Rocky Linux’ta Güvenlik Ayarları: Başlangıç Seviyesinden İleri Düzeye
PoyrazHosting
Rocky Linux, RHEL (Red Hat Enterprise Linux) tabanlı bir dağıtım olduğundan, güvenlik açısından oldukça sağlam bir temele sahiptir. Güvenlik ayarlarını başlangıç seviyesinden ileri düzeye kadar yapılandırmak için adım adım gidebiliriz.
1. Başlangıç Seviyesi: Temel Güvenlik Ayarları
a) Güncellemeler ve Paket Yönetimi
Güvenlik açıklarını önlemek için sisteminizdeki paketlerin güncel olması çok önemlidir. Bunun için dnf komutunu kullanabilirsiniz.
sudo dnf update
b) Firewall (Ateş Duvarı) Yapılandırması
Rocky Linux, firewalld ile gelir. firewalld'ı etkinleştirip, temel güvenlik kuralları oluşturabilirsiniz.
# Firewalld’ı etkinleştir
sudo systemctl start firewalld
sudo systemctl enable firewalld
# Firewalld durumunu kontrol et
sudo firewall-cmd --state
# Temel bir ağ trafiği kuralı ekleyelim (HTTP ve HTTPS)
sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent
# Kuralları yükle
sudo firewall-cmd --reload
c) SELinux Durumunu Kontrol Etme
SELinux, güvenliği artıran bir güvenlik modülüdür. Etkin olup olmadığını kontrol etmek için:
sestatus
Eğer SELinux devre dışıysa, etkinleştirebilirsiniz:
sudo setenforce 1
2. Orta Seviye Güvenlik Ayarları
a) SSH Güvenliği
SSH üzerinden yapılan bağlantıları güvenli hale getirmek için, /etc/ssh/sshd_config dosyasını düzenleyebilirsiniz.
-
PasswordAuthenticationparametresini kapatmak (şifreli girişleri yasaklamak):
sudo nano /etc/ssh/sshd_config
PasswordAuthentication no
-
SSH bağlantılarının yalnızca belirli IP adreslerinden yapılmasına izin vermek için,
/etc/hosts.allowdosyasına şu satırı ekleyin:
sshd: 192.168.1.0/24
b) Fail2Ban Kullanımı
fail2ban, brute-force saldırılarına karşı koruma sağlar. Fail2Ban'ı kurup, SSH için koruma ekleyebilirsiniz.
# Fail2ban'ı yükleyin
sudo dnf install fail2ban
# Fail2ban servisini başlatın
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
# Fail2ban'ı yapılandırmak için /etc/fail2ban/jail.local dosyasını oluşturun ve düzenleyin
sudo nano /etc/fail2ban/jail.local
SSH için aşağıdaki yapılandırmayı ekleyebilirsiniz:
[sshd]
enabled = true
port = ssh
logpath = /var/log/secure
maxretry = 3
3. İleri Düzey Güvenlik Ayarları
a) AppArmor veya SELinux Politikaları
SELinux politikalarını daha ayrıntılı bir şekilde yapılandırarak sistemdeki her işlemin güvenliğini artırabilirsiniz. Daha gelişmiş politikalar eklemek için, /etc/selinux/config dosyasını düzenleyebilirsiniz.
b) Ağ Güvenliği
Rocky Linux’ta nftables ya da iptables gibi daha detaylı ağ güvenlik duvarı araçları kullanılabilir. Bu araçlarla daha özelleştirilmiş güvenlik kuralları oluşturabilirsiniz.
c) Sistemdeki Kullanıcıları Yönetmek
Güvenliği artırmak için kullanıcı hesapları üzerinde çeşitli güvenlik önlemleri alabilirsiniz. Bunun için passwd komutuyla şifre politikalarını belirleyebilir, kullanıcı erişimlerini sınırlayabilirsiniz.
# Şifre karmaşıklığını artırma
sudo nano /etc/login.defs
Aşağıdaki parametreleri değiştirebilirsiniz:
-
PASS_MIN_LEN→ Minimum şifre uzunluğunu ayarlayın. -
PASS_MAX_DAYS→ Şifrenin geçerlilik süresi.
d) Güvenli Uzak Erişim (VPN Kullanımı)
Eğer uzak erişim sağlıyorsanız, VPN (Virtual Private Network) kullanmak, trafiğinizi şifreler ve güvenliği artırır. OpenVPN ya da WireGuard gibi araçlarla uzak bağlantıları güvenli hale getirebilirsiniz.
e) Log İzleme ve Güvenlik Denetimleri
Sistem loglarını izleyerek anormal bir etkinliği fark edebilirsiniz. logwatch veya auditd gibi araçlar kullanarak güvenlik denetimi yapabilirsiniz.
# Logwatch yükleme
sudo dnf install logwatch
# Logwatch raporu oluşturma
sudo logwatch --detail high --service all --range today
Bu adımlar, Rocky Linux üzerinde güvenliği baştan sona yapılandırmak için oldukça kapsamlı bir yol haritası sunar. Başlangıç seviyesinden ileri düzeye kadar güvenlik yapılandırmalarını takip ederek sisteminizi güvence altına alabilirsiniz.
