VPS Sunucuda Docker Security

VPS sunucularında Docker kullanımı, geliştiricilere ve işletmelere esneklik ve ölçeklenebilirlik sunarken, güvenlik açıklarını da beraberinde getirir. Docker konteynerleri, hafif ve izole ortamlar sağlasa da, yanlış yapılandırıldığında sunucunuzu riske atabilir. Bu makalede, VPS ortamında Docker’ı güvenli hale getirmek için adım adım rehberlik edeceğiz. Kurumsal standartlara uygun pratik yaklaşımlar, konfigürasyon ipuçları ve en iyi uygulamalarla, sistem yöneticilerinin güvenilir bir altyapı kurmasına yardımcı olacağız. Güvenlik, yalnızca reaktif değil, proaktif bir yaklaşımla ele alınmalıdır; bu da düzenli denetimler ve katmanlı savunma stratejileri gerektirir.

Docker Kurulumu ve Temel Güvenlik Yapılandırması

Docker’ı VPS sunucunuza kurarken, resmi depoları kullanmak ve en güncel sürümü tercih etmek kritik öneme sahiptir. Ubuntu tabanlı bir VPS’te, önce sistem paketlerini güncelleyin: sudo apt update && sudo apt upgrade -y. Ardından Docker’ı yükleyin: sudo apt install docker.io. Kurulum sonrası, Docker servisini etkinleştirin ve başlatın: sudo systemctl enable docker && sudo systemctl start docker. Temel güvenlik için, Docker daemon konfigürasyon dosyasını (/etc/docker/daemon.json) düzenleyin. Bu dosyaya şu ayarları ekleyin: {"icc": false, "userns-remap": "default"}. “icc”: false ile konteynerler arası bağlantıyı engelleyin, “userns-remap” ile kullanıcı namespace’lerini etkinleştirerek root yetkilerini kısıtlayın. Bu değişiklikleri uyguladıktan sonra Docker’ı yeniden başlatın: sudo systemctl restart docker.

Ek olarak, rootless modunu etkinleştirmek için kullanıcı bazında Docker kurun. Yeni bir kullanıcı oluşturun: sudo adduser dockeruser, ardından rootless Docker paketini yükleyin. Bu mod, konteynerlerin root yetkisi olmadan çalışmasını sağlar ve VPS’in ana sistemini korur. Pratik bir örnek: dockerd-rootless-setuptool.sh install komutuyla kurulumu tamamlayın. Bu adımlar, VPS’inizi varsayılan güvenlik açıklarından korurken, günlük operasyonları kesintiye uğratmaz. Her kurulum sonrası docker info ile ayarları doğrulayın.

Container’larda İzolasyon ve Erişim Kontrolleri

Non-Root Kullanıcılar ve Yetki Yönetimi

Container’ları root kullanıcısıyla çalıştırmak, kaçış saldırılarına davetiye çıkarır. Dockerfile’ınızda USER direktifini kullanın: FROM ubuntu:20.04 RUN useradd -m appuser USER appuser. Bu, konteyner içindeki süreçlerin düşük yetkili bir kullanıcıyla başlamasını sağlar. VPS’te birden fazla konteyner yönetirken, Docker Compose ile gruplandırın ve user: "1000:1000" belirterek UID/GID eşleştirmesi yapın. Bu yaklaşım, dosya izinlerini tutarlı kılar ve olası ihlallerde yayılmayı önler. Test edin: docker run -it --user 1000 image ps; root erişimi olmamalıdır. Bu pratik, özellikle web uygulamaları için zorunludur ve kurumsal uyumluluğu artırır.

Selinux ve AppArmor Profilleri

SELinux veya AppArmor gibi zorunlu erişim kontrolü (MAC) araçlarını etkinleştirin. Ubuntu’da AppArmor varsayılan olarak çalışır; Docker profillerini yükleyin: sudo apt install apparmor-profiles. Docker daemon’unda "apparmor": true ayarını etkinleştirin. Özel profil oluşturmak için /etc/apparmor.d/docker.equivalent komutunu kullanın ve aa-enforce /etc/apparmor.d/docker ile uygulayın. VPS’te SELinux için CentOS tabanlı sistemlerde semanage permissive -a docker_t ile politikaları yönetin. Bu araçlar, konteyner süreçlerini sistem kaynaklarından izole eder; örneğin, dosya okuma/yazma girişimlerini engeller. Düzenli denetimle: aa-status, etkin profilleri listeleyin. Bu katman, sıfır-gün saldırılarına karşı ek savunma sağlar ve en az 70 kelimelik detaylı uygulama gerektirir.

Yukarıdaki izolasyon teknikleri, her konteyner için ayrı ayrı uygulanmalıdır. Pratik takeaway: Dockerfile’larınızı multi-stage build ile optimize edin, gereksiz paketleri temizleyin ve HEALTHCHECK ekleyin. Bu, VPS kaynaklarını verimli kullanırken güvenliği pekiştirir.

Ağ Güvenliği ve Sürekli İzleme

Docker Ağ Modları ve Firewall Entegrasyonu

Docker varsayılan bridge ağı yerine host veya overlay modlarını tercih edin, ancak güvenlik için user-defined ağlar oluşturun: docker network create --driver bridge secure-net. Konteynerleri bağlarken --network secure-net --ip 172.20.0.10 belirtin. VPS firewall’unda UFW veya firewalld ile Docker trafiğini kısıtlayın: sudo ufw allow from 172.17.0.0/16 yalnızca Docker subnet’ine izin verin. Publish port’ları minimumda tutun: -p 127.0.0.1:8080:80 ile localhost’a bağlayın. Bu, dış saldırıları engeller ve trafiği şeffaf kılar. Örnek senaryo: Web sunucusu için reverse proxy (Nginx) ile entegre edin, doğrudan erişimi bloke edin.

Loglama, Güncellemeler ve Tarama Araçları

Sürekli izleme için Docker logging driver’ını json-file yerine syslog’a yönlendirin: daemon.json’a "log-driver": "syslog" ekleyin. Güncellemeleri otomatikleştirin: docker system prune -a ile eski imajları temizleyin, docker scout ile vulnerability taraması yapın. VPS’te Prometheus ve Grafana ile metrikleri izleyin; --log-opt max-size=10m ile log boyutunu sınırlayın. Haftalık rutin: docker images --format '{{.Repository}}:{{.Tag}}' | xargs docker rmi. Bu adımlar, tehditleri erken tespit eder ve sıfır kesinti sağlar. Trivy gibi araçlarla imaj tarayın: trivy image myapp, CVSS skorlarına göre önceliklendirin.

Docker güvenliğini VPS’te uygulamak, katmanlı bir strateji gerektirir. Bu rehberdeki adımları izleyerek, sisteminizi endüstri standartlarına ulaştırın ve proaktif yönetimle riskleri minimize edin. Düzenli denetimler ve ekip eğitimiyle, güvenli bir Docker ortamı uzun vadeli başarı getirir.