Türkiye (Türkçe)
Almanya (German)
Worldwide (English)
Birçok otomatik tarama aracı, siber güvenlik yazılımları ve saldırı botları; sunucunuza açık portlar veya bilinen açıklıklar üzerinden erişim sağlamaya çalışır. Özellikle pentest yazılımları, güvenlik firmaları veya otomasyon sistemleri tarafından yapılan istekler, sisteminizi zorlayabilir. Bu nedenle hem SSH hem de Apache seviyesinde güvenlik önlemleri alınmalıdır. Bu rehberde, .htaccess ile proxy erişimlerini ve bot taramalarını engellemeyi; SSH üzerinden doğrudan erişim kısıtlamalarını anlatacağız.
1. .htaccess ile Proxy ve Güvenlik Tarama Botlarını Engelleme
A) Bilinen Proxy & Pentest User-Agent'ları Engelleme
RewriteEngine On
# User-Agent bazlı engelleme
SetEnvIfNoCase User-Agent ".*(sqlmap|nikto|acunetix|netsparker|nessus|scanner|libwww).*" bad_bot
Order Allow,Deny
Allow from all
Deny from env=bad_bot
B) Bilinen IP Aralıklarını Engelleme (örn: Shodan, Censys, vb)
<Limit GET POST>
Order Allow,Deny
Allow from all
Deny from 71.6.135.0/24
Deny from 89.248.165.0/24
Deny from 104.131.0.0/16
</Limit>
C) Proxy Header Kontrolü
RewriteCond %{HTTP:X-Forwarded-For} !^$
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{HTTP:VIA} !^$
RewriteRule ^(.*)$ - [F,L]
Bu kurallar, gelen isteğin bir proxy üzerinden gelip gelmediğini kontrol eder ve varsa engeller.
2. SSH Üzerinden Erişim Kısıtlamaları
A) Root Girişini Devre Dışı Bırakın
/etc/ssh/sshd_config dosyasını açın:
sudo nano /etc/ssh/sshd_config
Şu satırı bulun ve şu şekilde değiştirin:
PermitRootLogin no
B) Yalnızca Belirli IP'lere SSH Erişimi Verin
echo "sshd: 31.143.234.25 : allow" | sudo tee -a /etc/hosts.allow
echo "sshd: ALL : deny" | sudo tee -a /etc/hosts.deny
C) SSH Portunu Değiştirin
Port 2222 # Örnek: 22 yerine
Uygulama için:
sudo systemctl restart sshd
3. Ekstra Öneriler
-
Fail2Ban ile brute-force saldırıları engelleyin.
-
Cloudflare kullanıyorsanız ASN engelleme, ülke engelleme ve WAF kuralları ekleyin.
-
Imunify360, CSF veya benzeri sunucu güvenlik yazılımları ile otomatik saldırı tespiti yapın.
Hem .htaccess hem de SSH seviyesinde alınacak bu basit ama etkili önlemler ile sunucunuz siber saldırılara karşı çok daha dayanıklı hale gelir. Güvenlik, katmanlı bir yaklaşımla sağlanmalı ve sürekli izlenmelidir. Özellikle bilinen pentest yazılımlarının ve proxy tabanlı taramaların engellenmesi, saldırganları erkenden durdurmanıza yardımcı olur.