Yeni bir Ubuntu 24.04 VPS'in saldırı yüzeyi oldukça geniştir: parola ile SSH etkin, güvenlik duvarı yapılandırılmamış ve otomatik güncellemeler çalışmıyor. Bu kontrol listesi, sunucuya herhangi bir şey kurmadan önce almanız gereken minimum sertleştirme adımlarını kapsamaktadır.

1. Yalnızca SSH Anahtar Kimlik Doğrulama

Parola kimlik doğrulamayı hemen devre dışı bırakın. Henüz public anahtarınızı kopyalamadıysanız önce bunu yapın:

ssh-copy-id -i ~/.ssh/id_ed25519.pub user@sunucu-ip-adresiniz

Ardından /etc/ssh/sshd_config dosyasını düzenleyin:

PasswordAuthentication no
PermitRootLogin no
PubkeyAuthentication yes

Yeniden başlatın: systemctl restart ssh. Mevcut oturumu kapatmadan önce yeni bir terminal ile test edin.

2. UFW Güvenlik Duvarı

ufw default deny incoming
ufw default allow outgoing
ufw allow ssh
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable

3. Fail2Ban

Kaba kuvvet SSH girişimlerini engellemek için Fail2Ban kurun ve yapılandırın:

apt install fail2ban -y
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

/etc/fail2ban/jail.local dosyasını düzenleyip [sshd] bölümünde bantime = 1h ve maxretry = 5 değerlerini ayarlayın. Yeniden başlatın: systemctl restart fail2ban.

4. Otomatik Güvenlik Güncellemeleri

apt install unattended-upgrades -y
dpkg-reconfigure --priority=low unattended-upgrades

Bu sayede güvenlik yamaları manuel müdahale gerekmeksizin uygulanır.

5. Swap Alanı

Küçük VPS düğümleri (1–2 GB RAM) için trafik artışlarında OOM kill'i önlemek amacıyla bir swap dosyası ekleyin:

fallocate -l 2G /swapfile
chmod 600 /swapfile
mkswap /swapfile
swapon /swapfile
echo '/swapfile none swap sw 0 0' >> /etc/fstab

Bu beş adımı tamamladığınızda, başka bir şey kurmadan önce sunucunuz anlamlı biçimde sertleştirilmiş olur. Hedefli bir saldırıyı durdurmaz ama sağlama alınmamış VPS düğümlerine sağlama alınır alınmaz dakikalar içinde yönelen otomatik sömürü girişimlerinin büyük çoğunluğunu engeller.