SecHard

SSH Maddeleri

Owned by seda peker
Jan 08, 2024
3 min read

  • Ensure SSH LogLevel is appropriate (Automated)

Bu ifade, genellikle bir sistem yöneticisinin veya otomasyon araçlarının, SSH sunucu konfigürasyonunu otomatik olarak düzenleyerek belirli bir günlük seviyesini (LogLevel) belirlemesini ifade eder. Bu, güvenlik, izleme veya sorun giderme amacıyla belirli olayları daha detaylı bir şekilde günlüğe kaydetme ihtiyacından kaynaklanabilir.

  • Ensure SSH PAM is enabled (Automated)

PAM, kullanıcı kimlik doğrulama yönetimini sağlayan bir sistem kütüphanesidir ve çeşitli hizmetler için esnek ve genişletilebilir bir kimlik doğrulama çerçevesidir.

Bu ifade, genellikle bir sistem yöneticisinin veya otomasyon araçlarının, SSH sunucu yapılandırmasını otomatik olarak değiştirerek PAM'ı etkinleştirmesini ifade eder. SSH sunucularında PAM kullanmak, daha güçlü ve esnek kimlik doğrulama politikalarını uygulamak için önemlidir.

  • Ensure SSH root login is disabled (Automated)

Root kullanıcısı, bir Linux veya Unix sistemde en yüksek yetkilere sahip olan kullanıcıdır. Ancak, doğrudan root kullanıcısıyla SSH girişi, güvenlik risklerini artırabilir. Bu nedenle, sistem yöneticileri genellikle bu tür bir girişi devre dışı bırakmayı tercih ederler.

  • Ensure SSH HostbasedAuthentication is disabled (Automated)

Hostbased Authentication (Anahtar Tabanlı Kimlik Doğrulama) özelliğinin devre dışı bırakılmasını ve bu işlemi otomatikleştirmeyi ifade eder. Hostbased Authentication, bir bilgisayarın kimlik doğrulamasını, o bilgisayarın bilinen bir diğer bilgisayar tarafından yapılmasına dayanır. Bu durum, genellikle güvenlik zafiyetlerine yol açabileceğinden, çoğu durumda önerilmeyen bir kimlik doğrulama yöntemidir.

  • Ensure SSH PermitEmptyPasswords is disabled (Automated)

"PermitEmptyPasswords" özelliğinin devre dışı bırakılmasını ve bu işlemi otomatikleştirmeyi ifade eder. Bu özellik, SSH kullanıcılarına boş parolalarla giriş yapma izni verip verilmemesini kontrol eder.

  • Ensure SSH PermitUserEnvironment is disabled (Automated)

"PermitUserEnvironment" özelliğinin devre dışı bırakılmasını ve bu işlemi otomatikleştirmeyi ifade eder. Bu özellik, kullanıcıların kendi ortamlarını (environments) özelleştirmelerine izin verip verilmemesini kontrol eder.

Eğer bu özellik etkinse, kullanıcılar SSH oturumları sırasında kendi çevresel değişkenlerini ayarlayabilirler. Ancak, güvenlik nedenleriyle, bu genellikle kısıtlanmalıdır çünkü kötü amaçlı kullanıcılar bu özelliği kullanarak sistem üzerinde istenmeyen etkileşimlerde bulunabilirler.

  • Ensure SSH IgnoreRhosts is enabled (Automated)

"IgnoreRhosts" özelliğinin etkinleştirilmesini ve bu işlemi otomatikleştirmeyi ifade eder. Bu özellik, güvenlik açısından potansiyel riskler içeren Rhosts tabanlı kimlik doğrulama yöntemlerini devre dışı bırakır.

Rhosts tabanlı kimlik doğrulama, kullanıcının güvenilir bir diğer sistemdeki .rhosts dosyasını kullanarak kimlik doğrulamasını içerir. Bu yöntem, güvenlik zafiyetlerine neden olabilir ve kötü amaçlı kullanıcılar tarafından istismar edilebilir.

  • Ensure SSH X11 forwarding is disabled (Automated)

X11 forwarding özelliğinin devre dışı bırakılmasını ve bu işlemi otomatikleştirmeyi ifade eder. X11 forwarding, bir uzak sunucudan yerel bilgisayara grafiksel kullanıcı arabirimini iletmek için kullanılan bir özelliktir.

Bu ifade, genellikle güvenlik nedenleriyle, özellikle güvenilmeyen ağlarda veya uzak erişim durumlarında, SSH oturumları sırasında X11 forwarding'i devre dışı bırakmayı amaçlar. Bu, kötü amaçlı kullanıcıların potansiyel olarak sistem üzerinde istenmeyen etkileşimlerde bulunmasını engeller.

  • Ensure SSH AllowTcpForwarding is disabled (Automated)

"AllowTcpForwarding" özelliğinin devre dışı bırakılmasını ve bu işlemi otomatikleştirmeyi ifade eder. Bu özellik, SSH oturumu sırasında TCP port yönlendirmeyi kontrol eder.

TCP port yönlendirme, bir kullanıcının bir bilgisayar aracılığıyla başka bir bilgisayara TCP bağlantısı yapmasını sağlar. Ancak, bu özellik güvenlik risklerini içerebilir, özellikle güvenilmeyen ağlarda veya uzak erişim durumlarında.

Bu ifade, genellikle güvenlik nedenleriyle, özellikle potansiyel saldırıları sınırlamak amacıyla, AllowTcpForwarding özelliğinin devre dışı bırakılmasını sağlar.

  • Ensure SSH warning banner is configured (Automated)

Bu tür uyarı bildirimleri, sistem politikalarını vurgulamak, kullanıcıları güvenlik önlemleri konusunda bilgilendirmek veya kullanım şartlarına dikkat çekmek amacıyla kullanılır. Otomatikleştirme araçları, bu tür bildirimleri birçok sistemde tutarlı bir şekilde uygulamak için kullanışlıdır.

  • Ensure SSH MaxAuthTries is set to 4 or less (Automated)

"MaxAuthTries" parametresinin 4 veya daha az bir değere ayarlanmasını ve bu işlemi otomatikleştirmeyi ifade eder. Bu parametre, bir kullanıcının SSH sunucusuna karşı başarısız kimlik doğrulama girişimlerinin sayısını sınırlar.

Bu güvenlik önlemi, kötü amaçlı bir saldırganın SSH hesaplarına karşı bir brute-force saldırısı gerçekleştirmesini zorlaştırır. Brute-force saldırıları, bir saldırganın bir kullanıcının şifresini deneyerek hesaba erişmeye çalıştığı saldırı türleridir.

  • Ensure SSH MaxStartups is configured (Automated)

SSH sunucuları, eşzamanlı bağlantıları yönetmek için "MaxStartups" parametresini kullanır. Bu parametre, eşzamanlı bağlantıların sayısını kontrol etmek ve aşırı yüklenmeyi önlemek için kullanılır.

Örneğin, bir sunucunun aynı anda kaç bağlantıya izin verileceğini belirlemek için bu parametre kullanılır. Parametre değerleri genellikle üç parametre içerir: başlangıç, bir dakika boyunca izin verilen artış ve bir saat boyunca izin verilen artış. Bu, sunucunun başlangıçta kaç eşzamanlı bağlantıya izin verileceğini, bir dakika içinde kaç bağlantının eklenebileceğini ve bir saat içinde kaç bağlantının eklenebileceğini belirtir.

  • Ensure SSH MaxSessions is set to 10 or less (Automated)

"MaxSessions" parametresinin belirlenip belirlenmediğini kontrol etmeyi ve bu kontrolü otomatikleştirmeyi ifade eder. Bu parametre, bir kullanıcının eşzamanlı oturum sayısını kontrol eder.

  • Ensure SSH LoginGraceTime is set to one minute or less (Automated)

"LoginGraceTime" parametresinin belirlenip belirlenmediğini kontrol etmeyi ve bu kontrolü otomatikleştirmeyi ifade eder. Bu parametre, bir kullanıcının kimlik doğrulama sürecine başlamadan önce sunucuya giriş yapma hakkına sahip olduğu süreyi kontrol eder.

  • Ensure SSH Idle Timeout Interval is configured (Automated)

"ClientAliveInterval" ve "ClientAliveCountMax" değerlerinin belirlenip belirlenmediğini kontrol etmeyi ve bu kontrolü otomatikleştirmeyi ifade eder. Bu parametreler, SSH oturumu sırasında bir kullanıcının belirli bir süre boyunca etkileşimde bulunmaması durumunda oturumun sonlandırılmasını sağlar.

SecHard