cPanel Hosting İçin Güvenlik Duvarı Nasıl Yapılandırılır

Bir cPanel sunucusunu düzgün yapılandırılmış bir güvenlik duvarı olmadan güvence altına almak, bir veri merkezinin ön kapısını kilitlemeden bırakmak gibidir. ConfigServer Security & Firewall (CSF), cPanel ve WHM ortamlarını güçlendirmek için fiili standarttır — doğrudan WHM'nin arayüzüne entegre olur, iptables (veya daha yeni çekirdeklerde nftables) üzerine sarılır ve gerçek zamanlı saldırı tespitini yöneten Login Failure Daemon (LFD) adlı bir yardımcı daemon ile birlikte gelir. Bu kılavuz, eksiksiz ve üretim kalitesinde bir CSF dağıtımını ele alır: kurulum, kural mimarisi, gelişmiş tehdit azaltma ve süregelen bir bakım iş akışı.

İster cPanel ile VPS çalıştırıyor olun, ister tam bir Dedicated Server, yapılandırma ilkeleri aynıdır. Fark şudur: özel bir makinede münhasır çekirdek erişiminiz vardır; bu da CSF'nin daha agresif bağlantı takibi ve SYN flood koruma özelliklerinin komşu kiracıları etkilemeden daha yoğun kullanılabileceği anlamına gelir.

cPanel Sunucularında Yazılım Güvenlik Duvarı Neden Zorunludur

cPanel, tasarım gereği geniş bir saldırı yüzeyi ortaya koyar. Varsayılan bir kurulum düzinelerce servis portunu açar — WHM (2086/2087), cPanel (2082/2083), FTP (21), mail gönderimi (587), IMAP (993), POP3 (995) ve daha fazlası. Her açık port potansiyel bir giriş vektörüdür. Bu servisler önünde durum bilgili bir paket filtresi olmadan:

• SSH, FTP ve webmail’e yönelik kaba kuvvet saldırıları sessizce başarıya ulaşır
• Kimlik bilgisi doldurma botları xmlapi ve cpsrvd uç noktalarını sürekli zorlar
• Amplifikasyon tabanlı DDoS trafiği, uygulama katmanı yanıt veremeden önce NIC’i doyurur
• Ele geçirilmiş paylaşımlı barındırma hesapları sunucu genelinde yanal hareket edebilir

Ağ kenarındaki bir donanım güvenlik duvarı yardımcı olur, ancak uygulama katmanı bağlamını göremez — bir IP’nin 60 saniyede 20 ardışık IMAP girişini başarısız yaptığını bilemez. CSF + LFD, ana bilgisayar düzeyinde çalışır ve tam olarak bu tür davranışsal sinyallere tepki verir.

CSF ile Diğer cPanel Güvenlik Duvarı Seçeneklerinin Karşılaştırması

CSF, bir cPanel ortamı için önemli olan her alanda üstündür. firewalld veya ufw tercih etmenin tek nedeni, cPanel dışı bir yapı çalıştırıyor olmanız ve daha hafif bir araç istemenizdir.

Adım 1: Kurulum Öncesi Kontrol Listesi

Tek bir komuta dokunmadan önce bu kontrolleri tamamlayın. Bunları atlamak, yöneticilerin üretim sunucularından yanlışlıkla kendilerini kilitlemesine neden olur.

Bant dışı erişiminizi doğrulayın. Barındırma sağlayıcınızın konsoluna (KVM over IP, IPMI veya web tabanlı VNC konsolu) erişiminiz olduğunu onaylayın. CSF test sırasında IP’nizi engellerse, konsol erişimi kurtarma yolunuzdur.

Yönetim IP adresinizi kaydedin. Yerel makinenizden aşağıdakini çalıştırın:

curl -4 ifconfig.me

Bu IP’yi, zorlama modunu etkinleştirmeden önce CSF’de beyaz listeye alacaksınız.

Mevcut iptables durumunu kontrol edin:

iptables -L -n --line-numbers

Başka bir güvenlik duvarı aracı (APF, firewalld) zaten aktifse, kural çakışmalarını önlemek için CSF’yi kurmadan önce durdurun ve devre dışı bırakın.

Perl’in kurulu olduğunu onaylayın (CSF Perl tabanlıdır):

perl -v

Yeni bir CentOS/AlmaLinux/CloudLinux sisteminde Perl varsayılan olarak mevcuttur. Minimal Ubuntu yapılarında apt install perl ile kurabilirsiniz.

Adım 2: cPanel Sunucunuza CSF Kurulumu

SSH üzerinden root olarak sunucunuza bağlanın:

ssh root@YOUR_SERVER_IP

İndirin, çıkarın ve yükleyiciyi çalıştırın:

cd /usr/src
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

Yükleyici CSF’yi bir sistem servisi olarak kaydeder, WHM eklentisini kurar ve birincil yapılandırma dosyasını /etc/csf/csf.conf konumuna yerleştirir.

Gerekli tüm Perl modüllerinin mevcut olduğunu onaylamak için yerleşik bağımlılık kontrolünü çalıştırın:

perl /usr/local/csf/bin/csftest.pl

FATAL olarak işaretlenen her satır, devam etmeden önce çözülmelidir. WARN olarak işaretlenen satırlar isteğe bağlı özelliklerdir — bunları inceleyin, ancak CSF’nin çalışmasını engellemezler.

Kurulu sürümü doğrulayın:

csf -v

Adım 3: /etc/csf/csf.conf İçinde Temel Yapılandırma

Ana yapılandırma dosyasını tercih ettiğiniz düzenleyicide açın:

nano /etc/csf/csf.conf

Dosya kapsamlı yorumlar içermektedir. Aşağıdaki direktifler en yüksek güvenlik etkisine sahiptir ve her yeni dağıtımda gözden geçirilmelidir.

Test Modu

CSF ilk kurulduğunda TESTING = "1" varsayılan olarak ayarlanmıştır. Bu modda LFD başlamaz ve hiçbir engelleme uygulanmaz — kurallar yüklenir ancak geçicidir. Yönetim IP’nizi beyaz listeye ekleyip tüm port kurallarını doğrulamadan test modunu devre dışı bırakmayın.

TESTING = "0"   # Set this only after full validation

Gelen ve Giden Port İzin Listeleri

TCP_IN ve TCP_OUT, her yönde hangi TCP portlarına izin verileceğini tanımlar. Minimal ama işlevsel bir cPanel sunucusu şunlara ihtiyaç duyar:

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,2077,2078,2082,2083,2086,2087,2095,2096"
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"
UDP_IN = "20,21,53"
UDP_OUT = "20,21,53,113,123"

Kritik operasyonel not: Port 2087, WHM SSL’dir. Port 2083, cPanel SSL’dir. IP’nizi beyaz listeye almadan önce bunları TCP_IN‘den kaldırırsanız, kontrol paneline erişiminizi hemen kaybedersiniz. Port 123 (UDP çıkış), NTP’dir — bunu kaldırmak zaman senkronizasyonunu bozar; bu da SSL sertifika doğrulama hatalarına ve posta teslim redlerine yol açar.

Aktif olarak kullanılmayan her portu kapatın. Bu listeyi sonlandırmadan önce gerçekte neyin dinlediğini denetlemek için ss -tlnp çalıştırın.

Yönetim IP’nizi Beyaz Listeye Alma

Test modunu devre dışı bırakmadan önce IP’nizi /etc/csf/csf.allow‘e ekleyin:

echo "YOUR.MANAGEMENT.IP # My office IP" >> /etc/csf/csf.allow

Alternatif olarak, CSF komutunu doğrudan kullanın:

csf -a YOUR.MANAGEMENT.IP "Management workstation"

Beyaz listedeki IP’ler tüm LFD engellemelerini ve tüm hız sınırlama kurallarını atlar. Bu listeyi minimal tutun — her giriş, güvenlik politikanıza kalıcı bir istisnadır.

Bilinen Kötü Amaçlı IP’leri Engelleme

Kalıcı engellemeler /etc/csf/csf.deny‘e gider:

csf -d MALICIOUS.IP.ADDRESS "Confirmed scanner"

Tehdit istihbarat akışlarından (Spamhaus DROP, Emerging Threats vb.) toplu içe aktarmalar için CIDR’leri doğrudan /etc/csf/csf.deny‘e ekleyin ve yeniden yükleyin:

csf -r

Adım 4: Login Failure Daemon (LFD) Yapılandırması

LFD, CSF’nin davranışsal saldırı tespit bileşenidir. Sistem log dosyalarını gerçek zamanlı olarak takip eder, kaynak IP başına kimlik doğrulama başarısızlıklarını sayar ve bir eşik aşıldığında geçici bir engelleme tetikler. Bu, kimlik bilgisi kaba kuvvet saldırılarına karşı birincil savunmanızdır.

csf.conf içindeki temel LFD direktifleri:

Bilinmesi gereken uç durum: Sunucunuz bir NAT ağ geçidinin veya paylaşımlı bir ofis yönlendiricisinin arkasındaysa, birden fazla meşru kullanıcı aynı harici IP’yi paylaşır. LF_TRIGGER‘yi çok düşük ayarlamak, birkaç yazım hatasından sonra tüm ofisinizi engeller. Ya eşiği yükseltin ya da ofis IP’sini csf.allow‘de beyaz listeye alın.

LFD ayrıca şüpheli süreçleri, dizin izleme olaylarını ve dosya değişikliği tespitini (LF_DIRWATCH ve LF_INTEGRITY özellikleri) izler. Sistem ikili dosyalarına yetkisiz değişiklikleri tespit etmek için LF_INTEGRITY‘i etkinleştirin:

LF_INTEGRITY = "3600"   # Check every hour

Adım 5: Gelişmiş Tehdit Azaltma Özellikleri

SYN Flood Koruması

SYN flood saldırıları, el sıkışmayı tamamlamadan büyük hacimde SYN paketi göndererek TCP bağlantı tablosunu tüketir. CSF’nin yerleşik azaltmasını etkinleştirin:

SYNFLOOD = "1"
SYNFLOOD_RATE = "100/s"
SYNFLOOD_BURST = "150"

Bu değerler, kural tetiklenmeden önce saniyede 100 yeni SYN paketine 150’lik bir patlama payıyla izin verir. Bu sayıları meşru tepe trafiğinize göre ayarlayın — bir flaş indirim sırasındaki e-ticaret sitesi daha yüksek patlama değerlerine ihtiyaç duyabilir.

Bağlantı Takibi

Bağlantı takibi, tüm portlarda tek bir IP’den gelen toplam eş zamanlı bağlantı sayısını sınırlar. Bu, yavaş hızlı DDoS saldırılarına ve bağlantı tüketimine karşı etkilidir:

CT_LIMIT = "300"
CT_INTERVAL = "30"
CT_BLOCK_TIME = "1800"
CT_SKIP_LOCAL = "1"

CT_SKIP_LOCAL, localhost ve geri döngü bağlantılarının limite sayılmasını engeller — cPanel daemon’larının dahili olarak TCP üzerinden iletişim kurduğu sunucularda bu zorunludur.

Port Tarama Tespiti

CSF, kısa bir süre içinde birden fazla portu yoklayan ana bilgisayarları tespit edip engelleyebilir:

PS_INTERVAL = "300"
PS_LIMIT = "10"
PS_BLOCK_TIME = "3600"
PS_PERMANENT = "0"

300 saniye içinde 10 veya daha fazla kapalı porta ulaşan bir IP bir saat boyunca engellenir. PS_PERMANENT = "1"‘i yalnızca meşru kullanıcılarınızın bunu yanlışlıkla tetiklemeyeceğinden eminseniz ayarlayın — bazı posta istemcileri ve izleme araçları, bağlantı müzakeresi sırasında birden fazla portu yoklar.

Ülke Düzeyinde Engelleme

Uygulamanızın belirli yüksek riskli bölgelerde meşru kullanıcıları yoksa, ülke düzeyinde engelleme log’larınızdaki gürültüyü ve LFD iş yükünü önemli ölçüde azaltır. csf.conf‘i düzenleyin:

CC_DENY = "CN,RU,KP,NG"
CC_ALLOW = ""

Ülke kodları ISO 3166-1 alfa-2 standardını izler. CSF, GeoIP verilerini otomatik olarak indirir. Burada dikkatli olun — tüm ülkeleri engellemek kaba bir araçtır. Çoğu dağıtım için daha iyi bir yaklaşım, CC_ALLOW (yalnızca kullanıcılarınızın bulunduğu ülkeleri beyaz listeye alın) ile birlikte ülke tabanlı erişimi yalnızca belirli portlarla kısıtlamak için CC_ALLOW_PORTS kullanmaktır.

SMTP Giden Kısıtlamaları

Ele geçirilmiş WordPress kurulumları ve savunmasız betikler sıklıkla spam aktarıcısı olarak kullanılır. CSF, giden SMTP’yi yalnızca yetkili posta süreçleriyle kısıtlayabilir:

SMTP_BLOCK = "1"
SMTP_ALLOWUSER = "mailman"
SMTP_ALLOWGROUP = "mail"

Bu, belirtilen kullanıcı veya grup olarak çalışan süreçler dışında port 25 üzerindeki tüm giden bağlantıları engeller. MTA’nız (cPanel’de Exim) üzerinden meşru posta teslimi etkilenmez çünkü Exim mail grubu olarak çalışır. Bu tek direktif, ele geçirilmiş hesap spam istismarının tüm bir sınıfını ortadan kaldırır.

Barındırmanızın yanında profesyonel düzeyde giden posta altyapısına ihtiyaç duyuyorsanız, işlemsel ve pazarlama postaları için sunucunuzu özel bir E-posta Barındırma çözümüyle eşleştirmeyi düşünün.

Adım 6: Yapılandırmayı Uygulama ve Test Etme

Tüm direktifleri inceledikten sonra, tam yeniden başlatma yapmadan değişiklikleri uygulamak için CSF’yi yeniden yükleyin:

csf -r

Hem CSF hem de LFD’yi tamamen yeniden başlatmak için:

csf -ra

Mevcut durumu ve aktif kural sayısını kontrol edin:

csf -l

LFD’nin çalıştığını doğrulayın:

systemctl status lfd

Harici bir IP’den test edin (beyaz listedeki yönetim IP’niz değil) ve port engellemesinin beklendiği gibi çalıştığını doğrulayın. Ayrı bir makineden nmap kullanın:

nmap -sS -p 1-65535 YOUR_SERVER_IP

Yalnızca TCP_IN‘de açıkça listelenen portlar açık görünmelidir. Diğerleri filtered döndürmelidir.

Bu doğrulama geçtikten sonra test modunu devre dışı bırakın:

# In /etc/csf/csf.conf, set TESTING = "0", then:
csf -r

Adım 7: WHM GUI Yapılandırması

Grafik arayüzü tercih eden yöneticiler için CSF, WHM’ye tam olarak entegre olur. WHM > Plugins > ConfigServer Security & Firewall bölümüne gidin. Buradan şunları yapabilirsiniz:

• Canlı engelleme listesini görüntüleyin ve IP’lerin engelini manuel olarak kaldırın
• Geçici ve kalıcı izin/reddetme girişleri ekleyin
• csf.conf sözdizimini doğrulayan bir yapılandırma kontrolü tetikleyin
• LFD log’larını sayfalandırılmış, aranabilir bir arayüzde görüntüleyin
• Birden fazla sunucu yönetiyorsanız küme senkronizasyon aracını çalıştırın

WHM arayüzü, SSH erişimi olmadan meşru bir müşteri IP’sinin engelini kaldırması gereken destek personeli için özellikle kullanışlıdır. WHM bayi hesaplarına CSF eklentisine erişimi seçici olarak verin — her bayinin güvenlik duvarı yönetim yetkisine ihtiyacı yoktur.

Adım 8: İzleme, Log Analizi ve Bakım

Gerçek Zamanlı Log İzleme

LFD, engelleme olaylarını /var/log/lfd.log‘e yazar. Aktif bir olay sırasında takip edin:

tail -f /var/log/lfd.log

CSF’nin kendi etkinlik log’u /var/log/csf.log konumundadır. Son 24 saatte en sık engellenen IP’lerin özeti için:

grep "Blocked" /var/log/lfd.log | awk '{print $NF}' | sort | uniq -c | sort -rn | head -20

E-posta Uyarıları

LFD’yi yönetim adresinize uyarı gönderecek şekilde yapılandırın:

LF_ALERT_TO = "admin@yourdomain.com"
LF_ALERT_FROM = "lfd@yourdomain.com"

Belirli uyarı türlerini etkinleştirin:

LF_EMAIL_ALERT = "1"      # Block alerts
LT_EMAIL_ALERT = "1"      # Login tracking alerts
RT_EMAIL_ALERT = "1"      # Resource usage alerts

Yoğun bir sunucuda her uyarı türünü etkinleştirmekten kaçının — uyarı yorgunluğu, yöneticilerin bildirimleri görmezden gelmesine neden olur; bu da amacı tamamen ortadan kaldırır.

CSF’yi Güncelleme

CSF sık sık güncellemeler yayınlar. Yerleşik güncelleyiciyi çalıştırın:

csf -u

Bu, en son sürümü indirir, yapılandırma dosyalarınızı korur ve servisi yeniden başlatır. Bunu haftalık bir cron işinde zamanlayın:

0 3 * * 0 /usr/sbin/csf -u >> /var/log/csf_update.log 2>&1

cPHulk ile Entegrasyon

cPanel, cPHulk adlı kendi kaba kuvvet koruma aracıyla birlikte gelir. Hem cPHulk hem de LFD’yi aynı anda çalıştırmak, gereksiz engellemeler oluşturur ve olay müdahalesi sırasında karışıklığa yol açabilir. Önerilen yaklaşım: cPHulk’u devre dışı bırakın ve yalnızca LFD’ye güvenin; LFD daha yapılandırılabilirdir ve CSF’nin birleşik engelleme listesiyle entegre olur.

cPHulk’u WHM’de Security Center > cPHulk Brute Force Protection altından devre dışı bırakın.

Çok Sunuculu Ortamlar için Güvenlik Duvarı Mimarisi

Birden fazla cPanel sunucusu yönetiyorsanız — VPS Barındırma kümeleri veya ayrı bir veritabanı sunucusuyla eşleştirilmiş birincil web sunucusu gibi yaygın bir düzen — CSF’nin küme senkronizasyon özelliği, engelleme listelerini tüm düğümlere aynı anda yaymanıza olanak tanır.

Küme üyelerini /etc/csf/csf.conf‘de yapılandırın:

CLUSTER_MASTER = "PRIMARY_SERVER_IP"
CLUSTER_SENDTO = "SECONDARY_SERVER_IP"
CLUSTER_RECVFROM = "PRIMARY_SERVER_IP"
CLUSTER_KEY = "your_shared_secret_key"

LFD birincil sunucuda bir IP’yi engellediğinde, engelleme saniyeler içinde otomatik olarak tüm küme üyelerine iletilir. Bu, web sunucunuzu yoklayan bir tarayıcının aynı zamanda veritabanı düğümünüzde SSH kaba kuvvet denemesi yaptığı durumlarda özellikle değerlidir.

Web servisleriyle birlikte çalışan yüksek trafikli ortamlar veya GPU yoğun iş yükleri için, GPU Barındırma altyapısı aynı CSF sertleştirme yaklaşımından yararlanır — güvenlik duvarı yapılandırması aynıdır, ancak meşru paralel API bağlantılarını karşılamak için CT_LIMIT değerlerinin genellikle daha yüksek olması gerekir.

SSL ve Port Güvenliği Hususları

Bir güvenlik duvarı portlara erişimi kontrol eder, ancak bu portlardaki bağlantıların kriptografik bütünlüğünü doğrulamaz. Güvenlik duvarı kurallarınız aracılığıyla açılan her servisin geçerli bir SSL/TLS sertifikasıyla da korunduğundan emin olun. Süresi dolmuş veya kendinden imzalı sertifikaya sahip açık bir port 443, kimlik avı ve MITM riski oluşturur.

Güvenlik duvarı yapılandırmanızı güvenilir bir CA’dan düzgün şekilde verilmiş sertifikalarla eşleştirin. AlexHost, açık HTTPS uç noktalarınızın kriptografik olarak sağlam olmasını sağlamak için cPanel’in AutoSSL iş akışıyla doğrudan entegre olan SSL Sertifikaları sağlar.

Yaygın Tuzaklar ve Bunlardan Nasıl Kaçınılır

İlk kurulum sırasında kendinizi kilitlemek. TESTING = "0"‘yi ayarlamadan önce her zaman IP’nizi csf.allow‘de beyaz listeye alın. Zorlama değişiklikleri yapmadan önce her zaman konsol erişimini onaylayın.

cPanel’in kendi dahili servislerini engellemek. cPanel daemon’ları localhost üzerinden ve bazen sunucunun birincil IP’si üzerinden iletişim kurar. CT_SKIP_LOCAL = "1" ve TCP_OUT‘nin dikkatli incelenmesi, kendi kendine neden olunan servis kesintilerini önler.

Paylaşımlı barındırmada aşırı agresif LF_DURATION. Meşru kullanıcılar saldırganlarla aynı NAT IP’sini paylaşıyorsa, 24 saatlik bir engelleme masum müşterileri cezalandırır. Yalnızca tekrarlayan suçluları kalıcı yasaklara yükseltmek için LF_DURATION = "3600" ve LF_PERMBLOCK_COUNT = "4" kullanın.

İzleme ajanı portlarını açmayı unutmak. Harici bir izleme servisi (Zabbix, Nagios, Datadog) kullanıyorsanız, ajanı açık bir gelen porta ihtiyaç duyar. Bunu TCP_IN‘e ekleyin ve izleme sunucusunun IP’sini csf.allow‘de beyaz listeye alın.

Giden kuralları test etmemek. Yöneticiler gelen TCP_IN‘e odaklanır ancak TCP_OUT‘yi ihmal eder. Aşırı kısıtlayıcı giden kurallar, cPanel’in güncelleme sistemini, Let’s Encrypt sertifika yenilemelerini (ACME sunucularına port 80 giden) ve uzak MySQL bağlantılarını bozar.

Cloudflare proxy’si olan bir sunucuda CSF çalıştırmak. Trafik Cloudflare üzerinden geçtiğinde, CSF tarafından görülen kaynak IP gerçek ziyaretçi IP’si değil, bir Cloudflare kenar düğümü IP’sidir. Bir Cloudflare IP’sini engellemek, o kenar düğümü üzerinden gelen tüm trafiği engeller. Cloudflare’in yayınlanan IP aralıklarını beyaz listeye almak için csf.allow dosyasını kullanın ve gerçek ziyaretçi IP’leri için CF-Connecting-IP başlığını okuyacak şekilde uygulamanızı yapılandırın.

Teknik Karar Matrisi: CSF Yapılandırma Profilinizi Seçme

Temel Çıkarımlar: Üretime Hazırlık Kontrol Listesi

CSF dağıtımınızı üretime hazır saymadan önce aşağıdaki her öğeyi doğrulayın:

• Yönetim IP’si /etc/csf/csf.allow‘de mevcut ve csf -g YOUR.IP ile onaylanmış
• TESTING = "0" ayarlanmış ve csf -r çalıştırılmış
• TCP_IN yalnızca aktif, kasıtlı servislere sahip portları içeriyor — ss -tlnp ile doğrulanmış
• SMTP_BLOCK = "1" etkin — sunucu özel bir posta aktarıcısı değilse
• LFD çalışıyor — systemctl status lfd ile onaylanmış
• LF_PERMBLOCK_COUNT ve LF_PERMBLOCK_INTERVAL tekrarlayan suçluları yükseltecek şekilde yapılandırılmış
• CT_LIMIT ayarlanmış ve beklenen tepe eş zamanlı bağlantılara göre ayarlanmış
• SYNFLOOD = "1" etkin ve trafik hacminize uygun hız değerleriyle
• E-posta uyarıları yapılandırılmış ve bir test uyarısı alınmış
• LFD ile çakışmaları önlemek için cPHulk WHM’de devre dışı bırakılmış
• Haftalık csf -u cron işi zamanlanmış
• Konsol/IPMI erişimi SSH’dan bağımsız olarak test edilmiş
• Giden port kuralları (TCP_OUT) doğrulanmış — cPanel güncellemeleri, Let’s Encrypt ve NTP düzgün çalışıyor
• Cloudflare kullanılıyorsa, Cloudflare IP aralıkları csf.allow‘de beyaz listeye alınmış

SSS

CSF ile donanım güvenlik duvarı arasındaki fark nedir ve her ikisine de ihtiyacım var mı?

Donanım güvenlik duvarı, ağ çevresinde çalışır ve trafiği sunucunuzun NIC’ine ulaşmadan önce filtreler. CSF, işletim sistemi düzeyinde çalışır ve donanım güvenlik duvarlarının sağlayamadığı uygulama farkında, davranışsal tespit ekler — örneğin tekrarlanan başarısız cPanel girişlerinden sonra bir IP’yi engellemek gibi. Üretim ortamında her iki katman da tamamlayıcıdır. Donanım filtrelemesi hacimsel DDoS yükünü azaltır; CSF hedefli saldırı girişimlerini yönetir.

CSF’nin kalıcı olarak yasakladığı bir IP’nin engelini nasıl kaldırırım?

Reddetme listesinden kaldırmak için csf -dr BLOCKED.IP.ADDRESS çalıştırın, ardından kuralları yeniden yüklemek için csf -r çalıştırın. Alternatif olarak, WHM CSF eklenti arayüzündeki “Bir IP’nin Engelini Kaldır” seçeneğini kullanın. Yeniden engellemeyi önlemek için IP’yi csf -a IP.ADDRESS "reason" ile csf.allow‘e ekleyin.

CSF, Let’s Encrypt / AutoSSL sertifika yenilemelerini etkiler mi?

Yalnızca TCP_OUT‘de port 80 giden engellenirse veya Let’s Encrypt doğrulama sunucusu IP’leri yanlışlıkla csf.deny‘de yer alırsa. Port 80’in hem TCP_IN‘de (HTTP-01 meydan okuma yanıtları için) hem de TCP_OUT‘de (ACME sunucu iletişimi için) bulunduğundan emin olun. CSF kurulumundan sonra yenilemeler başarısız olursa, herhangi bir Let’s Encrypt IP aralığı için csf.deny‘i kontrol edin ve engellenen giden bağlantılar için /var/log/lfd.log‘i inceleyin.

Kilitlenme riski olmadan yeni bir CSF kuralını güvenli şekilde nasıl test ederim?

csf.conf‘de TESTING = "1" ayarlayarak ve csf -r çalıştırarak test modunu geçici olarak yeniden etkinleştirin. Test modunda kurallar yüklenir ancak uygulanmaz ve LFD başlamaz. Değişikliklerinizi doğrulayın, ardından TESTING = "0" ayarlayın ve yeniden yükleyin. Zorlama moduna geri geçmeden önce her zaman konsol erişiminin onaylandığından emin olun.

CSF, SQL injection veya XSS gibi uygulama katmanı saldırılarına karşı koruma sağlar mı?

Hayır. CSF, ağ ve taşıma katmanlarında (L3/L4) çalışır ve HTTP istek yüklerine görünürlüğü yoktur. Uygulama katmanı saldırıları, cPanel sunucularında Apache ve Nginx ile entegre olan OWASP Core Rule Set ile ModSecurity gibi bir Web Uygulama Güvenlik Duvarı (WAF) gerektirir. CSF ve ModSecurity tamamlayıcıdır — CSF ağ düzeyindeki tehditleri yönetirken ModSecurity HTTP düzeyindeki saldırıları yönetir. LFD, LF_MODSEC direktifi aracılığıyla ModSecurity kurallarını tekrar tekrar tetikleyen IP’leri engelleyecek şekilde yapılandırılabilir.