Sistem ve Network Yönetimi
Modern BT altyapısının temel taşları olan işletim sistemi ve ağ yönetimi disiplinlerine kapsamlı bir teknik bakış. Protokollerden güvenlik mimarisine, izleme araçlarından otomasyon pratiklerine dek eksiksiz bir referans kaynağı.
Sistem yönetimi; sunucular, iş istasyonları ve sanal makinelerin kurulumunu, yapılandırmasını, bakımını ve izlenmesini kapsayan multidisipliner bir BT pratiğidir. Bir sistem yöneticisi, availability (kullanılabilirlik), performance (performans), security (güvenlik) ve scalability (ölçeklenebilirlik) parametrelerini eş zamanlı olarak optimize etmek zorundadır. Linux tabanlı sistemlerde bu sorumluluğun büyük bölümü komut satırı üzerinden yönetilirken, Windows Server ortamlarında grafik arayüzler ve PowerShell birlikte kullanılır.
Process & Service Control
Her işletim sistemi, çalışan uygulamaları ve sistem servislerini süreç (process) olarak takip eder. Linux’ta systemd, servislerin yaşam döngüsünü yönetir; systemctl start/stop/enable komutları ile servisler kontrol edilir. htop veya top ile anlık CPU ve RAM kullanımı izlenebilir. Windows’ta ise Task Manager, services.msc ve Get-Process PowerShell cmdlet’i kullanılır. Arka planda çalışan zombie süreçleri ve yüksek kaynak tüketen işlemler proaktif olarak tespit edilip sonlandırılmalıdır.
Dosya Sistemi & Depolama Yönetimi
Disk kapasitesi izleme, bölümleme (partitioning) ve dosya sistemi seçimi sistem yönetiminin temel görevleri arasındadır. Linux’ta ext4, XFS ve Btrfs yaygın dosya sistemleridir; df -h ile kullanım durumu, du -sh * ile dizin boyutları sorgulanır. LVM (Logical Volume Manager) sayesinde diskler mantıksal birimler halinde esnek şekilde yönetilebilir. RAID yapılandırmaları ise veri yedekliliği ve okuma/yazma performansı için tercih edilir.
Kimlik Doğrulama & Yetkilendirme
Kullanıcı ve grup yönetimi, en az ayrıcalık ilkesi (principle of least privilege) doğrultusunda yapılandırılmalıdır. Linux’ta useradd, usermod, passwd ve /etc/sudoers dosyası kritik öneme sahiptir. LDAP veya Active Directory entegrasyonu, merkezi kimlik yönetimi sağlar. Sudo politikaları ve PAM (Pluggable Authentication Modules) modülleri, yetki yükseltme kontrollerini güçlendirir. Hesap kilitleme eşikleri ve şifre politikaları düzenli aralıklarla gözden geçirilmelidir.
Sistem Günlükleri & Denetim
Log dosyaları, sistem sağlığını değerlendirmenin ve güvenlik olaylarını analiz etmenin birincil kaynağıdır. Linux’ta journalctl ve /var/log/ dizini altındaki dosyalar, sistemin tüm geçmişini barındırır. grep, awk ve sed araçlarıyla log analizi yapılabilir. Merkezi log yönetimi için ELK Stack (Elasticsearch, Logstash, Kibana) veya Graylog gibi çözümler devreye alınabilir. auditd servisi, sistem çağrıları ve dosya erişimlerini ayrıntılı olarak kaydeder.
Konfigürasyon Yönetimi & IaC
Tekrarlayan sistem görevleri, otomasyon araçlarıyla insan hatasından arındırılarak hızlandırılır. Ansible agentsız yapısı ve YAML tabanlı playbook’larıyla yaygın tercih olmuştur. Puppet ve Chef, state-based yönetim modelleri sunar. Terraform ise bulut altyapısını kod olarak tanımlamaya (Infrastructure as Code) olanak sağlar. Cron işleri ve systemd timer’lar rutin görevleri zamanlar; Bash ve Python betikleri ise özel ihtiyaçlara yönelik otomasyon çözümleri üretir.
OS Hardening & Patch Management
İşletim sistemi güvenliği, yükleme sonrası hardening süreciyle başlar. Gereksiz servis ve paketlerin kaldırılması, SSH anahtar tabanlı kimlik doğrulamaya geçilmesi, güvenlik duvarı (UFW/iptables) kurallarının yapılandırılması ve SELinux/AppArmor politikalarının etkinleştirilmesi temel adımlar arasındadır. Yama yönetimi (patch management) için unattended-upgrades veya kurumsal çözümler kullanılır. CIS Benchmark’ları sistem güvenlik standartları için güvenilir referans kaynaklardır.
# Servis durumunu kontrol et ve yeniden başlat
systemctl status nginx
systemctl restart nginx
# Disk kullanımını ve büyük dizinleri bul
df -h
du -sh /var/log/* | sort -rh | head -10
# Aktif bağlantıları ve dinleyen portları listele
ss -tulnp
# CPU ve bellek istatistikleri (5 sn aralıklarla, 3 tekrar)
vmstat 5 3
# Son 100 sistem log satırı
journalctl -n 100 --no-pager
OSI (Open Systems Interconnection) modeli, ağ iletişimini kavramsal olarak 7 katmana ayıran ISO standardıdır. Her katman, yalnızca bir üst ve bir alt katmanla doğrudan iletişim kurar; bu kapsülleme (encapsulation) prensibine dayanır. Ağ sorunlarının teşhisinde ve protokol tasarımında bu model temel çerçeve olarak kullanılır.
TCP/IP model, internet ve modern kurumsal ağların temelini oluşturur. TCP (Transmission Control Protocol), bağlantı odaklı ve güvenilir veri iletimi sağlarken; UDP (User Datagram Protocol), düşük gecikme gerektiren uygulamalar için bağlantısız ve hızlı iletim sunar. İki protokolün de doğru kullanım alanını kavramak, ağ mimarisi kararlarında kritik önem taşır.
| Protokol | Port | Tür | Açıklama |
|---|---|---|---|
| HTTP | 80 | TCP | HyperText Transfer Protocol; web içeriği aktarımının temel protokolü. Şifresiz metin iletimi gerçekleştirir, HTTPS ile ikame edilmesi önerilir. |
| HTTPS | 443 | TCP | TLS/SSL üzerinden şifrelenmiş HTTP. Günümüzde tüm web trafiğinin standart protokolü. HTTP/2 ve HTTP/3 desteği ile performans iyileştirmesi sunar. |
| SSH | 22 | TCP | Secure Shell; uzak sunuculara şifreli terminal erişimi, dosya transferi (SCP/SFTP) ve tünel oluşturma (port forwarding) sağlar. |
| DNS | 53 | UDP / TCP | Domain Name System; alan adlarını IP adreslerine çözer. UDP sorgu için, TCP zone transfer ve büyük yanıtlar için kullanılır. DoH ve DoT ile güvenli DNS sorgusu mümkündür. |
| DHCP | 67/68 | UDP | Dynamic Host Configuration Protocol; istemcilere otomatik olarak IP adresi, subnet mask, gateway ve DNS bilgisi dağıtır. DORA süreci (Discover, Offer, Request, Acknowledge) ile çalışır. |
| SMTP | 25/587 | TCP | Simple Mail Transfer Protocol; e-posta gönderimi için kullanılır. 25 numaralı port sunucu-sunucu iletimi, 587 STARTTLS ile istemci-sunucu gönderimi içindir. |
| SNMP | 161/162 | UDP | Simple Network Management Protocol; ağ cihazlarını izleme ve yönetme standardıdır. Ajan-yönetici modeli, MIB (Management Information Base) yapısı ve trap mesajları temel bileşenlerdir. |
| NTP | 123 | UDP | Network Time Protocol; ağ üzerindeki cihazların saatlerini milisaniye hassasiyetinde senkronize eder. Güvenlik log analizi ve Kerberos kimlik doğrulaması için kritiktir. |
| RDP | 3389 | TCP | Remote Desktop Protocol; Windows sistemlere grafik arayüzlü uzak erişim sağlar. Kaba kuvvet saldırılarına karşı korunmak için NLA ve VPN arkasında kullanılması zorunludur. |
| BGP | 179 | TCP | Border Gateway Protocol; internetin yol belirleme protokolüdür. Otonom sistemler (AS) arasında rota paylaşımını sağlar ve internet trafiğinin omurgasını oluşturur. |
IP adresleme, ağ katmanının (Layer 3) temel mekanizmasıdır. IPv4, 32 bitlik adresleme uzayı ile maksimum ~4,3 milyar benzersiz adres tanımlarken; IPv6 128 bitlik uzayıyla pratikte tükenmez bir adres havuzu sunar. CIDR (Classless Inter-Domain Routing) notasyonu ve subnetting, ağları verimli şekilde bölümlendirmek için kritik becerilerdir.
RFC 1918 — Özel IP Uzayı
Özel ağlarda kullanılan ve internette yönlendirilemeyen adres blokları NAT (Network Address Translation) ile dış dünyaya çıkar.
IPv6 Adresleme Mimarisi
128 bit → 8 adet 16 bitlik blok, iki nokta üst üste ile ayrılır. Örnek: 2001:0db8:85a3::8a2e:0370:7334
- Global Unicast (2000::/3): İnternette yönlendirilebilen genel adresler.
- Link-Local (fe80::/10): Yalnızca yerel bağlantıda geçerli; otomatik yapılandırılır.
- Loopback (::1): IPv4’teki 127.0.0.1’e karşılık gelir.
- Multicast (ff00::/8): Çok noktaya yayın için ayrılmış uzay.
- SLAAC: DHCPv6 olmaksızın otomatik adres yapılandırması sağlar.
OSPF — Open Shortest Path First
Link-state algoritmasına dayanan interior gateway protokolü (IGP). Her router, tüm topolojiyi içeren bir “link-state database” oluşturur ve Dijkstra algoritmasıyla en kısa yolları hesaplar. Büyük kurumsal ağlarda bölgelere (area) ayrılarak ölçeklenebilirlik sağlanır. Area 0 (backbone area) diğer tüm alanları birbirine bağlar. Hızlı yakınsama (fast convergence) özelliği sayesinde topoloji değişikliklerine saniyeler içinde adapte olur.
BGP — Border Gateway Protocol
İnternetin çalıştığı yol vektörü protokolü. ISP’ler ve büyük ağlar arasındaki rota paylaşımını yönetir. eBGP (external BGP) farklı otonom sistemler (AS) arasında, iBGP ise aynı AS içinde kullanılır. Politika tabanlı yönlendirme, rota filtreleme ve AS-path manipülasyonu gibi gelişmiş özellikler sunar. BGP hijacking saldırıları, yanlış yapılandırılmış route announcement’lardan kaynaklanır.
VLAN ve Trunk Yapılandırması
VLAN (Virtual LAN), fiziksel bir anahtardaki portları mantıksal olarak izole edilmiş ağlara böler; broadcast domain’leri küçülterek güvenlik ve performansı artırır. IEEE 802.1Q standardı, Ethernet frame’lerine 4 baytlık VLAN etiketi ekler. Trunk portlar birden fazla VLAN trafiğini taşır; access portlar yalnızca tek bir VLAN’a aittir. Inter-VLAN yönlendirmesi için Layer 3 switch veya router-on-a-stick konfigürasyonu gerekir.
STP & Spanning Tree Protokolü
Layer 2 döngülerini (broadcast storm) önleyen STP (IEEE 802.1D), topoloji içindeki yedekli bağlantıları mantıksal olarak devre dışı bırakır. RSTP (Rapid STP / 802.1w) yakınsama süresini birkaç saniyeye indirger. MSTP (Multiple STP / 802.1s) ise birden fazla VLAN için tek bir STP instance’ı çalıştırır. Root bridge seçimi, en düşük bridge ID’ye göre otomatik yapılır ancak manuel yapılandırma tercih edilmelidir.
Paket iletim akışı — Uçtan uca
Ağ güvenliği, katmanlı savunma (defense in depth) prensibine dayanır. Tek bir güvenlik kontrolüne güvenmek yerine; çevre güvenliği, iç segmentasyon, uç nokta koruması ve davranış analizi gibi birbirini tamamlayan kontroller bir arada uygulanır. Modern ağlarda çevre (perimeter) kavramı yerini Zero Trust Architecture‘a bırakmaktadır.
Güvenlik duvarları, ağ trafiğini önceden tanımlanmış kurallara göre filtreler ve yetkisiz erişimi engeller. Nesle göre farklı yetenekler sunar:
- Paket Filtreleme (Generation 1): IP adresi, port ve protokole göre filtreleme yapar. Stateless’tır; bağlantı durumunu takip etmez.
- Stateful Inspection (Generation 2): Aktif bağlantıları tabloda izler; dönüş trafiğini otomatik olarak tanır. iptables/nftables bu modeli kullanır.
- NGFW — Next Generation Firewall: Uygulama katmanı denetimi (DPI), kullanıcı kimliği bazlı politikalar, IPS entegrasyonu ve SSL/TLS incelemesi sunar. Palo Alto, Fortinet, Check Point lider üreticiler arasındadır.
- WAF — Web Application Firewall: HTTP/HTTPS trafiğini analiz ederek SQL enjeksiyonu, XSS ve OWASP Top 10 tehditlerini engeller.
IDS (Intrusion Detection System) şüpheli etkinlikleri tespit edip uyarı üretirken; IPS (Intrusion Prevention System) kötü amaçlı trafiği gerçek zamanlı olarak bloklar. İki temel analiz yöntemi kullanılır:
- İmza Tabanlı Analiz: Bilinen saldırı desenleriyle eşleştirme yapılır. Düşük false positive oranı sunar, ancak zero-day tehditlere karşı kör kalabilir. Snort ve Suricata bu modeli uygular.
- Anomali / Davranış Tabanlı Analiz: Normal trafik profili oluşturulur ve sapma tespit edilir. Machine learning destekli SIEM çözümleri bu yaklaşımı kullanır.
- HIDS (Host-based IDS): Tek bir sistemde dosya değişiklikleri, log anomalileri ve sistem çağrılarını izler. OSSEC ve Wazuh popüler çözümlerdir.
Sanal Özel Ağ (VPN) Teknolojileri
VPN, şifreleme tüneli aracılığıyla iki nokta arasında güvenli bağlantı kurar. IPSec (IKEv2 ile) kurumsal site-to-site bağlantılar için standarttır; OpenVPN açık kaynak ve esnek yapısıyla yaygın kullanılır; WireGuard modern, minimal kod tabanı ve üstün performansıyla öne çıkar. SSL VPN ise tarayıcı tabanlı erişim için tercih edilir. Split tunneling konfigürasyonu, yalnızca ilgili trafiği tünel üzerinden yönlendirerek bant genişliği tüketimini optimize eder.
Zero Trust Network Access (ZTNA)
“Asla güvenme, her zaman doğrula” prensibine dayanan ZTNA, geleneksel çevre güvenliği modelini köklü biçimde dönüştürür. Her kullanıcı, cihaz ve uygulama erişim talebi; konuma bakılmaksızın doğrulanır, yetkilendirilir ve şifrelenir. Mikro-segmentasyon ile yatay hareket (lateral movement) kısıtlanır. BeyondCorp, Zscaler ve Cloudflare Access bu modeli uygulayan önde gelen çözümlerdir. MFA, cihaz sağlık denetimi ve en az ayrıcalık ilkesi ZTNA’nın üç temel direğidir.
Proaktif izleme, arıza gerçekleşmeden önce anormallikleri tespit eder ve SLA (Service Level Agreement) hedeflerinin tutturulmasını sağlar. Modern izleme stratejisi üç temel sütuna dayanır: metrics (metrikler), logs (günlükler) ve traces (izler). Bu üçlü bütüncül gözlemlenebilirlik (observability) paradigmasını oluşturur.
Tipik Sunucu Kaynak Kullanımı
Popüler Monitoring Stack
Modern altyapı izleme için yaygın kullanılan araçlar:
# DNS çözümleme ve gecikme testi
dig +stats google.com @8.8.8.8
nslookup example.com
# Ağ rotasını izle (maksimum 30 hop)
traceroute -m 30 8.8.8.8
# Paket yakalama (eth0 arayüzü, 80. port, 100 paket)
tcpdump -i eth0 -n port 80 -c 100
# Ağ arayüz istatistikleri
ip -s link show eth0
# SNMP sorgusu (community: public, OID: sysDescr)
snmpget -v2c -c public 192.168.1.1 sysDescr.0
Felaket kurtarma planlaması (Disaster Recovery Planning), iki temel metrik üzerine inşa edilir: RPO (Recovery Point Objective) — kabul edilebilir maksimum veri kaybı süresi; ve RTO (Recovery Time Objective) — servisin yeniden devreye alınması için maksimum izin verilen süre. Her iki metrik de iş gereksinimlerine göre belirlenmeli ve düzenli tatbikatlarla test edilmelidir.
Full Backup
Tüm verilerin eksiksiz kopyasını alır. Geri yükleme en basit ve hızlıdır ancak depolama alanı ve transfer süresi en yüksektir. Tipik olarak haftalık gerçekleştirilir ve diğer yedekleme türlerinin referans noktasını oluşturur.
Incremental Backup
Yalnızca son yedekten bu yana değişen verileri yedekler. Depolama ve süre verimliliği en yüksektir. Ancak geri yükleme sırasında full backup ve tüm incremental zincirinin uygulanması gerekir; bu da restore süresini uzatabilir.
Differential Backup
Son tam yedekten bu yana değişen tüm verileri kopyalar. Incremental’a kıyasla daha fazla alan kullanır; ancak geri yükleme için yalnızca son full backup ve son differential yeterlidir. Performans ile basitlik arasında iyi bir denge sunar.
Sanallaştırma teknolojileri, fiziksel donanım kaynaklarını verimli biçimde paylaştıran yazılım katmanları oluşturur. Hypervisor tabanlı VM’lerden konteyner teknolojisine, oradan serverless mimarilere uzanan bu evrim; altyapı yönetimini kökten dönüştürmüştür.
Tür 1 ve Tür 2 Sanallaştırma
Type 1 hypervisor (bare-metal) doğrudan donanım üzerinde çalışır: VMware ESXi, Microsoft Hyper-V, KVM/QEMU. Type 2 hypervisor, bir işletim sistemi üzerinde çalışır: VirtualBox, VMware Workstation. Kurumsal ortamlarda Type 1 tercih edilir; yüksek performans ve kaynak izolasyonu sağlar. Live migration (canlı göç) özelliği, çalışan VM’leri kesintisiz olarak farklı fiziksel sunuculara taşımanın önünü açar.
Docker ve Container Orchestration
Konteynerler, uygulamayı ve tüm bağımlılıklarını izole edilmiş, taşınabilir paketler halinde çalıştırır. VM’lere kıyasla çok daha hafif ve hızlı başlar. Docker, konteyner standardını belirlemiştir; Kubernetes (K8s) ise production ortamlarında konteynerlerin ölçeklendirilmesi, sağlık denetimi, ağ yönetimi ve depolama bağlaması için fiili standart haline gelmiştir. Helm chart’ları ve GitOps pratikleri, Kubernetes dağıtımlarını yönetmeyi kolaylaştırır.
IaaS · PaaS · SaaS · FaaS
Bulut hizmet modelleri, yönetim sorumluluğunun paylaşım biçimine göre ayrışır:
Ağ ve sistem sorunlarını çözmek, rastgele denemeler yerine sistematik bir yaklaşım gerektirir. OSI modelini yukarıdan aşağı veya aşağıdan yukarı katmanlı olarak izlemek, problemi hızlıca izole etmenin en etkili yoludur.
ping ile temel IP erişilebilirliği, traceroute/tracert ile rota, ip route show ile yönlendirme tablosunu incele. Default gateway erişimini doğrula.dig veya nslookup ile DNS yanıtını ve gecikme süresini ölç. IP ile direkt erişim sağlanıyorsa sorun DNS’tedir.telnet/nc -zv ile belirli porta bağlantı testi yap. curl -v ile HTTP yanıt başlıklarını incele.tcpdump veya Wireshark ile paket yakalama başlat. Uygulama ve sistem loglarını eşzamanlı olarak analiz et.