SSH Portu Değiştirme ve Root Girişini Güvenli Hale Getirme

Sunucu güvenliğini artırmanın temel adımlarından biri olan ssh portu değiştirme işlemi, standart 22 numaralı portun hedef alındığı otomatik tarama ve brute force saldırılarını önemli ölçüde azaltır. SSH (Secure Shell) protokolü, uzaktan sunucu yönetimine olanak tanırken, varsayılan ayarları nedeniyle siber tehditlere açıktır. Bu makalede, ssh portu değiştirme prosedürünü adım adım ele alacak, root kullanıcı girişini devre dışı bırakarak erişimi daha güvenli hale getirme yöntemlerini detaylandıracağız. Kurumsal ortamlar için bu değişiklikler, sistem bütünlüğünü korumanın vazgeçilmez unsurlarıdır. Uygulama öncesi yedekleme yapmanızı ve test ortamında denemenizi öneririz, böylece kesinti riskini minimize edersiniz.

SSH Portunu Değiştirmenin Stratejik Önemi

Standart SSH portu olan 22, internetteki tarayıcı botlar tarafından sürekli olarak hedef alınır. SSH portu değiştirme ile trafiği rastgele bir yüksek numaralı porta (örneğin 2222 veya 49200) yönlendirmek, yalnızca bilinçli erişim sahiplerinin bağlantı kurmasını sağlar. Bu yöntem, fail2ban gibi araçlarla birleştiğinde saldırı yüzeyini daraltır ve log dosyalarını gereksiz gürültüden arındırır. Kurumsal sunucularda, bu değişiklik ağ trafiğini optimize eder ve IDS/IPS sistemlerinin etkinliğini artırır.

Ayrıca, port değişikliği sunucunun görünürlüğünü azaltır. Örneğin, Shodan gibi arama motorlarında standart port taramaları etkisiz hale gelir. Uygulamadan önce mevcut bağlantıları kontrol edin ve yeni portu firewall kurallarına entegre edin. Bu strateji, yalnızca teknik bir ayar değil, kapsamlı bir güvenlik mimarisinin parçasıdır. Pratikte, binlerce sunucuyu yöneten ekipler bu yöntemi standart prosedür olarak benimser ve yıllık saldırı girişimlerini yüzde 90 oranında düşürdüklerini gözlemler.

SSH Portu Değiştirme Adımlarını Uygulama

Konfigürasyon Dosyasını Düzenleme

SSH konfigürasyon dosyası genellikle /etc/ssh/sshd_config yolundadır. Bu dosyayı root yetkileriyle nano veya vim editörüyle açın: sudo nano /etc/ssh/sshd_config. Port 22 satırını bulun ve #Port 22 yorumunu kaldırarak Port 2222 gibi bir değerle değiştirin. Değişiklikleri kaydedin. Bu adımda, ListenAddress direktifini de kontrol edin; varsayılan olarak tüm arayüzleri dinler. Eğer belirli bir IP’ye sınırlamak isterseniz, ListenAddress 192.168.1.100:2222 şeklinde belirtin. Dosya izinlerini doğrulayın: chmod 600 /etc/ssh/sshd_config. Bu işlem, yetkisiz düzenlemeleri önler ve sunucunun kararlılığını korur. Yaklaşık 5 dakikalık bir işlemle tamamlanır.

Servisi Yeniden Başlatma ve Bağlantı Testi

Değişiklikleri uygulamak için SSH servisini yeniden başlatın: sudo systemctl restart sshd. Mevcut oturumunuzu kapatmadan önce yeni portla test bağlantısı kurun: ssh -p 2222 user@ip_adresi. Başarılı olursa, orijinal bağlantıyı kapatın. systemctl status sshd ile servisin aktif olduğunu teyit edin. Logları inceleyin: journalctl -u sshd -f. Hata durumunda, /var/log/auth.log dosyasından ipuçları alın. Bu test aşaması kritik olup, erişim kaybını önler. Kurumsal uygulamalarda, bu adımı otomasyon script’leriyle (örneğin Ansible playbook) çoğaltabilirsiniz.

Firewall ve UFW Entegrasyonu

UFW kullanıyorsanız, eski portu kapatın: sudo ufw delete allow 22/tcp. Yeni portu açın: sudo ufw allow 2222/tcp. Durumu kontrol edin: sudo ufw status verbose. İptables ile manuel kurulumda: iptables -A INPUT -p tcp –dport 2222 -j ACCEPT; iptables -A INPUT -p tcp –dport 22 -j DROP. Kuralları kaydedin: iptables-save > /etc/iptables.rules. Bu entegrasyon, yalnızca izinli trafiğe kapı açar ve DDoS saldırılarına karşı koruma sağlar. Fail2ban jail’ini yeni porta uyarlayın: /etc/fail2ban/jail.local dosyasında sshd-port = 2222 belirtin.

Root Girişini Güvenli Hale Getirme Teknikleri

PermitRootLogin Direktifini Devre Dışı Bırakma

sshd_config dosyasında PermitRootLogin no satırını ekleyin veya yes’i no yapın. Bu, root kullanıcısının doğrudan SSH ile girişini engeller. Yeniden başlatın ve sudo ile yetkili normal kullanıcılar üzerinden erişin. Root erişimi için su – veya sudo -i kullanın. Bu değişiklik, parola tabanlı brute force saldırılarını sıfırlar çünkü root parolası hedef alınamaz. Kurumsal politikalar gereği, bu ayar zorunludur ve denetim loglarında root denemelerini filtreler. Uygulama sonrası, kullanıcı gruplarını wheel veya sudoers’a ekleyin: usermod -aG wheel kullanici_adi.

Public Key Tabanlı Kimlik Doğrulama Uygulaması

Parola kullanımını minimize etmek için SSH anahtar çifti oluşturun: ssh-keygen -t ed25519 -C “kullanici@etki”. Public key’i sunucuya kopyalayın: ssh-copy-id -i ~/.ssh/id_ed25519.pub -p 2222 kullanici@ip. sshd_config’te PubkeyAuthentication yes ve PasswordAuthentication no ayarlayın. AuthorizedKeys dosyasını güvenceye alın: chmod 700 ~/.ssh; chmod 600 ~/.ssh/authorized_keys. Bu yöntem, çok faktörlü kimlik doğrulamayla (Google Authenticator) birleştirildiğinde erişimi sıfır bilgi seviyesine indirir. Kurumsal ekiplerde, anahtar yönetimini HashiCorp Vault gibi araçlarla merkezi hale getirin. Test edin: ssh -i ~/.ssh/id_ed25519 -p 2222 kullanici@ip.

Match Block ile İleri Düzey Erişim Kontrolü

sshd_config sonuna Match User root bloğu ekleyin: Match User root\nPermitRootLogin no\nPasswordAuthentication no. Veya IP bazlı: Match Address 192.168.1.0/24\nAllowUsers [email protected].*. Bu bloklar, belirli kullanıcılar veya ağlar için kurallar tanımlar. Yeniden başlatmadan syntax kontrolü yapın: sshd -t. Logrotate ile auth.log’u yönetin ve MaxAuthTries 3 olarak sınırlayın. Bu teknikler, zero-trust mimarisine uygundur ve erişim politikalarını granular hale getirir. Uygulamada, 10 dakikada tamamlanır ve güvenlik denetimlerinde yüksek puan alır.

Bu prosedürleri uygulayarak SSH sunucunuzu kurumsal standartlara uygun hale getirirsiniz. SSH portu değiştirme ve root kısıtlamaları, yalnızca başlangıçtır; düzenli güncellemeler, IDS entegrasyonu ve kullanıcı eğitimiyle bütünleştirin. Sisteminizi periyodik olarak tarayın ve logları analiz edin. Bu bütüncül yaklaşım, veri kaybı riskini minimize eder ve uyumluluk gereksinimlerini karşılar. Güvenlik, sürekli bir süreçtir; bu adımları rutininize dahil ederek proaktif kalın.