SSH Anahtar Tabanlı Kimlik Doğrulama ile Erişimi Güçlendirin

SSH Anahtar Tabanlı Kimlik Doğrulama ile Erişimi Güçlendirin

Giriş
Günümüzün dijital altyapılarında, sunuculara ve uzak sistemlere güvenli erişim sağlamak her zamankinden daha kritik. Parola tabanlı SSH girişleri; kaba kuvvet saldırıları, parola tekrar kullanımı ve kullanıcı eğilimleri nedeniyle kırılma riski taşır. SSH anahtar tabanlı kimlik doğrulama ise, asimetrik şifreleme prensipleriyle parola güvenliğinin ötesine geçerek hem kullanıcı deneyimini iyileştirir hem de sunucularınıza yönelik saldırı yüzeyini dramatik biçimde azaltır. Bu makalede, SSH anahtarlarının nasıl oluşturulacağından, yüklenmesinden ve yönetilmesinden; gelişmiş uygulama senaryolarına, güvenlik en iyi uygulamalarına ve sorun giderme yöntemlerine kadar her adımı detaylıca ele alacağız.

1. SSH Anahtar Tabanlı Kimlik Doğrulama Nedir?

SSH (Secure Shell), uzaktaki makinelerle şifreli kanal üzerinden iletişim kurmanızı sağlayan protokoldür. Geleneksel parola tabanlı kimlik doğrulamada kullanıcı adı ve parola sunucuya gönderilir; anahtar tabanlı yöntemde ise kullanıcı, özel anahtarını yerel makinesinde tutar; sunucu ise sadece bu anahtara karşılık gelen açık anahtarı bilir. Anahtar doğrulaması şu adımla işler:

1. Kullanıcı, SSH istemcisi aracılığıyla sunucuya bağlanmak ister ve bağlantı isteği gönderir.
2. Sunucu, kullanıcının home dizinindeki ~/.ssh/authorized_keys dosyasındaki açık anahtarlarla karşılaştırılacak bir “challenge” (rastgele bir metin) oluşturur.
3. İstemci, özel anahtarıyla bu challenge’ı imzalar ve sunucuya gönderir.
4. Sunucu, imzayı açık anahtarıyla doğrular; başarılıysa oturumu açar.

Bu yöntem, kötü niyetli birinin sunucunuza erişebilmesi için yalnızca parola bilmesinin yeterli olmadığı; aynı zamanda fiziksel veya dijital olarak özel anahtara da sahip olması gerektiği anlamına gelir.

2. Anahtar Çifti Oluşturma ve Yönetim

2.1 RSA, ECDSA ve Ed25519 Seçenekleri

SSH anahtarları farklı algoritmalarla oluşturulabilir:

• RSA: Uzun yıllardır yaygın; 2048 veya 4096 bit uzunluğunda güvenli kabul edilir ancak performans maliyeti yüksektir.
• ECDSA: Elliptic Curve Digital Signature Algorithm; P-256, P-384 veya P-521 eğrileriyle daha kısa anahtar boyutunda yüksek güvenlik sunar.
• Ed25519: Modern, yüksek performanslı ve sabit boyutta (256 bit) anahtar sunar; genellikle en iyi tercih olarak önerilir.

2.2 Anahtar Üretme Komutları

Ed25519 anahtarı oluşturmak için:

ssh-keygen -t ed25519 -C “kullanici@sunucu” -f ~/.ssh/id_ed25519

RSA anahtarı tercih ediliyorsa:

ssh-keygen -t rsa -b 4096 -C “kullanici@sunucu” -f ~/.ssh/id_rsa

Komut sizi özel anahtar için bir parola (passphrase) belirlemeye davet eder. Parola, anahtar dosyanızı ele geçirilme durumunda bile koruyan ek bir güvenlik katmanıdır.

2.3 Parolasız Otomasyon için SSH Agent Kullanımı

Sunucular arasında otomasyon betikleri çalıştırırken parola sorulmaması için ssh-agent ve ssh-add kullanabilirsiniz:

eval “$(ssh-agent -s)”

ssh-add ~/.ssh/id_ed25519

Böylece bir oturum boyunca özel anahtar parolanız hafızada tutulur, betikler veya git işlemleri interaktif parola gerektirmeden çalışır.

3. Anahtarların Sunucuya Yüklenmesi

3.1 authorized_keys Dosyasına Eklemek

Anahtarınızı sunucuya yüklemenin en basit yolu ssh-copy-id komutudur:

ssh-copy-id -i ~/.ssh/id_ed25519.pub kullanıcı@sunucu_adresi

Elle de ekleyebilirsiniz:

cat ~/.ssh/id_ed25519.pub | ssh kullanıcı@sunucu_adresi “mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys”

3.2 Dosya İzinlerinin Doğru Ayarlanması

SSH, yanlış izinleri fark eder ve anahtar doğrulamasını reddeder. Sunucu üzerinde:

chmod 700 ~/.ssh

chmod 600 ~/.ssh/authorized_keys

Ayrıca home dizininizin 755 veya 750 olması önerilir.

4. SSH Sunucu Yapılandırma Ayarları

Sunucu tarafında /etc/ssh/sshd_config dosyasında aşağıdaki ayarları yaparak parola tabanlı girişleri devre dışı bırakarak sadece anahtar doğrulamasını zorunlu kılabilirsiniz:

PasswordAuthentication no

ChallengeResponseAuthentication no

UsePAM no

PubkeyAuthentication yes

AuthorizedKeysFile .ssh/authorized_keys

Daha sonra SSH servisini yeniden başlatın:

sudo systemctl restart sshd

5. Gelişmiş Erişim Kontrolleri

5.1 Anahtar Bazlı Erişim Kısıtlamaları

authorized_keys dosyasında her satıra ekleyebileceğiniz opsiyonlarla anahtar bazlı kısıtlama yapabilirsiniz:

command=”rsync –server –sender -vlogDtpr . /var/www/html”,no-port-forwarding,no-agent-forwarding,no-X11-forwarding ssh-rsa AAAA…

Bu örnekte, ilgili anahtar sadece belirttiğiniz rsync komutuyla girişe izin verir, interaktif shell’e veya port yönlendirmeye müsaade etmez.

5.2 IP Tabanlı Erişim Kontrolü

Sunucu firewall (iptables, firewalld, ufw) ya da TCP wrappers (/etc/hosts.allow, /etc/hosts.deny) kullanarak belirli IP’den gelen SSH isteklerini filtreleyebilirsiniz. Örneğin ufw ile yalnızca belirli IP’leri izin verme:

ufw allow from 203.0.113.5 to any port 22 proto tcp

ufw deny 22

6. Anahtar Yönetimi ve Döndürme (Key Rotation)

6.1 Periyodik Anahtar Yenileme

Güvenlik operatörleri, kritik erişim anahtarlarını 6–12 ayda bir yenilemeyi önerir. Süreç:

1. Yeni anahtar çifti oluşturun.
2. Yeni açık anahtarı sunucudaki authorized_keys dosyasına ekleyin.
3. Test edip, eski anahtarı kaldırın.
4. Eski anahtarların artık sistemde kullanılmadığını doğrulayın.

6.2 Kayıp veya Sızıntı Durumunda Anahtar İptali

Anahtar sızıntısı durumunda ilgili satırı authorized_keys dosyasından silerek veya ssh-keygen -R host komutuyla host kayıtlarını temizleyerek erişimi hemen sonlandırabilirsiniz.

7. SSH Agent Forwarding ve Güvenlik Riskleri

SSH Agent Forwarding ( ssh -A ), bir sunucudan diğerine geçişte özel anahtarın agent üzerinden delegasyonunu sağlar. Ancak bu, sunucu ele geçirildiğinde agent bağlantınızın kötü niyetli hedefe deşifre edilme riskini doğurur. Bu nedenle:

• Sadece güvendiğiniz ara sunucularda kullanın.
• ssh-agent’ı kısa ömürlü çalıştırın; işiniz bitince ssh-agent -k ile kapatın.
• Sunucu yapılandırmasında AllowAgentForwarding no ayarı ile global devre dışı bırakabilirsiniz.

8. Çok Faktörlü SSH Kimlik Doğrulama

Şifreleme anahtarlarının yanı sıra, iki faktörlü doğrulama (TOTP, YubiKey) eklemek isteyebilirsiniz. Örneğin Google Authenticator modülü ile:

sudo apt install libpam-google-authenticator

google-authenticator    # her kullanıcı kendi secret’ını üretir

/etc/pam.d/sshd dosyasına:

auth required pam_google_authenticator.so

/etc/ssh/sshd_config da:

ChallengeResponseAuthentication yes

AuthenticationMethods publickey,keyboard-interactive

Bu ayarla önce anahtar, sonra OTP doğrulaması yapılır.

9. Çoklu Anahtar ve Grup Yönetimi

Büyük organizasyonlarda binlerce sunucu ve yüzlerce kullanıcı olduğunda merkezi anahtar yönetimi gerekir. Ansible, Puppet veya Chef gibi konfigürasyon yönetim araçlarıyla:

• Kullanıcı bilgilerini ve açık anahtarları git ile versiyonlayın.
• authorized_keys dosyalarını role/playbook içinde otomatik oluşturun.
• Departman veya proje bazlı gruplar için farklı anahtar setleri atayın.

10. İzleme, Denetim ve Uyarı

SSH erişimlerini takip etmek kritik. Sunucuda /var/log/auth.log veya /var/log/secure dosyalarından anahtar tabanlı girişleri grep ile izleyin:

grep “Accepted publickey” /var/log/auth.log

Fail2Ban veya OSSEC gibi IDS/IPS araçlarıyla başarısız oturum açma denemelerini otomatik engelleyin. Ayrıca, yeni anahtar eklendiğinde veya silindiğinde e-posta veya Slack uyarıları gönderen basit betikler kurmak da faydalıdır.

11. Karşılaştırma: Parola vs Anahtar Doğrulama

12. Sorun Giderme

• “Permission denied (publickey)” hatası: Yetkisiz veya hatalı anahtar, yanlış dosya izinleri, sshd_config yapılandırma hatası.
• Agent erişilemiyor: SSH_AUTH_SOCK değişkenini ve ssh-agent’ın çalıştığını kontrol edin.
• Anahtar uyumsuzlukları: Sunucu ve istemcide farklı algoritmalar kullanılıyorsa (ssh -v ile debug yapın).

13. Gerçek Dünya Kullanım Senaryoları

• DevOps Pipeline: CI/CD sunucularınızın Git repo’larına şifresiz erişim için deploy anahtarları (deploy keys) kullanarak otomatik kod güncellemeleri yapın.
• Kritik Yönetim Ağları: Sadece belirlenmiş yönetici anahtarlarının girebildiği ayrı bir gateway sunucu kurarak, auditing ve logging’i sıkılaştırın.
• Bulut Sunucu Entegrasyonu: AWS EC2 veya GCP instance başlatırken kullanıcı tanımlı metadata yoluyla SSH anahtarlarını otomatik inject edin.

14. En İyi Uygulamalar

1. Ed25519 Anahtarları Tercih Edin: Hem performans hem güvenlik için en iyi seçenektir.
2. Parola Kullanın: Anahtarlarınızı mutlaka passphrase ile koruyun.
3. SSH Agent’ı Kısıtlayın: Sadece ihtiyaç anında çalıştırın, uzun süreli agent’lardan kaçının.
4. Parola Doğrulamasını Kapatın: Tüm kullanıcıları anahtar doğrulamaya geçirin; PasswordAuthentication no.
5. Anahtarları Düzenli Yenileyin: İşten ayrılan kullanıcılar veya eski projeler için anahtarları kaldırın.
6. İzlemeyi Otomatize Edin: Başarılı ve başarısız oturum açmaları raporlayın.
7. Dokümantasyon ve Eğitim: Kullanıcılara anahtar oluşturma, yükleme ve kullanım süreçlerini anlatan rehberler sunun.

15. Geleceğe Bakış

SSH protokolü sürekli evrilmekte; Google’ın Certificate Transparency benzeri yapıları veya FIDO2/WebAuthn tabanlı SSH kimlik doğrulama adımları yakında daha yaygınlaşacak. Anahtar tabanlı doğrulama, bu yeni standartlarla entegre edilerek parola tabanlı yöntemleri tamamen tarihe gömecek.

Sonuç
SSH anahtar tabanlı kimlik doğrulama, sunucu ve sistem erişimlerinizi güçlendirmenin temel taşıdır. Parola risklerinden uzaklaşıp asimetrik şifrelemenin sunduğu yüksek güvenlik ve otomasyon kolaylığından faydalanarak; kullanıcı deneyimini artırabilir, saldırı yüzeyinizi küçültebilir ve operasyonel verimliliği yükseltebilirsiniz. Bu makalede yer alan adımları takip ederek, anahtar oluşturma, dağıtım, yönetim, kısıtlama, denetim ve sorun giderme süreçlerinizi profesyonel bir düzeye taşıyın. Sunucularınıza yönelik erişimleri kontrol altına alın, SSH anahtarlarınızla güvenliğinizi zirveye çıkarın.