Tüm sistemler çalışıyor Amsterdam · Paris · Reykjavík +5 Ödeme yöntemi Kripto para
EnglishРусский简体中文EspañolDeutschفارسیTürkçePortuguêsTiếng ViệtBahasa Indonesia
Kılavuz

Taze Debian VPS'i on dakikada sertleştirin

Taze bir VPS, başlatıldıktan dakikalar içinde ilk SSH kaba kuvvet denemesini alır. Bu, gerçekten önemli olmayan her şeyi kurmadan önce kolay kapıları kapatan kısa ve kararlı kontrol listesidir — anahtarlar, güvenlik duvarı, fail2ban, otomatik güncellemeler.

Güncellendi: 2026-06-12

VPS Kur Fiyatları gör
Tahkimatlı kalkanın arkasındaki Fenrir kurdu

Herhangi yeni bir sunucunun kimlik doğrulama kaydını izleyin; internetin arka plan radyasyonu hemen belirir: root'a karşı sözlük yürüten kimlik bilgisi doldurma botları, geçen yılın açıklarını araştıran tarayıcılar, 80 numaralı portta cevap veren her şeyi parmak izi toplayan gezginler. Bunların hiçbiri kişisel değildir ve neredeyse hepsi otomatiktir — bu iyi haberdir; otomatik saldırılar temel hijyenle yenilir; gerçek iş yükünüzü konuşlandırmadan önce uygulandığında. Bu kılavuz, Debian 12/13'te on dakikaya sıkıştırılmış o hijyendir (her şey küçük düzenlemelerle Ubuntu'ya aktarılır). Kasıtlı olarak 4.000 kelimelik denetim çerçevesi değildir: gerçek botların denediği kapılardır, önem sırasına göre kapatılmıştır. Burada konuşlandırdığınız her kutuya bunu uygulayın, ardından geldiğiniz VPN, node veya posta sunucusuyla devam edin.

Bu kontrol listesinin kasıtlı olarak dışında bıraktıkları

Port çalmak, çekirdek sertleştirme sysctl duvarları, SELinux/AppArmor ayarı, saldırı tespit paketleri — bunların hepsi gerçek araçlardır; hiçbiri tek amaçlı VPS'te ilk gün öncelikleri değildir ve birkaçı kilitlemelere dönüşebilecek yanlış yapılandırmaları kolaylaştırır. Buradaki 80/20 dürüsttür: anahtarlar + şifre yok + varsayılan reddetme + otomatik yamalar, esasen tüm hedefsiz uzlaşmaları durdurur. Tehdit modeliniz temelleri geçecek bir rakibi adlandırdığında ağır makineyi ekleyin — ve disk düzeyinde gizlilik modeliniz için önemliyse, KVM katmanının konuk içinde tam disk şifreleme çalıştırmanıza izin verdiğini unutmayın.

Yedeklemeler güvenliğin parçasıdır

Sertleştirme olasılığı azaltır; yedeklemeler hasarı sınırlar. Haftalık anlık görüntüler burada her planda dahildir, ancak anlık görüntüler sunucuyla yaşar — kaybedemeyeceğiniz her şey için şifrelenmiş uzak kopyalar da gönderin: restic veya borg ile ikinci bir kutuda (başka bir bölgedeki 3,50 $ Pup temiz bir yedekleme hedefi oluşturur) kurulumu dakikalar alır. Bir geri yüklemeyi bir kez test edin; test edilmemiş yedekleme, bir plan değil, bir umuttur.

  1. Bir kez oturum açın, her şeyi güncelleyin
    apt update && apt full-upgrade -y && reboot

    Şablonlar anlık görüntülerdir; anlık görüntü tarihi ile bugün arasındaki boşluk, tarayıcıların tam araştırdığı penceredir. Önce yama uygulayın, yeni çekirdeğe yeniden başlatın, ardından yapılandırın.

  2. Kullanıcınızı oluşturun ve SSH anahtarınızı kurun
    adduser ops && usermod -aG sudo ops
mkdir -p /home/ops/.ssh && nano /home/ops/.ssh/authorized_keys   # paste your ed25519 public key
chmod 700 /home/ops/.ssh && chmod 600 /home/ops/.ssh/authorized_keys && chown -R ops:ops /home/ops/.ssh

    Anahtarı yerel makinenizde oluşturun, yoksa: ssh-keygen -t ed25519. Devam etmeden önce ikinci bir terminalde ssh ops@ip-adresiniz'i test edin.

  3. sshd'yi kilitleyin

    /etc/ssh/sshd_config.d/hardening.conf dosyasını düzenleyin:

    PermitRootLogin no
PasswordAuthentication no
KbdInteractiveAuthentication no
MaxAuthTries 3
AllowUsers ops

    Ardından systemctl restart sshanahtar tabanlı oturumunuzun çalıştığını önceden onaylayarak. Şifre tahminleri burada ölür: tahmin edilecek şifre yoktur. Portu standart dışı bir porta taşımak, kayıt gürültüsünü azaltır ama kozmetik bir işlemdir, güvenlik değil; düzenlilik için yapın eğer istiyorsanız.

  4. Varsayılan reddetme güvenlik duvarı kurun (nftables)

    Debian'ın yerel güvenlik duvarı, /etc/nftables.conf'ta minimal kural seti:

    table inet filter {
  chain input {
    type filter hook input priority 0; policy drop;
    ct state established,related accept
    iif lo accept
    tcp dport 22 accept
    icmp type echo-request limit rate 5/second accept
    icmpv6 type { echo-request, nd-neighbor-solicit, nd-neighbor-advert, nd-router-advert } accept
  }
}

    systemctl enable --now nftables. Yalnızca ihtiyaç duyan servisleri konuşlandırırken ek portları açın — VPN kılavuzu 51820/udp'yi, posta kılavuzu 25/465/993'ü açar ve böyle devam eder. Varsayılan reddetme, unutulan test daemon'ının bir ihlal yerine ulaşılamaz hale gelmesi anlamına gelir.

  5. Kalan gürültü için fail2ban ekleyin
    apt install -y fail2ban
printf "[sshd]
enabled = true
maxretry = 4
bantime = 1h
" > /etc/fail2ban/jail.d/ssh.local
systemctl enable --now fail2ban

    Şifreler zaten devre dışı bırakılmışken bu, derinlemesine savunma artı kayıt hijyenidir — tekrar eden suçlular, kimlik doğrulama kaydınızı doldurmak yerine güvenlik duvarında düşürülür.

  6. Otomatik güvenlik güncellemelerini açın
    apt install -y unattended-upgrades
dpkg-reconfigure -plow unattended-upgrades

    Debian'ın güvenlik ekibi artık siz uyurken kutunuzu yamalar. Tuş vuruşu başına ölçülen sayfanın en etkili satırı: gerçek uzlaşmaların büyük bölümü aylarca mevcut olan yamaları kullanır.

  7. İki dakikalık doğrulama geçişi

    Durumu dışarıdan onaylayın:

    ssh root@your-ip          # must be refused
nmap -p- your-ip          # only 22 (and your service ports) open
last -a; journalctl -u ssh -n 50   # familiarise yourself with normal

    İsteğe bağlı olarak VPSCrypto hesabınıza TOTP 2FA ekleyin — panel sunucuyu yeniden oluşturabilir veya yeniden görüntüleyebilir; dolayısıyla root kadar özen hak eder.

SSS

Sık sorulan sorular

SSH portunu değiştirmeli miyim?

Bu, güvenlik değil, kayıt gürültüsü kontrolüdür — tarayıcılar standart dışı portları masscan ile saniyeler içinde bulur. Sakin kayıtlar gerçek anomalileri fark etmenize yardımcı oluyorsa yapın; hiçbir zaman savunma katmanı olarak saymayın. Gerçek savunmalar, yalnızca anahtar kimlik doğrulaması ve MaxAuthTries'tır.

Şifreler devre dışı bırakıldıysa fail2ban'a ihtiyacım var mı?

SSH için kesinlikle hayır — kaba kuvvet denenecek bir şey yoktur. Daha sonra ekleyebileceğiniz diğer servisleri (posta, paneller) de kapsadığı ve kayıtları okunabilir tuttuğu için listede kalır. Minimalist bir kutuda tercih ederseniz atlayın.

Barındırıcının DDoS koruması varken VPS güvenlik duvarı gerekli mi?

Farklı sorunları çözüyorlar. DDoS hafifletme upstream'i selleri emer; nftables politikanız hangi servislerin erişilebilir olduğunu kontrol eder. Varsayılan reddetme, gigabitlerle değil unuttuğunuz daemon'la ilgilidir.

Debian yerine Ubuntu olsa ne olur?

Her şey geçerlidir; Ubuntu daha kullanıcı dostu bir ön uç olarak ufw ile gelir (ufw default deny incoming; ufw allow 22/tcp; ufw enable) ve son sürümlerde varsayılan olarak unattended-upgrades'i etkinleştirir. sshd sertleştirmesi aynıdır.

Kendimi kilitlersem nasıl kurtarırım?

İstemci alanınızdaki konsol erişimini kullanın — sshd'den bağımsızdır; dolayısıyla bozuk bir yapılandırmayı düzeltebilir veya bir anlık görüntüyü geri yükleyebilirsiniz. Bu aynı zamanda ilk oturumu kapatmadan önce yeni SSH yapılandırmasını ikinci bir oturumda neden test ettiğinizin de nedenidir.

İlgili

Keşfetmeye devam edin.

WireGuard VPS kurulumuÇoğu insanın sertleştirmeden sonra konuşlandırdığı ilk servis.Monero node çalıştırınSertleştirilmiş bir temeli hak eden altyapı.Posta sunucusu VPSGüvenlik duvarı listesinin dikkatle büyüdüğü iş yükü.KVM nedir?Bu adımların varsaydığı çekirdek kontrolüne neden sahip olduğunuz.Belgelerİhtiyaç duyduğunuzda konsol erişimi, yeniden kurulum ve anlık görüntüler.

Yaklaşık bir dakikada offshore VPS kurun

No-KYC, kripto ödemeli, tamamı NVMe. Bir paket seçin, Monero veya herhangi büyük bir koinle ödeyin, yaklaşık 60 saniyede root erişimi alın.

VPS Kur Deploy API
Fenrir nöbette