23 mar 2026 · Müəllif: Netspare komandası
Linux server sərtləşdirmə bazası: SSH, firewall, yeniləmələr və xidmət ifşası
Hər yeni VPS satıcının rahatlığı üçün defoltlarla gəlir, sizin təhlükə modeliniz üçün yox. WordPress, panel və ya k3s quraşdırmazdan əvvəl SSH, açıq portlar və avtomatik təhlükəsizlik yeniləmələrini qurun.
Sərtləşdirmə iterativdir: çek-listi Ansible/cloud-init ilə kodlaşdırın, major distro yenilənməsindən sonra təkrarlayın.
Addımlar Ubuntu/Debian və RHEL ailəsi üçündür; yalnız paket və firewall əmrləri fərqlənir.
Dəyişməz infrastruktura nümunələri (nod əvəzetmə) canlı patch əvəzi deyil — kernel CVE-ləri yenə də yüklərlə razılaşdırılmış reboot pəncərələri tələb edir.
CIS benchmark-ları hesablanmış profillər verir; SOC2 sübut paketləri üçün ayda uyğunluq xalı kartlarını ixrac edin.
SSH: açarlar və sudo
ed25519 açarlı sudo istifadəçisi yaratdıqdan sonra parol və root SSH girişini söndürün. AllowUsers ilə girişi məhdudlaşdırın.
sudo üçün log saxlayın; root parolunu paylaşmayın.
Firewall və fail2ban
Defolt deny, 80/443 və 22 yalnız jump IP-dən. Ubuntu-da ufw, RHEL-də firewalld.
fail2ban SSH və poçt üçün brute-force azaldır; CI sistemlərini kilidləməmək üçün həssas tənzimləyin.
Avto yeniləmə və audit
- unattended-upgrades və ya dnf-automatic security; reboot strategiyası sənədləşdirilsin.
- Uyğunluq tələb edəndə auditd və ya eBPF telemetriya.
- Lazımsız servisləri silin/maskalayın; aylıq `ss -tulpn` inventarı.
- TLS üçün chrony ilə vaxt sinxronu.
Kernel və fayl sistemi
sysctl sərtləşdirməsi (rp_filter, SYN cookies) gitdə izlənən fayllarla. /var və /tmp üçün noexec/nodev mümkünsə.
DB və log üçün ayrıca həcm ki, dolu disk sshd-ni səssiz sındırmasın.
Kernel yeniləmələri və reboot koordinasiyası
kpatch/livepatch yalnız müəyyən CVE sinifləri üçün istifadə edin; NVIDIA/GPU və ya ZFS stack varsa uyğunluğu yoxlayın.
Orkestrasiya olunmuş reboot başlayanda texniki xidmət səhifələri və sağlamlıq yoxlamaları avtomat dəyişməlidir.
CIS profilləri və sübut
OpenSCAP və ya ekvivalent skanları avtomatlaşdırın; vaxt üzrə deltanı izləyin, tək PDF yox.
İstisnaları kompensasiya nəzarətləri ilə sənədləşdirin — yumşaldma olmadan "risk qəbul edildi" auditdə köhnəlir.
Tez-tez verilən suallar
AppArmor və ya SELinux mütləqdir?
SSH üçün fail2ban kifayətdirmi?
Netspare komandası
Bu müəllifin digər yazılarıBəyənə bilərsiniz
- systemd unit-ləri, taymerlər və journalctl: Linux admin üçün giriş
Cron var, amma systemd taymerləri asılılıq və logla inteqrasiya edir. Unit faylları və journal filtri.
- Reverse proxy, PHP və statik fayllar üçün Nginx və Apache
Nginx paralel bağlantılarda güclüdür; Apache .htaccess tələb olunduqda. Hibrid nümunələr.
- Windows Server 2022: AD, IIS, Hyper-V və fayl xidmətləri kiçik məlumat mərkəzində
Active Directory, Group Policy və ya köhnə .NET/IIS tətbiqləri əsasdırsa, Windows Server praktik mərkəzdir. Rolların qarşılıqlı təsiri və ilk sərtləşdirmə.
- RHEL-uyğun VPS və hosting üçün Rocky Linux və AlmaLinux
Hər ikisi RHEL mənbələrini yenidən qurur. İdarəetmə, buraxılış ritmi və vendor alətlərində fərq çox sayda nod standartlaşdıranda vacibdir.