SSH Derinlemesine —
Tunnel, Config, Agent.

$ ssh -v user@host
OpenSSH_9.6p1, OpenSSL 3.2.0
# 1. TCP bağlantısı
debug1: Connecting to host [192.168.1.10] port 22.
debug1: Connection established.
# 2. Protokol sürüm müzakeresi
debug1: Remote protocol version 2.0, remote software version OpenSSH_9.6
# 3. Anahtar değişimi (key exchange)
debug1: kex: algorithm: curve25519-sha256
debug1: kex: host key algorithm: ssh-ed25519
# 4. Host key doğrulama
debug1: Server host key: ssh-ed25519 SHA256:...
debug1: Host 'host' is known and matches the ED25519 host key.
# 5. Kimlik doğrulama
debug1: Authenticating to host:22 as 'user'
debug1: Trying private key: ~/.ssh/id_ed25519
debug1: Authentication succeeded (publickey).
# 6. Kanal açılışı
debug1: channel 0: new session

# Ed25519 key çifti üret
ssh-keygen -t ed25519 -C "emirp@workstation"
# -C: yorum alanı — genellikle user@host veya tarih

# Dosya yolu belirt
ssh-keygen -t ed25519 -f ~/.ssh/id_ed25519 -C "prod server key"

# Passphrase ile (önerilen)
Enter passphrase (empty for no passphrase): güçlü-bir-parola
Enter same passphrase again: güçlü-bir-parola

# RSA 4096 bit — Ed25519 desteklemeyen eski OpenSSH sürümleri için
ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa_legacy -C "legacy-device"

# Public key fingerprint'i göster (SHA-256)
ssh-keygen -l -f ~/.ssh/id_ed25519.pub
# → 256 SHA256:xXxXxX... emirp@workstation (ED25519)

# MD5 formatında (eski araçlar için)
ssh-keygen -l -E md5 -f ~/.ssh/id_ed25519.pub

# Mevcut tüm key'lerin fingerprint'i
for f in ~/.ssh/*.pub; do
    ssh-keygen -l -f "$f"
done

# Public key'i uzak sunucuya ekle (password ile kimlik doğrular, sonra key'i ekler)
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@192.168.1.10

# Özel port için
ssh-copy-id -i ~/.ssh/id_ed25519.pub -p 2222 user@host

# Başarılı çıktı:
# Number of key(s) added: 1
# Now try logging into the machine: ssh 'user@192.168.1.10'

# .ssh dizini ve authorized_keys dosyasını oluştur
mkdir -p ~/.ssh
chmod 700 ~/.ssh

# Public key'i ekle (>> ile var olanı silme)
cat ~/.ssh/id_ed25519.pub >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

# Sahiplik kontrolü
ls -la ~/.ssh/
# drwx------  .ssh/              (700)
# -rw-------  authorized_keys    (600)

# Script ile known_hosts'u önceden doldur (CI/CD pipeline için)
ssh-keyscan -H 192.168.1.10 >> ~/.ssh/known_hosts
ssh-keyscan -H host.example.com >> ~/.ssh/known_hosts

# -H: hostname'i hash'le (known_hosts okunabilirliğini azaltır, güvenliği artırır)

# Değişen host key temizleme (sunucu yeniden kuruldu ise)
ssh-keygen -R 192.168.1.10
ssh-keygen -R host.example.com

# Pipeline'da güvenli yeni host kabul etme
ssh -o StrictHostKeyChecking=accept-new user@deploy-host "./deploy.sh"

# Veya known_hosts'u önceden doldur + strict kullan
ssh-keyscan -H deploy-host >> ~/.ssh/known_hosts
ssh -o StrictHostKeyChecking=yes user@deploy-host "./deploy.sh"

# Yeni bir shell'de agent başlat
eval $(ssh-agent -s)
# → Agent pid 1234

# Ed25519 key'i agent'a ekle (passphrase bir kez sorulur)
ssh-add ~/.ssh/id_ed25519
# Enter passphrase for /home/user/.ssh/id_ed25519: ...
# Identity added: /home/user/.ssh/id_ed25519 (emirp@workstation)

# TTL ile ekle: 3600 saniye sonra agent'tan silinir
ssh-add -t 3600 ~/.ssh/id_ed25519

# Yüklü key'leri listele
ssh-add -l
# → 256 SHA256:... emirp@workstation (ED25519)

# Tüm key'leri agent'tan kaldır
ssh-add -D

echo $SSH_AUTH_SOCK
# → /tmp/ssh-XXXXXX/agent.1234

# Agent çalışıyor mu kontrol et
if [[ -z "$SSH_AUTH_SOCK" ]]; then
    echo "Agent yok, başlatılıyor..."
    eval $(ssh-agent -s)
    ssh-add ~/.ssh/id_ed25519
fi

# Agent forwarding ile bastion'a bağlan
ssh -A user@bastion.example.com

# Bastion'dan internal-server'a geç (local agent kullanılır)
user@bastion:~$ ssh user@internal-server.local

# ─── Üretim sunucusu ───────────────────────────────────────────
Host prod
    HostName          10.20.30.40
    User              ubuntu
    IdentityFile      ~/.ssh/prod_ed25519
    Port              22
    ForwardAgent      no

# ─── Geliştirme sunucusu ──────────────────────────────────────
Host dev
    HostName          dev.company.internal
    User              emirp
    IdentityFile      ~/.ssh/id_ed25519
    Port              22

# ─── Bastion (jump host) ──────────────────────────────────────
Host bastion
    HostName          bastion.example.com
    User              emirp
    IdentityFile      ~/.ssh/id_ed25519

# ─── İç ağ sunucuları (bastion üzerinden) ─────────────────────
Host internal-*
    User              emirp
    ProxyJump         bastion
    IdentityFile      ~/.ssh/id_ed25519

# ─── Tüm bağlantılar için genel ayarlar ───────────────────────
Host *
    ServerAliveInterval   60
    ServerAliveCountMax   3
    ControlMaster         auto
    ControlPath           ~/.ssh/cm_%h_%p_%r
    ControlPersist        10m
    AddKeysToAgent        yes

# Sadece belirli bir kullanıcı için geçerli
Match User deploy
    IdentityFile   ~/.ssh/deploy_key
    ForwardAgent   no

# Belirli bir network'te (exec ile)
Match exec "ip route | grep -q '10.20.0.0/16'"
    ProxyJump     none

# İlk bağlantı — master channel oluşturulur
ssh prod
# → Yeni TCP bağlantısı, kex, auth (normal süre: ~300ms)

# İkinci bağlantı — mevcut channel'ı paylaşır
ssh prod
# → Anında bağlantı (~10ms) — kex ve auth tekrar yok

# Aktif ControlMaster socket'lerini listele
ls ~/.ssh/cm_*

ssh -L [bind_address:]local_port:target_host:target_port user@jump_host

# İç ağdaki PostgreSQL'e yerel erişim
ssh -L 5432:db.internal:5432 -N -f emirp@jump.example.com

# -N: shell açma, sadece forward
# -f: background'a gönd
# Artık local 5432'ye bağlanarak db.internal'a ulaşırsın:
psql -h localhost -p 5432 -U dbuser mydb

# Grafana iç ağda 3000 portunda çalışıyor
ssh -L 8080:grafana.internal:3000 -N emirp@jump.example.com

# Tarayıcıda: http://localhost:8080 → grafana.internal:3000

# Veya config üzerinden (arka planda):
ssh -L 8080:grafana.internal:3000 -N -f jump

# 0.0.0.0 ile tüm interface'e bind et (aynı subnet'teki makineler erişebilir)
ssh -L 0.0.0.0:8080:target.internal:80 -N emirp@jump

# sshd_config'de şu ayar gerekli:
# GatewayPorts yes   ← veya clientspecified
# NOT: varsayılan sadece localhost'a bind eder

Host grafana-tunnel
    HostName        jump.example.com
    User            emirp
    LocalForward    8080 grafana.internal:3000
    LocalForward    5432 db.internal:5432
    RequestTTY      no
    ExitOnForwardFailure yes

ssh -R [bind_address:]remote_port:local_host:local_port user@remote_server

# Yerel 3000 portundaki dev server'ı public-server:8080'den eriştir
ssh -R 8080:localhost:3000 -N emirp@public-server.example.com

# public-server'ı ziyaret eden kullanıcı http://public-server:8080'e girebilir
# trafik SSH tüneli üzerinden yerel 3000'e gelir

# Remote forward'ı tüm interface'e aç
GatewayPorts yes

# Veya sadece client'ın istediği adresi kabul et
GatewayPorts clientspecified

# 0.0.0.0 ile tüm interface'e bind (GatewayPorts clientspecified gerekli)
ssh -R 0.0.0.0:8080:localhost:3000 -N emirp@public-server

# autossh: tünel koparsa otomatik yeniden bağlan
autossh -M 20000 -N -R 8080:localhost:3000 emirp@public-server

# -M 20000: monitoring port (0 ile devre dışı, ServerAlive kullan)
# systemd service olarak çalıştırmak için:

[Unit]
Description=SSH Remote Tunnel
After=network.target

[Service]
ExecStart=/usr/bin/autossh -M 0 -N \
    -o ServerAliveInterval=30 \
    -o ServerAliveCountMax=3 \
    -R 8080:localhost:3000 \
    emirp@public-server.example.com
Restart=always
RestartSec=5

[Install]
WantedBy=multi-user.target

# localhost:1080'de SOCKS5 proxy aç
ssh -D 1080 emirp@remote-host.example.com

# Arka planda çalıştır (shell yok, background)
ssh -D 1080 -N -f emirp@remote-host.example.com

# Farklı port ile
ssh -D 8888 -N -f emirp@remote-host.example.com

# SOCKS5 proxy üzerinden HTTP isteği
curl --socks5 localhost:1080 https://example.com

# DNS çözümleme de proxy üzerinden (SOCKS5h)
curl --socks5-hostname localhost:1080 https://internal-service.local

# IP adresini doğrula (proxy üzerinden ne görünüyor)
curl --socks5 localhost:1080 https://ifconfig.me

strict_chain
proxy_dns
[ProxyList]
socks5  127.0.0.1  1080

# Herhangi bir uygulamayı SOCKS proxy üzerinden çalıştır
proxychains4 -q nmap 10.20.30.0/24 -p 22,80,443
proxychains4 -q wget http://internal.host/file.tar.gz
proxychains4 -q python3 my_scanner.py

Host socks-proxy
    HostName         remote-host.example.com
    User             emirp
    DynamicForward   1080
    RequestTTY       no
    ExitOnForwardFailure yes

# Config ile başlat
ssh -N -f socks-proxy

# Tüm bağlantıları listele
ss -tlnp | grep 1080
# → 0.0.0.0:1080  ... ssh

# Proxy'yi durdur
pkill -f "ssh -N -f socks-proxy"

# bastion üzerinden internal-server'a bağlan
ssh -J emirp@bastion.example.com emirp@web-01.internal

# Kısa syntax (aynı user ise)
ssh -J bastion.example.com web-01.internal

# Çoklu hop: bastion1 → bastion2 → hedef
ssh -J bastion1.example.com,bastion2.internal emirp@final-target.internal

Host bastion
    HostName        bastion.example.com
    User            emirp
    IdentityFile    ~/.ssh/id_ed25519

Host web-01
    HostName        web-01.internal
    User            emirp
    ProxyJump       bastion
    IdentityFile    ~/.ssh/id_ed25519

Host *.internal
    User            emirp
    ProxyJump       bastion
    IdentityFile    ~/.ssh/id_ed25519

# Config ile artık doğrudan bağlanabilirsin
ssh web-01
ssh db-01.internal

# ProxyJump desteklemeyen eski OpenSSH için
Host legacy-internal
    HostName        10.20.30.50
    User            emirp
    ProxyCommand    ssh -W %h:%p emirp@bastion.example.com
    # %h → hedef hostname, %p → hedef port

# Bastion üzerinden dosya kopyalama (scp)
scp -J bastion.example.com \
    emirp@web-01.internal:/var/log/app.log \
    ./local-copy/

# Config tanımlıysa doğrudan:
scp web-01:/var/log/app.log ./

# SFTP ile
sftp -J bastion.example.com emirp@web-01.internal

# ─── Temel güvenlik ───────────────────────────────────────────

# Root login: key ile bile olsa kapatın — sudo ile yönetin
PermitRootLogin no
# Alternatif: PermitRootLogin prohibit-password (şifre yok, key olabilir)

# Şifre kimlik doğrulamasını kapat — sadece key kabul
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM yes

# ─── Erişim kısıtlaması ───────────────────────────────────────

# İzin verilen kullanıcılar (space-separated)
AllowUsers emirp deploy
# veya grup bazlı:
AllowGroups sshusers sudo

# ─── Brute-force koruma ───────────────────────────────────────
MaxAuthTries 3
LoginGraceTime 30

# ─── Gereksiz özellikleri kapat ───────────────────────────────
X11Forwarding no
PermitEmptyPasswords no
PrintMotd no

# ─── Keepalive (dead connection temizle) ─────────────────────
ClientAliveInterval 300
ClientAliveCountMax 2

# ─── Modern kriptografi ───────────────────────────────────────
KexAlgorithms curve25519-sha256,diffie-hellman-group16-sha512
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com

# Değişiklikleri uygula:
# sudo sshd -t   → config syntax kontrolü
# sudo systemctl reload sshd

# Varsayılan 22 yerine özel port (otomatik tarama trafiğini azaltır)
Port 2222
# SELinux/AppArmor varsa port için ek konfigürasyon gerekebilir
# Firewall güncelleme: ufw allow 2222/tcp

apt install fail2ban
systemctl enable --now fail2ban

[DEFAULT]
bantime  = 3600      # 1 saat ban
findtime = 600       # 10 dakika penceresi
maxretry = 5         # 5 başarısız denemede ban
ignoreip = 127.0.0.1/8 ::1 10.0.0.0/8

[sshd]
enabled  = true
port     = ssh
logpath  = /var/log/auth.log
maxretry = 3         # SSH için daha katı
bantime  = 86400     # 24 saat

# fail2ban durumu
fail2ban-client status sshd

# Banlı IP'leri listele
fail2ban-client status sshd | grep "Banned IP"

# IP ban kaldır
fail2ban-client set sshd unbanip 1.2.3.4

# Log izle
tail -f /var/log/fail2ban.log

# ssh-audit kurulumu
pip install ssh-audit
# veya: apt install ssh-audit

# Uzak sunucuyu denetle
ssh-audit host.example.com

# Yerel sshd konfigürasyonunu denetle (client mode)
ssh-audit -c

# JSON çıktısı (CI/CD entegrasyonu için)
ssh-audit --json host.example.com