Gelelim bu işlemi neden yaptığımıza.

Özetleyecek olursak her yazılımda olduğu gibi web dünyasının en populer sunucu yönetim paneli yazılımı olan Plesk arkadaşımızın da sonuçları bizi üzen güvenlik açıkları çıkmaktadır. Websitemiz, kullandığımız yazılımlar, uygulamalar ne kadar güvenli olursa olsun sunucumuz güvenli değilse ya da bir önemli güvenlik açığı çıkmışsa bundan faydalanmak isteyen kişilere ne tür sunucu yazılımı kullandığımızı hangi versiona sahip olduğu gibi bilgileri vermememiz iyi olacaktır.

Panelinizde sınırlı sayıda websitesi var ve bunu web panelin görsel arayüzünü kullanarak yapabilirsiniz. Temelde yapmamız gereken ilgili web sitesine bir komut girşi yapmak ya da  bu bilgiyi yayın yapan ilgili şablon dosyasını bulup ilgili satırı temizlemek.

X-Powered-By: PleskLin bilgisini kaldırmak için temel iki yöntem adım adım aşağıda anlatılmıştır sizin için uygun olan yöntemi ile bu yazıyı takip edebilirsiniz.

X-Powered-By: PleskLin durumunu kontrol etme

Öncelikle aşağıdaki komut ile web sitenizin bu bilgiyi verip vermediğini kontrol ediniz.

[~]# curl -I https://www.orneksite.com
HTTP/2 200
date: Sun, 01 Mar 2020 20:00:34 GMT
content-type: text/html; charset=UTF-8
Connection: keep-alive
<span style="color: #00ff00;">X-Powered-By: PleskLin</span>
***

Çıktı ekranında X-Powered-By: PleskLin ifadesini görmemiz gerekiyor şayet sizin ekranınızda bu ifade yer almıyorsa bundan sonrası adımları uygulamanıza gerek yok. (Yine de öğrenme amaçlı yazıyı okumaya devam edebilirsiniz)

Plesk Panel Kullanarak X-Powered-By: PleskLin Üst Bilgisi Kaldırma

Bir websitesi için X-Powered-By: PleskLin üst bilgisi yazısını kaldırmanın en pratik yöntemidir diyebiliriz. Bu yöntemi bir ya da bir kaç tane websiteniz varsa öneririm çünkü aynı adımları az sayıda web sitesi için tek tek uygulamak (çok da teknik bilgi gerektirmediğinden) daha pratiktir. (Sunucunuzda çok sayıda websitesi barınıyorsa bir sonraki adım biraz teknik adımlar içerse de çok daha pratik olacaktır.)

1. Plesk Panel ayayüzüne giriş yapınız
   (Ör: https://example.com:8443)
2. Sırasıyla Alan Adları > orneksite.com > Apache & Nginx Ayarları > menu adımlarını takip edin Ek nginx direktifleri  giriş alanına

   Header unset X-Powered-By

   satırını ekleyiniz> Tamam  diyerek işlemi sonlandırın.

Websitemiz için X-Powered-By: PleskLin üst bilgisi kaldırılmış olacaktır.  Aynı işlemi istediğiniz diğer websiteleriniz için uygulayabilirsiniz. Sonucu test etmek için test aşaması adımına geçiş yapabilirsiniz. (Kendileri yazının sonunda)

Tüm siteler için X-Powered-By: PleskLin Üst Bilgisi Kaldırma

1. Sunucumuza ssh üzerinden giriş yapalım.

   [~]# ssh root@orneksite.com

2. Özel şablon dosyamız için bir klasör oluşturalım

   [~]# mkdir -p /usr/local/psa/admin/conf/templates/custom/domain

3. Varsayılan  şablon dosyalarını oluşturduğumuz klasöre kopyalayalım.

   [~]# cp /usr/local/psa/admin/conf/templates/default/server.php /usr/local/psa/admin/conf/templates/custom
   [~]# cp /usr/local/psa/admin/conf/templates/default/domain/nginxDomainVirtualHost.php /usr/local/psa/admin/conf/templates/custom/domain
   [~]# cp /usr/local/psa/admin/conf/templates/default/domain/nginxForwarding.php /usr/local/psa/admin/conf/templates/custom/domain

4. Editor ile  server.php dosyasını açıp Header add X-Powered-By PleskLin geçen satırı silip dosyayı kayıt edelim.

   [~]# vi /usr/local/psa/admin/conf/templates/custom/server.php

5. Editor ile nginxDomainVirtualHost.php dosyasını açıp add_header X-Powered-By PleskLin; ilgili satırı silip dosyayı kayıt edelim.

   [~]# vi /usr/local/psa/admin/conf/templates/custom/domain/nginxDomainVirtualHost.php

6. Editor ile nginxForwarding.php dosyasını açıp add_header X-Powered-By PleskLin; ilgili satırı silip dosyayı kayıt edelim.

   [~]# vi /usr/local/psa/admin/conf/templates/custom/domain/nginxForwarding.php

7. Yapılan değişikliklerin sunucu geneli tüm siteler için geçerli olması için aşağıdaki komutu uygulayalım.

   [~]# /usr/local/psa/admin/sbin/httpdmng --reconfigure-all

Sonucu Test Eme

Yaptığımız ayarların geçerli olup olmadığını test edelim, bunun için ilgili sunucumuz üzerinde olan herhangib bir siteyi seçebilirsiniz.

curl -I https://www.orneksite.com

HTTP/2 200
date: Sun, 01 Mar 2020 20:03:34 GMT
content-type: text/html; charset=UTF-8
set-cookie: __cfduid=d4e666***; expires=Tue, 31-Mar-20 20:03:34 GMT; path=/; domain=.orneksite.com; HttpOnly; SameSite=Lax; Secure
last-modified: Sun, 01 Mar 2020 19:59:48 GMT
vary: Accept-Encoding,User-Agent
cache-control: max-age=0, no-cache, no-store, must-revalidate
expires: Mon, 29 Oct 1923 20:30:00 GMT
pragma: no-cache
strict-transport-security: max-age=15552000; includeSubDomains; preload
cf-cache-status: DYNAMIC
expect-ct: max-age=604800, report-uri="https://report-uri.cloudflare.com/cdn-cgi/beacon/expect-ct"
alt-svc: h3-27=":443"; ma=86400, h3-25=":443"; ma=86400, h3-24=":443"; ma=86400, h3-23=":443"; ma=86400
x-content-type-options: nosniff
server: cloudflare
cf-ray: 56d57b6b2a76fcfd-OTP

Kontrol ettiğimizde artık sunucumuz test ettiğimiz alan adı için üst veri bilgisi olarak X-Powered-By: PleskLin bilgisini vermemektedir.

Sonrası X-Powered-By: PleskLin Üst Bilgi Yazısını Kaldırma Ahmet Bolu ilk ortaya çıktı.

Bu yazımızda CentOS 8 üzerine Firewalld kurulumu anlatılmaktadır.

Firewalld(Dynamic Firewall) Nedir?

Sunucumuza gelen trafik ve istekleri, istediğimiz doğrultusuda yönlendirmek veya istenmeyen bağlantılardan gelen trafiğin sunucumuzdaki servislere, portlara erişimini engellemek için kolaylıkla kullanabileceğimiz  bir güvenlik duvarı (firewall) servisidir.

Firewalld kurulumu

[root@centos-sunucum ~]# yum install firewalld -y

Bu komuttan sonra başarılı şekilde kurulum sağlanmış olacaktır.

Güvenlik duvarı servisini (firewalld) sunucu her yeniden başlatıldığında otomatik aktif olmasını sağlayalım.

[root@centos-sunucum ~]# sudo systemctl enable firewalld

Güvenlik duvarı servisini (firewalld) şimdi başlatalım.

[root@centos-sunucum ~]# sudo systemctl start firewalld

Güvenlik duvarı çalışma durumunu (firewalld status) kontrol edelim.

[root@centos-sunucum ~]# sudo systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Sat 2020-02-22 10:08:21 UTC; 1h 6min ago
     Docs: man:firewalld(1)
 Main PID: 711 (firewalld)
    Tasks: 2 (limit: 4903)
   Memory: 31.0M
   CGroup: /system.slice/firewalld.service
           └─711 /usr/libexec/platform-python -s /usr/sbin/firewalld --nofork --nopid

Şub 22 10:08:18 centos-sunucum systemd[1]: Starting firewalld - dynamic firewall daemon...
Şub 22 10:08:21 centos-sunucum systemd[1]: Started firewalld - dynamic firewall daemon.

Sonrası FirewallD Nedir ve Nasıl Kurulur? [ CentOS 8 ] Ahmet Bolu ilk ortaya çıktı.

PHP (açılımı PHP: Hypertext Preprocessor) web dünyasında geniş kitleler tarafından kullanılan en populer betik (script) dillerindendir. Sunucunuzda yüklü, kullandığınız PHP versiyonu için bilinen cidd bir güvenlik zaafiyeti varsa, bu durum saldırganların işine  yarayacaktır. İyi niyetli olmayan kişi ya da kişilerin işlerini en azından kolaylaştırmamalıyız aksine zorlaştırmalıyız. En güncel php sürümünü kullanıyor olsak da güvenlik söz konusu olunca işi riske atamayız ve alınması gerekli tedbirleri almalı zaafiyet oluşturacak kapıları kapatmalıyız.  Güvenlik sebebiyle, saldırılardan kendinizi korumanız için sunucunuzun zayıflıklarını öğrenmek isteyen saldırganlardan bazen PHP versiyonunuzu gizlemeniz gerekebilir. Burada php versiyon (sürüm) gizleme işlemini bu amaç ile yapıyoruz.

Güvenlik, performans ve verimlilik adına web sunucunuzdaki php sürümünü (en güncel php) güncellemenizi tavsiye ederiz.

Web sunucumuzda ilgili php.ini dosyasını bulup içindeki expose_php  değerini off şeklinde değiştirip bunu sisteme bildirmemiz gerekiyor.

Sunucu işletim sistemi ve kullanılan yazılımlara bağlı olarak php ayar dosyamız (php.ini) farklı konumlarda olabilmektedir:

• Freebsd işletim sistemlerinde php.ini konumu: /usr/local/etc/
• Plesk kontrol paneli php.ini konumu: /etc/php.ini şeklindedir.
  Eğer multiphp (php selector) kullanıyorsanız /opt/plesk/php/7.x/etc/php.ini
• Cpanel kontrol paneli php.ini konumu: /usr/local/lib/php.ini şeklindedir.
  Eğer multiphp kullanıyorsanız /opt/cpanel/ea-php7x/root/etc/php.ini

Eğer php.ini dosyanızın tam olarak nerde olduğunu bilmiyorsanız  komut istemcinize aşağıdaki komutları uygulayarak konumunu öğrenebilirsiniz.

[root@sunucu]~$ php -i | grep "Loaded Configuration File" 
 Loaded Configuration File => /opt/plesk/php/7.2/etc/php.ini

[root@sunucu]~$ find / -type f -name php.ini
/var/www/vhosts/system/sizinwebsiteniz.com/etc/php.ini
/etc/php.ini
/usr/local/psa/admin/conf/php.ini
/opt/plesk/php/7.4/etc/php.ini
/opt/plesk/php/7.3/etc/php.ini
/opt/plesk/php/7.2/etc/php.ini
/opt/plesk/php/7.1/etc/php.ini
/opt/plesk/php/5.6/etc/php.ini

Php ayar (php.ini) dosyamızın konumunu öğrendiğimize göre artık düzenleme işlemine geçebiliriz. Favori editörünüzü kullanarak ilgili php.ini dosyasını açınız ve  expose_php değerini bulup karşısındaki on değerini off yaptıktan sonra dosyayı kayıt edip ve çıkınız.

[root@sunucu]~$ vi /opt/plesk/php/7.x/etc/php.ini

 expose_php = Off

Apache versiyonunu gizlemek için de httpd.conf dosyanızı favori editörünüzle açın ve aşağıdaki değişiklikleri yapınız. Dosyanın konumunu öğrenmek için aşağıdaki komutu kullanabilirsiniz.

[root@sunucu]~$ find / -type f -name httpd.conf

Aşağıdaki satırları bulun ve aşağıdaki gibi tanımlama yapın. Eğer satır ekli değilse ekleyin.

[root@sunucu]~$ vi /etc/httpd/conf/httpd.conf

ServerTokens ProductOnly 
ServerSignature Off

Bundan sonra  apache/nginx servisini yeniden başlatıyoruz. (Sunucunuzu yeniden de başlatabilirsiniz)

[root@sunucu]~$ systemctl restart httpd

[root@sunucu]~$ service nginx restart

[root@sunucu]~$ systemctl restart apache2

[root@sunucu]~$ service httpd restart

[root@sunucu]~$ service apache2 restart

Şimdi son olarak aşağıdaki komutları uygulayarak, sunucunuzun hala PHP sürüm numaranızı gösterip göstermediğini kontrol edin.

[root@sunucu]~$ lynx -head -mime_header http://localhost

[root@sunucu]~$ lynx -head -mime_header http://sunucu-adresi

Sonrası Sunucu PHP Versiyon Bilgisi Gizleme Ahmet Bolu ilk ortaya çıktı.