Yeni veya Mevcut bir VPS’e SSH Anahtarları Nasıl Eklenir

SSH anahtarları, kimliğinizi ağ üzerinden parola iletmeden doğrulayan kriptografik anahtar çiftleridir — sunucuda saklanan bir genel anahtar ve yerel makinenizde tutulan bir özel anahtar. Bağlandığınızda, sunucu yalnızca özel anahtarınızın çözebileceği bir kriptografik meydan okuma gönderir ve yanıt geçerliyse erişim verilir. Bu mekanizma, SSH anahtar kimlik doğrulamasını kaba kuvvet saldırılarına, kimlik bilgisi doldurma saldırılarına ve ortadaki adam müdahalelerine karşı parola tabanlı herhangi bir şemadan temelden daha dirençli kılar.

Bu kılavuz, hem yeni hem de mevcut VPS örneklerinde SSH anahtar kimlik doğrulaması oluşturma, dağıtma ve güçlendirme sürecinin tamamını kapsamaktadır — çoğu öğreticinin tamamen atladığı uç durumlar, izin tuzakları ve çoklu anahtar yönetimi dahil.

SSH Anahtarlarının Parolalara Göre Mimari Üstünlüğü

Parola kimlik doğrulaması, bir sırrı (veya karmasını) ağ üzerinden gönderir ve sunucunun doğrulanabilir bir kimlik bilgisi depolamasına dayanır. SSH açık anahtar kimlik doğrulaması, özel anahtarı hiçbir zaman açığa çıkarmaz — ne oluşturma sırasında, ne oturum açma sırasında, ne de hiçbir zaman. Özel anahtar asla yerel makinenizden ayrılmaz.

Ham güvenliğin ötesinde, SSH anahtarları parolaların sağlayamadığı operasyonel yeteneklerin kilidini açar:

• Gözetimsiz otomasyon — CI/CD ardışık düzenleri, Ansible playbook’ları ve cron tabanlı rsync işleri etkileşimsiz kimlik doğrulama gerektirir. Parolalar bunu tamamen engeller.
• Ayrıntılı erişim kontrolü — Her authorized_keys girişi, belirli bir anahtarın ne yapmasına izin verildiğini tam olarak sınırlayan command=, from= ve no-pty kısıtlamaları taşıyabilir.
• Denetlenebilirlik — Paylaşılan bir parolayı değiştirmeden ve diğer tüm kullanıcıları veya komut dosyalarını etkilemeden bireysel anahtarlar iptal edilebilir.
• Kimlik avına karşı direnç — Sahte bir oturum açma sayfası aracılığıyla çalınacak bir parola yoktur.

Ön Koşullar

Devam etmeden önce aşağıdakileri doğrulayın:

• Çalışan bir VPS‘iniz var veya bir tane sağlama sürecindeysiniz.
• Yerel makineniz OpenSSH yüklü Linux, macOS veya Windows çalıştırıyor (Windows 10/11 varsayılan olarak OpenSSH ile birlikte gelir; ssh -V ile doğrulayın).
• Hedef sunucuya root veya sudo erişiminiz var.
• Özel anahtarınızı alternatif bir oturum açma yöntemi olmadan (konsol erişimi, kurtarma anahtarı) kaybetmenin sizi kalıcı olarak kilitleyebileceğini anlıyorsunuz.

Doğru Anahtar Algoritmasını Seçme

Orijinal ssh-keygen -t rsa -b 4096 komutu sağlamdır ancak tek seçenek değildir. Ödünleşimleri anlamak, ortamınız için doğru seçimi yapmanıza yardımcı olur.

Ed25519, önerilen algoritmadır ve OpenSSH 6.5 veya sonrasını çalıştıran herhangi bir sunucu için geçerlidir (2014’te yayımlandı). RSA 4096’yı yalnızca eliptik eğri anahtarlarını desteklemeyen eski sistemlere bağlanırken kullanın.

Bölüm 1: Yeni Bir VPS’e SSH Anahtarları Ekleme

Birçok barındırma kontrol paneli, örnek önyüklenmeden önce sağlama zamanında bir genel anahtar eklemenize olanak tanır. Bu en temiz yaklaşımdır — anahtar görüntüye yerleştirilir ve parola kimlik doğrulamasının hiçbir zaman etkinleştirilmesi gerekmeyebilir.

Adım 1: SSH Anahtar Çiftinizi Oluşturun

Yerel makinenizde bir terminal açın. Bir Ed25519 anahtar çifti oluşturun:

ssh-keygen -t ed25519 -C "your_email@example.com"

Uyumluluk nedenleriyle RSA’ya ihtiyaç duyarsanız:

ssh-keygen -t rsa -b 4096 -C "your_email@example.com"

Dosya konumu sorulduğunda, varsayılanı kabul etmek için Enter’a basın (~/.ssh/id_ed25519 veya ~/.ssh/id_rsa). Parola sorulduğunda, bir tane belirleyin — bu, özel anahtarı diskte şifreler, böylece dizüstü bilgisayarınız çalınsa bile anahtar parola olmadan işe yaramaz. SSH ajanınız (ssh-agent), şifresi çözülmüş anahtarı bellekte önbelleğe alır, böylece parolayı oturum başına yalnızca bir kez yazarsınız.

Oluşturulan dosyaları doğrulayın:

ls -la ~/.ssh/

Şunları göreceksiniz:

• id_ed25519 — özel anahtarınız (izinler 600 olmalıdır; bu dosyayı asla paylaşmayın)
• id_ed25519.pub — genel anahtarınız (her yere kopyalamak güvenlidir)

Kopyalamak için genel anahtarı görüntüleyin:

cat ~/.ssh/id_ed25519.pub

Çıktı şöyle görünür:

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAI... your_email@example.com

Bu dizinin tamamını kopyalayın — barındırma panelinize yapıştıracaksınız.

Adım 2: VPS Sağlama Sırasında Genel Anahtarı Ekleyin

Barındırma kontrol panelinize giriş yapın. VPS oluşturma iş akışı sırasında:

1. İşletim sisteminizi seçin (Ubuntu 22.04 LTS, Debian 12, Rocky Linux 9, vb.).
2. SSH Anahtarı veya Kimlik Doğrulama bölümünü bulun.
3. id_ed25519.pub dosyasının tam içeriğini sağlanan alana yapıştırın.
4. Kalan yapılandırmayı tamamlayın (plan, bölge, ana bilgisayar adı).

VPS önyüklendiğinde, sağlama sistemi genel anahtarınızı otomatik olarak /root/.ssh/authorized_keys dosyasına yazar. Parola girişi gerekmez.

Adım 3: Yeni Sağlanan VPS’e Bağlanın

ssh root@your_vps_ip

Varsayılan olmayan bir anahtar dosya adı kullandıysanız, açıkça belirtin:

ssh -i ~/.ssh/id_ed25519 root@your_vps_ip

Parola istemi olmadan başarılı bir bağlantı, anahtarın doğru şekilde eklendiğini doğrular. Bir parola belirlediyseniz, SSH ajanınız veya yerel bir parola istemi bunu yerel olarak yönetir.

Bölüm 2: Mevcut Bir VPS’e SSH Anahtarları Ekleme

VPS’iniz zaten parola kimlik doğrulamasıyla çalışıyorsa, genel anahtarı manuel olarak dağıtmanız gerekir. Bu iki aşamalı bir süreçtir: anahtarı kopyalayın, ardından isteğe bağlı olarak SSH arka plan programını güçlendirin.

Adım 1: Anahtar Çifti Oluşturun (Eğer Yoksa)

Yukarıdaki Bölüm 1’deki Adım 1 ile aynı süreci izleyin. Zaten bir anahtar çiftiniz varsa, genel anahtarınızı alın:

cat ~/.ssh/id_ed25519.pub

Adım 2: Genel Anahtarı Sunucuya Kopyalayın

Yöntem A — ssh-copy-id (Önerilen)

ssh-copy-id yardımcı programı, dizin oluşturma, dosya ekleme ve izin ayarlamayı otomatik olarak yönetir:

ssh-copy-id -i ~/.ssh/id_ed25519.pub root@your_vps_ip

İstendiğinde parolanızı girin. Araç, anahtarı uzak sunucudaki ~/.ssh/authorized_keys dosyasına ekler ve doğru izinleri ayarlar. Bu, mevcut anahtarların yanlışlıkla üzerine yazılmasını önlediği için en güvenli yöntemdir.

Yöntem B — Manuel Dağıtım

ssh-copy-id kullanılamadığında bunu kullanın (örneğin, bazı Windows ortamlarında veya kısıtlı ağlarda):

cat ~/.ssh/id_ed25519.pub | ssh root@your_vps_ip "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"

Bu tek ardışık düzen, üzerine yazmak yerine ekleme yaptığı için uzak sunucuda bir metin düzenleyici açmaktan daha güvenlidir.

Yöntem C — Metin Düzenleyici Aracılığıyla Manuel (Yedek)

Parolanızla sunucuya giriş yapın:

ssh root@your_vps_ip

Mevcut değilse .ssh dizinini oluşturun:

mkdir -p ~/.ssh
chmod 700 ~/.ssh

authorized_keys dosyasını bir metin düzenleyicide açın:

nano ~/.ssh/authorized_keys

Genel anahtarınızı yeni bir satıra yapıştırın. Ctrl+X ile kaydedin, ardından Y, ardından Enter. İzinleri ayarlayın:

chmod 600 ~/.ssh/authorized_keys

Oturumu kapatın:

exit

Adım 3: Anahtar Tabanlı Girişi Doğrulayın

SSH arka plan programında başka değişiklikler yapmadan önce bağlantıyı test edin. Yeni bir terminal penceresi açın (mevcut oturumunuzu henüz kapatmayın):

ssh -i ~/.ssh/id_ed25519 root@your_vps_ip

Parola istemi olmadan bağlanırsanız, anahtar çalışıyor demektir. Bunu onayladıktan sonra aşağıdaki güçlendirme adımlarına geçin.

Kritik tuzak: Anahtar erişimini doğrulamadan parola kimlik doğrulamasını devre dışı bırakırsanız ve anahtar dağıtımı herhangi bir nedenle başarısız olduysa, kendinizi kilitlersiniz. Her zaman önce test edin.

Adım 4: SSH Arka Plan Programı Yapılandırmasını Güçlendirin

Anahtar tabanlı erişim onaylandıktan sonra SSH arka plan programı yapılandırma dosyasını açın:

nano /etc/ssh/sshd_config

Aşağıdaki ayarları uygulayın:

PasswordAuthentication no
PubkeyAuthentication yes
PermitRootLogin prohibit-password
AuthorizedKeysFile .ssh/authorized_keys
ChallengeResponseAuthentication no
UsePAM yes

Bu yönergeler hakkında önemli notlar:

• PermitRootLogin prohibit-password, anahtar aracılığıyla root girişine izin verir ancak root parola girişini engeller — root olmayan bir sudo kullanıcısı kurma aşamasındayken PermitRootLogin no‘dan daha iyi bir orta yoldur.
• ChallengeResponseAuthentication no, bazı PAM yapılandırmalarında PasswordAuthentication no‘ı atlayabilen klavye etkileşimli kimlik doğrulamasını devre dışı bırakır.
• Ubuntu 22.04+’da, /etc/ssh/sshd_config.d/50-cloud-init.conf dosyası ayarlarınızı geçersiz kılabilir. Gerekirse kontrol edin ve düzenleyin.

Yeniden başlatmadan önce yapılandırma sözdizimini doğrulayın:

sshd -t

Hata bildirilmezse SSH hizmetini yeniden başlatın:

systemctl restart sshd

sshd.service yerine ssh.service kullanan sistemlerde:

systemctl restart ssh

Birden Fazla SSH Anahtarı ve Kullanıcı Yönetimi

Gerçek dünya ortamları nadiren tek bir anahtar ve tek bir kullanıcı içerir. Daha karmaşık senaryoların nasıl ele alınacağı aşağıda açıklanmıştır.

Birden Fazla Kullanıcı İçin Anahtar Ekleme

Her kullanıcı hesabının kendi ~/.ssh/authorized_keys dosyası vardır. deploy adlı root olmayan bir kullanıcı için anahtar eklemek üzere:

mkdir -p /home/deploy/.ssh
chmod 700 /home/deploy/.ssh
echo "ssh-ed25519 AAAAC3... deploy@ci-server" >> /home/deploy/.ssh/authorized_keys
chmod 600 /home/deploy/.ssh/authorized_keys
chown -R deploy:deploy /home/deploy/.ssh

chown adımı sıklıkla atlanır ve kimlik doğrulama hatalarına neden olur — SELinux ve OpenSSH, authorized_keys dosyasının kimlik doğrulayan kullanıcıya ait olduğunu doğrular.

Bir Anahtarın Yapabileceklerini Kısıtlama

Yeteneklerini sınırlamak için authorized_keys dosyasındaki herhangi bir satırın önüne seçenekler ekleyebilirsiniz. Bu, özellikle dağıtım anahtarları veya yedekleme otomasyonu için kullanışlıdır:

command="/usr/bin/rsync --server --daemon .",no-pty,no-agent-forwarding,no-X11-forwarding ssh-ed25519 AAAAC3... backup@monitoring

Bu anahtar yalnızca rsync’i arka plan programı modunda çalıştırabilir — başka hiçbir şey yapamaz.

Daha Temiz Bağlantılar İçin ~/.ssh/config Kullanımı

Uzun ssh komutları yazmak yerine, yerel makinenizde ana bilgisayar takma adları tanımlayın:

Host myserver
    HostName 203.0.113.45
    User root
    IdentityFile ~/.ssh/id_ed25519
    Port 22

Bunu ~/.ssh/config dosyasına kaydettikten sonra, yalnızca şununla bağlanın:

ssh myserver

Parolaları Önbelleğe Almak İçin ssh-agent Kullanımı

Özel anahtarınızın bir parolası varsa (olmalıdır), tekrar tekrar sorulmamak için ajana ekleyin:

eval "$(ssh-agent -s)"
ssh-add ~/.ssh/id_ed25519

macOS’ta, yeniden başlatmalar arasında kalıcı olması için --apple-use-keychain ekleyin:

ssh-add --apple-use-keychain ~/.ssh/id_ed25519

Yaygın Tuzaklar ve Sorun Giderme

Sorun: Anahtar eklendikten sonra hâlâ parola isteniyor

Tanı koymak için bağlantıyı ayrıntılı çıktıyla çalıştırın:

ssh -vvv root@your_vps_ip

Offering public key ve Server accepts key gibi satırlara bakın. Anahtar sunuluyorsa ancak reddediliyorsa, sorun neredeyse her zaman sunucudaki dosya izinleridir.

Sunucudaki izinleri kontrol edin:

ls -la ~/.ssh/
stat ~/.ssh/authorized_keys

Gerekli izinler:

• ~/.ssh/ — 700 (drwx——)
• ~/.ssh/authorized_keys — 600 (-rw——-)
• Ana dizin ~/ — dünya tarafından yazılabilir olmamalıdır (755 veya 750)

Sorun: RHEL/Rocky/AlmaLinux’ta SELinux kimlik doğrulamayı engelliyor

restorecon -Rv ~/.ssh

Sorun: authorized_keys dosyasında Windows satır sonları (CRLF) var

Dosyayı Windows’ta düzenleyip aktardıysanız, satır sonları bozulmuş olabilir. Şununla düzeltin:

sed -i 's/r//' ~/.ssh/authorized_keys

Sorun: Yanlış anahtar sunuluyor

Birden fazla anahtarınız varsa, doğru olanı açıkça belirtin:

ssh -i ~/.ssh/id_ed25519 root@your_vps_ip

Veya yukarıda gösterildiği gibi ~/.ssh/config dosyasında yapılandırın.

Barındırma Altyapınız Bağlamında SSH Anahtarları

SSH anahtar kimlik doğrulaması yalnızca tek sunucu kaygısı değildir — tüm altyapınıza ölçeklenir. Bir özel sunucu filosu yönetiyorsanız, yetkili anahtarları dağıtmak ve döndürmek için Ansible, Puppet veya bir sır yöneticisi (HashiCorp Vault, AWS Secrets Manager) kullanan merkezi bir yaklaşım zorunludur.

cPanel ile VPS üzerinde web uygulamaları çalıştıran ekipler için, cPanel’in Güvenlik bölümündeki SSH Erişimi arayüzü, anahtar çiftleri oluşturmak ve yönetmek için bir GUI sağlar — komut satırına alışkın olmayan ancak yine de güvenli erişime ihtiyaç duyan geliştiriciler için kullanışlıdır.

GPU barındırma altyapısında GPU yoğun iş yükleri çalıştırıyorsanız, SSH anahtar kimlik doğrulaması özellikle kritiktir çünkü bu örnekler genellikle uzun süreli, gözetimsiz işler çalıştırır. Bir GPU sunucusunda ele geçirilen bir kimlik bilgisi, veri açığa çıkmasına ek olarak önemli yetkisiz hesaplama maliyetlerine yol açabilir.

SSH güçlendirmeyi aynı sunucuda çalışan web’e yönelik hizmetlerde geçerli bir SSL sertifikası ile eşleştirmek, en yaygın iki saldırı vektörünü aynı anda kapatır — kimliği doğrulanmamış kabuk erişimi ve şifrelenmemiş HTTP trafiği.

SSH erişimine de ihtiyaç duyan paylaşımlı web barındırma kullanan projeler için, sağlayıcınızın barındırma paneli aracılığıyla SSH anahtar enjeksiyonunu destekleyip desteklemediğini kontrol edin; paylaşımlı ortamlar genellikle SSH’yi sınırlı kabuk erişimine sahip belirli kullanıcılarla kısıtlar.

Anahtar Rotasyonu ve Uzun Vadeli Anahtar Yönetimi

SSH anahtarları otomatik olarak sona ermez. Bir rotasyon politikası olmadan, yıllar önce ele geçirilmiş bir anahtar hâlâ erişim sağlıyor olabilir. Şu uygulamaları benimseyin:

• Anahtarları yıllık olarak döndürün veya ele geçirilme şüphesi durumunda hemen döndürün.
• Tüm sunucularda authorized_keys dosyalarını düzenli olarak denetleyin. Eski çalışanlara veya hizmet dışı bırakılmış hizmetlere ait anahtarları kaldırın.
• Cihaz başına ayrı anahtar kullanın — aynı özel anahtarı birden fazla dizüstü bilgisayara veya sunucuya kopyalamayın. Bir cihaz kaybolursa, yalnızca o anahtarı iptal edersiniz.
• Rol başına ayrı anahtar kullanın — kişisel erişim anahtarınız, CI/CD dağıtım anahtarınız ve yedekleme otomasyon anahtarınızın hepsi farklı olmalıdır.
• Anahtar sahipliğini belgeleyin — her genel anahtar parmak izini sahibine, amacına ve son kullanma tarihine eşleyen bir kayıt tutun.

Denetim için bir anahtarın parmak izini görüntülemek üzere:

ssh-keygen -lf ~/.ssh/id_ed25519.pub

Teknik Karar Kontrol Listesi

SSH anahtar kurulumunuzu tamamlamadan önce bu matrisi kullanın:

• Algoritma: OpenSSH 6.5’ten eski sistemlere bağlanmıyorsanız Ed25519 kullanın; yedek olarak RSA 4096 kullanın.
• Parola: İnsanlar tarafından kullanılan özel anahtarlarda her zaman bir parola belirleyin; otomasyon tarafından kullanılan hizmet anahtarları, bir sır yöneticisinde depolanıyorsa parolasız olabilir.
• Dağıtım yöntemi: Etkileşimli kurulumlar için ssh-copy-id kullanın; filo dağıtımları için yapılandırma yönetimi (Ansible, Puppet) kullanın.
• İzin doğrulama: Parola kimlik doğrulamasını devre dışı bırakmadan önce 700 üzerinde ~/.ssh/, 600 üzerinde authorized_keys ve doğru sahipliği onaylayın.
• Kilitlemeden önce test edin: PasswordAuthentication no ayarlamadan önce her zaman ayrı bir terminal oturumunda anahtar girişini doğrulayın.
• Arka plan programı yapılandırma doğrulaması: Sözdizimi hatalarını yakalamak için SSH hizmetini yeniden başlatmadan önce sshd -t çalıştırın.
• Parola kimlik doğrulamasını devre dışı bırakın: PasswordAuthentication no ve ChallengeResponseAuthentication no birlikte ayarlayın — PAM etkin sistemlerde tek başına biri yetersizdir.
• Root giriş politikası: PermitRootLogin prohibit-password yerine PermitRootLogin yes tercih edin; root olmayan bir sudo kullanıcısına geçin ve son güçlendirilmiş durum olarak PermitRootLogin no ayarlayın.
• Anahtar rotasyonu: Yıllık rotasyon planlayın; cihaz kaybı veya personel değişikliğinde hemen iptal edin.
• Denetim: Sistemdeki tüm yetkili anahtarları gözden geçirmek için periyodik olarak grep -r "" /home/*/.ssh/authorized_keys /root/.ssh/authorized_keys çalıştırın.

SSS

Aynı sunucuya birden fazla SSH anahtarı ekleyebilir miyim?

Evet. ~/.ssh/authorized_keys dosyasındaki her satır, yetkili bir genel anahtarı temsil eder. İhtiyaç duyduğunuz kadar anahtar ekleyebilirsiniz — her satıra bir tane. Bu, birden fazla yöneticinin veya birden fazla cihazın bağımsız olarak kimlik doğrulamasına olanak tanır ve diğerlerini etkilemeden herhangi bir anahtarı satırını silerek iptal edebilirsiniz.

Parola kimlik doğrulamasını devre dışı bıraktıktan sonra özel anahtarımı kaybedersem ne olur?

SSH’den kilitlenirsiniz. Kurtarma, sunucuya bant dışı bir yöntemle erişmeyi gerektirir: barındırma sağlayıcınızın web konsolu, VNC veya bir kurtarma/yeniden başlatma ortamı. Buradan parola kimlik doğrulamasını yeniden etkinleştirebilir veya yeni bir genel anahtar ekleyebilirsiniz. Bu nedenle konsol erişim kimlik bilgilerini güvenli ve ayrı tutmak zorunludur.

Ed25519 tüm sunucularda destekleniyor mu?

Ed25519, Ocak 2014’te yayımlanan OpenSSH 6.5 veya sonrasını gerektirir. Modern bir Linux dağıtımı çalıştıran herhangi bir sunucu (Ubuntu 18.04+, Debian 9+, CentOS 7+, Rocky Linux 8+) bunu destekler. RSA gerektiren tek senaryo, gerçekten eski sistemlere veya güncel olmayan OpenSSH derlemelerine sahip gömülü cihazlara bağlanmaktır.

SSH anahtarı eklemek otomatik olarak parola girişini devre dışı bırakır mı?

Hayır. authorized_keys dosyasına anahtar eklemek, anahtar tabanlı girişi etkinleştirir ancak parola kimlik doğrulamasını devre dışı bırakmaz. Yalnızca anahtar erişimini zorunlu kılmak için PasswordAuthentication no dosyasında /etc/ssh/sshd_config ayarını açıkça yapmanız ve SSH arka plan programını yeniden başlatmanız gerekir.

Aynı SSH anahtar çiftini birden fazla sunucu için kullanabilir miyim?

Teknik olarak evet, ancak üretim ortamları için önerilmez. Tek bir anahtarı birçok sunucuda kullanmak, bir özel anahtarın ele geçirilmesinin hepsine erişim sağladığı anlamına gelir. Daha iyi uygulama, cihaz başına anahtar kullanmaktır (her iş istasyonu veya dizüstü bilgisayar için bir anahtar); böylece bir cihazın kaybolması, anahtarları her yerde aynı anda değiştirmek yerine yalnızca o anahtarın sunucu filosunuzda iptal edilmesini gerektirir.