Ulaşım
- Adres:Batıkent Mh. 8910 Sk. 6. Etap 1H No: 18 Yeni Toki Eyyübiye / Şanlıurfa (Yeni Alım Satım Karşısı)
- Telefon:0 (545) 528 88 93
- eMail: info@alestaweb.com
SSH sunucunuz her gün binlerce brute force saldırısına maruz kalıyor olabilir ve siz bunun farkında bile olmayabilirsiniz. 2026 yılında keşfedilen kritik CVE'ler, eski SSH yapılandırmalarını ciddi tehdit altına soktu. Alesta Web ekibi olarak sunucularımızda uyguladığımız ve yıllardır sıfır ihlal ile sonuçlanan SSH güvenlik hardening yöntemlerini bu kapsamlı rehberde sizlerle paylaşıyoruz. İşte SSH security için bilmeniz gereken 8 kesin önlem.
SSH güvenlik konusu 2026 yılında her zamankinden daha kritik hale geldi. Alesta Web olarak sunucu yönetim süreçlerimizde gördüğümüz saldırı loglarına baktığımızda, tek bir sunucuya günde ortalama 5.000-15.000 brute force denemesi yapıldığını tespit ediyoruz. Ama asıl tehlike sadece kaba kuvvet saldırıları değil — 2025 ve 2026'da keşfedilen kritik zaafiyetler, SSH hardening yapmamış sunucuları doğrudan hedef alıyor.
Aşağıdaki CVE'lerden herhangi birine karşı yamalanmamış bir OpenSSH sürümü kullanıyorsanız, sunucunuz şu anda aktif olarak sömürülebilir durumda olabilir. Derhal güncelleme yapın!
İşte 2026 itibarıyla bilmeniz gereken en kritik SSH security açıkları:
CVE-2025-26465 — Man-in-the-Middle (MitM) Saldırısı: Bu zafiyet, VerifyHostKeyDNS seçeneği "yes" olarak ayarlanmış OpenSSH istemcilerini etkiliyor. Saldırgan, istemci ile sunucu arasına girerek sahte bir host key sunabiliyor. Yani siz doğru sunucuya bağlandığınızı düşünürken, aslında saldırganın sunucusuyla konuşuyor olabilirsiniz. SSH güvenlik açısından bu son derece tehlikeli bir senaryo.
CVE-2025-26466 — Pre-Authentication DoS: Bu açık, kimlik doğrulama öncesinde tetiklenebilen bir hizmet reddi (denial of service) saldırısına olanak tanıyor. Saldırgan, sunucunun bellek ve CPU kaynaklarını tüketerek meşru kullanıcıların bağlanmasını engelleyebilir. SSH hardening yapılmamış sunucularda bu saldırı, sunucuyu tamamen erişilemez hale getirebilir.
CVE-2025-32433 — CVSS 10.0 (Kritik!): Erlang/OTP SSH uygulamasında bulunan bu zafiyet, CVSS skalasında tam 10.0 puan almış — yani mümkün olan en yüksek tehdit seviyesi. Kimlik doğrulaması olmadan uzaktan kod çalıştırmaya (RCE) imkan tanıyor. Erlang tabanlı sistemlerde SSH kullanan herkes bu güncelleyi derhal uygulamalı.
CVE-2025-61984 — Yeni Keşfedilen Zafiyetler: 2025-2026 döneminde keşfedilen ek SSH güvenlik açıkları, özellikle eski konfigürasyonları hedef alıyor. Post-kuantum bilgisayarların gelişmesiyle birlikte, mevcut şifreleme algoritmalarının gelecekte kırılma riski de artıyor.
OpenSSH 9.9p2 ve üzeri sürümler bu CVE'lerin büyük çoğunluğunu yamalıyor. Alesta Web ekibi olarak tüm sunucularımızı bu sürüme güncellememizi tamamladık. Siz de sunucu SSH sürümünüzü ssh -V komutuyla kontrol edin.
# Sunucudaki OpenSSH sürümünü kontrol et
ssh -V
# Beklenen çıktı: OpenSSH_9.9p2 veya üzeri
# Güncelleme (Debian/Ubuntu):
sudo apt update && sudo apt upgrade openssh-server
# Güncelleme (CentOS/RHEL):
sudo dnf update openssh-serverSSH güvenliğinin temel taşı, şifre yerine SSH key (anahtar) kullanmaktır. Alesta Web ekibi olarak sunucularımızda yıllardır yalnızca key-based authentication kullanıyoruz ve bu sayede brute force saldırıları tamamen anlamsız hale geliyor. Çünkü ortada kırılacak bir şifre yok!
Ed25519, modern SSH key authentication için en iyi algoritma. RSA'ya kıyasla daha kısa anahtarlar üretir, daha hızlı çalışır ve kriptografik olarak daha güçlüdür. SSH security uzmanları 2026 itibarıyla Ed25519'u standart olarak öneriyor.
# Ed25519 anahtarı oluştur (-a 100 ile güçlü KDF)
ssh-keygen -t ed25519 -C "kullanici@sunucu-aciklama" -a 100
# Çıktı:
# Generating public/private ed25519 key pair.
# Enter file in which to save the key (/home/user/.ssh/id_ed25519):
# Enter passphrase (empty for no passphrase):
# Mutlaka güçlü bir passphrase belirleyin!
# Anahtarı sunucuya kopyala
ssh-copy-id -i ~/.ssh/id_ed25519.pub kullanici@sunucu-ip
# Alternatif: Manuel kopyalama
cat ~/.ssh/id_ed25519.pub | ssh kullanici@sunucu-ip "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"SSH key oluştururken mutlaka passphrase belirleyin. Passphrase olmadan oluşturulan bir key, bilgisayarınız ele geçirildiğinde sunucularınıza da kapı açar. -a 100 parametresi, key derivation function'ın 100 round çalışmasını sağlayarak brute force'a karşı ek koruma sağlar.
SSH hardening sürecinde key-based authentication ilk ve en önemli adımdır. Bunu yapıp diğer adımları atlamanız bile, güvenliğinizi ciddi ölçüde artırır.
Key-based authentication'ı aktif ettikten sonra, yapılması gereken en kritik SSH güvenlik adımı şifre ile girişi tamamen kapatmaktır. Brute force saldırılarının %99'u şifre denemesine dayanır. Şifreyi kapattığınızda bu saldırılar tamamen boşa düşer.
# sshd_config dosyasını düzenle
sudo nano /etc/ssh/sshd_config
# Aşağıdaki satırları bul ve değiştir:
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no
# SSH servisini yeniden başlat
sudo systemctl restart sshdBu değişikliği yapmadan önce SSH key'inizin doğru çalıştığından %100 emin olun. Aksi takdirde sunucunuza erişiminizi kalıcı olarak kaybedebilirsiniz! Alesta Web olarak önerimiz: Mevcut SSH oturumunu açık tutarken, yeni bir terminal penceresinden key ile bağlanmayı test edin. Sorun yoksa mevcut oturumu kapatın.
Şifre girişinin kapandığını test etmek için: ssh -o PreferredAuthentications=password -o PubkeyAuthentication=no kullanici@sunucu-ip komutunu çalıştırın. "Permission denied" hatası alıyorsanız, şifre girişi başarıyla kapatılmış demektir.
Root kullanıcısı ile doğrudan SSH erişimi, bir sunucudaki en büyük SSH security risklerinden biridir. Saldırganlar her zaman önce "root" kullanıcı adıyla giriş yapmayı dener. Alesta Web sunucu yönetim politikamızda root ile doğrudan SSH bağlantısı kesinlikle yasaktır.
# sshd_config dosyasını düzenle
sudo nano /etc/ssh/sshd_config
# Root girişini kapat
PermitRootLogin no
# Alternatif: Sadece key ile root girişine izin ver
# PermitRootLogin prohibit-password
# SSH servisini yeniden başlat
sudo systemctl restart sshdRoot login kapattıktan sonra, yönetim işlemleri için normal bir kullanıcıyla giriş yapıp sudo kullanmalısınız. Bu, hem denetim (audit) açısından kimin ne yaptığını izlemeyi kolaylaştırır, hem de SSH hardening'in temel prensiplerinden biri olan "en az yetki" ilkesini uygular.
Yönetim için ayrı bir kullanıcı oluşturun: adduser yonetici && usermod -aG sudo yonetici. Bu kullanıcıya SSH key ekledikten sonra root login'i güvenle kapatabilirsiniz.
Fail2Ban, SSH güvenlik altyapısının vazgeçilmez bir parçasıdır. Başarısız giriş denemelerini izler ve belirlenen eşiği aşan IP adreslerini otomatik olarak engeller. Alesta Web olarak tüm sunucularımızda Fail2Ban çalıştırıyoruz ve günlük olarak yüzlerce kötü niyetli IP'yi otomatik olarak engelliyoruz.
# Fail2Ban kurulumu
sudo apt update && sudo apt install fail2ban -y
# jail.local dosyası oluştur (jail.conf'u asla düzenleme!)
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local
# [sshd] bölümünü bul ve şu şekilde düzenle:
[sshd]
enabled = true
port = 2222
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
findtime = 600
banaction = iptables-multiport
# Fail2Ban'ı başlat ve otomatik başlatmayı etkinleştir
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
# Durumu kontrol et
sudo fail2ban-client status sshdBu yapılandırmayla, 10 dakika (600 saniye) içinde 3 başarısız giriş denemesi yapan IP adresi 1 saat (3600 saniye) boyunca engellenir. SSH hardening açısından bu değerler güçlü bir başlangıç noktasıdır. Tekrarlayan saldırganlar için bantime değerini 86400 (24 saat) veya daha uzun sürelere çıkarabilirsiniz.
sudo fail2ban-client status sshd komutuyla kaç IP'nin engellendiğini görebilirsiniz. sudo fail2ban-client set sshd unbanip IP_ADRESI komutuyla yanlışlıkla engellenen bir IP'yi serbest bırakabilirsiniz.
Varsayılan SSH portu 22'dir ve otomatik tarama botlarının ilk baktığı port budur. Portu değiştirmek, güvenlik duvarı anlamında bir koruma sağlamasa da, otomatik brute force botlarının büyük çoğunluğunu etkisiz hale getirir. Alesta Web ekibi olarak bunu "security through obscurity" değil, gürültüyü azaltma yöntemi olarak değerlendiriyoruz.
# sshd_config dosyasını düzenle
sudo nano /etc/ssh/sshd_config
# Port satırını değiştir
Port 2222
# Firewall'da yeni portu aç (eski portu kapatmadan önce!)
sudo ufw allow 2222/tcp
# SSH servisini yeniden başlat
sudo systemctl restart sshd
# Yeni portla bağlantıyı test et
ssh -p 2222 kullanici@sunucu-ip
# Her şey çalışıyorsa eski portu kapat
sudo ufw deny 22/tcpPort değiştirmeden önce mutlaka yeni portu firewall'da açın. Aksi takdirde sunucunuza erişiminizi kaybedebilirsiniz! Ayrıca SELinux aktifse: sudo semanage port -a -t ssh_port_t -p tcp 2222 komutunu da çalıştırmanız gerekir.
SSH security açısından port değiştirmenin tek başına yeterli olmadığını biliyoruz. Ancak diğer önlemlerle birlikte uygulandığında, saldırı yüzeyini önemli ölçüde daraltır. Loglarınızdaki brute force girişimlerinin sayısında dramatik bir düşüş göreceksiniz.
Kuantum bilgisayarların gelişmesiyle birlikte, bugün güvenli kabul edilen şifreleme algoritmaları gelecekte kırılabilir. 2026 yılında SSH güvenlik stratejisi, post-kuantum şifreleme algoritmalarını da kapsamalıdır. OpenSSH 9.x, post-quantum key exchange desteğini standart olarak sunuyor.
# sshd_config dosyasına ekle:
# Post-quantum key exchange (hibrit mod)
KexAlgorithms sntrup761x25519-sha512@openssh.com,curve25519-sha256,curve25519-sha256@libssh.org
# Güçlü şifreleme algoritmaları
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com
# MAC algoritmaları
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
# Host key algoritmaları
HostKeyAlgorithms ssh-ed25519,rsa-sha2-512,rsa-sha2-256
# SSH servisini yeniden başlat
sudo systemctl restart sshdsntrup761x25519, Streamlined NTRU Prime ile X25519'u birleştiren hibrit bir key exchange algoritmasıdır. Bu sayede mevcut (klasik) güvenlik korunurken, post-quantum koruması da sağlanmış olur. Alesta Web ekibi olarak sunucularımızda bu yapılandırmayı aktif olarak kullanıyoruz.
Şifreleme yapılandırmanızı sshaudit.com üzerinden test edebilirsiniz. Ayrıca komut satırından: ssh-audit sunucu-ip komutuyla detaylı bir güvenlik raporu alabilirsiniz. Hedef: tüm kategorilerde "A" notu almak.
SSH key authentication zaten güçlü bir koruma sağlar, ancak SSH hardening'i bir adım öteye taşımak istiyorsanız iki faktörlü kimlik doğrulama (2FA) eklemeniz önerilir. Bu sayede SSH key'iniz ele geçirilse bile, saldırgan telefonunuzdaki doğrulama kodu olmadan sunucuya erişemez.
# Google Authenticator PAM modülünü kur
sudo apt install libpam-google-authenticator -y
# Kullanıcı olarak (root değil!) çalıştır
google-authenticator
# Soruları yanıtla:
# - Time-based tokens? YES
# - Update .google_authenticator file? YES
# - Disallow multiple uses? YES
# - Increase time window? NO
# - Rate limiting? YES
# QR kodu telefonunuzdaki authenticator uygulamasıyla tarayın
# Yedek kodları güvenli bir yere kaydedin!# PAM yapılandırması: /etc/pam.d/sshd
# Dosyanın sonuna ekle:
auth required pam_google_authenticator.so
# sshd_config düzenle:
sudo nano /etc/ssh/sshd_config
# Aşağıdaki satırları ekle/düzenle:
ChallengeResponseAuthentication yes
UsePAM yes
AuthenticationMethods publickey,keyboard-interactive
# SSH servisini yeniden başlat
sudo systemctl restart sshdAuthenticationMethods publickey,keyboard-interactive satırı, bağlantı için hem SSH key hem de 2FA kodunun gerektiğini belirtir. Bu, SSH security açısından en güçlü kombinasyondur — key authentication + TOTP (zaman tabanlı tek kullanımlık şifre).
2FA etkinleştirmeden önce yedek kodlarınızı mutlaka güvenli bir yere kaydedin. Telefonunuzu kaybederseniz veya authenticator uygulamanız sıfırlanırsa, yedek kodlar olmadan sunucunuza erişemezsiniz. Alesta Web olarak bu kodları şifrelenmiş bir parola yöneticisinde saklıyoruz.
Tüm diğer SSH güvenlik önlemlerinin üstüne, firewall katmanında da kısıtlama yapmak, derinlemesine savunma (defense in depth) stratejisinin son halkasıdır. UFW (Uncomplicated Firewall) ile SSH erişimini hem rate limiting hem de IP bazlı kısıtlama ile sınırlayabilirsiniz.
# UFW'yi etkinleştir
sudo ufw enable
# SSH portuna rate limiting uygula (30 saniyede 6'dan fazla bağlantı engellenir)
sudo ufw limit 2222/tcp
# Belirli IP adreslerinden erişime izin ver
sudo ufw allow from 192.168.1.0/24 to any port 2222
# Belirli bir IP'ye izin ver
sudo ufw allow from 85.100.xxx.xxx to any port 2222
# Diğer tüm SSH erişimlerini engelle
sudo ufw deny 2222/tcp
# Kuralları kontrol et
sudo ufw status verboseIP kısıtlama, özellikle sabit IP adresine sahip ofis ortamlarında çok etkilidir. Alesta Web sunucularımızda yalnızca bilinen ofis IP'lerimizden ve VPN IP havuzumuzdan SSH erişimine izin veriyoruz. Bu sayede, diğer tüm önlemleri atlatsa bile bir saldırgan, IP kısıtlaması nedeniyle bağlantı bile kuramaz.
Sabit IP'niz yoksa, VPN kullanarak sabit bir IP üzerinden bağlanabilirsiniz. Alternatif olarak, alestaweb.com gibi güvenilir bir DNS servisi ile IP güncelleme scriptleri kullanarak firewall kurallarını dinamik olarak yönetebilirsiniz.
Yukarıdaki 8 önlemin tamamını uygulayan, üretim ortamı için hazır bir SSH hardening yapılandırması aşağıdadır. Alesta Web ekibi olarak bu yapılandırmayı tüm sunucularımızda standart olarak kullanıyoruz.
# === ALESTA WEB SSH HARDENING CONFIG ===
# OpenSSH 9.9p2+ için optimize edilmiştir
# Temel ayarlar
Port 2222
Protocol 2
AddressFamily inet
# Key-based authentication
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
# Şifre ve root girişini kapat
PasswordAuthentication no
PermitRootLogin no
PermitEmptyPasswords no
ChallengeResponseAuthentication yes
UsePAM yes
# 2FA yapılandırması
AuthenticationMethods publickey,keyboard-interactive
# Brute force koruması
MaxAuthTries 3
LoginGraceTime 30
MaxSessions 3
MaxStartups 3:50:10
# Güçlü şifreleme
KexAlgorithms sntrup761x25519-sha512@openssh.com,curve25519-sha256
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
HostKeyAlgorithms ssh-ed25519,rsa-sha2-512
# Gereksiz özellikleri kapat
AllowTcpForwarding no
X11Forwarding no
AllowAgentForwarding no
PermitTunnel no
GatewayPorts no
# Loglama
LogLevel VERBOSE
SyslogFacility AUTH
# Zaman aşımı (idle bağlantıları kes)
ClientAliveInterval 300
ClientAliveCountMax 2
# Banner
Banner /etc/ssh/banner.txtBu yapılandırmada dikkat çekilmesi gereken birkaç kritik parametre var:
MaxAuthTries 3: Tek bir bağlantıda maksimum 3 kimlik doğrulama denemesine izin verir. Brute force saldırılarını yavaşlatır.
LoginGraceTime 30: Bağlantı kurulduktan sonra kimlik doğrulaması için yalnızca 30 saniye süre verir. Pre-auth DoS saldırılarına (CVE-2025-26466) karşı etkili bir önlemdir.
AllowTcpForwarding no: TCP tünellemesini kapatarak, ele geçirilmiş bir SSH oturumunun ağ içi pivot noktası olarak kullanılmasını engeller.
X11Forwarding no: X11 yönlendirmesini kapatarak, grafiksel uygulama saldırı vektörünü ortadan kaldırır.
# sshd_config syntax kontrolü
sudo sshd -t
# Hata yoksa çıktı boş olur
# Hata varsa satır numarasıyla gösterilir
# Yapılandırmayı test modunda çalıştır
sudo sshd -T
# SSH audit ile güvenlik puanı kontrol
# https://www.sshaudit.com adresinden online test
# veya lokal: pip install ssh-audit && ssh-audit localhost:2222Yukarıdaki yapılandırmayı uyguladıktan sonra sudo sshd -t ile syntax hatası olmadığını doğrulayın, ardından sudo systemctl restart sshd ile servisi yeniden başlatın. Mevcut oturumunuzu kapatmadan yeni bir bağlantı ile test edin!
SSH güvenlik sadece yapılandırma dosyası düzenlemekten ibaret değildir. Alesta Web olarak yıllarca edindiğimiz tecrübeyle, aşağıdaki ek uygulamaları da önceliklendiriyoruz:
Düzenli Log İzleme: SSH loglarını düzenli olarak kontrol edin. journalctl -u sshd --since "1 hour ago" komutuyla son bir saatteki SSH etkinliklerini görebilirsiniz. Başarısız giriş denemelerinin kaynağını ve sıklığını izlemek, potansiyel tehditleri erken tespit etmenizi sağlar.
Otomatik Güncelleme: OpenSSH paketlerini düzenli olarak güncelleyin. unattended-upgrades paketini yapılandırarak güvenlik yamalarının otomatik uygulanmasını sağlayabilirsiniz. openssh.com adresinden en güncel sürüm ve güvenlik bültenlerini takip edin.
SSH Key Rotasyonu: SSH anahtarlarınızı yılda en az bir kez yenileyin. Eski anahtarları authorized_keys dosyasından kaldırın. Ayrılan çalışanların anahtarlarını derhal iptal edin.
Bastion Host (Jump Server): Kritik sunuculara doğrudan SSH erişimi yerine, bir bastion host üzerinden bağlanma prensibi uygulayın. Bu, SSH security açısından ek bir katman sağlar ve tüm erişimlerin tek bir noktadan loglanmasını mümkün kılar.
1) Eski RSA 1024-bit anahtarları hâlâ authorized_keys'te bırakmak. 2) SSH key'i passphrase olmadan oluşturmak. 3) Fail2Ban kurup logpath'i yanlış yapılandırmak. 4) Port değiştirip firewall'da yeni portu açmayı unutmak. 5) sshd_config'i test etmeden restart yapmak ve sunucuya erişimi kaybetmek. Bu hataların her biri gerçek dünyada sunucu erişim kaybına yol açmıştır.
Bu rehberde 2026 yılının SSH tehditlerine karşı 8 kesin önlemi detaylı şekilde ele aldık. Alesta Web ekibi olarak sunucu güvenliği konusundaki tecrübemizi sizlerle paylaştık. İşte uygulama sıranız için kontrol listesi:
☑ Önlem 1: Ed25519 SSH key oluştur ve key-based authentication'ı aktif et
☑ Önlem 2: PasswordAuthentication no ile şifre girişini kapat
☑ Önlem 3: PermitRootLogin no ile root erişimini engelle
☑ Önlem 4: Fail2Ban kur ve maxretry=3, bantime=3600 yapılandır
☑ Önlem 5: SSH portunu 2222 gibi standart dışı bir porta taşı
☑ Önlem 6: sntrup761x25519 post-quantum key exchange ve chacha20-poly1305 şifreleme kullan
☑ Önlem 7: Google Authenticator ile 2FA ekle
☑ Önlem 8: UFW ile rate limiting ve IP kısıtlama uygula
☑ Bonus: MaxAuthTries 3, LoginGraceTime 30, AllowTcpForwarding no, X11Forwarding no ayarla
Bu 8 önlemin tamamını uyguladığınızda, SSH sunucunuz 2026'nın bilinen tüm saldırı vektörlerine karşı güçlü bir şekilde korunmuş olacaktır. Post-quantum şifreleme desteğiyle gelecekteki tehditlere karşı da hazırlıklı olursunuz.
SSH hardening tek seferlik bir iş değil, sürekli bir süreçtir. openssh.com, sshaudit.com ve DigitalOcean tutorials gibi kaynaklardan güncel gelişmeleri takip edin. Sunucularınızı düzenli olarak SSH audit araçlarıyla tarayın ve yeni CVE'lere karşı yamalarınızı güncel tutun.
Alesta Web olarak sunucu güvenliği ve SSH hardening konusunda daha fazla bilgi ve destek için alestaweb.com adresimizi ziyaret edebilirsiniz.
© 2026 AlestaWeb - Tüm hakları saklıdır.
