PAYLAŞILAN PAROLA
root / administrator parolası herkeste
Ortak ayrıcalıklı hesap parolaları ekipçe paylaşılıyor. Kim girdi belli değil, parola yıllarca değişmiyor; işten ayrılan kişi hâlâ biliyor.
PAM Server, sunucularınıza ayrıcalıklı erişimi tek bir kapıdan yönetir: parolalar kasada, her oturum kayıtlı, yetki yalnızca ihtiyaç süresince açık. Paylaşılan root parolasını kişiye bağlı, izlenebilir ve geri alınabilir erişime çevirir. Topluluk sürümü ücretsiz, kurum içi sunucuda çalışır; veri ve kayıtlar dışarı çıkmaz.
Aşağıdaki altı maddeden en az ikisini yaşıyorsanız, ayrıcalıklı erişim yönetilmiyor — yalnızca umut ediliyor.
Ortak ayrıcalıklı hesap parolaları ekipçe paylaşılıyor. Kim girdi belli değil, parola yıllarca değişmiyor; işten ayrılan kişi hâlâ biliyor.
Doğrudan SSH/RDP ile herkes her yere bağlanıyor. Bir değişikliği kimin yaptığını geri saramıyor, sorumluyu bulamıyorsunuz.
Hesap kapatma manuel ve gecikmeli. Eski çalışanın ya da dış firmanın SSH anahtarı, hesabı, parolası hâlâ geçerli olabiliyor.
"Lazım olur" diye verilen kalıcı yönetici hakları saldırı yüzeyini büyütüyor. Yetki ihtiyaç anında değil, 7/24 açık duruyor.
Hangi komut çalıştırıldı, hangi dosya değişti, hangi tablo silindi — kayıt yok. Bir ihlal ya da denetim sonrası kanıt üretilemiyor.
Dış firmalara VPN + admin verilip bırakılıyor. Ne yaptıkları izlenmiyor, erişim süresiz; iş bittiğinde kapatılması unutuluyor.
Kullanıcının kimliğinden oturumun kaydına ve SIEM’e aktarımına kadar her adım PAM Server içinde — onaylı, zaman damgalı, izlenebilir.
Kullanıcı AD/LDAP ile PAM Server’a kimlik doğrular. Rolüne göre hangi sunuculara, hangi yetkiyle erişebileceği önceden tanımlıdır.
Tüm SSH/RDP/veritabanı erişimleri tek kapıdan geçer; sunuculara doğrudan bağlantı kapatılır. Parola kasada kalır, kullanıcı parolayı görmez.
Kritik erişim için anlık onay. Yetki kalıcı değil; yalnızca ihtiyaç süresince açılır (just-in-time) ve süre dolunca otomatik kapanır.
Oturum, video + komut düzeyinde kaydedilir. Canlı izlenebilir; şüpheli bir oturum gerekirse tek tıkla anında sonlandırılır.
Tüm erişim ve komutlar denetim iziyle saklanır ve SIEM’e (ör. Graylog) aktarılır. Denetimde kanıt hazır bekler.
Ayrıcalıklı erişimi kontrol, görünürlük ve denetlenebilirlik temelinde yönetmek isteyen kurumlar için.
Ayrıcalıklı erişimin kim tarafından, ne zaman, hangi gerekçeyle kullanıldığını ve oturumda ne yapıldığını kanıtlamak zorunda olanlar.
Dağıtık altyapıda erişimi tek merkezi kapıdan yönetmek, doğrudan bağlantıları kapatmak ve saldırı yüzeyini daraltmak isteyen ekipler.
Üçüncü taraf erişimini süreli, onaylı ve kayıtlı hâle getirmek; iş bittiğinde otomatik kapatmak isteyen kurumlar.
Bulut tabanlı PAM yerine kendi sunucusunda çalışan bir çözüm isteyenler. Parolalar, oturum kayıtları ve denetim izi şirket içinde kalır.
Tek bir yanlış komutun büyük etki yarattığı sistemlerde; kim ne yaptı görünür olmalı ve riskli oturum anında durdurulabilmeli.
Ortak root parolasını bırakıp kişiye bağlı, izlenebilir ve geri alınabilir ayrıcalıklı erişime geçmek isteyen güvenlik ekipleri.
Topluluk sürümü; tek erişim kapısı, parola kasası, oturum kaydı, MFA, just-in-time erişim ve denetim izi gibi PAM çekirdeğini ücretsiz sunar. Kurum içi sunucuda çalışır, veri dışarı çıkmaz. İleri özellikler kümeleme/yüksek erişilebilirlik (HA), gelişmiş onay akışları ve geniş entegrasyon kataloğu yol haritasındadır.
Her özellik bir somut riskin karşılığı. Süslemek için değil, erişimi kontrol altına almak için var.
Ayrıcalıklı hesap parolaları şifreli kasada tutulur; kullanıcı parolayı hiç görmez. Oturum kasadan otomatik açılır, parolalar periyodik rotasyona girer.
Tüm SSH/RDP/veritabanı erişimi tek PAM kapısından geçer. Sunuculara doğrudan bağlantı kapatılır; saldırı yüzeyi belirgin daralır.
Oturum video + komut/girdi düzeyinde kaydedilir. Sonradan izlenebilir, içinde arama yapılabilir; her erişim hesap verilebilir hâle gelir.
Aktif oturumlar gerçek zamanlı izlenir. Şüpheli bir oturum tek tıkla anında kesilir; gerekirse kullanıcı kilitlenir.
Yetki kalıcı değildir. Talep + onayla yalnızca ihtiyaç süresince açılır, süre dolunca otomatik kapanır. "Sürekli açık admin" sona erer.
Kritik erişimde çok faktörlü doğrulama ve ikincil onay. Yüksek riskli sunucuya tek kişi tek başına giremez.
Active Directory ile kimlik; rol bazlı yetkilendirme (kim hangi sunucuya). Kişi AD’den düştüğü an tüm ayrıcalıklı erişimi biter.
Tüm erişim ve komutlar denetim iziyle saklanır ve SIEM’e (ör. Graylog) aktarılır. KVKK/ISO/PCI denetiminde kanıt hazır.
Ayrıcalıklı erişimi yönetmek; güvenlik, denetim ve operasyonun üçünde birden kazandırır.
Kişisel kimlik + parola kasası. Ortak root/admin parolası ortadan kalkar; her erişim bir kişiye bağlanır.
Kim, ne zaman, nereye bağlandı ve ne yaptı — hepsi kayıtlı. "Bu değişikliği kim yaptı?" sorusu artık yanıtlanır.
Just-in-time + tek kapı ile sürekli açık yetki ve doğrudan sunucu erişimi ortadan kalkar. Sızan bir hesabın değeri düşer.
KVKK, ISO 27001, PCI-DSS sorduğunda oturum kayıtları ve denetim izi hazır. Hazırlık günler değil dakikalar alır.
Dış firma erişimi süreli, onaylı, izlenir ve kayıtlı. İş bittiğinde otomatik kapanır; "açık unutuldu" riski biter.
Bir kişinin ya da sistemin tüm ayrıcalıklı erişimi merkezi olarak saniyeler içinde kesilir. Olay anında müdahale hızlanır.
Her senaryo gerçek bir güvenlik anıdır — bir politika maddesi değil, sahada verilmiş bir karar.
"Sistem yöneticilerinden biri işten ayrıldı; kaç sunucuda erişimi vardı, hepsi kapandı mı?"
Sonuç: AD’den düştüğü an tüm ayrıcalıklı erişimi merkezî olarak kapanır. Parolalar zaten kişide değil kasadaydı; geçmiş oturumlarının kaydı duruyor.
"Yazılım tedarikçisi üretim veritabanındaki bir sorunu uzaktan inceleyecek."
Sonuç: Süreli ve onaylı bir oturum açılır; tüm komutlar kaydedilir, canlı izlenir. İş bitince ya da süre dolunca erişim otomatik kapanır.
"Kritik bir sunucuda gece yarısı, plan dışı bir oturum başladı."
Sonuç: Canlı izleme ekranından oturum anında görülür; gerekirse tek tıkla sonlandırılır ve hesap kilitlenir. SIEM’e alarm düşer.
"Denetçi, ayrıcalıklı erişimin nasıl yönetildiğini ve kayıt altına alındığını soruyor."
Sonuç: Erişim politikaları, JIT onayları ve oturum kayıtları rapor ve ekran kaydı olarak sunulur. Dağıtık kanıt toplama derdi yok.
Dönem içi her an çalıştırılabilir. Denetçinin ve yönetimin sorduğu sorulara hazır cevaplar; Excel ve PDF dışa aktarım.
Kim hangi sunuculara, hangi yetkiyle erişebiliyor. Rol bazlı yetki haritası ve fazla yetki tespiti.
Tarih, kullanıcı, hedef sistem, süre. Video + komut düzeyinde arama ve dışa aktarım.
Hangi erişim, kim tarafından, ne kadar süreyle onaylandı ve kullanıldı.
Kasadaki hesaplar, son parola rotasyonu, sahiplik ve kullanım sıklığı.
Olağan dışı saat, başarısız girişler, riskli komut desenleri ve eşleşen alarmlar.
KVKK / ISO 27001 / PCI-DSS için ayrıcalıklı erişim uyum özeti. Denetime hazır format.
Hangi sunucuların, kimlerin ve hangi dış firmaların erişimde olduğunu birlikte çıkaralım. PAM Server topluluk sürümü kurulumu, parola kasası ve oturum kaydı — 30 dakikalık bir keşif görüşmesiyle başlar.