir güvenlik aracı olarak işlev görür. Fail2Ban yapılandırması aşağıdaki gibi yapılabilir:
“`bash
sudo dnf install fail2ban
“`
Kurulumdan sonra, yapılandırma dosyası üzerinden SSH için eklentiler eklenebilir ve özelleştirilmiş ayarlar uygulanabilir.
Güncellemelerin Düzenli Olarak Yapılması
Güvenlik açıklarını kapatmak için sistemin güncel tutulması gerekmektedir. Rocky Linux 9 üzerinde güncelleme yapmak için aşağıdaki komut kullanılabilir:
“`bash
sudo dnf update
“`
Sistem güncellemeleri, çözüm bulma ve yeni güncellemeleri elde etme açısından önemlidir.
Son Olarak, SSH Servisini Yeniden Başlatma
Yapılan değişikliklerin aktif hale gelmesi için SSH servisi yeniden başlatılmalıdır. Şu komut kullanılarak servis yeniden başlatılabilir:
“`bash
sudo systemctl restart sshd
“`
Bu adımlar izlenerek Rocky Linux 9 üzerinde SSH yapılandırması güçlendirilebilir. Böylece, kötü niyetli girişimlere karşı daha güvenli bir ortam sağlanmış olur.
