1- SSH Portunun değiştirilmesi

İlk komut ile  ssh config dosyasını açıyoruz ve başında yer alan diyez # işaretini silip farklı bir port numarası belirtiyoruz. İşlem sonrası ssh servisini yeniden başlatarak aktif edebiliriz.

2- SSH için ip izni

SSH bağlantısını tek bir ip adresi üzerinden yaparak sunucu güvenliğini arttırabilirsiniz.

nano ile hosts.allow dosyasını açarak aşağıdaki satırları eklemeniz yeterli.

3-Ip tables hardering

Centos 7 default kurulumda iptables yerine firewald adında farklı bir servis ile gelmekte. Iptables’ı kurmadan önce bu servisi kaldrmamız gerekiyoır.

İlk olarak firewalld servisini kapatıyoruz

Yeniden başlamaması adına sistem ön yüklemesinden de kapatıyoruz

Otomatik başlamaması için servisi maskeliyoruz

Iptables servisini yükleyerek aktif ediyoruz

Tüm iptables içeriğini boşaltmak için

Script ve bot saldırılarından korunmak için

Syn ve flood saldırıları engellemek için

Xmas paketleri engellemek için

Ip tables hardering

4-Iptables zin verilmesi gereken portlar

İlk yapılacak iş yerel ağdan yani bilgisayarın kendisinden gelen isteklere izin vermek. Böylece VPS’in veritabanı ile iletişimi sağlanabilsin.

Server trafik akışı için 80 ve 443 portları

Pop3 için 110 ve 995

Imap için 143 ve 993

SMTP portu için 25,465,587

SSH için 22

Sistem güncellemeleri ve ping için kullanabilmak amacıyla outgoing bağlantılara izin verelim:

Gerekli olan portları açtıktan sonra diğer tüm hizmetleri sonlandıralım

Tüm ayarlar tamamlandığına göre kurallara bir göz atıp eksik kalan birşey olup olmadığını kontrol edelim:

Tüm iptables uygulamalarından sonra restart etmeyi unutmuyoruz.

4-Iptables Rate Limiting

Iptables güvenlik duvarında temel kurallara ilave olarak dos ve ddos ataklarına önlem almak için ekstra kuralar ekleyebiliriz.

Aşağıdaki komut sayesinde tek bir ip’den Apache servisine (80 portuna) doğru, aynı anda en fazla 100 bağlantıya izin vererek, 101. bağlantı isteği reddelir.

5- Iptables Hit-Count

Son bir dakka içinde aynı ip’den gelen 20’nin üzerinde syn paketi varsa 20 üstü paketleri Linux centos Sunucu Güvenliği Hardeningeder. Rate limit ile benzer çalışır ama bunda zaman kısıtlaması da verebiliriz.

6- Iptables Limit Burst

Apache servisine yani 80 portuna gelen syn paketlere bakar. Eğer 80 portuna bir saniyede 6 ‘dan fazla syn paketi gelirse loglanır. Bu sayede eğer syn saldırı olursa saldırının nerden geldiğini loglardan bakarak anlayabiliriz. Paketleri droplamayıp sadece loglamamızın sebebi syn saldırılarında spoofing yapılabilmesidir.

Eğer syn saldırılarını iptables ile englemeye çalışırsak saldırganlar istemedğimiz halde bizim için önemli olan ip’leri spoof ederek onların ip’si ile bize saldırabilirler bizde o spoof edilmiş ip’leri enggelersek istemediğimiz bir durum oluşur. O yüzden syn flood saldırılarını iptables ile sadece loglarız. Engellemek için syn‐cookie kullanırız. Alt kısımda yer alan 2 komutu iptables içerisine ekliyoruz

sonraki işlemde rsyslog dosyasını açarak, son satıra loglama için 2. komutu ekliyoruz

nano ya da tail -f ile log dosyasını okuyabilirsiniz. çıktı alttaki gibi olacaktır.

Iptables Limit Burst

6- Iptables Booyer Moore Algoritmesı

Wget kullanımını iptables ile engellemek için kullanabiliriz. Wget toolunun user‐agent’i Wget olduğu için paket başlıklarında user‐agenti Wget olan paketler drop edilmiş olur. (Eğer wget kullanırken user‐agent değiştirilirse işe yaramaz)

 

6- Linux dosya güvenliği:

777 iznine sahip dosyaların bulunarak tüm izilerin değiştirilmesi. Aşağıda yer alan komut ile tarama yaptığınız dizinde bulunan ve erişime açık tüm dosyaları 644 olarak düzenleyebilirsiniz.

Sunucu üzerinde  777 izni verilmiş dosyaların bulunması

777 izinli klasörlerin 755 olarak düzenlenmesi

777 izinli dosyaların 644 olarak düzenlenmesi

Alternatif olarak bu komutu da uygulayabilirsiniz.

Kullanıcı olmayan dosyaların yeniden düzenlenmesi.  İlk komut ile kullanıcısı olmayan dosya ve dizileri görebilir, 2. komut sayesinde eksik sahipli ve gurup tüm  kullanıcısını root yapabilirsiniz.

Rhost dosyaları kullanıcıların uzaktan bağlantı yapmalarını sağlayan bir dosya türüdür ve sunucu üzerinde bulundurulması kesinlikle önerilmez. Komut sayesinde  .rgost dosyalarını taratarak silebilirsiniz.

Herkes tarafından yazılabilir dosyaların düzenlenmesi.

SuID biti aktif olan dosyaların bulunması ve düzeltilmesi. İlk komut ile suid’si aktif olan dosyaları bulabilir ve ikinci komut ile bu dosyaları düzenleyebilirsiniz.

 PHP open_basedir Tweak

Aynı sunucuda yer alan ve hacklenen bir içeriğin farklı bir domaine zarar vermemesi için cpanel’de open basedir’i aktif edebilirsiniz. Bu şekilde zararlı shell dosyaları diğer dizinlere ulaşamayacaktır.

cPHulk Brute Force Protection

Yine WHM panel kullanıyorsanız, cphul servisini aktif etmelisiniz. Böylelikle sunucunuza düzenlenen bruteforce ataklarını engelleyebilirsiniz.

cPanel Security Advisor

WHM panel kullanıcıları için önemli bir bölüm olan wsecurity advisor çeşitli zaman aralıklarında sunucunuzu tarayarak güvenlik açıklarını size bildirecektir.

Apache sunucusunda kapatılması gereken PHP fonksiyonları.

WHM’de multi php.ini Editör bölümüne fonksiyon olarak ekleyebilirsiniz.

History ‘i detaylandırın

Bildiğiniz gibi history komutu ile sunucu üzerinde uygulanan geçmişe yönelik komutları görebiliriz, bu gözüken içeriği tarih ve saat ekleyerek detaylandırmak için yapmamız gereken.

açılan editor ile bashrc dosyasına alt kısımda yer alan kod bloğunu eklioruz.

çıktı resimdeki gibi olacaktır.

linux History 'i detaylandırın

Bash Kayıt Dosyalarınızı Loglayın

Tüm bash komutlarınızı loglayarak sunucu üzerinde daha önce hangi işlemleri sağladığınızı görebilirsiniz. Loglama yapabilmemiz için öncelikle bashrc dosyasını açıyoruz

ardından alt kısımda yer alan Promt Comand değişkenini ekliyoruz

2. adım olarak  rsyslog.conf dosyasını açıyoruz ve 2. komutu ekliyoruz ve servisi restart ediyoruz.

aşağıdaki komut ile tüm bash aktivitelerini okuyabilirsiniz.

bashkayit.log dosyasını sadece root kullancısının açabilmesi için iznini 400 olarak ayarlarız.

chmod 400 /var/log/bashkayit.log

 

 

Yorum Bırakın

BÜLTEN ABONELİĞİ

Siteye eklenen içeriklerden öncelikli olarak haberdar olmak isterseniz aşağıdaki forma e-posta adresinizi yazarak ücretsiz bültenime üye olabilirsiniz.