Neler yeni
Kullanıcı:
Bughane Academy

Bughane Academy, bug bounty, web güvenliği ve sızma testi alanında kendini geliştirmek isteyenler için kurulmuş Türkçe odaklı bir topluluktur.

Burada; gerçek güvenlik açıkları, recon ve exploit teknikleri, payload & bypass yöntemleri, araçlar, scriptler ve write-up’lar topluluk tarafından paylaşılır ve tartışılır.

Birlikte öğren, birlikte üret, birlikte güçlen.

Sistem Yönetiminde "Hardening" Sanatı ve CIS Benchmarks: Kaleyi İçeriden Kilitlemek!

  • Konuyu Başlatan Konuyu Başlatan La'Rhen
  • Başlangıç tarihi Başlangıç tarihi
La'Rhen

La'Rhen

Moderator
Aday
Katılım
2 Ocak 2026
Mesajlar
15
Tepkime puanı
25
Puan
13
Selamlar, Bugün size siber güvenliğin "mutfağından", yani sistemleri öyle bir mühürlemekten bahsedeceğim ki; saldırgan kapıya gelse bile anahtar deliğini bulamasın. Konumuz: Security Hardening (Sistem Sıkılaştırma) ve bu işin anayasası olan CIS Benchmarks.

Security Hardening Nedir? (Neden Sadece Kurmak Yetmez?)​

Bir sunucuyu (Windows, Linux fark etmez) "Next-Next-Finish" diyerek kurduğunuzda, o sistem aslında "çırılçıplak" sayılır. Default ayarlar her zaman kullanım kolaylığına odaklanır, güvenliğe değil.Hardening; sistemdeki gereksiz servisleri kapatmak, portları mühürlemek, yetkileri kısıtlamak ve saldırı yüzeyini minimuma indirme işlemidir. Yani "Saldırgan nerede açık bulabilir?" sorusunu sorup, o açıkları daha oluşmadan kapatmaktır.

CIS Benchmarks: Bu İşin "Kıblesi"​

Peki, "Ben bu sistemi neye göre sıkılaştıracağım?" dediğiniz noktada devreye CIS (Center for Internet Security) giriyor.CIS Benchmarks; dünya çapındaki binlerce güvenlik uzmanının ortak aklıyla hazırlanmış, her işletim sistemi ve yazılım için özel olarak yazılmış en iyi uygulama rehberleridir.
  • İşletim Sistemleri: Windows Server, Ubuntu, RHEL, Debian, macOS...
  • Bulut Platformları: Azure (bizim favorimiz), AWS, Google Cloud...
  • Tarayıcılar ve Yazılımlar: Chrome, Microsoft 365, Docker, Kubernetes...

Neden Kullanmalıyız?​

  1. Standart Oluşturur: "Bence bu ayar böyle olmalı" demek yerine, dünya standartlarına uyarsınız.
  2. Denetimden Geçersiniz: Eğer bir gün kurumsal bir şirkette çalışacaksanız, denetçiler size "Sistemi CIS'e göre yapılandırdın mı?" diye sorar.
  3. Bug Bounty Savunması: Microsoft gibi devlerin sistemlerini test ederken (kendi VPS'inizde veya yetkili lablarda), CIS ayarlarına uyulmamış bir sunucu bulursanız orada ekmek çoktur.

Başlamak İçin Kaynaklar​

Beyler, gidip her şeyi ezberlemenize gerek yok. CIS'in kendi sitesinde her OS için yüzlerce sayfalık ücretsiz PDF rehberler var.
  • Level 1: Temel güvenlik, sistemin çalışmasını engellemez.
  • Level 2: Yüksek güvenlik, bazı fonksiyonları kısıtlayabilir ama tam bir "kale" yaratır.
yani sonuç olarak sızma testi (Pentest) yapmak saldırı tarafıdır, Hardening ise savunma tarafının şahıdır. İyi bir hacker olmak istiyorsanız, bir sistemin en güvenli halinin (CIS standartlarının) nasıl olması gerektiğini de adınız gibi bilmelisiniz.
 
Cevap yazmak için giriş yap yada kayıt ol.
Geri
Üst