{"id":1564,"date":"2025-11-09T15:39:14","date_gmt":"2025-11-09T12:39:14","guid":{"rendered":"https:\/\/www.dchost.com\/blog\/vpste-ssh-guvenligi-nasil-saglamlasir-fido2-anahtarlari-ssh-ca-ve-rotasyonun-sicacik-yolculugu\/"},"modified":"2025-11-09T15:39:14","modified_gmt":"2025-11-09T12:39:14","slug":"vpste-ssh-guvenligi-nasil-saglamlasir-fido2-anahtarlari-ssh-ca-ve-rotasyonun-sicacik-yolculugu","status":"publish","type":"post","link":"https:\/\/www.dchost.com\/blog\/vpste-ssh-guvenligi-nasil-saglamlasir-fido2-anahtarlari-ssh-ca-ve-rotasyonun-sicacik-yolculugu\/","title":{"rendered":"VPS\u2019te SSH G\u00fcvenli\u011fi Nas\u0131l Sa\u011flamla\u015f\u0131r? FIDO2 Anahtarlar\u0131, SSH CA ve Rotasyonun S\u0131cac\u0131k Yolculu\u011fu"},"content":{"rendered":"<div class=\"dchost-blog-content-wrapper\"><div id=\"toc_container\" class=\"toc_transparent no_bullets\"><p class=\"toc_title\">\u0130&ccedil;indekiler<\/p><ul class=\"toc_list\"><li><a href=\"#Gece_Yarisi_Bir_Girisim_ve_Icime_Dusen_O_Kucuk_Suphe\"><span class=\"toc_number toc_depth_1\">1<\/span> Gece Yar\u0131s\u0131 Bir Giri\u015fim ve \u0130\u00e7ime D\u00fc\u015fen O K\u00fc\u00e7\u00fck \u015e\u00fcphe<\/a><ul><li><a href=\"#Hic_kapinin_kilidini_kontrol_etmek_icin_geri_dondugunuz_oldu_mu\"><span class=\"toc_number toc_depth_2\">1.1<\/span> Hi\u00e7 kap\u0131n\u0131n kilidini kontrol etmek i\u00e7in geri d\u00f6nd\u00fc\u011f\u00fcn\u00fcz oldu mu?<\/a><\/li><\/ul><\/li><li><a href=\"#Anahtarin_Hikayesi_Parola_Biter_Peki_Anahtarin_Sonu_Gelir_mi\"><span class=\"toc_number toc_depth_1\">2<\/span> Anahtar\u0131n Hikayesi: Parola Biter, Peki Anahtar\u0131n Sonu Gelir mi?<\/a><ul><li><a href=\"#Sifreden_anahtara_anahtardan_donanima\"><span class=\"toc_number toc_depth_2\">2.1<\/span> \u015eifreden anahtara, anahtardan donan\u0131ma<\/a><\/li><li><a href=\"#Mesela_soyle_dusunun\"><span class=\"toc_number toc_depth_2\">2.2<\/span> Mesela \u015f\u00f6yle d\u00fc\u015f\u00fcn\u00fcn\u2026<\/a><\/li><\/ul><\/li><li><a href=\"#FIDO2_ile_SSH_Dokunmadan_Gecis_Yok\"><span class=\"toc_number toc_depth_1\">3<\/span> FIDO2 ile SSH: Dokunmadan Ge\u00e7i\u015f Yok<\/a><ul><li><a href=\"#Once_temel_soruyu_soralim_Uyumlu_muyuz\"><span class=\"toc_number toc_depth_2\">3.1<\/span> \u00d6nce temel soruyu soral\u0131m: Uyumlu muyuz?<\/a><\/li><li><a href=\"#Ilk_anahtar_Komut_dokunus_ve_kucuk_bir_gulumseme\"><span class=\"toc_number toc_depth_2\">3.2<\/span> \u0130lk anahtar: Komut, dokunu\u015f ve k\u00fc\u00e7\u00fck bir g\u00fcl\u00fcmseme<\/a><\/li><li><a href=\"#Yetkiyi_daraltmak_Sinirlar_huzur_verir\"><span class=\"toc_number toc_depth_2\">3.3<\/span> Yetkiyi daraltmak: S\u0131n\u0131rlar, huzur verir<\/a><\/li><li><a href=\"#Sunucu_tarafi_Sifrenin_devre_disi_kalisi\"><span class=\"toc_number toc_depth_2\">3.4<\/span> Sunucu taraf\u0131: \u015eifrenin devre d\u0131\u015f\u0131 kal\u0131\u015f\u0131<\/a><\/li><\/ul><\/li><li><a href=\"#SSH_CA_Kimligi_Sertifikaya_Baglayinca_Ortalik_Sakinlesiyor\"><span class=\"toc_number toc_depth_1\">4<\/span> SSH CA: Kimli\u011fi Sertifikaya Ba\u011flay\u0131nca Ortal\u0131k Sakinle\u015fiyor<\/a><ul><li><a href=\"#Neden_CA_Cunku_tek_tek_anahtar_dagitmak_yoruyor\"><span class=\"toc_number toc_depth_2\">4.1<\/span> Neden CA? \u00c7\u00fcnk\u00fc tek tek anahtar da\u011f\u0131tmak yoruyor<\/a><\/li><li><a href=\"#Temel_akis_Bir_ana_CA_bir_satir_guven_ve_hizli_imzalar\"><span class=\"toc_number toc_depth_2\">4.2<\/span> Temel ak\u0131\u015f: Bir ana CA, bir sat\u0131r g\u00fcven ve h\u0131zl\u0131 imzalar<\/a><\/li><li><a href=\"#Prensipler_Kim_hangi_sapkayi_takiyor\"><span class=\"toc_number toc_depth_2\">4.3<\/span> Prensipler: Kim hangi \u015fapkay\u0131 tak\u0131yor?<\/a><\/li><li><a href=\"#Host_CA_ile_8220kime_baglandim8221_sorusu_da_netlesiyor\"><span class=\"toc_number toc_depth_2\">4.4<\/span> Host CA ile &#8220;kime ba\u011fland\u0131m&#8221; sorusu da netle\u015fiyor<\/a><\/li><\/ul><\/li><li><a href=\"#Anahtar_Rotasyonu_Yenile_Sadelestir_Rahat_Uyu\"><span class=\"toc_number toc_depth_1\">5<\/span> Anahtar Rotasyonu: Yenile, Sadele\u015ftir, Rahat Uyu<\/a><ul><li><a href=\"#Rotasyon_neden_bu_kadar_kritik_Cunku_hicbir_sey_sonsuz_yasamaz\"><span class=\"toc_number toc_depth_2\">5.1<\/span> Rotasyon neden bu kadar kritik? \u00c7\u00fcnk\u00fc hi\u00e7bir \u015fey sonsuz ya\u015famaz<\/a><\/li><li><a href=\"#Pratik_akis_Yan_yana_yuruyen_iki_anahtarin_kisa_hikayesi\"><span class=\"toc_number toc_depth_2\">5.2<\/span> Pratik ak\u0131\u015f: Yan yana y\u00fcr\u00fcyen iki anahtar\u0131n k\u0131sa hikayesi<\/a><\/li><li><a href=\"#Acil_durumlar_Bir_sahne_kapanisi_kadar_net_olmali\"><span class=\"toc_number toc_depth_2\">5.3<\/span> Acil durumlar: Bir sahne kapan\u0131\u015f\u0131 kadar net olmal\u0131<\/a><\/li><li><a href=\"#Dagitimi_sarsmadan_yurutmek\"><span class=\"toc_number toc_depth_2\">5.4<\/span> Da\u011f\u0131t\u0131m\u0131 sarsmadan y\u00fcr\u00fctmek<\/a><\/li><\/ul><\/li><li><a href=\"#Goz_Kulak_Olmak_Loglar_Uyarilar_ve_Sakin_Bir_Zihin\"><span class=\"toc_number toc_depth_1\">6<\/span> G\u00f6z Kulak Olmak: Loglar, Uyar\u0131lar ve Sakin Bir Zihin<\/a><ul><li><a href=\"#Log_dunyasi_Kabul_edilen_bir_anahtar_reddedilen_bir_deneme_ve_kucuk_sinyaller\"><span class=\"toc_number toc_depth_2\">6.1<\/span> Log d\u00fcnyas\u0131: Kabul edilen bir anahtar, reddedilen bir deneme ve k\u00fc\u00e7\u00fck sinyaller<\/a><\/li><li><a href=\"#Alarm_kurallari_Zamani_geldiginde_kapiyi_calar\"><span class=\"toc_number toc_depth_2\">6.2<\/span> Alarm kurallar\u0131: Zaman\u0131 geldi\u011finde kap\u0131y\u0131 \u00e7alar<\/a><\/li><li><a href=\"#Agzin_tadi_Guvenlik_ayarlari_bir_butun\"><span class=\"toc_number toc_depth_2\">6.3<\/span> A\u011fz\u0131n tad\u0131: G\u00fcvenlik ayarlar\u0131 bir b\u00fct\u00fcn<\/a><\/li><\/ul><\/li><li><a href=\"#Adim_Adim_Uygulama_Bir_Aksamustu_Plani\"><span class=\"toc_number toc_depth_1\">7<\/span> Ad\u0131m Ad\u0131m Uygulama: Bir Ak\u015fam\u00fcst\u00fc Plan\u0131<\/a><ul><li><a href=\"#Once_cihazi_elinize_alin_sonra_notlari\"><span class=\"toc_number toc_depth_2\">7.1<\/span> \u00d6nce cihaz\u0131 elinize al\u0131n, sonra notlar\u0131<\/a><\/li><li><a href=\"#CAyi_devreye_alirken_acele_etmeyin\"><span class=\"toc_number toc_depth_2\">7.2<\/span> CA\u2019y\u0131 devreye al\u0131rken acele etmeyin<\/a><\/li><li><a href=\"#Host_CAyi_unutmayin\"><span class=\"toc_number toc_depth_2\">7.3<\/span> Host CA\u2019y\u0131 unutmay\u0131n<\/a><\/li><\/ul><\/li><li><a href=\"#Kurtarma_Plani_Kotu_Gunde_En_Iyi_Arkadasiniz\"><span class=\"toc_number toc_depth_1\">8<\/span> Kurtarma Plan\u0131: K\u00f6t\u00fc G\u00fcnde En \u0130yi Arkada\u015f\u0131n\u0131z<\/a><ul><li><a href=\"#Iki_donanim_anahtariyla_gelen_huzur\"><span class=\"toc_number toc_depth_2\">8.1<\/span> \u0130ki donan\u0131m anahtar\u0131yla gelen huzur<\/a><\/li><li><a href=\"#Geri_alma_ve_iptal\"><span class=\"toc_number toc_depth_2\">8.2<\/span> Geri alma ve iptal<\/a><\/li><li><a href=\"#Isin_gozlem_tarafini_diri_tutmak\"><span class=\"toc_number toc_depth_2\">8.3<\/span> \u0130\u015fin g\u00f6zlem taraf\u0131n\u0131 diri tutmak<\/a><\/li><\/ul><\/li><li><a href=\"#Kapanis_Guvenligi_Bir_Gunlugune_Degil_Hayatiniza_Katin\"><span class=\"toc_number toc_depth_1\">9<\/span> Kapan\u0131\u015f: G\u00fcvenli\u011fi Bir G\u00fcnl\u00fc\u011f\u00fcne De\u011fil, Hayat\u0131n\u0131za Kat\u0131n<\/a><ul><li><a href=\"#Bugunun_isi_yarinin_rahat_uykusu\"><span class=\"toc_number toc_depth_2\">9.1<\/span> Bug\u00fcn\u00fcn i\u015fi, yar\u0131n\u0131n rahat uykusu<\/a><\/li><\/ul><\/li><\/ul><\/div>\n<h2 id=\"section-1\"><span id=\"Gece_Yarisi_Bir_Girisim_ve_Icime_Dusen_O_Kucuk_Suphe\">Gece Yar\u0131s\u0131 Bir Giri\u015fim ve \u0130\u00e7ime D\u00fc\u015fen O K\u00fc\u00e7\u00fck \u015e\u00fcphe<\/span><\/h2>\n<h3><span id=\"Hic_kapinin_kilidini_kontrol_etmek_icin_geri_dondugunuz_oldu_mu\">Hi\u00e7 kap\u0131n\u0131n kilidini kontrol etmek i\u00e7in geri d\u00f6nd\u00fc\u011f\u00fcn\u00fcz oldu mu?<\/span><\/h3>\n<p>Bir gece, herkesin uyudu\u011fu o sakin saatlerde, monit\u00f6r\u00fcn sol alt k\u00f6\u015fesinde bir bildirim belirdi. \u00dczerine t\u0131klay\u0131nca tan\u0131d\u0131k bir tablo: birka\u00e7 ba\u015far\u0131s\u0131z SSH denemesi, bir port taramas\u0131, araya kar\u0131\u015fm\u0131\u015f normal bir deploy. Bir an durup d\u00fc\u015f\u00fcnd\u00fcm; \u015fifre yok, anahtarlar var, fail2ban var, g\u00fcvenlik duvar\u0131 da haliyle i\u015fini yap\u0131yor. Yine de i\u00e7imde o k\u00fc\u00e7\u00fck ses, kap\u0131y\u0131 iki kez kontrol ettiren ses, \u201cPeki ya anahtarlar\u0131n kendisi?\u201d diye f\u0131s\u0131ld\u0131yordu. Laptopta, Yedek klas\u00f6r\u00fcnde, eski bir sunucuda unutulmu\u015f bir authorized_keys sat\u0131r\u0131\u2026 Hepsi birer kap\u0131 anahtar\u0131 sonu\u00e7ta. Kaybolursa? Kopyalan\u0131rsa?<\/p>\n<p>Ertesi g\u00fcn kahvemi al\u0131p notlar\u0131ma d\u00f6nd\u00fcm. Amac\u0131m, SSH g\u00fcvenli\u011fini yaln\u0131zca bug\u00fcnk\u00fc sald\u0131r\u0131lara de\u011fil, yar\u0131nki s\u00fcrprizlere de dayan\u0131kl\u0131 k\u0131lmakt\u0131. Yol haritas\u0131 kendini g\u00f6sterdi: FIDO2 donan\u0131m anahtarlar\u0131yla dokunmadan a\u00e7\u0131lmayan bir kap\u0131, SSH CA ile kimli\u011fi sertifikaya ba\u011flayan bir d\u00fczen ve rotasyonla anahtarlar\u0131n canl\u0131 bir d\u00f6ng\u00fcde tutulmas\u0131. Bu yaz\u0131da tam da bunu konu\u015faca\u011f\u0131z. Hikaye gibi, ad\u0131m ad\u0131m, t\u0131pk\u0131 bir evi ba\u015ftan a\u015fa\u011f\u0131 toparlar gibi.<\/p>\n<h2 id=\"section-2\"><span id=\"Anahtarin_Hikayesi_Parola_Biter_Peki_Anahtarin_Sonu_Gelir_mi\">Anahtar\u0131n Hikayesi: Parola Biter, Peki Anahtar\u0131n Sonu Gelir mi?<\/span><\/h2>\n<h3><span id=\"Sifreden_anahtara_anahtardan_donanima\">\u015eifreden anahtara, anahtardan donan\u0131ma<\/span><\/h3>\n<p>Parolalarla vedala\u015ft\u0131\u011f\u0131m\u0131z g\u00fcn\u00fc hat\u0131rl\u0131yorum. SSH anahtarlar\u0131na ge\u00e7ti\u011fimizde i\u00e7im ger\u00e7ekten rahatlam\u0131\u015ft\u0131. Sunucuya s\u0131rf tahminle girilemeyece\u011fini bilmek g\u00fczel. Ama sonra \u015fu ger\u00e7ekle bar\u0131\u015ft\u0131m: dijital anahtar da bir dosya nihayetinde. Bir yerde duruyor, yedekleniyor, bazen payla\u015f\u0131m\u0131 kolay olsun diye bir klas\u00f6re at\u0131l\u0131yor. \u0130yi korumazsan\u0131z, t\u0131pk\u0131 \u00e7iziksiz bir kopya anahtar gibi cebine giriveren birine d\u00f6n\u00fc\u015febilir. Passphrase elbette \u015fart, ama yine de bilgisayardaki anahtar\u0131n \u00e7al\u0131nmas\u0131 ihtimali ak\u0131lda bir g\u00f6lge gibi kal\u0131yor.<\/p>\n<p>\u0130\u015fte burada donan\u0131m anahtarlar\u0131 devreye giriyor. FIDO2 destekli bir g\u00fcvenlik anahtar\u0131, anahtar i\u015flemini bilgisayar\u0131n d\u0131\u015f\u0131na ta\u015f\u0131yor. \u00d6zetle, zarf kasan\u0131n i\u00e7ine giriyor. Kimlik do\u011frulama i\u00e7in fiziksel bir dokunu\u015f istiyor, hatta PIN ile koruyor. Birinin anahtar dosyas\u0131n\u0131 kopyalamas\u0131 yetmiyor; elinizdeki o k\u00fc\u00e7\u00fck cihaz olmadan giri\u015f olmuyor. Bu, zihnimdeki o k\u00fc\u00e7\u00fck \u015f\u00fcpheyi susturan ilk ad\u0131m oldu.<\/p>\n<h3><span id=\"Mesela_soyle_dusunun\">Mesela \u015f\u00f6yle d\u00fc\u015f\u00fcn\u00fcn\u2026<\/span><\/h3>\n<p>Laptopunuzu bir kafede unuttunuz. Disk \u015fifreli, iyi g\u00fczel. Ama biri cihaz\u0131 a\u00e7t\u0131ysa, i\u00e7indeki SSH anahtar\u0131n\u0131 da alabilir. Donan\u0131m anahtar\u0131yla kurulan d\u00fczende ise, anahtar d\u0131\u015far\u0131da; fiziksel dokunma olmadan, belirledi\u011finiz PIN olmadan i\u015flem yapm\u0131yor. \u00dcst\u00fcne bir de anahtar\u0131n sunucuda nas\u0131l kullan\u0131laca\u011f\u0131n\u0131 s\u0131n\u0131rlarsan\u0131z, \u00f6rne\u011fin yaln\u0131zca belirli bir kullan\u0131c\u0131 ve belirli IP\u2019ler i\u00e7in kabul edilecek \u015fekilde kay\u0131t d\u00fc\u015ferseniz, el s\u0131k\u0131\u015fman\u0131n alan\u0131n\u0131 iyice daralt\u0131rs\u0131n\u0131z. B\u00f6ylece anahtar art\u0131k sadece bir dosya de\u011fil, sizinle nefes alan bir varl\u0131k gibi \u00e7al\u0131\u015f\u0131r.<\/p>\n<h2 id=\"section-3\"><span id=\"FIDO2_ile_SSH_Dokunmadan_Gecis_Yok\">FIDO2 ile SSH: Dokunmadan Ge\u00e7i\u015f Yok<\/span><\/h2>\n<h3><span id=\"Once_temel_soruyu_soralim_Uyumlu_muyuz\">\u00d6nce temel soruyu soral\u0131m: Uyumlu muyuz?<\/span><\/h3>\n<p>FIDO2\u2019yi SSH ile kullanmak i\u00e7in OpenSSH\u2019nin FIDO\/U2F destekleyen bir s\u00fcr\u00fcm\u00fc gerekiyor. Bu destek uzun s\u00fcredir var, yine de sunucular\u0131n\u0131zda ve yerel makinenizdeki s\u00fcr\u00fcm\u00fc h\u0131zl\u0131ca kontrol etmek iyi fikir. Terminalde <code>ssh -V<\/code> \u00e7\u0131kt\u0131s\u0131na bir bak\u0131n; yeterince g\u00fcncelse, <code>ssh-keygen<\/code> size <code>-t ed25519-sk<\/code> gibi sihirli bir kap\u0131 aralayacakt\u0131r. Ayr\u0131nt\u0131lara merakl\u0131ysan\u0131z <a href=\"https:\/\/man.openbsd.org\/ssh-keygen\" rel=\"nofollow noopener\" target=\"_blank\">ssh-keygen se\u00e7enekleri<\/a> \u00fczerinden ilerlemek keyifli oluyor. Bir de \u00fcretici notlar\u0131na g\u00f6z atmak g\u00fczel; \u00f6rne\u011fin <a href=\"https:\/\/developers.yubico.com\/SSH\/\" rel=\"nofollow noopener\" target=\"_blank\">Yubico\u2019nun SSH ile FIDO2 kullan\u0131m\u0131 notlar\u0131<\/a> pratik ipu\u00e7lar\u0131 veriyor.<\/p>\n<h3><span id=\"Ilk_anahtar_Komut_dokunus_ve_kucuk_bir_gulumseme\">\u0130lk anahtar: Komut, dokunu\u015f ve k\u00fc\u00e7\u00fck bir g\u00fcl\u00fcmseme<\/span><\/h3>\n<p>Kurulum asl\u0131nda d\u00fc\u015f\u00fcnd\u00fc\u011f\u00fcn\u00fczden daha sakin. Terminalde <code>ssh-keygen -t ed25519-sk -C \"ad@sunucu\"<\/code> komutunu \u00e7al\u0131\u015ft\u0131r\u0131nca, cihaz\u0131n\u0131z sizden bir dokunu\u015f bekler. PIN belirlemek isterseniz s\u00fcre\u00e7te sorulur. Ortaya iki dosya \u00e7\u0131kar: \u00f6zel anahtar\u0131n\u0131z ve <code>.pub<\/code> uzant\u0131l\u0131 a\u00e7\u0131k anahtar\u0131n\u0131z. A\u00e7\u0131k anahtar\u0131 sunucudaki <code>~\/.ssh\/authorized_keys<\/code> i\u00e7ine tan\u0131d\u0131k \u015fekilde ekliyorsunuz. Bir farkla: <strong>dokunma zorunlulu\u011fu<\/strong> art\u0131k devrede. Bu k\u00fc\u00e7\u00fck jest, hem g\u00fcven hissi veriyor hem de davran\u0131\u015fsal a\u00e7\u0131dan dikkat kazand\u0131r\u0131yor. Bir yerde beklenmedik bir oturum a\u00e7ma varsa, siz dokunmadan i\u015flem ilerlemeyecek.<\/p>\n<h3><span id=\"Yetkiyi_daraltmak_Sinirlar_huzur_verir\">Yetkiyi daraltmak: S\u0131n\u0131rlar, huzur verir<\/span><\/h3>\n<p>A\u00e7\u0131k anahtar\u0131 authorized_keys\u2019e eklerken, ba\u015f\u0131na k\u00fc\u00e7\u00fck ama etkisi b\u00fcy\u00fck kurallar koyabilirsiniz. <code>from=\"IP_aral\u0131\u011f\u0131\"<\/code> diyerek yaln\u0131zca belirli a\u011flardan kabul ettirebilir, <code>command=\"...\"<\/code> ile oturuma \u00f6zel bir a\u00e7\u0131l\u0131\u015f komutu \u00e7al\u0131\u015ft\u0131rabilir, <code>no-agent-forwarding<\/code> gibi k\u0131s\u0131tlarla vekaletin suistimalini engelleyebilirsiniz. Hepsini her yerde kullanmaya gerek yok; ama kritik makinelerde y\u00fcr\u00fcd\u00fc\u011f\u00fcn\u00fcz yolun ta\u015flar\u0131n\u0131 s\u0131k\u0131la\u015ft\u0131rmak iyi hissettiriyor.<\/p>\n<h3><span id=\"Sunucu_tarafi_Sifrenin_devre_disi_kalisi\">Sunucu taraf\u0131: \u015eifrenin devre d\u0131\u015f\u0131 kal\u0131\u015f\u0131<\/span><\/h3>\n<p>G\u00fcn gelir \u015fifresiz ya\u015fam\u0131n tad\u0131 daha \u00e7ok \u00e7\u0131kar. Sunucuda <code>sshd_config<\/code> i\u00e7inde <code>PasswordAuthentication no<\/code> ve <code>PubkeyAuthentication yes<\/code> sat\u0131rlar\u0131n\u0131 g\u00f6rmeyi seviyorum. Kapanan bir kap\u0131, a\u00e7\u0131lan sa\u011flam bir kap\u0131n\u0131n yan\u0131nda hi\u00e7 fena durmuyor. Burada bir uyar\u0131: kendinizi kilitlememek i\u00e7in \u00f6nce yeni anahtar\u0131n\u0131zla giri\u015f yapabildi\u011finizden emin olun, sonra \u015fifreyi kapat\u0131n. K\u00fc\u00e7\u00fck bir not daha: ba\u011fland\u0131\u011f\u0131n\u0131z sunucunun ad\u0131n\u0131 ve anahtar t\u00fcr\u00fcn\u00fc terminal prompt\u2019unuzda g\u00f6steren basit bir dokunu\u015f, yanl\u0131\u015f makineye komut g\u00f6nderme ihtimalini azalt\u0131r. K\u00fc\u00e7\u00fck ama kalbi \u0131s\u0131tan bir al\u0131\u015fkanl\u0131k.<\/p>\n<h2 id=\"section-4\"><span id=\"SSH_CA_Kimligi_Sertifikaya_Baglayinca_Ortalik_Sakinlesiyor\">SSH CA: Kimli\u011fi Sertifikaya Ba\u011flay\u0131nca Ortal\u0131k Sakinle\u015fiyor<\/span><\/h2>\n<h3><span id=\"Neden_CA_Cunku_tek_tek_anahtar_dagitmak_yoruyor\">Neden CA? \u00c7\u00fcnk\u00fc tek tek anahtar da\u011f\u0131tmak yoruyor<\/span><\/h3>\n<p>FIDO2 anahtarlar\u0131yla yol al\u0131rken, bir noktada \u015fu soru beliriyor: \u201cPeki y\u00fczlerce sunucu, onlarca ekip arkada\u015f\u0131 olunca kim bu i\u015fin d\u00fczenini tutacak?\u201d SSH\u2019nin g\u00fczel s\u00fcrprizlerinden biri, sertifika yetkilisi mant\u0131\u011f\u0131n\u0131 da sunmas\u0131. Yani kendi k\u00fc\u00e7\u00fck CA\u2019n\u0131z\u0131 kurup, kullan\u0131c\u0131 anahtarlar\u0131n\u0131 tek tek de\u011fil, imzalanm\u0131\u015f sertifikalarla y\u00f6netebiliyorsunuz. Sunuculara tek tek a\u00e7\u0131k anahtar kopyalamak yerine, \u201cBu CA\u2019n\u0131n imzalad\u0131\u011f\u0131 kullan\u0131c\u0131lar kabul g\u00f6recek\u201d diyorsunuz ve gerisini tutarl\u0131 bir kurala ba\u011fl\u0131yorsunuz.<\/p>\n<h3><span id=\"Temel_akis_Bir_ana_CA_bir_satir_guven_ve_hizli_imzalar\">Temel ak\u0131\u015f: Bir ana CA, bir sat\u0131r g\u00fcven ve h\u0131zl\u0131 imzalar<\/span><\/h3>\n<p>Kurgu basit: G\u00fcvenli bir yerde bir CA anahtar \u00e7ifti olu\u015fturuyorsunuz. Sunuculara yaln\u0131zca CA\u2019n\u0131n <code>.pub<\/code> k\u0131sm\u0131n\u0131 g\u00f6nderip <code>\/etc\/ssh\/trusted_user_ca_keys<\/code> i\u00e7ine koyuyorsunuz. Sonra kullan\u0131c\u0131lar\u0131n FIDO2 a\u00e7\u0131k anahtarlar\u0131n\u0131 bir sertifikaya ba\u011fl\u0131yorsunuz. Bunun i\u00e7in <code>ssh-keygen -s ca_ozel -I etiket -n kullanici -V +52w kullanici.pub<\/code> gibi bir komut yeterli. S\u00fcreyi, ad\u0131 ve rol\u00fc kendiniz belirlersiniz. \u0130mza tamamlan\u0131nca, kullan\u0131c\u0131 taraf\u0131nda anahtar\u0131n yan\u0131na bir <code>-cert.pub<\/code> dosyas\u0131 olu\u015fur; SSH bunu otomatik g\u00f6r\u00fcr ve sertifikayla giri\u015f yapar. Bu d\u00fczen, ekip b\u00fcy\u00fcd\u00fck\u00e7e daha \u00e7ok huzur verir, \u00e7\u00fcnk\u00fc yetkiyi art\u0131k tek bir yerde y\u00f6netiyorsunuz.<\/p>\n<h3><span id=\"Prensipler_Kim_hangi_sapkayi_takiyor\">Prensipler: Kim hangi \u015fapkay\u0131 tak\u0131yor?<\/span><\/h3>\n<p>CA taraf\u0131nda en sevdi\u011fim detay, \u201cprincipal\u201d mant\u0131\u011f\u0131d\u0131r. Sertifikaya \u201cbu kullan\u0131c\u0131 \u015fu rol alt\u0131nda girer\u201d diyebiliyorsunuz. \u00dcretim sunucusuna ba\u015fka, staging\u2019e ba\u015fka bir \u015fapka takabilirsiniz. Sunucu taraf\u0131nda da \u201c\u015eu rolde imzalanm\u0131\u015f kullan\u0131c\u0131lar kabul edilir\u201d \u015feklinde bir e\u015fle\u015ftirme kurulur. Bu, ekipler i\u00e7in ger\u00e7ek bir hayat kurtar\u0131c\u0131. Bir arkada\u015f\u0131n\u0131z ekipten ayr\u0131ld\u0131\u011f\u0131nda, sunuculardan tek tek anahtar silme derdi yerine, onun sertifikas\u0131n\u0131 imzalamay\u0131 b\u0131rakman\u0131z yeterli olur. Ek olarak, sertifika format\u0131n\u0131n detaylar\u0131na merakl\u0131ysan\u0131z <a href=\"https:\/\/github.com\/openssh\/openssh-portable\/blob\/master\/PROTOCOL.certkeys\" rel=\"nofollow noopener\" target=\"_blank\">OpenSSH sertifika format\u0131 ayr\u0131nt\u0131lar\u0131<\/a> gayet anla\u015f\u0131l\u0131r bir rehber niteli\u011finde.<\/p>\n<h3><span id=\"Host_CA_ile_8220kime_baglandim8221_sorusu_da_netlesiyor\">Host CA ile &#8220;kime ba\u011fland\u0131m&#8221; sorusu da netle\u015fiyor<\/span><\/h3>\n<p>Kullan\u0131c\u0131 taraf\u0131 kadar \u00f6nemli bir konu da sunucu kimli\u011fi. \u0130lk ba\u011flant\u0131da \u201cBu sunucuya g\u00fcveniyor musun?\u201d sorusuna refleksle yes demi\u015fli\u011fimiz vard\u0131r. Host CA bu refleksi d\u00fczenli bir al\u0131\u015fkanl\u0131\u011fa \u00e7eviriyor. Sunucu anahtarlar\u0131n\u0131 da CA ile imzalay\u0131p, istemcilere \u201cBu CA\u2019n\u0131n imzalad\u0131\u011f\u0131 sunucular g\u00fcvenilirdir\u201d derseniz, o ilk tan\u0131\u015fmadaki belirsizlik ortadan kalkar. Deploy s\u0131ras\u0131nda yeni bir sunucu geldi\u011finde, imzay\u0131 verirsiniz, istemciler huzurla ba\u011flan\u0131r. Hem g\u00fcven hem konfor, tek hamlede.<\/p>\n<h2 id=\"section-5\"><span id=\"Anahtar_Rotasyonu_Yenile_Sadelestir_Rahat_Uyu\">Anahtar Rotasyonu: Yenile, Sadele\u015ftir, Rahat Uyu<\/span><\/h2>\n<h3><span id=\"Rotasyon_neden_bu_kadar_kritik_Cunku_hicbir_sey_sonsuz_yasamaz\">Rotasyon neden bu kadar kritik? \u00c7\u00fcnk\u00fc hi\u00e7bir \u015fey sonsuz ya\u015famaz<\/span><\/h3>\n<p>Bir g\u00fcn bile anahtar de\u011fi\u015ftirmekle u\u011fra\u015fmad\u0131ysan\u0131z, ilk rotasyon biraz ba\u015f a\u011fr\u0131s\u0131 gibi gelebilir. Ama d\u00fczen kuruldu\u011funda ger\u00e7ekten nefes ald\u0131r\u0131yor. Temel mant\u0131k \u015fu: hi\u00e7bir anahtar sonsuza dek ge\u00e7erli de\u011fil, sertifikalar\u0131n belirli bir vadesi var ve her yenilemede gizli bir tat var. Yeni anahtar olu\u015fturulur, CA imzas\u0131 al\u0131n\u0131r, sunucular g\u00fcvenen CA\u2019y\u0131 zaten bildi\u011fi i\u00e7in hi\u00e7bir yere tek tek dokunmadan giri\u015fler devam eder. Eski sertifika ise g\u00f6z g\u00f6re g\u00f6re s\u00fcresi dolup d\u00fc\u015fer. Bu ritim, g\u00fcvenli\u011fi canl\u0131 tutar.<\/p>\n<h3><span id=\"Pratik_akis_Yan_yana_yuruyen_iki_anahtarin_kisa_hikayesi\">Pratik ak\u0131\u015f: Yan yana y\u00fcr\u00fcyen iki anahtar\u0131n k\u0131sa hikayesi<\/span><\/h3>\n<p>Benim sevdi\u011fim pratik, yeniyi devreye almadan \u00f6nce k\u0131sa bir s\u00fcre ikisini birlikte ya\u015fatmakt\u0131r. Yeni FIDO2 anahtar\u0131n\u0131zla <code>ssh-keygen -t ed25519-sk<\/code> komutu ile \u00e7ifti \u00fcretiyorsunuz, CA\u2019dan yeni sertifikay\u0131 al\u0131yorsunuz. Ard\u0131ndan birka\u00e7 g\u00fcn yeni anahtar\u0131 aktif kullan\u0131p ba\u011flant\u0131lar\u0131n sorunsuz oldu\u011funu g\u00f6r\u00fcyorsunuz. Bu arada eski anahtar h\u00e2l\u00e2 ge\u00e7erli. Her \u015fey yolunda ise eskiyi sahneden al\u0131yorsunuz. Arada bir \u00f6zel durumu, \u00f6rne\u011fin bir bastion sunucusu veya otomasyon hesab\u0131n\u0131, sessizce ayr\u0131 bir g\u00f6zle kontrol etmek iyi hissettiriyor.<\/p>\n<h3><span id=\"Acil_durumlar_Bir_sahne_kapanisi_kadar_net_olmali\">Acil durumlar: Bir sahne kapan\u0131\u015f\u0131 kadar net olmal\u0131<\/span><\/h3>\n<p>Rotasyon sadece yenilemek de\u011fildir; gerekti\u011finde h\u0131zla kapatabilmek demektir. CA d\u00fczeninde bu \u00e7ok daha kolay. Kullan\u0131c\u0131 sertifikas\u0131n\u0131 k\u0131sa vade ile imzalars\u0131n\u0131z, erken iptal gerekirse yeni imza vermezsiniz. Gerekti\u011finde <code>RevokedKeys<\/code> dosyas\u0131na bir kay\u0131t d\u00fc\u015ferek bir anahtar\u0131 an\u0131nda d\u0131\u015far\u0131da b\u0131rakabilirsiniz. Sunucu taraf\u0131nda bu dosyay\u0131 takip eden bir ayar koymak, panik an\u0131nda aya\u011f\u0131n\u0131z\u0131 yere sa\u011flam basman\u0131z\u0131 sa\u011flar. Bir de k\u00fc\u00e7\u00fck hat\u0131rlatma: iki fiziksel donan\u0131m anahtar\u0131 ta\u015f\u0131mak paha bi\u00e7ilemez; biri \u00e7ekmecede, di\u011feri yan\u0131n\u0131zda. B\u00f6ylece kay\u0131p bir hikayeye d\u00f6n\u00fc\u015fmez.<\/p>\n<h3><span id=\"Dagitimi_sarsmadan_yurutmek\">Da\u011f\u0131t\u0131m\u0131 sarsmadan y\u00fcr\u00fctmek<\/span><\/h3>\n<p>Rotasyon s\u00fcrecinde en \u00e7ok korktu\u011fumuz \u015fey kesinti olur. \u0130yi haber, bu s\u00fcreci da\u011f\u0131t\u0131m\u0131n do\u011fal ak\u0131\u015f\u0131na yedirebilirsiniz. \u00d6rne\u011fin yeni anahtar devreye al\u0131nd\u0131ktan sonra konfig\u00fcrasyon y\u00f6netimine CA ayarlar\u0131n\u0131 ekleyip, host sertifikalar\u0131n\u0131 imzalayarak ortama yayars\u0131n\u0131z. S\u0131f\u0131r kesinti yakla\u015f\u0131m\u0131 ho\u015funuza gidiyorsa, anahtar ve sertifika da\u011f\u0131t\u0131m\u0131n\u0131 s\u00fcr\u00fcmlerle y\u00f6netmek g\u00fczel oluyor; bu konuya benzer bir bak\u0131\u015f a\u00e7\u0131s\u0131 i\u00e7in <a href=\"https:\/\/www.dchost.com\/blog\/vpse-sifir-kesinti-ci-cd-nasil-kurulur-rsync-sembolik-surumler-ve-systemd-ile-sicacik-bir-yolculuk\/\">VPS\u2019e s\u0131f\u0131r kesinti CI\/CD kurulumunu ad\u0131m ad\u0131m anlatan rehber<\/a> akl\u0131n bir k\u00f6\u015fesinde dursun.<\/p>\n<h2 id=\"section-6\"><span id=\"Goz_Kulak_Olmak_Loglar_Uyarilar_ve_Sakin_Bir_Zihin\">G\u00f6z Kulak Olmak: Loglar, Uyar\u0131lar ve Sakin Bir Zihin<\/span><\/h2>\n<h3><span id=\"Log_dunyasi_Kabul_edilen_bir_anahtar_reddedilen_bir_deneme_ve_kucuk_sinyaller\">Log d\u00fcnyas\u0131: Kabul edilen bir anahtar, reddedilen bir deneme ve k\u00fc\u00e7\u00fck sinyaller<\/span><\/h3>\n<p>G\u00fcvenlikte beni en \u00e7ok rahatlatan \u015feylerden biri, \u00f6ng\u00f6r\u00fclebilir bir log. SSH, kabul edilen ve reddedilen ba\u011flant\u0131lar, hangi kullan\u0131c\u0131yla ve hangi anahtarla geldi\u011fi gibi sinyaller verir. Bu sinyalleri toplay\u0131p anlamland\u0131r\u0131nca, gecenin bir yar\u0131s\u0131 gelen bildirim bana \u201c\u015eu IP\u2019den, \u015fu kullan\u0131c\u0131yla, sertifikas\u0131 \u015fu tarihe kadar ge\u00e7erli bir giri\u015f oldu\u201d diyor. O an i\u00e7im rahatl\u0131yor. Bu d\u00fczeni kurmak i\u00e7in merkezi loglamay\u0131 sevmek gerekiyor. E\u011fer h\u00e2l\u00e2 da\u011f\u0131n\u0131k loglarla ya\u015f\u0131yorsan\u0131z, grafi\u011fi ve alarm\u0131 bir araya getiren <a href=\"https:\/\/www.dchost.com\/blog\/merkezi-loglama-ve-gozlemlenebilirlik-vpste-loki-promtail-grafana-ile-sakin-kalan-bir-zihin\/\">Grafana ile sakin kalan bir zihin i\u00e7in merkezi loglama rehberi<\/a> g\u00fczel bir yolda\u015f.<\/p>\n<h3><span id=\"Alarm_kurallari_Zamani_geldiginde_kapiyi_calar\">Alarm kurallar\u0131: Zaman\u0131 geldi\u011finde kap\u0131y\u0131 \u00e7alar<\/span><\/h3>\n<p>Bir s\u00fcre loglar\u0131 izleyince, \u201cnormal\u201d dedi\u011finiz bir ritim ortaya \u00e7\u0131kar. Bu normalin d\u0131\u015f\u0131na \u00e7\u0131kan bir \u015fey oldu\u011funda, k\u00fc\u00e7\u00fck ama anla\u015f\u0131l\u0131r bir alarm hayat kurtar\u0131r. Mesela ba\u015far\u0131s\u0131z denemelerin birden artmas\u0131, beklenmedik bir \u00fclkeden gelen ba\u011flant\u0131, sertifikas\u0131 yak\u0131nda bitecek bir kullan\u0131c\u0131n\u0131n h\u00e2l\u00e2 aktif olmas\u0131. T\u00fcm bunlar\u0131 sakin ve nazik bir uyar\u0131yla hat\u0131rlatmak i\u00e7in iyi ara\u00e7lar var. Birlikte bir yap\u0131 kurmak isterseniz, <a href=\"https:\/\/www.dchost.com\/blog\/vps-log-yonetimi-nasil-rayina-oturur-grafana-loki-promtail-ile-merkezi-loglama-tutma-sureleri-ve-alarm-kurallari\/\">log y\u00f6netimini ray\u0131na oturtan pratik rehber<\/a> sa\u011flam bir referans olabilir.<\/p>\n<h3><span id=\"Agzin_tadi_Guvenlik_ayarlari_bir_butun\">A\u011fz\u0131n tad\u0131: G\u00fcvenlik ayarlar\u0131 bir b\u00fct\u00fcn<\/span><\/h3>\n<p>SSH g\u00fcvenli\u011fi, tabakta tek ba\u015f\u0131na bir yemek de\u011fil. A\u011f, TLS, servis ayarlar\u0131, hepsi bir sofra. U\u00e7tan uca zihniyet, k\u00fc\u00e7\u00fck s\u00fcrprizleri b\u00fcy\u00fcmeden yakalaman\u0131z\u0131 sa\u011flar. \u00d6rne\u011fin web katman\u0131nda modern \u015fifreler ve HSTS gibi ayarlar, standartlar\u0131 y\u00fcksek bir ortamda ya\u015fad\u0131\u011f\u0131n\u0131z\u0131 hat\u0131rlat\u0131r. \u0130sterseniz bu tarafa bakarken <a href=\"https:\/\/www.dchost.com\/blog\/tls-1-3-ve-modern-sifrelerin-sicacik-mutfagi-nginx-apachede-ocsp-stapling-hsts-preload-ve-pfs-nasil-kurulur\/\">TLS 1.3 ve modern \u015fifrelerin s\u0131cac\u0131k mutfa\u011f\u0131<\/a> keyifli bir okuma olur. Sonu\u00e7ta ama\u00e7 belli: par\u00e7alar\u0131 bir araya getirip, her katmanda tutarl\u0131 bir g\u00fcvenlik dili konu\u015fmak.<\/p>\n<h2 id=\"section-7\"><span id=\"Adim_Adim_Uygulama_Bir_Aksamustu_Plani\">Ad\u0131m Ad\u0131m Uygulama: Bir Ak\u015fam\u00fcst\u00fc Plan\u0131<\/span><\/h2>\n<h3><span id=\"Once_cihazi_elinize_alin_sonra_notlari\">\u00d6nce cihaz\u0131 elinize al\u0131n, sonra notlar\u0131<\/span><\/h3>\n<p>Ben uygulamaya hep k\u00fc\u00e7\u00fck bir kontrol listesiyle ba\u015flar\u0131m, ama listeyi yaz\u0131ya d\u00f6kmek yerine \u015f\u00f6yle anlatay\u0131m. \u00d6nce elinizde bir FIDO2 destekli g\u00fcvenlik anahtar\u0131 olsun. Yerel makinenizde <code>ssh -V<\/code> ile s\u00fcr\u00fcm\u00fc kontrol edin. Gerekirse g\u00fcncelleyin. Ard\u0131ndan <code>ssh-keygen -t ed25519-sk -C \"etiket\"<\/code> diyerek anahtar \u00e7iftinizi olu\u015fturun. Dokunman\u0131z\u0131 isteyecek, belki PIN soracak. A\u00e7\u0131k anahtar\u0131 sunucuda <code>authorized_keys<\/code> i\u00e7ine ekleyin, ama eklemeden \u00f6nce \u201cBurada hangi k\u0131s\u0131tlar de\u011fer katar?\u201d diye kendinize sorun. O an, <code>from=<\/code>, <code>no-agent-forwarding<\/code>, belki bir <code>command=<\/code> eklemek anlaml\u0131 geliyorsa yaz\u0131n. Sonra ba\u011flant\u0131y\u0131 test edin ve kullan\u0131c\u0131 parolas\u0131n\u0131 kapatma ad\u0131m\u0131na cesur bir ad\u0131mla ge\u00e7in.<\/p>\n<h3><span id=\"CAyi_devreye_alirken_acele_etmeyin\">CA\u2019y\u0131 devreye al\u0131rken acele etmeyin<\/span><\/h3>\n<p>CA kurulumunda dikkat edilmesi gereken \u015fey, onu da bir \u201cana anahtar\u201d gibi g\u00f6rmektir. G\u00fcvenli bir yerde olu\u015fturun, yedeklemesini do\u011fru yap\u0131n. Sunuculara <code>trusted_user_ca_keys<\/code> i\u00e7ine yaln\u0131zca CA\u2019n\u0131n a\u00e7\u0131k anahtar\u0131n\u0131 da\u011f\u0131t\u0131n. Kullan\u0131c\u0131 taraf\u0131nda ise imza s\u00fcrecini bir k\u00fc\u00e7\u00fck ara\u00e7 veya k\u0131sa script ile kolayla\u015ft\u0131r\u0131n. Bir isimlendirme standard\u0131 oturtmak, alt\u0131 ay sonra te\u015fekk\u00fcr edece\u011finiz bir hediye gibi. \u201cHangi sertifika kime aitti, ne zamana kadar ge\u00e7erliydi\u201d sorular\u0131n\u0131n cevab\u0131n\u0131 dosya ad\u0131nda g\u00f6rebilmek, yorgun bir geceyi g\u00fczel bir sabaha ba\u011flar.<\/p>\n<h3><span id=\"Host_CAyi_unutmayin\">Host CA\u2019y\u0131 unutmay\u0131n<\/span><\/h3>\n<p>Host CA, ilk ba\u011flant\u0131da ya\u015fanan \u201cAcaba bu o mu?\u201d \u015f\u00fcphesini ortadan kald\u0131r\u0131r. Yeni makineyi imzalay\u0131p, istemci taraf\u0131nda CA\u2019y\u0131 tan\u0131mlad\u0131\u011f\u0131n\u0131zda, komut sat\u0131r\u0131nda g\u00fcvenle enter\u2019a basars\u0131n\u0131z. Bu konular\u0131n teorik taraf\u0131 da merak uyand\u0131r\u0131yorsa, OpenSSH\u2019nin s\u00fcsl\u00fc detaylar\u0131 aras\u0131nda k\u0131sa bir gezinti yapmak ho\u015f olabilir. FIDO ve sertifika d\u00fcnyas\u0131n\u0131n pratik y\u00f6nleri i\u00e7in <a href=\"https:\/\/developers.yubico.com\/SSH\/\" rel=\"nofollow noopener\" target=\"_blank\">Yubico\u2019nun notlar\u0131<\/a> tekrar i\u015finize yarar; teknik detay merak\u0131nda <a href=\"https:\/\/man.openbsd.org\/ssh-keygen\" rel=\"nofollow noopener\" target=\"_blank\">ssh-keygen belgesi<\/a> tatl\u0131 bir referans olarak kenarda kals\u0131n.<\/p>\n<h2 id=\"section-8\"><span id=\"Kurtarma_Plani_Kotu_Gunde_En_Iyi_Arkadasiniz\">Kurtarma Plan\u0131: K\u00f6t\u00fc G\u00fcnde En \u0130yi Arkada\u015f\u0131n\u0131z<\/span><\/h2>\n<h3><span id=\"Iki_donanim_anahtariyla_gelen_huzur\">\u0130ki donan\u0131m anahtar\u0131yla gelen huzur<\/span><\/h3>\n<p>Bir g\u00fcn \u00e7antan\u0131z\u0131n fermuar\u0131 y\u0131rt\u0131l\u0131r ve anahtar\u0131n biri kaybolur. O g\u00fcn\u00fcn panik olmamas\u0131 i\u00e7in yedek bir anahtar\u0131 \u00f6nceden haz\u0131rlamak gerekir. \u0130ki farkl\u0131 cihazda anahtar\u0131n\u0131z\u0131 \u00fcretip CA\u2019dan sertifika imzas\u0131 almak, sonra ikisini de test etmek, uzun vadede stresinizi d\u00fc\u015f\u00fcr\u00fcr. Birini evde saklamak, di\u011ferini her g\u00fcn yan\u0131n\u0131zda ta\u015f\u0131mak, basit ama etkili bir d\u00fczen. PIN\u2019i g\u00fcvenli bir yerde, akl\u0131n\u0131z\u0131n rahat edece\u011fi \u015fekilde not ald\u0131\u011f\u0131n\u0131zdan da emin olun.<\/p>\n<h3><span id=\"Geri_alma_ve_iptal\">Geri alma ve iptal<\/span><\/h3>\n<p>Kurtarma sadece yedekle s\u0131n\u0131rl\u0131 de\u011fil. Sertifika vadesini k\u0131sa tutmak, risk penceresini k\u00fc\u00e7\u00fclt\u00fcr. Bir anahtar\u0131 iptal etme mekanizmas\u0131n\u0131 \u00f6nceden denemek de \u00f6nemlidir. <code>RevokedKeys<\/code> dosyas\u0131n\u0131 yap\u0131land\u0131r\u0131p k\u0131sa bir sim\u00fclasyon yapmak, kritik bir anda nas\u0131l davranaca\u011f\u0131n\u0131z\u0131 prova ettirir. Bu provalar k\u00fc\u00e7\u00fck zaman al\u0131r ama b\u00fcy\u00fck huzur verir. T\u0131pk\u0131 yang\u0131n tatbikat\u0131 gibi; dilerim hi\u00e7 gerekmez, ama varsa iyi ki var dersiniz.<\/p>\n<h3><span id=\"Isin_gozlem_tarafini_diri_tutmak\">\u0130\u015fin g\u00f6zlem taraf\u0131n\u0131 diri tutmak<\/span><\/h3>\n<p>Son bir dokunu\u015f olarak, loglar\u0131n\u0131zda SSH oturumlar\u0131n\u0131 ve sertifika biti\u015f tarihlerini g\u00f6sterecek k\u00fc\u00e7\u00fck paneller haz\u0131rlay\u0131n. Modern g\u00f6zlemlenebilirlik ara\u00e7lar\u0131yla bu g\u00f6r\u00fcn\u00fcmleri kurmak art\u0131k zor de\u011fil. \u0130lham i\u00e7in, log d\u00fcnyas\u0131n\u0131n i\u00e7inde gezdiren o detayl\u0131 anlat\u0131m\u0131 seviyorsan\u0131z, <a href=\"https:\/\/www.dchost.com\/blog\/merkezi-loglama-ve-gozlemlenebilirlik-vpste-loki-promtail-grafana-ile-sakin-kalan-bir-zihin\/\">merkezi loglama rehberine<\/a> ve pratikte alarm kurallar\u0131yla i\u015fini ray\u0131na koyan <a href=\"https:\/\/www.dchost.com\/blog\/vps-log-yonetimi-nasil-rayina-oturur-grafana-loki-promtail-ile-merkezi-loglama-tutma-sureleri-ve-alarm-kurallari\/\">log y\u00f6netimi yaz\u0131s\u0131na<\/a> tekrar g\u00f6z atabilirsiniz. Oradaki fikirleri SSH \u00f6zelinde uyarlamak \u00e7ok kolay.<\/p>\n<h2 id=\"section-9\"><span id=\"Kapanis_Guvenligi_Bir_Gunlugune_Degil_Hayatiniza_Katin\">Kapan\u0131\u015f: G\u00fcvenli\u011fi Bir G\u00fcnl\u00fc\u011f\u00fcne De\u011fil, Hayat\u0131n\u0131za Kat\u0131n<\/span><\/h2>\n<h3><span id=\"Bugunun_isi_yarinin_rahat_uykusu\">Bug\u00fcn\u00fcn i\u015fi, yar\u0131n\u0131n rahat uykusu<\/span><\/h3>\n<p>Bu yolculukta g\u00f6rd\u00fc\u011f\u00fcm \u015fey \u015fu oldu: SSH g\u00fcvenli\u011fi bir \u00f6zelli\u011fi a\u00e7\u0131p kapamaktan ibaret de\u011fil. FIDO2 donan\u0131m anahtarlar\u0131yla kimli\u011fi cihaz\u0131n\u0131za, parmak dokunu\u015funuza ba\u011flay\u0131nca \u201cbenden habersiz olmaz\u201d hissi \u00e7ok g\u00fc\u00e7l\u00fc geliyor. SSH CA ile kimli\u011fi sertifikalara emanet edince, ekip b\u00fcy\u00fcse de kurallar de\u011fi\u015fse de d\u00fczen bozulmuyor. Rotasyonla anahtarlar\u0131n vadesini y\u00f6netince, d\u00fcn at\u0131lm\u0131\u015f bir anahtar\u0131n bug\u00fcn s\u00fcrprizlere sebep olmas\u0131n\u0131n \u00f6n\u00fcne ge\u00e7iyorsunuz. T\u00fcm bunlar\u0131 da loglar ve k\u00fc\u00e7\u00fck alarmlarla bir ritme oturtunca, gece yar\u0131s\u0131 gelen bildirimler panik de\u011fil, iyi planlanm\u0131\u015f bir d\u00fczenin hat\u0131rlatmas\u0131 oluyor.<\/p>\n<p>Pratik bir ak\u015fam plan\u0131 \u00f6neriyorum: bir FIDO2 anahtar\u0131 al\u0131n, ilk anahtar\u0131n\u0131z\u0131 \u00fcretin, sunucuda \u015fifreyi kapatmadan \u00f6nce yeni anahtarla rahat\u00e7a girebildi\u011finizi test edin. Ard\u0131ndan CA fikrini k\u00fc\u00e7\u00fck bir pilotla deneyin; bir iki sunucuda kullan\u0131c\u0131 ve host sertifikas\u0131n\u0131 y\u00fcr\u00fct\u00fcp, nas\u0131l hissettirdi\u011fine bak\u0131n. Ritim oturunca rotasyonu takvime ba\u011flay\u0131n; vade bitmeden bir hafta \u00f6nce yeni sertifikay\u0131 devreye al\u0131p eskisini sayg\u0131yla u\u011furlay\u0131n. G\u00fcvenlik b\u00f6ylece g\u00fcnl\u00fck i\u015flerinizin do\u011fal par\u00e7as\u0131 olur. E\u011fer a\u011f ve uygulama katman\u0131n\u0131 da ayn\u0131 sevgiyle ele almak isterseniz, web taraf\u0131ndaki sert ve s\u0131cak ayarlar\u0131 bir arada anlatan <a href=\"https:\/\/www.dchost.com\/blog\/tls-1-3-ve-modern-sifrelerin-sicacik-mutfagi-nginx-apachede-ocsp-stapling-hsts-preload-ve-pfs-nasil-kurulur\/\">TLS 1.3 rehberine<\/a> g\u00f6z atmak da iyi gelir. Umar\u0131m bu yaz\u0131 size yolda\u015f olmu\u015ftur. Bir dahaki yaz\u0131da g\u00f6r\u00fc\u015fmek \u00fczere, anahtarlar\u0131n\u0131z\u0131n her zaman do\u011fru kap\u0131lar\u0131 a\u00e7t\u0131\u011f\u0131 g\u00fcnler dilerim.<\/p>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>\u0130&ccedil;indekiler1 Gece Yar\u0131s\u0131 Bir Giri\u015fim ve \u0130\u00e7ime D\u00fc\u015fen O K\u00fc\u00e7\u00fck \u015e\u00fcphe1.1 Hi\u00e7 kap\u0131n\u0131n kilidini kontrol etmek i\u00e7in geri d\u00f6nd\u00fc\u011f\u00fcn\u00fcz oldu mu?2 Anahtar\u0131n Hikayesi: Parola Biter, Peki Anahtar\u0131n Sonu Gelir mi?2.1 \u015eifreden anahtara, anahtardan donan\u0131ma2.2 Mesela \u015f\u00f6yle d\u00fc\u015f\u00fcn\u00fcn\u20263 FIDO2 ile SSH: Dokunmadan Ge\u00e7i\u015f Yok3.1 \u00d6nce temel soruyu soral\u0131m: Uyumlu muyuz?3.2 \u0130lk anahtar: Komut, dokunu\u015f ve k\u00fc\u00e7\u00fck [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1565,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[26],"tags":[],"class_list":["post-1564","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-teknoloji"],"_links":{"self":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/1564","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/comments?post=1564"}],"version-history":[{"count":0,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/posts\/1564\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media\/1565"}],"wp:attachment":[{"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/media?parent=1564"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/categories?post=1564"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dchost.com\/blog\/wp-json\/wp\/v2\/tags?post=1564"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}