windows 2012 server cpu limitleme

windows 2012 server cpu limitleme

Bir çok web server yöneticisi, sunucusunda bulunan web sitelerinin aşırı kaynak kullanımında bulunması, CPU kaynaklarını harcaması ve diğer sitelerin yayın akışının etkilenmesinden muzdariptir. Bu tür durumlarda CPU Limitleme işleminin nasıl yapılacağı hakkında bilgi vereceğim.

Biliyorsunuzki IIS kullanıcılarına direkt olarak kaynak kullanım hakkı atanamamaktadır. Eğer kullanıcı standartın dışında kaynak ihtiyacına gereksinim duyarsa, aynı sunucu çatısı altında barınan diğer kullanıcıların yayın akışını etkileyebilir. Bunun önüne geçebilmek için kullanıcıya özel uygulama havuzu oluşturmak ve kullanıcının gereksinimlerine göre dizayn etmek gerekir.

Bu yazımızda IIS kullanıcılarını CPU Limleme işlemini nasıl yapacağımızı ve ne gibi aksiyonlar alabileceğimiz konusunda bilgi paylaşacağım.

Aşağıda iletmiş olduğum işlem adımlarını takip ederek yeni bir application pool oluşturabilir, application pool kaydının nekadar CPU kaynağından yararlanabileceğini atayabilir ve ne gibi aksiyonlar alabileceğimizi belirleyebilirsiniz.

Farzedelim ki xxx.com alan adı kaydımız var ve CPU haklarınıı aşırı bir şekilde tüketiyor. IIS kullanıcısını limitleyebilmemiz için öncelikle özel bir application pool oluşturmamız lazım. Öncelikle çalıştır ekranına “inetmgr” yazarak Internet Information Services ( IIS ) Manager ekranına ulaşıyoruz. İlgili arayüzde ;

1 – Aplication Pools menü başlığına sağ tuş tıklayarak Add Application Pool.. butonuna basasıyoruz

2 – Bizi karşılayacak ekranda oluşturacağınız application pool kaydının ismini atayabilir site yapısının gereksinimlerine göre .NET framework versiyonunu düzenleyebilir ve Piplene modunu seçebilirsiniz.

3 – Ben default seçimlerde herhangi bir değişiklik yapmadım ve testnatro adında application pool kaydımı oluşturdum.

4 – Eklediğimiz aplication pool kaydını IIS Manager ekranında bulunan application pools listesinden görebilirsiniz.

5 – Application pool kaydımızı eklediğimize göre CPU limitleme işlemini gerçekleştirebiliriz. Yukarıda paylaşılan görselde görebileceğiniz gibi oluşturduğumuz Application Pool kaydına sağ tuş tıklıyoruz veAdvanced Settings ara yüzüne ulaşıyoruz. Bu ekranda CPU limiti atayabilmemiz için CPU başlığının altında bulunan Limit ( Percent ) bölümünde değer atamamız gerekiyor. ( 1 – 100 ) arasında değer atayabilmektesiniz.

Throttle seçimi IIS8 versiyonun aramıza katılmasıyla beraber bilişim hayatımızda yer almaya başlamıştır. IIS8 den önce gelen versiyonlarda sadece KillW3wp seçeneği bulunmaktadır.

Throttle : Atanan limitin üzerinde cpu kullanılmasını engeller.
KillW3wp : Limite ulaşıldığında direkt olarak aplication pool kaydına ait görevi sonlandırır.

6 – Yukarıda bilgisini paylaşmış olduğum gibi application pool kaydımızı oluşturduk ve CPU kaynak atmasını gerçekleştirdik. Artık son işlem adımını gerçekleştirebiliriz. Web sitemize ait IIS kullanıcısını oluşturduğumuz application pool kaydına alarak atanan limitlerin dışına çıkmamasını sağlayabiliriz.

– IIS Manager ekranından sites bölümü altında yer alan kullanıcımızı buluyoruz ve çift tıklıyoruz.

– Actions bölümü altında bulunan Basic Settings… butonuna tıklıyoruz ve Edit Site ekranına ulaşıyoruz.Application pool altında bulunan select menüsünden oluşturduğumuz application pool kaydını bulabilir ve seçimini gerçekleştirerek IIS kullanıcımızı oluşturulan kaydın altına alabiliriz.

ssh ile mysql root şifresini sıfırlama – ssh mysql root password reset

ssh ile mysql root şifresini sıfırlama – ssh mysql root password reset

istemlerinize ait her hangi bir şifreyi yazılı olarak saklamamak güvenlik tedbirlerinin en başında yer almaktadır. Fakat uzun süreli işlem yapmadığınız servislerin şifresini unutabilir veya da şifre hatasıyla karşılaşabilirsiniz.

Bu yazımızda web server yöneticilerinin en sık karşılaşmış olduğu MySQL root şifresinin SSH üzerinden nasıl değiştirebileceğmize dahil bilgi paylaşımında bulunacağız.

Root şifrenizi sıfırlayabilmeniz için izlemeniz gereken adımlar aşağıdaki gibidir.

1 – İlk öncelikle MySQL servisini durdurmamız gerekiyor. Aşağıda yer alan komutu SSH ekranında girerek MySQL servisimizi duraklatıyoruz.

  #   service mysql stop

2 – Bir sonraki adımda skip-grant özelliğini kullanarak MySQL servisimizi tekrardan başlatmamız gerekiyor.

  #   mysqld_safe –skip-grant-tables &

3 – MySQL servisimizi “skip-grant” özelliğiyle başlattık. Şimdi MySQL servimizie şifresiz bağlanabiliriz.

  #   mysql -u root

4 – Şifresiz girişi sağlayarak MySQL monitoring ekranına ulaştık. Artık sırasıyla aşağıda paylaşmış olduğum komutları MySQL monitoring ekranına girerek yeni şifremizi root kullanıcısına atayabiliriz.

  #   mysql> use mysql;
  #   mysql> update user set password=PASSWORD(“Yeni Şifrenizi Yazın”) where User=’root’;
    mysql> flush privileges;
  #   mysql> quit;

5 – MySQL monitoring ekranında güncel şifremizi atadık ve monitoring ekranından çıktı şimdi tekrardan MySQL servisimizi duraklatmamız gerekiyor.

  #   service mysql stop

MySQL servisini duraklatmamızın sebebi “skip-grant” özelliğinden çıkmak için gerçekleştirilmektedir. MySQL servisimizi tekrardan başlatarak güncel root şifremizi kullanmaya başlayabiliriz.

  # service mysql start

CPANEL’DE HOSTİNG YEDEĞİ ALMA VE YÜKLEME

cPanel hosting paketlerimizde cPanel üzerinden basit birkaç işlem ile sağlıklı hosting yedeğioluşturabilmekte ve bilgisayarınıza indirebilmektesiniz. İhtiyacınız olması halinde ise aldığınız veritabanı ve dosyalarınızın bulunduğu hosting yedeğini, cPanel üzerinden tekrar yükleyebilmektesiniz.

1) Cloud panele giriş yapınız.

Müşteri panelinizde sol bölümde bulunan “Hosting Yönetimi” menüsüne tıklayınız ve açılan sayfadan hesap adınızı seçerek “Detaylar” butonuna tıklayınız. Sayfanın orta kısımlarında “Kontrol Paneli” ikonu göreceksiniz, tıklayarak “Cloud Hosting Kontrol” panelinize giriş yapabilirsiniz.

2) “Web Sitesi Yönetimi” menüsüne tıklayınız, alan adınızın yanında bulunan “Yönet” butonuna tıklayınız ve ardından “cPanel’e Bağlan” linkine tıklayınız.

3) cPanel üzerinden “Yedekleme” menüsüne tıklayınız.

4) “Giriş Dizini” butonuna tıklayarak FTP dosya yedeğini bilgisayarınıza indiriniz. Ardında veritabanları bölümünde yer alan veritabanlarınızın adına tıklayarak veritabanı yedeğinizi indiriniz.

5) Yedeğe ihtiyacınız olması durumunda ise; aynı sayfa üzerinden ilk dosya seç butonu ile indirmiş olduğunuz “Giriş Dizini” yedeğinizi “Yükle” butonunu kullanarak yükleyiniz. İkinci dosya seç butonu ile de “Veritabanı” yedeğinizi seçerek “Yükle” butonuna tıklayınız.

PHİSHİNG NEDİR? NASIL KORUNABİLİRİZ?

Phishing, çevrimiçi kimlik avı anlamına gelmektedir. Kişisel ya da finansal bilgilerinizin, sahte bir e-posta hesabı iletisi ya da web sitesi aracılığıyla elde ederek, bilgisayar kullanıcılarını kandırmak için kullanılan bir yöntemdir.

Günümüzde sıkça rastladığımız kimlik avı dolandırıcılığı banka, kredi kartı şirketleri ya da saygın bir profili bulunan çevrimiçi satıcı gibi güvenilir bir kaynaktan gönderilmiş gibi görünen e-posta ile başlamaktadır.  Gönderilen e-posta içerisinde kullanıcıları aldatmaya yönelik kendilerinden hesap numarası veya parola gibi bilgilerin istendiği sahte bir web sitesine yönlendirilmektedirler. Bu bilgiler, verildiğinde genellikle kimlik hırsızlığı amacıyla kullanılmaktadır. Hedef odaklı olan bu tür saldırılar, hassas olan verilerinize izinsiz bir şekilde erişim elde edebilme adına uygulanan sanal bir hırsızlık biçimi aslında. Amaç tamamiyle fikri mülkiyet, finansal verileriniz, ticari ya da askeri sırlar gibi diğer kişi veya kurumlara ait gizli bilgileri ele geçirmektir.

Güvenlik yazılımları ile kendinizi koruma alın

Antivirüs uygulamaları sayesinde bu tür phishing (kimlik avı) saldırısı yapılan uygulamalardan korunmanız mümkündür. Bunun için orijinal bir antivirüs lisansı alarak bilgisayarınıza kurduğunuzda bilgisayarınız ve internet tarayıcınız üzerinde güvenlik önleminizi arttırabilirsiniz. Antivirüs programınızın lisanslı olması burada büyük bir rol oynuyor. Ücretsiz ve free bir güvenlik yazılımı kullandığınızda hedef olmamanız içten bile değildir. Bunun için lisanslı bir program ile yazılımınızı güncel tutarak hem şahsi hemde kurumsal verilerinize güvenlik önlemi alabilirsiniz.

Parola korumanız için ise güçlü karakter şart!

Her bir bilgisayar, akıllı telefon ya da tabletler üzerinde bankacılık işlemleri ya da internet üzerinden para ödeme mantığıyla bir çok işlem yapabiliyor. Kullanılan cihaz üzerinde tabiki güvenlik yazılımının bir önemi var. Ancak bu yazılımın yanında kullandığınız aktif şifrenizinde güçlü karakterde olması size artı bir olanak sağlıyor. İşlem yaptığınız sistem üzerinde şifrenizde bir küçük harf, bir büyük harf, sayı ve özel karakter içerecek şekilde belirlenen karakter uzunluğunda bir şifre belirlemenizi önemle tavsiye ediyoruz.

Phishing (Kimlik Avı)’dan Nasıl Korunabiliriz?

Çokça tercih edilen güvenlik yazılımları genellikle çok akıllıca ve kullanıcının açığından faydalanarak hazırlanmıştır. Bu saldırıları bazen durdurmak pekte mümkün olmuyor ne yazikki. Bu nedenle kişisel ya da kurumsal işlerinizde yapılan hata işletmeler, devletler ve hatta kar amacı gütmeyen kuruluşlar için ciddi bir sorun oluşturabilir. Kimlik avını kullanan dolandırıcılar sizden ya da kurumunuzdan alacağı hassas bilgilerinizi ifşa edebilir ya da çeşitli casusluk eylemleri gerçekleştirebilir. Tek bir kişi için yani şahsi anlamda yapılan hedef odaklı phishing (kimlik avı saldırıları) bilgisayarınızı gasp etmek için hizmet reddi saldırısı amacıyla kullanılan botlar ile çok büyük ağlara bile kötü amaçlı yazılım yerleştirilebilmektedir.

Kimlik hırsızları ile mücadele etmek için kurumunuzda çalışanların gelen kutularında sahe e-posta bulunması ihtimali gibi tehditlere karşı tedbirli olmasında fayda var. Bu tedbirinde yanı sıra e-posta güvenliği teknolojisine de önem verilmesi büyük ölçüde rol oynuyor.

WHM/CPANEL’DE GİZLİ MAİL ALMA AYARLARI

Sunucunuz üzerinde e-mail hizmeti veriyor ve e-maillerin kendi kontrolünüz altında olmasını istiyorsanız sunucunuza gelen ve sunucunuzdan giden e-maillerin bir kopyasını istediğiniz e-mail adresine gönderimini gizli mail olarak sağlayabilirsiniz.

Bu işlemin yapılabilmesi için sunucunuz üzerinde bazı düzenlemeler yapmanız gerekmektedir. İlk olarak sunucunuza SSH üzerinden erişim sağlamanız gerekmektedir. Erişim sağladıktan sonra her ihtimale karşın “exim’in sistem filtre” dosyasının yedeğini almamız gerekmektedir.

cp /etc/cpanel_exim_system_filter cpanel_exim_system_filter2

Filtre dosyasını yedek aldıktan sonra aşağıdaki komut ile yedek dosyamızı düzenleyeceğiz.

nano /etc/cpanel_exim_system_filter2

cpanel_exim_system_filter2 dosyasına eriştikten sonra dosyanın en altına erişip aşağıdaki kod satırı eklenmesi gerekmektedir.

if (“$h_to:, $h_cc:, $h_bcc” is “alanadi.com”)

then

  unseen deliver “gelen@alanadi.com”

endif

if $sender_address is “alanadi.com”

then

unseen deliver “giden@alanadi.com”

endif

Yukarıdaki kod satırında hangi alan adına gelen ve giden e-maillerin gizli kopyasını istiyorsanız alanadi.com yerine sunucunuzda aktif olan alan adını yazmanız gerekmektedir. gelen@alanadi.com ve giden@alanadi.com e-mail adresleri de örnek olarak tarafınıza sunulmuş olup sunucunuzda aktif olan istediğiniz e-mail adresine gelen ve giden maillerin gizli kopyasını gönderebilirsiniz.

Filtre dosyamız üzerinde gerekli işlemleri yaptıktan sonra WHM panele erişip Service Configuration » Exim Configuration Manager linkinde bulunan System Filter File satırına erişip mevcut yolu /etc/cpanel_exim_system_filter2 olarak değiştirmeniz gerekmektedir. Gelen ve giden e-maillerin artık gizli yedeklerini almak istemezseniz bu alan üzerinden  /etc/cpanel_exim_system_filter2 satırını tekrar /etc/cpanel_exim_system_filter olarak değiştirebilirsiniz.

Gerekli düzenlemeleri yaptıktan sonra sayfanın en altında bulunan “Save” butonu üzerinden işlemlerimizi kaydetmemiz gerekmektedir. Kayıt işlemini yaptıktan sonra ise gelen ve giden e-maillerin gizli kopyalarıbelirttiğiniz e-mail adreslerine gidecektir.

SSH KEY İLE LİNUX SUNUCULARINIZA ŞİFRESİZ ERİŞİM

Bu yazımızda bir çok web server yöneticisine kolaylık sağlayacak olan SSH key ile Şifresiz SSH erişimi anlatıyor olacağız. Ayrıca bu yöntem farklı işlem adımlarında da bize yardımcı olabilir. Örneğin uzak sunucu dosya transferi, script running, ve auto backup vb. işlemleride gerçekleştirebiliriz.

Vakit buldukça bu konularada ilerleyen yazılarımda değinmiş olacağım.

Şimdi işlem adımlarına geçebiliriz. 2 farklı Linux platformuna sahip olduğumuz düşünelim. Sunucularımızdan birinin ismi X diğerinin ismi ise Y olsun. Aşağıda bilgisini sunacağım işlem adımları X sunucusundan Y sunucusuna hızlı ve kolay bir şekilde şifresiz erişimin nasıl yapılabileceğini anlatmaktadır.

” Öncelikle SSH-Keygen yapısını editlememiz lazım. Bu sayede doğrulama anahtarını oluşturmuş olacağız.

Yapılandırmamıza “X” kodlu sunucumuzdan başlayalım. Aşağıda iletmiş olduğum görselde yer alan komut adımlarını takip ederek SSH key dosyamızı oluşturabiliriz.

ssh-keygen -t rsa komutunu girdikten sonra sistem sizden 2 farklı komut daha girmenizi isteyecektir. Enter tuşuna basarak devam edebilirsiniz. Örnek aldığım sunucuda ilgili dosya olması nedeniyle Owerwrite sorunu tarafıma yöneldi. Eğer sizde bu komutla karşılaşırsanız “Y” komutunu girip enter tuşuna basabilir ve işlem adımlarına devam edebilirsiniz.

SSH key dosyamızı oluşturduk. Şimdi bu dosyayı “Y” sunucumuza aktarmamız gerekir. Aktarım için en hızlı ve ideal çözüm SCP yapısını kullanmak olacak.

Aşağıda yer alan komutu kullanarak SCP yardımıyla dosyamızı “Y” sunucumuza transfer edebiliriz.

Not: Transfer edilmesi gereken id_rsa_pub isimli dosyadır. Dosyanın komutları girdikten sonra oluşup oluşmadığını kontrol edebilmek için root/.ssh dizininde ls -h komutunu kullanabilir ve dosyaları listeleyebilirsiniz.

SCP Komutu:

scp -P1064 root/.ssh/id_rsa_pub root@”Y”sunucuipadresi:/root

SCP yardımıyla 1064 portunu kullanarak root/.ssh/ dizininde bulunan id_rsa_pub isimli dosyamızı “Y” kodlu sunucumuzda root dizinine aktarmış olduk. Komutu çalıştırdıktan sonra sistem sizden “Y” sunucusunun şifresini isteyecektir. Şifreyi girerek işlemi tamamlayabilirsiniz.

 

İşlem adımlarının sonuna yaklaştık. Son olarak ” Y ” sunucumuzu yapılandırmamız gerekiyor. Aşağıda paylaştığım komutu ” Y ” sunucumuzda çalıştırmamız yeterli olacak.

 cat /root/id_rsa.pub > /root/.ssh/authorized_keys

 

Tüm işlem adımlarını tamamladık. Artık “Y” kodlu sunucumuza şifresiz erişebiliriz. Dilerseniz SSH root@“Y” sunucusu komutumu çalıştırabilir ve testi gerçekleştirebilirsiniz.

Faydalı olması dileğiyle.

Cpanel güvenlik ayarları giriş ve orta seviye kullanıcılar için

WHM CPANEL GÜVENLİĞİ

cPanel , Linux tabanlı sunucular üzerinde çalışan , bir grafik arayüzü olan ve web sitesi barındırma işlemlerini kolaylaştırmak için tasarlanmış, hosting kontrol panelidir. Üzerinde sunucuyu, bayilerinizi ve son kullanıcılarızı yönetebilirsiniz. Bir çok otomasyon aracı ile yönetimi kolaylaştırabilir ve API’ si üzerinden entegre yazılım geliştirebilirsiniz. Kolay kullanımı ve yaşayabileceğiniz problemler için internet üzerinde çok fazla yardım yazısı olması bu paneli en çok tercih edilen panel haline getirmiş durumda fakat standart ayarlar ile kurup bıraktığınızda dışarıdan gelebilecek tehditler için yeterli hazırlığınız yok demektir. Bu konumuzda 12 basit adımda panel ve sitelerinizin güvenlik puanını nasıl arttırabileceğinizi basit bir dille aktarmaya çalışacağım.

1- Whm Cpanel Güncellemeleri

Cpanel kurulu sunucular için belli belirsiz aralıklar ile panel güncellemeleri hazırlanır. Panele yeni eklenen bir yetenek, panel üzerinde ortaya çıkan bir güvenlik açığı ya da bir bug güncelleme gerektirir. Eğer sunucunuz üzerinde panel güncelleştirmelerini otomatik al seçeneği aktif ise farklı bir şey yapmanıza gerek yoktur fakat bu seçeneği kapalı tutuyor iseniz aşağıdaki komutu SSH üzerinden çalıştırarak panel güncelleştirmelerini tek komut ile yükleyebilirsiniz. Belki ilgisiz olabilir ama bir örnek ile açıklamak gerekir ise evinize bir çelik kapı aldığınızı düşünün, aldığınız firma diyor ki “bu kapının daha iyisini ürettik ayrıca daha güvenli, evinize kadar da getirdik, takmak ister misiniz, üstelik bunun için ücrette almıyoruz.” Yine de istemeyen olur mu? Güvenli bir sunucu için lütfen güncellemeleri ihmal etmeyiniz. Bu madde ile ilgili bir diğer tavsiyem ise http://cpanel.net/category/security/ adresini günlük olarak takip etmenizdir.

SSH üzerinden çalıştırabileceğiniz komut : /scripts/upcp –force

whm-cpanel-güvenliği

Aynı işlemi WHM üzerinden yapmak isterseniz aşağıdaki bölümü kullanabilirsiniz.

whm-cpanel-güvenliği

WHM cPanel güncellemelerini sistemin otomatik olarak algılaması ve yüklemesi için aşağıdaki bölümü kullanabilirsiniz. Önerilen ayarlar aşağıdaki gibidir.

whm-cpanel-güvenliği

2- Sistem Güncellemeleri

Paneliniz ne kadar güncel olursa olsun eğer işletim sisteminiz güncel değilse güvenlikten bahsedilemez. Bunu Windows’ta yer alan Windows Update’e benzetebilirsiniz. Linux sistemi güncellemek için SSH ile sunucunuza erişmeli ve aşağıdaki komutu çalıştırmalısınız. Bu işlemi yapmaktan çekinmeyiniz çünkü zaten cpanel güncellenmemesi gereken paketleri kendi içinde exclude etmekte.

SSH üzerinden çalıştırabileceğiniz komut : yum update

Size güncel bir kernel olup olmadığını yazacak ve sonrasında Yes ya da No şeklinde onay sunacaktır. Y harfine basarak kurmasını onaylayabilirsiniz. Aşağıda örnek güncellemeyi görebilirsiniz.

whm-cpanel-güvenliği

3- Şifre Güvenliği

Her ne kadar basit bir başlık gibi görünse de basit şifreler yüzünden her gün onlarca olumsuz vaka ile karşılaşıyoruz. Bu nedenle aslında birinci öncelik verilmesi gereken konu olarak görüyorum. Tavsiyem sunucu erişim şifrelerinizin en az 8 karakterli, içinde rakam, büyük harf, küçük harf ve mümkün ise özel karakterlerden oluşmasıdır. Eğer sunucunuzda birazdan ele alacağımız cPHulk gibi bir Brute-Force engelleme yazılımı yok ise basit şifreler kolaylıkla deneme yanılma yolu ile elde edilebilir. Örnek vermek gerekir ise Comp şifresi 0.00001 saniye de kırılabilirken Compl3xity_< şifresi için 4.000.000 yıl gibi bir süre ön görülmektedir. Bunu https://howsecureismypassword.net adresinden test edebilir ve kullanacağınız şifreler için bilgi sahibi olabilirsiniz. Bu sunucu yöneticileri için önerim idi peki cPanel sunucunuzda bayilerinizin ya da kullanıcıların oluşturacağı sitelerde kolay şifre koymalarının önüne nasıl geçebiliriz? cPanel bunu da düşünmüş ve Password Strength Configuration isimli bir bölüm kullanmışlar. Aşağıda görebilirsiniz, önerilen değer 60 oranıdır fakat unutulmamalıdır ki eğer kullanıcılarınıza sunucu üzerinde Shell erişimi veriyor iseniz şifrelerini password ile kolay bir şifre olacak şekilde değiştirebilirler.

whm-cpanel-güvenliği

Bu adımı geçtikten sonra bir diğer önerim kullanıcılarınızı şifre değiştirmeye zorlamaktır. Bunu da yine yukarıdaki resimde görebileceğiniz Force Password Change bölümünden yapabilirsiniz. Tüm kullanıcıları ya da şifresini değiştirmesini istediğiniz kullanıcıları seçebilirsiniz, sonrasında da bu kullanıcılar mevcut şifreleri ile giriş yaptıktan sonra ekranda şifre değiştirmeleri gerektiğini belirten bir bölüm ile karşılaşırlar ve yukarıda belirttiğiniz karmaşıklık oranında bir şifre girene kadar içeri giremezler.

4- SSH Güvenliği

SSH sunucumuzun erişim kapısıdır standartta 22 nolu portu kullanır, eğer sunucunuzda SSH’ı bu porttan kullanmaya devam ediyor iseniz muhtemelen loglarınız da sürekli SSH giriş denemeleri görüyor olmalısınız ve bunun yanı sıra dünya üzerinde ağlar tarayan botnetlerin de gözü üzerinizde olacaktır. Sunucu güvenliği için kesinlikle önerilen port değişikliği işlemini nasıl yapabileceğimize hemen bakalım.

Sunucumuza SSH ile giriş yapıyor ve aşağıdaki dosyayı açıyoruz. Fakat belirtmek isterim ki eğer sunucunuzda bir Firewall kullanıyor iseniz (iptables ya da CSF gibi) bu işlemi yapmadan önce yeni tanımlayacağınız porta Firewall dan izin vermelisiniz, aksi taktirde bindiğiniz dalı kesmek deyimini yerinde yaşamış olursunuz.

Komut : nano /etc/ssh/sshd_config

Açılan editörde #Port 22 yazan bölümü siliyor ve başında # işareti olmadan Port 999 yazıp kaydediyoruz. Burada 999 kısmına dilediğiniz port yazabilirsiniz, önemli olan kullanılmıyor olmasıdır. Eğer değişikliği yaptı iseniz aktif olması için SSH servisini yeniden başlatmanız gerekecektir. Aşağıdaki komut ile yapabilirsiniz.

Komut : service sshd restart

whm-cpanel-güvenliği

5- Cpanel ve Whm Erişim Güvenliği

Standart kurulumda login ekranı üzerinden gönderilen bilgiler şifrelenmemiş olarak sunucuya iletilir, bu da eğer ağınızda networkü dinleyen birisi var ise girdiğiniz şifreleri öğrenebileceği anlamına gelmektedir. Bunun için login ekranının her zaman SSL üzerinden çalışmasını sağlamalıyız, bu durumda HTTPS olmadan erişenler otomatik olarak HTTPS üzerinden çalışan bölüme yönlendirilecektir. Bu bölüm Tweak Settings kısmında Redirection bölümü altında yer almaktadır. Önerilen hali için aşağıdaki resmi inceleyebilirsiniz.

whm-cpanel-güvenliği

6- Derleyicilerin Kapatılması

Sunucuya zarar verme amacı ile kullanılan bir çok exploit , çalışabilmek için C ve C++ gibi derleyicilere ihtiyaç duyar , dolayısı ile son kullanıcıda bu iznin olması bir bombanın üzerinde çalışan sunucu gibidir. Bu derleyicileri devre dışı bırakmak için Compiler Access bölümüne erişmeli ve Disable Compilers butonuna tıklamalısınız. Bu durumda derleyiciler sadece cpanel kullanıcısı için derleme işlemi yapabilecektir. Farklı bir kullanıcıya da bu hakkı vermek istiyor iseniz Allow specific users to use the compilers bağlantısına tıklayıp kullanıcı seçebilirsiniz.

whm-cpanel-güvenliği

7- Cphulk Brute Force Koruması

Cphulk, sunucunuza brute force atak yapan IP adreslerini belirlediğiniz periyotlar için bloklamaktadır. cPanelde kurulu olarak gelmektedir. Sol menüden CpHulk Brute Force Protection’ı seçip Enable butonuna basmalısınız. Configuration bölümünde engellenen IP’ yi kaç dakika engelli tutacağı, bir IP’ den kaç adet geçersiz giriş denemesi gelebileceği, sunucu yöneticisine bildirim gönderip göndermeyeceği gibi seçenekleri değiştirebilirsiniz. Yapılan erişim denemelerini Login/Brute History Report bölümünden görebilir. Size ait izinli ya da direkt olarak engellemek istediğiniz IP adreslerini White/Black List Management bölümüne tanımlayabilirsiniz.

whm-cpanel-güvenliği

8- Host Erişim Kontrolü

Bu özelliği kullanarak sunucunuzdaki servislere erişimi IP bazında yönetebilirsiniz, yani ben istiyorum ki WHM panelime sadece ofisten erişilebilsin ama cPanel’ e her yerden girilebilsin ve SSH erişimini de sadece evden yapabileyim, bunun dışında kimse SSH’ a erişemesin, örnekleri ihtiyacınıza göre geliştirebilirsiniz, aşağıda örnek bir ekran görüntüsü var. IP bölümlerini kendinize uygun düzenlemelisiniz, örnek amaçlı IP yazılmıştır. Bu özellik üzerinden kullanabileceğiniz servisler, cPaneld, Ftpd, Imap, POP3, SMTP, SSHd, cpdavd, webmaild, whostmgrd şeklindedir.

whm-cpanel-güvenliği

9- EasyApache ile Apache ve Php Güncelleme

Nasıl ki paneli ve sistemimizi güncel tutuyorsak Apache, PHP ve bunlara bağlı modülleri de güncel tutmalı ve kullanılabilir yeni bir modül geldi ise bu bölümden sisteme dahil etmeliyiz. Bu bölüm; Apache versiyonu güncellemenizi, Mod_security ,suhosin , symlink race condition protection gibi modülleri ve PHP versiyonunuzu güncellemek için kullanışlı bir bölümdür. Eğer cPanel kullanmıyor olsaydınız bunların hepsini manuel kurmak ya da güncellemek zorunda kalacaktınız. Tabi esasen bununla da kalmıyor, PHP güvenliği ayrı bir deniz gibi, disable_functions lar , open_basedir ler vs ile apayrı bir makale konusu.

whm-cpanel-güvenliği

10- Shell Fork Bomb Koruması

Mutlaka aktif durumda olması gereken bir özelliktir. Ön tanımlı kurulumda pasif durumda gelmektedir. Bu özellik sunucuyu potansiyel saldırılar ile çökmesinden, kullanıcıların sistem kaynaklarını sunucuya zarar verecek şekilde korumasından dolayı önemlidir. Belirli limit değerleri ile gelmektedir ancak /etc/profile dosyası aracılığı ile manuel olarak limit değişikliği yapılabilmektedir. Örneğin bir kullanıcının çalıştırabileceği maksimum süreç sayısını bu özelliği açarak öntanımlı 35 ile sınırlayabilir farklı bir değer için yukarıda belirttiğimiz dosyayı düzenleyerek değiştirebilirsiniz.

whm-cpanel-güvenliği

11- Background Process Killer

Sunucumuzda IRC botlarının , bitchx gibi IRC clientlarının çalışmasını genelde istemeyiz. Bu özellik bunların sunucuda çalıştığını gördüğü anda süreçlerini sonlandırabilir ve sunucu yöneticisine mail atabilir. Hepsini seçip kaydetmeniz önerilmektedir. Aşağıdaki resimde örneğini görebilirsiniz. Trusted Users bölümüne, bunları çalıştırmasına izin vereceğiniz kullanıcı adlarını yazabilirsiniz.

whm-cpanel-güvenliği

12- Csf (ConfigServer Secure Firewall)

CSF , cPanel kurulu sunucuların bence olmazsa olmazlarından biri, çoğumuz iptables kurallarını ezbere yazamayız, işte tam burada CSF imdadımıza yetişir ve bence bu yazının olmazsa olmazlarından biri konumundadır hatta kurulu değil ise kurmak için yazının sonuna kadar bile beklemeyin ve hemen kurun derim. Önce yeteneklerinden sonra kurulum ve kullanımından bahsedelim. CSF iptablesı görsel olarak yönetebilir, sunucu erişim durumlarında bilgilendirme gönderebilir, bir kullanıcı sıra dışı bir yoğunluk yaratıyorsa bilgilendirir, synfloof ve port flood gibi saldırılardan koruyabilir, Dshield ve spamhaus gibi IP listelerinde yer alan kötü niyetli IP bloklarını otomatik olarak alıp bloklayabilir, bir IDS gibi çalışabilir hatta en güzeli ülke bazlı yani sadece ülke kodu girerek IP bloklarını engelleyebilirsiniz. Diğer yeteneklerini görmek için http://configserver.com/cp/csf.html adresinden faydalanabilirsiniz. Kurulumu ise çok basit ve aşağıdaki komutları SSH üzerinden sıra ile çalıştırarak tamamlanabilir.

wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

Şimdi WHM panelinize giriş yapıp Manage Plugins kısmından erişebilirsiniz. Kurulumdan sonra pasif durumda gelecektir. Aşağıdaki bölümden Firewall Configuration bölümüne girdiğinizde “Testing” yazan yerin yanındaki 1 i 0 yapıp en alttan kaydettiğinizde artık devrede olacaktır.

whm-cpanel-güvenliği

CSF’ in en sevdiğim özelliklerinden birisi de sadece güvenlik duvarı anlamında değil, cPanel tarafındaki tüm güvenlik seviyesini arttırmanıza yardımcı olacak bir araç daha içermesidir. Yukarıda göreceğiniz Check Server Security butonuna tıkladığınızda, size onlarca uyarı çıkaracak ve belirtilen güvenlik uyarılarını giderdiğinizde alt kısımda sunucunuz için bir güvenlik puanı belirtecektir, işin en eğlenceli yanı bu olsa gerek.

whm-cpanel-güvenliğiTemel olarak bu adımları uygulamanız sunucu ve sitelerinizin sağlığı için faydalı olacaktır fakat unutulmamalıdır ki makale giriş ve orta seviyesi kullanıcılar içindir.