Bir sunucu veya sanal sunucu çalıştırıyorsanız ve web siteleri barındırıyorsanız performans en önemli kriter iken, diğer önemli kriter ise güvenliktir. Sunucularınızın güvenlik önlemlerini almadığınız takdirde, kötü niyetli kişiler tarafından sunucunuz saldırıya uğrayabilir.
Bu yazımızda, web hosting sektöründe en çok kullanılan panel olan Plesk panelin Linux üzerindeki güvenlik önlemlerini inceleyeceğiz.
Plesk Nedir?
Plesk, Linux dağıtımları ve Windows Sunucu işletim sistemleri üzerinde çalışabilen bir web hosting kontrol panelidir. Ücretli olarak sunulur. Web hosting hizmeti için ihtiyaç duyulabilecek tüm hizmetleri barındırır.
Plesk güvenlik önlemleri
Plesk Windows ve Linux işletim sistemlerinde çalıştığı için, bu yazımızda genel tavsiye edilen güvenlik önlemlerini ve Linux için güvenlik önlemlerini listeleyeceğiz. Bir sonraki yazımızda ise Plesk Windows güvenlik önlemlerini inceleyeceğiz.
Genel Güvenlik
Plesk Güncelleme
Plesk panelinizi her zaman güncel tutun. Plesk panel’e giriş yaptığınızda, dashboard üzerinde size güncellenecek paketleri çıkartacaktır.
Bu paketler harici Plesk’in güncelleme işlemleri için bu yazımızı takip edebilirsiniz.
İşletim Sistemi Güncelleme
Windows veya Linux işletim sisteminizi her zaman güncelleyin. Sık sık güncelleme kontrolleri yapın. Centos ise yum update, Ubuntu ise apt-get update komutlarını sık sık kullanın. Windows ise, windows update ile düzenli kontrol yapmayı unutmayın.
Güçlü şifreler kullanın
Hem root şifrenizi güçlü olarak kullanın, hem de barındırdığınız domainler için güçlü şifreler kullanılmasını zorunlu kılın. Bunun için “Minimum password strength” seçeneğinde güçlü olması için gerekli seçimi yapın. İlgili ayara Tools & Settings > Security Policy kısmından ulaşabilirsiniz.
Güvenlik Duvarı (firewall) kullanın
Kullanılmayan portları kapatın. Daha doğrusu sadece kullandığınız portları açık bırakın. Sabit bir ip adresiniz var ise, SSH veya RDP gibi servislere sadece o IP üzerinden erişilmesi için gerekli işlemleri yapın.
Güvenli Mail SSL/TLS
Mail işlemlerinizde SSL/TLS kullanın. Let’s Encrypt zaten ücretsiz olarak SSL sunuyor. Let’s Encrypt kullanıp, mail ayarlarınızı SSL veya TLS ile yapılandırın.
Google Authenticator kullanın
Google Authenticator ile iki faktörlü doğrulama kullanın. Google Authenticator Plesk üzerinde ücretsiz eklenti olarak geliyor.
Plesk Linux Güvenlik
Web hosting sektöründe, özellikle PHP dilinin web tabanlı gücünden dolayı Linux Hosting daha çok tercih ediliyor. Hal böyleyken, Linux sunucularımızda güvenliğe çok önem vermemiz gerekiyor.
Plesk kurulu Linux üzerinde güvenlik işlemleri
Bu işlemleri sadece Plesk kurulu sunucular için değil, tüm Linux sunucularda uygulamamız önem arz ediyor.
SSH portunu değiştirme
Aslında sadece SSH portu değil, gereksinim olmayan tüm varsayılan portları değiştirmek her sunucu veya cihaz için önemli bir güvenlik önlemi. Varsayılan SSH portu 22 şeklindedir. Dolayısı ile yapılan bruteforce ataklar SSH ise bu porta gelecektir. Linux işletim sistemleri üzerinde SSH port değiştirme dağıtımlarda aynı olsa da,
Plesk portu değiştirme
Plesk varsayılan portları 8443 ve 8880 şeklindedir. Yukarıda değindiğimiz sebepler ile Plesk portunuzu değiştirmek de güvenlik açısından faydanıza olacaktır.
Fail2Ban kullanımı
Plesk ve SSH portumuzu değiştirdik. Tabi değiştiremediğimiz portlar da var. Yani varsayılan portun dışına çıkamayacağımız. Örneğin SMTP portu. 25/587 veya 465 portlarına gelen bruteforce ataklara karşı nasıl önlem alacağız? Tabi değiştirdiğimiz portlara da deneme/yanılma girişimleri yaşanabilir. Bunun için Fail2Ban kullanın ve belirli bir süre şifre deneyen IP adreslerinin sunucuya erişimini yasaklayın.
SSH Keyfile kullanımı
Linux sunucunuza bağlanırken, root şifresi yerine oluşturduğunuz KEY ile bağlanın ve root kullanıcısını şifreli kullanıma kapatın.
Plesk admin kullanıcısı ile sınırlama kullanın
Belirli bir IP adresi üzerinden Plesk’e bağlanıyorsanız, sadece IP veya IP’lerin erişimine izin verin.
Sistem paketleri için otomatik güncellemeyi açın
Yukarıda genel olarak değindiğimiz işletim sistemleri için güncelleme işlemi çok önemli. Plesk üzerinden bu işlemin otomatik yapılmasını sağlayın.
Sunucunuzu virüslerden koruyun
Plesk için yazılmış ücretli ve ücretsiz anti virüs eklentileri bulunuyor. Ücretsiz VirusTotal Website Check var, ücretli olarak Imunify360 var.
KernelCare eklentisini kullanın
Linux Kernel’inde açık çıkabiliyor. Bu sebeple manuel güncellemek yerine KernelCare eklentisini kullanabilirsiniz. Tabi KernelCare eklentisi malesef ücretli. Aylık 2,5$ ücretle satılıyor. KernelCare eklentisi, otomatik veya manuel olarak kernel’i güncellemenizi sağlar. Her dört saatte bir kernelinizi kontrol eder. Yapılan bir değişikliği (kernel) geri almanızı sağlar. Bu linkten KernelCare eklentisini görüntüleyebilirsiniz.
Kullanmıyorsanız kernelinizi manuel olarak güncelleyin.
DOS ataklara karşı sunucunuzu optimize edin
Linux çekirdeğinizi olası DOS ataklara karşı optimize edin. Plesk’i Syn-flood saldırılarından korumak için bu yazımıza bakabilirsiniz.
Plesk API’yi uzaktan erişime kısıtlayın
Plesk API, Plesk ile etkileşim kurmak için kullandığınız bir arabirimdir. Kullanmıyorsanız kapatın, kullanıyorsanız ve belirli IP ile iletişim kuruyorsanız IP kısıtlaması yapın. Panel.ini ile SSH üzerinden bu işlemi yapabilirsiniz. Panel.ini eklentisi için bu yazımızı takip edebilirsiniz.
Panel.ini üzerinden aşağıdaki işlemler ile API’yı kapatabilir veya belirli IP/IPlere erişimi açabilirsiniz.
API Kapatma
[api]
enabled = off
API’yi belirli IP’ye izin verme
[api]
allowedIPs = IP_adresi
API’yi belirli IP’lere izin verme
Birden fazla IP’ye erişim izni vermek için ise, aşağıdaki şekilde yazın;
[api]
allowedIPs = 192.168.1.100, 10.10.10.100
Gerekli değilse mod_python ve mod_perl kullanmayın
Varsayılan olarak bu iki modül yüklü değil. Fakat paylaşımlı hosting veriyorsanız bu iki modülden uzak durmaya çalışın. Zira perl ve python kullanılarak, sunucunuzda üst dizinler içerisinde komut yürütülebilir.
Gereksiz Apache modüllerini pasif hale getirin
Bir sunucuda; kullanmadığınız her paket sistem için yük getireceği gibi, aynı zamanda güvenlik zafiyeti oluşturabilir. Bu yüzden kullanılmayan apache modüllerini kapatın. Örneğin redis modülü varsayılan olarak kurulu geliyor. Fakat redis kullanan sayısı az. Bu yüzden kapatabilirsiniz. Bu yazımızdan Apache optimizasyonu ile ilgili bilgi alabilirsiniz.
WordPress Toolkit kullanın
WordPress Toolkit, web sitelerine kolayca WordPress yüklemenizi ve tek bir yerden yönetmenizi sağlayan ücretsiz bir eklenti. Hem işleri kolaylaştırıyor hem de güvenlik önlemleri almanızı sağlıyor.
WordPress toolkit ile yüklenmiş WordPress hosting'lerin güvenlik durumlarını kolayca takip edebiliyorsunuz.
Web Application Firewall (ModSecurity) kullanın
ModSecurity, web sitelerine gelen saldırı tespit etmek ve önlemek için kullanılan bir uygulama. İyi yapılandırılmış bir modsecurity ile bir çok saldırıyı tespit edebilir veya önleyebilirsiniz.
PHP güvenlik önlemlerinizi alın
PHP yaygın olarak kullanılan dil olduğundan, sunuculara da en çok saldırı PHP üzerinden yapılabiliyor. O yüzden PHP üzerinde sıkı güvenlik önlemleri almak, sunucunun güvenliği açısından oldukça önemli.
Veritabanı servislerini dışarıya açmayın
Plesk üzerinde varsayılan olarak Mysql servisi de Mssql servisi de dışarıya kapalı durumdadır. Mümkünse veritabanlarınızın portları dışarıya kapalı olsun. Eğer açarsanız da belirlediğiniz IP veya IP’lere erişim yetkisi verin.
Uzman Seviye
Yazıda belirttiğimiz noktalar, temel Linux kullanıcı ve sistem yöneticisi seviyesinde işlemlerdir. Yukarıda anlatılanlar da dahil, sunucu üzerinde işlem yaparken, “ne yaptığınızı bilmiyorsanız, yapmayın” mottosunu şiar edinin.
Sonuç:
İnternet’e açılan her sunucu güvenlik riski taşır. %100 güvenlik hayalperest bir yaklaşım olmakla beraber, sistem yöneticileri elinden geldiği kadar sistemleri korumakla mükelleftir. Bu sebeple yukarıda anlatılan işlemlerin yapabildiğiniz kadarını yapmanızı tavsiye ederiz.
Ayrıca Plesk Windows Hosting kullanımı ile ilgili de benzer bir yazı daha sonra bloğumuzda paylaşılacaktır.
Yorum Gönder