NordBastion kutup ayısı maskotu, Nordic taş bir demirhanede bir örs üzerindeki küçük sunucu kulesine zırh levhaları ve pirinç asma kilitler kaynatıyor; tabanını saran cyan koruyucu glif, kehribar ocak parıltısı ve kehribar kaynak kıvılcımları
Nasıl yapılır · Kontrol listesi·10 dakika okuma · 60 dakika uygulama

VPS güçlendirme — ilk saat OPSEC kontrol listesi.
Sekiz adım. Bunu her taze sunucuda çalıştırın.

Herhangi bir iş yükü yeni bir VPS'e geçmeden önce evrensel başlatma öncesi kontrol listesi. Yalnızca SSH anahtarı, özel port, güvenlik duvarı, otomatik güncellemeler, fail2ban, anlık görüntü, belgelenmiş kurtarma. Debian 12 / Ubuntu 22-24 / Alpine üzerinde test edildi.

Sekiz adım
  1. 01

    SSH key auth

  2. 02

    Disable root + change port

  3. 03

    Firewall baseline

  4. 04

    Unattended-upgrades

  5. 05

    Fail2ban

  6. 06

    Time + swap

  7. 07

    Baseline snapshot

  8. 08

    Recovery doc

Adım 01-02 · SSH

Anahtarlar, şifreler değil. Özel port, 22 değil.

Dizüstü bilgisayarınızda bir ed25519 anahtar çifti oluşturun (daha küçük, daha hızlı, modern):

ssh-keygen -t ed25519 -C "you@laptop"
ssh-copy-id -p 22 root@<vps-ip>
ssh root@<vps-ip>     # should now work without password

VPS üzerinde /etc/ssh/sshd_config'i düzenleyin:

Port 54871                  # pick a random number 1024-65535
PermitRootLogin no          # use a non-root user with sudo
PasswordAuthentication no   # keys only
PubkeyAuthentication yes

Önce root olmayan bir sudo kullanıcısı oluşturun (adduser bear; usermod -aG sudo bear; ssh-copy-id -p 22 bear@vps), girişi test edin, SONRA sshd'yi yeniden başlatın: systemctl restart sshd. Kendinizi kilitlerseniz panel konsolu SSH olmadan kabuk erişimi sağlar.

Adım 03 · Güvenlik Duvarı

Varsayılan gelen trafiği reddet. İhtiyacınız olanı izin listesine alın.

apt install -y ufw
ufw default deny incoming
ufw default allow outgoing
ufw allow 54871/tcp      # custom SSH port
ufw allow 80/tcp         # if running a web service
ufw allow 443/tcp        # if running TLS
ufw enable
ufw status verbose

Aynı kural setini panel üzerinden NordBastion bastion düzeyi güvenlik duvarına da uygulayın (Ağ → Güvenlik Duvarı). Bastion güvenlik duvarı, paketi VPS'e ulaşmadan önce engeller; bu sayede hacimsel taramada CPU tasarrufu sağlanır. Derinlemesine savunma.

Adım 04-05 · Otomatik güncellemeler + fail2ban

İki paket, beş dakika, gerçek etki.

apt install -y unattended-upgrades fail2ban
dpkg-reconfigure -plow unattended-upgrades   # accept defaults
systemctl enable --now fail2ban
fail2ban-client status                       # shows sshd jail

Unattended-upgrades güvenlik yamalarını otomatik olarak uygular; fail2ban, 10 dakika içinde 5 kimlik doğrulama girişimi başarısız olan IP'leri 1 saat boyunca engeller. Her ikisi de temel kullanım durumu için ek yapılandırma gerektirmez — her ikisi de herkes için işe yarayan agresif varsayımlardır.

Adım 06 · Zaman + takas

Saat dilimini UTC olarak ayarlayın. Takas dosyası ekleyin.

timedatectl set-timezone UTC

fallocate -l 2G /swapfile
chmod 600 /swapfile
mkswap /swapfile
swapon /swapfile
echo "/swapfile none swap sw 0 0" >> /etc/fstab
free -h                                       # confirm swap is active

Sunucuda UTC, herhangi bir saat dilimindeki bastiyonlar ve istemciler arasında log korelasyonunu basitleştirir. 2-4 GB takas dosyası OOM-kill ani artışlarına karşı koruma sağlar; küçük kademelerde önemlidir, büyük kademelerde ucuz sigortadır.

Adım 07-08 · Anlık görüntü + kurtarma belgesi

Temiz durumu kaydedin. Kurtarma yolunu yazın.

Anlık görüntü. Panelde: Sunucular → sunucunuz → Snapshot'lar → Oluştur. baseline-hardened-YYYY-MM-DD olarak adlandırın. NordBastion snapshot'ları barındırıcı dışı, şifreli ve saniyeler sürer. Yaklaşık 90 saniyede geri yükleyebilirsiniz — geleceğinizdeki siz, bir yükseltme yanlış gittiğinde ilk sefer size teşekkür edecek.

Kurtarma belgesi. Kağıt üzerinde veya bir şifre yöneticisinde şunları yazın:

  • NordBastion hesap e-postası + (şifre anımsatıcısı, şifrenin kendisi değil)
  • SSH özel anahtarınızın dizüstü bilgisayarınızda bulunduğu yer
  • Özel SSH port numarası
  • VPS üzerindeki root olmayan sudo kullanıcı adı
  • Geri yüklenecek temel anlık görüntünün adı
  • Not: "Panel konsolu SSH olmadan çalışır — kilitleme kurtarması için kullanın"

OPSEC, bugün şeyleri yazmanın disiplinidir; böylece mevcut siz unuttuğunda gelecekteki siz kurtarabilir. Belge tamamlandığında dövme ocağı kapanır.

SSS · Sertleştirme

Sorular, yanıtlandı.

İlk kez VPS müşterisinin kontrol listesini çalıştırırken sorduğu sekiz soru.

SSH anahtar kimlik doğrulaması gerçekten güçlü bir şifreden daha güvenli mi?

Evet, açık arayla. Bir parola — 16 karakterlik rastgele bir parola bile — gerçekçi bazı tehdit modellerinde kaba kuvvetle kırılabilir; ed25519 SSH anahtarı 256 bit entropiye sahiptir ve kırılamaz. Anahtar aynı zamanda bulunduğu cihaza bağlıdır; bu nedenle bir saldırgan hem anahtar dosyasına hem de onu şifreleyen parolaya ihtiyaç duyar. sshd_config içinde PasswordAuthentication'ı tamamen devre dışı bırakın; kaba kuvvet saldırı yüzeyi sıfıra iner.

SSH portunu 22'den rastgele bir porta değiştirmek gerçekten yardımcı olur mu?

Kararlı bir saldırganı durdurmaz — 65.535 portun tamamını tarayacaklar. Yalnızca port 22'yi deneyen botlardan gelen otomatik gürültü hacmini AZALTIR; bu, daha temiz günlükler ve daha az stresli fail2ban anlamına gelir. 1024 ile 65535 arasında rastgele bir port seçin, kaybedemeyeceğiniz bir yere yazın, güvenlik duvarını buna izin verecek şekilde güncelleyin. Net kazanç: yaklaşık yüzde 90 daha az günlük gürültüsü.

UFW mu yoksa nftables mi — hangisi?

Öğrenen veya tek VPS çalıştıran biri için UFW — kullanıcı dostu bir sarmalayıcıdır, sözdizimi insan tarafından okunabilir ve altta iptables veya nftables üzerinde çalışır. Daha sıkı kural bileşimi, anonim kümeler istiyorsanız veya birden fazla sunucu çalıştırıyor ve tutarlılık istiyorsanız doğrudan nftables. Her ikisi de aynı çekirdek düzeyi sonucunu üretir.

Çekirdek için de unattended-upgrades çalıştırmalı mıyım?

Güvenlik yamaları evet — kritik CVE'leri kapatır ve alternatif onları açık bırakmaktır. Tam çekirdek paketi güncellemeleri daha risklidir çünkü geçerli olması için yeniden başlatma gerektirir; unattended-upgrades varsayılan olarak sizin için yeniden başlatmaz. /etc/apt/apt.conf.d/50unattended-upgrades dosyasını okuyun ve karar verin: NordBastion müşterilerinin çoğu otomatik yapılandırmayı "yalnızca güvenlik" olarak bırakır ve sessiz bir zaman diliminde aylık olarak elle yeniden başlatır.

Şifre kimlik doğrulamasını zaten devre dışı bıraktıysam fail2ban gerekli mi?

Kesinlikle zorunlu değil — parola kimlik doğrulaması devre dışıyken SSH'a kaba kuvvet saldırısı başarıya ulaşamaz. Fail2ban, diğer servisler için (posta, web uygulaması giriş sayfaları, kimlik bilgisi katmanı olan her şey) hâlâ faydalıdır. Ucuz sigorta: apt install fail2ban, varsayılanları kabul edin, devam edin. Kurulumun aldığı 30 saniye, sunduğu daha temiz loglar ve ek servis koruması için değerlidir.

Tam disk şifreleme hakkında?

İlk saatin parçası değil — kullanıcı tarafından tutulan anahtarla tam disk şifrelemesi ya özel ISO kurulumu (birinin yazmak zorunda olduğu parola ile başlangıçta LUKS bağlama) ya da yaklaşan NordBastion LUKS-on-provision seçeneği (panel yol haritası) gerektirir. Şimdilik diski NordBastion tarafından okunabilir olarak değerlendirin (mahkeme celbinin olası olmayan durumunda) ve NordBastion'ın yargısal korumasını güvenli tutan katman olarak değerlendirin. Tehdit modeliniz başlatmadan önce FDE gerektiriyorsa, kurtarma ISO'su aracılığıyla LUKS kök birimine Debian kurun ve her başlangıçta panel konsolu aracılığıyla kilidini açın — uygulanabilir ama operasyonel yükte anlamlı değişiklik.

Snapshot'ları ne sıklıkla almalıyım?

Üç kullanışlı ritim. (1) Her anlamlı değişiklikten önce (paket yükseltme, yapılandırma düzenleme, işletim sistemi yükseltme). (2) Programlı olarak — herhangi bir üretim iş yükü için haftada bir makul bir varsayılandır. (3) Her yedek doğrulama tatbikatından önce, geri yüklemenin işe yaradığını kanıtlayabilmek için. NordBastion anlık görüntüleri konak dışı ve şifreli; VPS diskinizi tüketmez ve yaklaşık 90 saniyede geri yüklenebilir.

VPS'i izlemeli miyim ve nasıl?

İlk saat için: henüz değil — sertleştirmeyi tamamlayın, iş yükünü çalışır hale getirin, ardından izlemeye değer bir şeyiniz olduğunda izleme ekleyin. Hafif seçenekler: ikinci küçük bir VPS'de node_exporter + Prometheus + Grafana, tek ikili kendi barındırmalı gösterge paneli olarak Netdata veya daha da basit, genel portları ping'leyen ücretsiz katmanlı harici uptime denetleyicisi (UptimeRobot, BetterStack). Birini seçin, yapılandırın ve unutun — izleme sessiz kaldığında en kullanışlıdır.

İleri

Sunucu güçlendirildi. Şimdi üzerinde bir şeyler inşa edin.

WireGuard VPN Tor hidden service Lightning node Mastodon Katalog

Son inceleme · 2026-05-20 · Test edildi · Debian 12 · Ubuntu 22.04 / 24.04 · Alpine 3.19+

Part of the series

Anonymous VPS hosting in 2026 — the cluster.

This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.

Sütun rehberi
Read the pillar · Anonymous VPS hosting in 2026

Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.

Open the pillar
Fundamentals
No-KYC VPS, explained

What “no KYC” actually means — and what it does not.

Continue →
Fundamentals
Nordic jurisdictions for privacy hosting

Why Sweden, Finland, Norway and Iceland — the legal floor of each.

Continue →
Ödemeler
How to pay a VPS with Monero

XMR end-to-end — wallet, transfer, confirmations, change.

Continue →
Ödemeler
How to pay a VPS with Bitcoin Lightning

Lightning invoice → paid VPS in under 30 seconds.

Continue →