CyberFlow Logo CyberFlow BLOG
Web Fundamentals

Web Sunucuları: Kurulum, Yapılandırma ve Güvenlik İpuçları

✍️ Ahmet BİRKAN 📂 Web Fundamentals

Web sunucularının nasıl kurulduğunu, yapılandırıldığını ve güvenlik önlemlerinin nasıl alındığını öğrenin. Siber güvenlikte kritik adımlar burada!

Web Sunucuları: Kurulum, Yapılandırma ve Güvenlik İpuçları

Web sunucuları kurulumu, yapılandırması ve güvenliği hakkında detaylı bilgiler edinin. Apache web sunucusunu kurmak ve korumak için gereken temel adımları keşfedin.

Giriş ve Konumlandırma

Web sunucuları, internetin temel yapı taşlarından biridir ve web içeriğini kullanıcıların erişimine sunmak için kritik bir rol oynar. Bir web sunucusu, gelen istekleri alır, ilgili kaynakları işler ve bu kaynakları, web tarayıcıları aracılığıyla kullanıcılara iletir. Bu süreç, modern internetin işleyişinde hayati önem taşır. Bu yazıda, web sunucularının kurulum, yapılandırma ve güvenliği gibi temel konulara odaklanacağız.

Web sunucuları, kullanıcıların web sitelerine erişimini sağlarken, aynı zamanda bu sitelerin güvenliğini de korumalıdır. Siber güvenlik açısından bakıldığında, web sunucusu güvenliği yalnızca dış tehditlere karşı korunma ile sınırlı değildir; aynı zamanda verilerin güvenli bir şekilde işlenmesi ve iletilmesi de kritik öneme sahiptir. Pentest (penetrasyon testi) çalışmaları, web sunucularının güvenlik açıklarının tespit edilmesi amacıyla sıklıkla kullanılmaktadır. Bunlar, bir sunucunun potansiyel zayıflıklarını anlamak ve gerektiğinde savunma mekanizmalarını güçlendirmek için etkili yöntemlerdir.

Web sunucularının yapılandırılması, yalnızca doğru çalıştırılması için gerekli ayarların yapılması değildir; aynı zamanda güvenlik açısından da önemli bir süreçtir. Örneğin, sunucu yapılandırmasını yaparken, HTTPS protokolü üzerinden daha güvenli bir veri iletimi sağlamak için SSL/TLS sertifikalarının kullanımı gereklidir. Bu sertifikalar, veri iletimini şifreleyerek kullanıcının bilgilerinin üçüncü şahıslar tarafından ele geçirilmesini önler.

Web sunucusunun güvenliği için alınması gereken önlemler arasında:

  • Güncellemeleri takip etmek: Web sunucusu yazılımlarını güncel tutmak, bilinen güvenlik açıklarından korunmanın en temel yoludur. Özellikle açık kaynak kodlu yazılımlar sıklıkla güncellenmektedir. 

    sudo apt-get update
sudo apt-get upgrade apache2

  • Güvenlik duvarı kullanmak: Ağa izinsiz erişimleri engellemek için bir güvenlik duvarı kullanmak son derece önemlidir. Güvenlik duvarı, yalnızca belirli IP adreslerine veya ağlara izin vererek potansiyel tehditleri engeller.

  • Erişim kontrolü: Kullanıcıların kontrolü altında olması, hassas verilere erişimi sınırlamak için önemlidir. Örneğin, dosya izinleri ayarlamak ve kullanıcı grupları oluşturmak, yetkisiz erişimleri azaltmak açısından faydalı olacaktır.

  • İzleme araçları kullanmak: Sunucunun durumu ve faaliyetleri hakkında bilgi veren izleme araçları, olası sorunları erken tespit etmeye yardımcı olur. Örneğin, Nagios gibi izleme araçları, kaynak kullanımını ve sunucu sağlığını sürekli kontrol eder.

Sonuç olarak, web sunucularının kurulumu ve güvenliği, yalnızca teknik bir zorunluluk değil, aynı zamanda bir işin sürdürülebilirliği için kritik bir gerekliliktir. Teknik bilgi birikimi ve güvenlik anlayışı, ağ savunma stratejilerinin geliştirilmesine yol açar. Okuyucular, ilerleyen bölümlerde daha teknik detaylara ve adım adım kurulum işlemlerine ulaşacaktır. Bu içerik, web sunucuları hakkında derinlemesine bilgi edinmek isteyen herkes için faydalı bir kaynak oluşturmayı hedeflemektedir.

Teknik Analiz ve Uygulama

Web sunucuları, internet üzerindeki web sitelerinin barındırılmasında kritik bir rol oynar. Bu bölümde, Apache web sunucusunun kurulumundan yapılandırılmasına, güvenlik önlemlerine kadar kapsamlı bir teknik analiz gerçekleştireceğiz.

Web Sunucusu Kurulumu

Apache web sunucusunu kurmak için öncelikle bir Linux tabanlı işletim sistemine sahip bir sunucuya ihtiyacınız vardır. Terminalde aşağıdaki komutu çalıştırarak Apache’nin en güncel sürümünü kurabilirsiniz:

sudo apt-get install apache2

Kurulum başarılı bir şekilde tamamlandığında, Apache sunucusu otomatik olarak başlatılır ve sistem açıldığında da otomatik olarak çalışmaya devam edecektir.

Web Sunucusu Yapılandırması

Apache’nin yapılandırma dosyası genellikle /etc/apache2/apache2.conf yolunda bulunur. Bu dosya, sunucu ayarlarını özelleştirmenizi sağlar. Sanal host ayarlarını belirlemek için aşağıdaki adımları izleyebilirsiniz:

  1. Yapılandırma dosyasını düzenlemek için bir metin editörü açın:

    sudo nano /etc/apache2/sites-available/000-default.conf

  2. Aşağıdaki gibi bir sanal host yapılandırması oluşturun:

    <VirtualHost *:80>
    ServerName example.com
    DocumentRoot /var/www/example
</VirtualHost>

  3. Değişikliklerinizi kaydedip çıkın. Daha sonra yapılandırmanın geçerli olması için Apache’yi yeniden başlatmalısınız:

    sudo systemctl restart apache2

Web Sunucusunu Test Etme

Kurulum ve yapılandırmanın başarılı olup olmadığını kontrol etmek için, sunucunuza basit bir HTTP isteği gönderebilirsiniz. Bunun için curl komutunu kullanmak pratik bir yoldur:

curl -I http://localhost

Bu komut, sunucunuzdan alınan HTTP yanıt başlıklarını gösterir. Eğer HTTP/1.1 200 OK gibi bir yanıt alıyorsanız, sunucunuz doğru bir şekilde çalışıyor demektir.

Web Sunucusu Güvenliği

Web sunucunuzun güvenliğini sağlamak için önemli adımlar atmalısınız. Bunların başında, veri iletimini şifrelemek için SSL/TLS sertifikalarının kurulumu yer alır. Let's Encrypt kullanarak SSL sertifikası almak için aşağıdaki adımları izleyebilirsiniz:

  1. certbot araçlarını kurun:

    sudo apt-get install certbot python3-certbot-apache

  2. Sertifika almak için aşağıdaki komutu kullanın:

    sudo certbot --apache

Bu işlem, Apache yapılandırmanızı otomatik olarak güncelleyerek SSL üzerinde güvenliğimiz sağlanır.

Web Sunucusunun Güncellenmesi

Güvenlik açıklarını kapatmak ve sunucunuzu güncel tutmak için düzenli aralıklarla güncellemeler yapmalısınız. Apache sunucusunu güncellemek için şu komutları kullanabilirsiniz:

sudo apt-get update
sudo apt-get upgrade apache2

Bu işlemler, sisteminizdeki en son güncellemeleri ve güvenlik yamalarını yükleyecektir.

Web Sunucusu İzleme

Web sunucusu izleme, performans ve güvenlik açısından kritik öneme sahiptir. Sunucu durumu hakkında bilgi almak için Nagios veya Zabbix gibi izleme araçlarından yararlanabilirsiniz. Bu araçlar, sunucunuzun çalışma durumu hakkında gerçek zamanlı analiz yapmanızı sağlar.

Yapılandırma Dosyasının İncelenmesi

Apache yapılandırma dosyasını incelemek, sunucunuzun çalışma prensiplerini anlamak ve gerekli değişiklikleri yapmak için önemlidir. Aşağıdaki komut ile yapılandırma dosyasını görüntüleyebilirsiniz:

cat /etc/apache2/apache2.conf

Dosya içerisinde, sanal hostlar, modüller ve diğer önemli ayarları görebilir, bu sayede sunucunun performansını optimize edebilirsiniz.

Web Sunucusu Hata Ayıklama

Hata ayıklama süreci, sunucu üzerindeki sorunları tespit etmek için gereklidir. Apache tarafından üretilen hata logları, sorunların çözümünde büyük rol oynar. Hata loglarına erişmek için şu komutu kullanabilirsiniz:

cat /var/log/apache2/error.log

Bu dosya, sunucunuzda oluşabilecek hataları ve olası çözümleri tanımlamanıza yardımcı olacaktır.

Bu aşamada, web sunucunun kurulumu, yapılandırılması ve güvenliği ile ilgili temel kavramları kapsamlı bir şekilde ele almış olduk. Unutulmamalıdır ki, web sunucusu yönetimi sürekli bir süreçtir ve güvenlik her zaman öncelikli bir hedef olmalıdır.

Risk, Yorumlama ve Savunma

Web sunucuları, internet üzerindeki veri iletiminde kritik bir rol oynamakta ve bu nedenle siber güvenlik açısından önemli bir hedef haline gelmektedir. Sunucu kurulumundan, yapılandırmasına ve güvenliğine kadar her aşamada karşılaşılabilecek olası riskler ve zafiyetler, siber saldırılara davetiye çıkarabilir. Bu bölümde, web sunucularındaki riskleri değerlendirecek, bu risklerin yorumlanmasını sağlayacak ve bu risklere karşı alabileceğimiz savunma önlemlerini inceleyeceğiz.

Risk Değerlendirme

Web sunucusu kurulumunda ve yapılandırmasında dikkatsizlik veya yanlış yapılandırmalar ciddi güvenlik sorunlarına yol açabilir. Örneğin, sunucunun kötü yapılandırılması, yetkisiz erişimlere veya veri sızıntılarına neden olabilir. Aşağıda, genel risklerin bazıları ve bunların olası etkileri özetlenmiştir:

  1. Yanlış Yapılandırma: Web sunucusu yapılandırmasının yanlış yapılması durumunda, kullanıcıların beklenmedik erişim yetkilerine sahip olabileceği durumlar oluşabilir. Örneğin, Apache web sunucusunun httpd.conf dosyasında yanlış bir sanal host ayarı yapmak, istenmeyen içeriklerin kullanıcılar tarafından erişilebilir hale gelmesine neden olabilir.

    <VirtualHost *:80>
    DocumentRoot /var/www/html
    ServerName example.com
    <Directory />
        AllowOverride None
        Require all denied
    </Directory>
    <Directory /var/www/html>
        AllowOverride All
        Require all granted
    </Directory>
</VirtualHost>

    Yukarıdaki yapılandırma örneğinde, kök dizin için erişim kısıtlanmışken, /var/www/html dizini için tüm kullanıcılara erişim izni verilmiştir. Bu tarz bir yapılandırma, potansiyel bir güvenlik açığı yaratabilir.

  2. Hizmet Dışında Bırakma Saldırıları (DoS/DDoS): Saldırganlar, sisteminize yüksek miktarda istek göndererek hizmeti devre dışı bırakmaya çalışabilirler. Bu tür saldırılara karşı önceden belirlenmiş güvenlik ücretleri veya belirli IP adreslerine karşı rate limiting (oran sınırlama) uygulanması önemli bir savunma yöntemidir.

Veri ve Topoloji Analizi

Web sunucularında veri güvenliğini sağlamak amacıyla, sunucuda saklanan hassas verilerin korunması kritik önem taşır. Sızan verilerin türü genellikle kişisel bilgileri, erişim loglarını veya sunucu yapılandırmalarını içermekte olup, bu verilerin kontrolsüz bir şekilde sızması çeşitli sorunlara yol açabilir. Örneğin, bir veri sızıntısı sonrasında kullanıcı bilgileri kötü niyetli kişiler tarafından kullanılabilir.

Ayrıca, kullanılan topolojinin doğru bir şekilde tasarlanması gerekmektedir. Yalnızca kritik uygulamalarınızı çalıştırmak üzere tasarlanmış bir DMZ (Demilitarized Zone) sunucusu, sızma girişimlerine karşı daha etkili bir Koruma sağlarken, ağ üzerindeki hizmetlerin güvenliğini de artırabilir.

Profesyonel Önlemler ve Hardening

Web sunucularının güvenliğini artırmak için atılacak adımlar arasında aşağıdakiler yer alır:

  1. Güncellemeleri Yüksek Öncelik: Web sunucusu yazılımlarınızı ve işletim sisteminizi güncel tutmak, bilinen zafiyetlerden korunmak için kritik öneme sahiptir. Güncellemeleri otomatik olarak alacak şekilde yapılandırmak iyi bir uygulamadır.

    sudo apt-get update
sudo apt-get upgrade apache2

  2. Güvenlik Duvarı ve Ağ Ayarları: Sunucuya yönlendirilmiş istekleri kontrol edebilmek için etkili bir güvenlik duvarı yapılandırılması gerekmektedir. iptables veya ufw (Uncomplicated Firewall) gibi araçlar kullanılabilir.

    sudo ufw allow 'Apache Full'
sudo ufw enable

  3. SSL/TLS Sertifikası Kullanımı: HTTP trafiğinin güvenliğini sağlamak için SSL/TLS sertifikalarının kurulması gerekmektedir. Kullandığınız web sunucusunun sertifika yetkilisi (CA) ile uygun teknik adımları izlemeniz canlı güvenliğinizi artıracaktır.

  4. Log Yönetimi: Sunucu üzerindeki aktiviteleri izlemek için log dosyalarının düzenli olarak gözden geçirilmesi gerekmektedir. Bu loglar, çeşitli girişimlerin ve hataların hızlı bir şekilde tespit edilmesine yardımcı olur.

Sonuç

Web sunucuları, yüksek risk taşıyan sistemlerdir. Bu nedenle, sağlanan yapılandırma, izleme ve güncelleme süreçleri ile siber güvenlik durumu sürekli olarak değerlendirilmelidir. Yanlış yapılandırmaların ve unutulan güncellemelerin zarar verebileceğini unutmamalıyız. Sunucuların güvenliğini sağlamak için, iyi yapılandırılmış bir güvenlik duvarı, düzenli izleme, doğru güncellemeler ve SSL/TLS kullanımı gibi önlemler almamız gerekmektedir. Bu sayede, olası saldırılara karşı hazırlıklı olabiliriz ve veri güvenliğimizi artırabiliriz.