Makale Başlıkları
Kısaca
CSF (ConfigServer Security & Firewall), Linux sunucularda port yönetimi, IP engelleme ve LFD ile brute-force koruması sağlayan iptables/nftables tabanlı bir güvenlik duvarıdır. Kurulum birkaç dakika sürer; asıl iş, sunucuya göre yapılandırmadır. 2025 sonundaki önemli bir değişiklik nedeniyle indirme kaynağı da değişti, bu rehberde güncel yöntemi anlatıyoruz.
- Orijinal geliştirici Ağustos 2025’te projeyi kapattı; cPanel resmi çatallı sürümü (fork) üstlendi, güncel sürüm 15.10.
- Kurulumdan sonra mutlaka TESTING modunu kapatın; önce SSH portunuzu TCP_IN listesine ekleyip kendinizi kilitlemeyin.
- csf.conf içindeki TCP_IN/TCP_OUT, LF_SSHD ve SYNFLOOD ayarları korumanın kalbidir; root erişimli bir VPS/sunucu gerektirir.
CSF (ConfigServer Security & Firewall), Linux sunucular için uzun yıllardır en çok tercih edilen güvenlik duvarı ve saldırı tespit araçlarından biridir. iptables (ve güncel sürümlerde nftables) tabanlı güçlü bir SPI (stateful) firewall sunar; LFD (Login Failure Daemon) bileşeniyle başarısız giriş denemelerini izleyip saldırgan IP’leri otomatik engeller. cPanel/WHM, DirectAdmin ve Plesk gibi panellerle entegre çalışır. Bu rehberde CSF’in ne olduğunu, 2026 itibariyle güncel kurulum yöntemini ve sunucunuzu gerçekten koruyacak yapılandırma ayarlarını adım adım anlatıyoruz.
CSF, root erişiminiz olan bir VPS/sunucuda kurulur ve sunucunuzu dış tehditlere karşı sıkılaştırır. Paylaşımlı hosting paketlerinde root erişimi olmadığı için CSF kurulamaz; bu tür korumalar zaten sağlayıcınızın altyapısında yönetilir.
CSF Ne İşe Yarar?
CSF tek başına bir “antivirus” değildir; sunucunuza giren ve çıkan trafiği kural tabanlı yöneten, şüpheli davranışı tespit edip tepki veren bir koruma katmanıdır. Başlıca görevleri:
- Port yönetimi: Hangi portların dışarıya açık olacağını (TCP_IN) ve sunucunun dışarıya hangi portlardan bağlanabileceğini (TCP_OUT) belirler. Gereksiz açık port, gereksiz saldırı yüzeyidir.
- IP engelleme/izin verme: Bilinen kötü IP’leri (csf.deny) reddeder, güvendiğiniz IP’leri (csf.allow) beyaz listeye alır.
- Brute-force koruması (LFD): SSH, FTP, posta, cPanel/WHM gibi servislere yapılan kaba kuvvet saldırılarını log dosyalarından tespit edip saldırganı geçici ya da kalıcı banlar.
- Gelişmiş koruma: SYN flood/port flood koruma, port tarama tespiti, ülke bazlı engelleme ve e-posta uyarıları.
Tüm bu davranış tek bir yapılandırma dosyasından, /etc/csf/csf.conf dosyasından yönetilir. cPanel veya DirectAdmin kullanıyorsanız aynı ayarlara panel arayüzünden de erişebilirsiniz.
Önemli: CSF’in Geleceği ve 2025-2026 Değişikliği
CSF’i kurmadan önce bilmeniz gereken kritik bir gelişme var. CSF’in orijinal geliştiricisi Way to the Web Ltd, projeyi 31 Ağustos 2025 itibariyle resmen sonlandırdı (End-of-Life). Bunun pratik sonucu şudur: eski rehberlerde geçen download.configserver.com indirme adresi artık çevrimdışı. Bu adresi kullanan eski kurulumlar güncelleme alamaz ve zamanla güvenlik yamalarından mahrum kalır.
İyi haber: proje ölmedi, devralındı. cPanel, Şubat 2026’da CSF’in resmi çatallı sürümünü (fork) GPLv3 lisansıyla üstlendi ve bakımını sürdürüyor. 18 Şubat 2026‘da cPanel, uygun cPanel/WHM sunucularında CSF güncelleme kaynağını otomatik olarak kendi aynalarına yönlendirdi. cPanel dışındaki sistemler için ise Aetherinox/csf-firewall gibi aktif geliştirilen topluluk çatalları devreye girdi. Güncel sürüm bu yazı hazırlanırken 15.10.
Özetle: CSF hala canlı ve güvenli şekilde kullanılabilir, ancak doğru kaynaktan kurmanız ve güncelleme adresinizin güncel olduğuna emin olmanız gerekiyor.
CSF Kurulumu (2026 Güncel)
Aşağıdaki adımlar root erişimiyle, doğrudan sunucuya SSH ile bağlanarak uygulanır.
cPanel / WHM Sunucuları
cPanel kullanıyorsanız en sağlıklı yol, panelin kendi sürdürdüğü sürümü kullanmaktır. Çoğu güncel cPanel sunucusunda CSF zaten kuruludur ve güncelleme kaynağı otomatik olarak cPanel aynalarına yönlenmiştir. Kurulu değilse cPanel’in bakımını yaptığı çatalları tercih edin. Kurulumu WHM üzerinden veya komut satırından doğrulayabilirsiniz:
csf -v # kurulu CSF surumunu gosterir csf -u # CSF i en guncel surume yukseltir
Genel Linux / DirectAdmin / Plesk Sunucuları
cPanel dışındaki sistemlerde kurulum mantığı değişmedi; yalnızca indirme kaynağı değişti. Eski download.configserver.com adresi yerine bakımı süren bir çatal (fork) kullanın. Aşağıdaki akış klasik kurulum adımlarını gösterir; <guncel-kaynak> kısmına kullandığınız bakımlı çatalın güncel csf.tgz adresini yazın:
cd /usr/src wget <guncel-kaynak>/csf.tgz tar -xzf csf.tgz cd csf sh install.sh # Gerekli Perl modullerini test et perl /usr/local/csf/bin/csftest.pl
csftest.pl çıktısında “RESULT: csf should function on this server” gibi bir satır görmeniz gerekir. Eksik Perl modülü uyarısı alırsanız ilgili modülleri kurun.
Kurulum, sunucuda iptables/nftables tabanlı başka bir firewall (örn. firewalld veya ufw) varsa onu devre dışı bırakmanızı gerektirir; çakışmayı önlemek için sunucuda tek bir firewall yöneticisi kullanın:
systemctl stop firewalld systemctl disable firewalld
TESTING Modunu Kapatma
CSF kurulumdan sonra her zaman test (TESTING) modunda gelir. Bu modda bir cron görevi her 5 dakikada bir kuralları temizler; yani firewall gerçek anlamda kalıcı kural uygulamaz. Bu, ilk yapılandırma sırasında kendinizi kilitlemenizi önleyen bir güvenlik ağıdır. Korumanın gerçekten aktif olması için /etc/csf/csf.conf dosyasında aşağıdaki değeri sıfırlayın:
TESTING = "0"
Değişikliği kaydedip firewall’i etkinleştirin ve kuralları yeniden yükleyin:
csf -e # firewall u etkinlestir csf -r # kurallari yeniden yukle
Temel csf.conf Ayarları
CSF’in asıl gücü yapılandırmasındadır. Aşağıdaki ayarlar her sunucuda mutlaka gözden geçirilmelidir. Servislerinize göre portları kısıtlamak, “minimum açık port = maksimum güvenlik” prensibinin temelidir.
| Ayar | Örnek Değer | Ne İşe Yarar? |
|---|---|---|
TESTING |
"0" |
Korumayı aktif eder. Yapılandırma bitene kadar “1” tutun, hazır olunca “0” yapın. |
TCP_IN |
"22,80,443" |
Dışarıdan açık gelen portlar. Sade bir web sunucusu için yeterli başlangıç. |
TCP_OUT |
"53,80,443" |
Sunucunun dışarıya bağlanabildiği portlar. Gereksinime göre daraltın. |
LF_SSHD |
"5" |
5 başarısız SSH girişinden sonra IP’yi engeller. |
LF_SSHD_PERM |
"1" |
SSH brute-force tespitinde kalıcı ban uygular. |
SYNFLOOD |
"1" |
SYN flood saldırılarına karşı koruma. Yoğun trafikte dikkatli ayarlayın. |
CT_LIMIT |
"100" |
Tek IP’den aynı anda izin verilen bağlantı sayısı (connection tracking). |
CC_DENY / CC_ALLOW |
"CN,RU" |
Ülke kodu bazlı engelleme/izin verme. |
Bir posta sunucusu de çalıştırıyorsanız TCP_IN’i posta portlarıyla genişletmeniz gerekir (örn. "22,25,80,110,143,443,465,587,993,995"). FTP pasif modu kullanıyorsanız pasif port aralığını (örn. 30000:35000) hem CSF’te hem FTP sunucunuzda eşlemelisiniz.
Sık Kullanılan CSF Komutları
Günlük yönetimde en çok işe yarayan komutlar aşağıdaki gibidir. IP eklerken köşeli parantez içinde not bırakabilirsiniz; bu, “bu IP neden burada?” sorusuna ileride cevap olur.
| Komut | Açıklama |
|---|---|
csf -a 1.2.3.4 [ofis] |
IP’yi kalıcı olarak izin listesine (csf.allow) ekler. |
csf -d 1.2.3.4 [saldirgan] |
IP’yi kalıcı olarak engelleme listesine (csf.deny) ekler. |
csf -tr 1.2.3.4 |
IP’yi tüm geçici izin/engelleme listelerinden çıkarır. |
csf -g 1.2.3.4 |
Belirtilen IP için uygulanan kuralları listeler (sorun giderme). |
csf -ta 1.2.3.4 3600 |
IP’yi geçici süreyle (saniye) izin verir. |
csf -td 1.2.3.4 |
IP’yi geçici süreyle engeller. |
csf -r |
Kuralları yeniden yükler (csf.conf değişikliğinden sonra). |
csf -x / csf -e |
Firewall’i devre dışı bırakır / yeniden etkinleştirir. |
Dikkat Edilmesi Gerekenler
- Önce kendinizi koruyun:
TESTING = "0"yapmadan önce SSH portunuzunTCP_INlistesinde açık olduğundan emin olun; aksi halde bağlantı kesilince kendinizi kilitlersiniz. - İkinci bir oturum açık tutun: Yapılandırmayı test ederken ayrı bir SSH oturumu daha açık bırakın. Bir oturumda kural test edip diğerinden hala bağlanıp bağlanamadığınızı kontrol edin.
- Yönetim IP’nizi beyaz listeye alın: Statik IP’niz varsa ofis/yönetim IP’sini hem
csf.allowhemcsf.ignorelistesine ekleyin; böylece LFD sizi yanlışlıkla banlamaz. - Tek firewall: firewalld veya ufw gibi çakışan firewall’ları kapatın.
- Güncel kaynak: Eski
download.configserver.comadresini kullanmayın; cPanel veya bakımlı bir çatal üzerinden güncelleme aldığınızdan emin olun. - SSH’yi sertleştirin: SSH portunu varsayılan 22’den yüksek/farklı bir porta taşıyıp bunu TCP_IN’e yansıtmak, otomatik tarayıcıların büyük kısmını eler.
CSF, Tek Başına Yeterli mi?
CSF ağır bir iş yapar ama buzdağının görünen kısmıdır. Gerçek bir koruma ağ firewall’i, kötü amaçlı yazılım taraması, WAF ve DDoS koruma katmanlarının birlikte çalışmasıyla sağlanır. Sunucu güvenliğini tek bir araca yıkmak yerine katmanlı düşünmek gerekir. Bu yüzden iyi yapılandırılmış bir CSF’i; uygulama seviyesinde tarama yapan bir kötü amaçlı yazılım tarayıcı ve ağlık bir anti-DDoS çözümüyle tamamlamak en sağlıklı yaklaşımdır.
Alastyr sunucu ve bulut sunucu altyapısında yönetimli paketlerde bu katmanlar hazır gelir: sunucu tarafında Imunify360 ve CageFS ile çift WAF, honeypot tabanlı tehdit istihbaratı ve ağlık 1 Tbps üzeri kapasiteli L3-L4 anti-DDoS koruma standart sunulur. Tüm bu altyapı Alastyr’in İzmir’deki kendine ait, N+1 yedekli ve Tier III standartlarında kurulu veri merkezinde çalışır. Yani CSF’i kendiniz yönetmek istiyorsanız root erişimli bir sunucu alır, sıfır noktasından kurarsınız; işin altyapı tarafını güvene almak isterseniz bu katmanlar zaten yerinde olur.
Sıkça Sorulan Sorular
CSF ücretsiz mi?
Evet, CSF açık kaynak ve ücretsizdir. cPanel/WHM, DirectAdmin ve Plesk panelleriyle entegre çalışır. Kullanım için lisans ücreti ödemezsiniz; yalnızca kurabileceğiniz root erişimli bir sunucuya ihtiyacınız olur.
CSF kapatıldı mı, hala kullanabilir miyim?
Orijinal geliştirici projeyi 31 Ağustos 2025’te sonlandırdı, ancak proje son bulmadı. cPanel resmi çatallı sürümü (fork) GPLv3 lisansıyla üstlendi ve bakımını sürdürüyor; cPanel dışı sistemler için de aktif geliştirilen topluluk çatalları mevcut. Doğru kaynaktan kurduğunuz sürece CSF’i güvenle kullanmaya devam edebilirsiniz.
Eski download.configserver.com adresi neden çalışmıyor?
Bu adres orijinal projenin altyapısına aitti ve proje kapanınca çevrimdışı oldu. Bu adresi kullanan kurulumlar artık güncelleme alamaz. cPanel sunucularında güncelleme kaynağı otomatik olarak cPanel aynalarına yönlendirildi; cPanel dışı sistemlerde bakımı süren bir çatalın güncel csf.tgz adresini kullanmalısınız.
Kendimi kilitlersem ne yapmalıyım?
Sağlayıcınızın konsolu (VNC/kurtarma modu/IP-KVM) üzerinden sunucuya girip csf -x ile firewall’i geçici durdurabilir ya da csf.conf içindeki TCP_IN listesine SSH portunuzu ekleyip csf -r ile yeniden yükleyebilirsiniz. Bu yüzden kurulum öncesi sağlayıcınızın konsol erişimini bildiğinizden emin olun.
CSF, Fail2ban ile birlikte kullanılır mı?
Önerilmez. CSF zaten LFD ile Fail2ban’a benzer bir iş yapar; aynı servis için (örn. SSH) ikisini birden çalıştırmak kuralların çakışmasına ve beklenmedik banlara yol açabilir. Tek bir tespit/engelleme aracında karar kılmak en sağlıklı yoldur.
CSF cPanel/WHM ile çalışır mı?
Evet. WHM arayüzünde “ConfigServer Security & Firewall” eklentisi üzerinden tüm ayarları grafik arayüzden yönetebilirsiniz. Çoğu güncel cPanel sunucusunda CSF zaten kuruludur ve güncellemeleri cPanel’in bakımlı kaynağından alır.
CSF iptables yerine nftables kullanabilir mi?
Modern Linux dağıtımları nftables’a geçtiği için güncel CSF sürümleri nftables ile uyumlu çalışabilmektedir. Sunucunuzun dağıtımına göre CSF arka planda iptables veya nftables üzerinden kuralları uygular; sizin tarafınızda yönetim mantığı değişmez.
Ülke bazlı engelleme yapabilir miyim?
Evet. csf.conf içindeki CC_DENY ve CC_ALLOW ayarlarıyla ülke kodu bazında kural tanımlayabilirsiniz. Ancak ülke blokları çok geniş IP listeleri yüklediği için sunucu yükünü ve bellek kullanımını artırabilir; özellikle düşük kaynaklı sunucularda ölçerek kullanın.
Hangi portları açık bırakmalıyım?
Sade bir web sunucusu için TCP_IN olarak 22 (SSH), 80 (HTTP) ve 443 (HTTPS) çoğu zaman yeterlidir. Posta sunucusu çalıştırıyorsanız 25, 465, 587, 110, 995, 143, 993 portlarını, FTP kullanıyorsanız pasif port aralığını eklemelisiniz. Kullanmadığınız hiçbir portu açık bırakmayın; her açık port potansiyel bir saldırı yüzeyidir.
Güvenli, Tam Kontrollü Sunucu
CSF gibi güvenlik araçlarını sıfırdan kurabileceğiniz root erişimli VPS ve sunucu çözümleri; Imunify360 çift WAF, anti-DDoS ve İzmir’deki kendi veri merkezimiz standart.





