Kali Linux Kurulumu: Siber Güvenlik ve Penetrasyon Testi Ortamı

Kali Linux Kurulumu ve Kullanım Rehberi: Pentest Ortamı Hazırlama

Siber güvenlik dünyasına ilk adımı atan herkesin karşısına çıkan bir isim vardır: Kali Linux. Offensive Security (OffSec) tarafından geliştirilen ve Debian tabanlı olan bu dağıtım, penetrasyon testi ve etik hacking dünyasının fiilen standardı haline gelmiştir. 2013'te BackTrack 5'in yerini alan Kali 1.0, bugün yılda dört sürüm çıkaran rolling release modeline geçmiş durumdadır. Bu kılavuz; Kali'nin ne olduğunu, nerede ve nasıl kullanılabileceğini, kurulum adımlarını ve temel araçları ele almaktadır.

1. Kali Linux Nedir?

Kali Linux, Offensive Security (OffSec) tarafından 2013 yılında duyurulan, Debian GNU/Linux tabanlı bir penetrasyon testi dağıtımıdır. BackTrack serisi (2006-2013) deneyiminin üzerine sıfırdan inşa edilen Kali, güvenlik testlerinde ihtiyaç duyulan 600'den fazla aracı paket olarak sunar. Rolling release (sürekli güncelleme) modeliyle çalışır; bu sayede araçlar her zaman güncel sürümde kalır.

Dağıtımın birkaç önemli özelliği:

• 600+ önceden kurulu araç: Nmap, Metasploit Framework, Burp Suite, Wireshark, Aircrack-ng ve daha fazlası standart kurulumda gelir.
• Çoklu mimari: x86_64, ARM64 (Raspberry Pi, Apple Silicon, Android) ve MIPS desteği.
• Özelleştirilmiş çekirdek: Ekstra yama ve Wi-Fi enjeksiyon sürücüleri dahil, güvenlik testlerine özel derleme.
• Live USB + Forensic modu: Kalıcı kurulum yapmadan çalışabilir; forensic modda hiçbir veriye dokunmaz.

2. Etik Uyarı: Yasal Sınırlar

Kali içindeki araçlar güçlüdür ve izinsiz kullanıldığında ciddi hukuki sonuçlar doğurur. Bu bölümü atlamayın.

Temel kural: Kali araçlarını yalnızca sahibi olduğunuz veya yazılı izin aldığınız sistemlerde kullanabilirsiniz.

Türkiye mevzuatı: Türk Ceza Kanunu 243. madde bilişim sistemine yetkisiz girişi, 244. maddesi bilişim sistemini engelleme veya bozma eylemlerini suç olarak tanımlar. Bu eylemler için 1 ila 5 yıl hapis cezası öngörülmektedir; zarar oluşması durumunda bu süre artar.

"Gri hat" da yasadışı: "Sadece baktım", "sadece tarama yaptım", "izin almak istemedim ama zarar vermedim" savunmaları hukuki açıdan geçerli değildir. Bir sisteme izinsiz port taraması bile TCK 243 kapsamına girebilir.

İzinli kullanım senaryoları: Kendi sanal makineniz, kendi VDS'inizde açtığınız test ortamı, yazılı sözleşme kapsamındaki pentest projesi, CTF (Capture The Flag) platformları (TryHackMe, HackTheBox gibi), bug bounty programları (scope dahilinde).

3. Kali'nin Kullanım Alanları

Kali Linux'u kim, ne için kullanır?

Profesyonel pentester (CISA/CTI ekipleri): Müşteri sistemlerini yazılı sözleşme çerçevesinde test eder. Bu kişiler için Kali operasyonel araçtır. Raporlama, zafiyetin gösterilmesi ve iyileştirme önerileri sunulması bu sürecin parçasıdır.

Bug bounty araştırmacısı: HackerOne, Bugcrowd veya platform bünyesindeki programlara katılır; yalnızca scope dahilindeki hedeflere saldırır. Raporlanan zafiyetten ödül kazanır.

CTF oyuncusu: Capture The Flag yarışmalarında kasıtlı olarak savunmasız bırakılmış sanal makineleri çözer. OverTheWire, picoCTF ve root-me başlangıç için uygundur.

OSCP/OSCE/eJPT öğrencisi: OffSec ve eLearnSecurity gibi kurumların uygulamalı sertifikasyonlarında Kali, birincil sınav ortamıdır. OSCP sınavı 24 saatlik pratik testten oluşur.

Üniversite/araştırmacı: Akademik güvenlik araştırmalarında izole lab ortamı.

4. Kali Kurulum Yöntemleri

Kali'yi beş farklı şekilde çalıştırabilirsiniz. Her yöntemin farklı güvenlik ve esneklik profili vardır.

VirtualBox / VMware (en önerilen): Host sistemden tam izolasyon sağlar. Anlık görüntü (snapshot) ile yanlış bir adım attığınızda bir tuşla geri dönersiniz. Ağ ayarlarını esnek yapılandırabilirsiniz (NAT, host-only, bridged). Kali, resmi sanal makine görüntüleri (OVA) yayınlamaktadır; sıfırdan kurulum gerektirmez.

WSL2 (Windows Subsystem for Linux): Windows 10/11 üzerinde wsl --install -d kali-linux komutuyla birkaç dakikada kurulur. GUI araçları kısıtlıdır, ağ yalıtımı yoktur, donanım erişimi (özellikle Wi-Fi injection) çalışmaz. Temel CLI araçları için hızlı başlangıç noktasıdır.

Docker: docker pull kalilinux/kali-rolling komutuyla çekilir. Hafif ve hızlıdır; ama donanıma doğrudan erişim sınırlıdır. Otomasyon ve CI pipeline testleri için kullanışlıdır.

Bare-metal (doğrudan disk kurulum): Tam donanım erişimi ve maksimum performans. Ancak ev bilgisayarınıza kurmak tavsiye edilmez: Kali üretim masaüstü için tasarlanmamıştır, günlük kullanımda çeşitli uyumsuzluklar çıkabilir.

Live USB (forensic mod): Diskinize hiçbir şey yazmaz; yeniden başlatınca iz kalmaz. Adli bilişim görevleri için kritiktir.

5. Sistem Gereksinimleri

Bileşen	Minimum	Önerilen
RAM	4 GB	8 GB
Disk	25 GB	80 GB (kali-linux-everything meta-paketi)
CPU	x86_64, 2 çekirdek	4+ çekirdek
Ağ	—	Ekstra USB Wi-Fi adaptör (injection için)

VM ortamında 8 GB RAM ve 80 GB disk atamak Metasploit, Burp Suite ve Ghidra gibi ağır araçları aynı anda çalıştırmanızı kolaylaştırır.

6. VirtualBox ile Adım Adım Kurulum

Aşağıdaki adımlar resmi Kali ISO (kali.org/get-kali) kullanılarak VirtualBox 7.x ortamında test edilmiştir.

ISO indirme:

# Resmi torrent veya doğrudan indirme (2026.x sürümü)
# SHA256 toplamını mutlaka doğrulayın:
sha256sum kali-linux-2026.1-installer-amd64.iso

VM oluşturma (VirtualBox):

1. "New" → İsim: Kali-Lab, Tür: Linux, Sürüm: Debian (64-bit)
2. RAM: 8192 MB, Disk: 80 GB (VDI, dinamik)
3. Ayarlar > Sistem: EFI etkin, I/O APIC etkin
4. Ayarlar > Ağ: Adaptör 1 → NAT (internet için); Adaptör 2 → Host-Only (lab hedeflerine erişim için)
5. Ayarlar > Ekran: Video bellek 128 MB, 3D hızlandırma devre dışı

Kurulum adımları:

Installer başlatıldıktan sonra dil/klavye için Turkish seçin. Disk bölümlendirmede "Guided - use entire disk and set up LVM encrypted" seçeneği hem disk şifrelemesi hem de LVM esnekliği sunar. Root parolasını güçlü tutun; kurulum tamamlandıktan sonra da değiştirebilirsiniz.

7. İlk Yapılandırma

Kurulum bitti, sistemi başlattınız. Sıradaki adımlar:

# Depo güncelleme ve tam yükseltme
sudo apt update && sudo apt full-upgrade -y

# kali-tweaks: tema, undercover mod (Windows 10 görünümü), araç profili seçimi
kali-tweaks

# Türkçe locale (isteğe bağlı)
sudo dpkg-reconfigure locales
# tr_TR.UTF-8 seçin

# Saat dilimi
sudo timedatectl set-timezone Europe/Istanbul

# Varsayılan kullanıcı parolasını değiştirin (kali:kali)
passwd

GUI seçimi: Kali varsayılan olarak XFCE masaüstü sunar; hafif ve hızlıdır. GNOME veya KDE Plasma tercih ederseniz kali-tweaks içinden değiştirebilirsiniz. Sunucu ortamında masaüstü gerekmiyorsa --no-install-recommends ile minimal kurulum yapın.

Undercover modu: kali-tweaks içinde etkinleştirilebilen bu özellik, Kali masaüstünü Windows 10'a benzetir. Kamuya açık alanlarda dikkat çekmemek isteyenler için pratik bir gizleme katmanıdır.

8. Pentest Araç Kategorileri

Kali araçları işlevsel kategorilere ayrılmıştır. kali-tools-* meta-paketleri ile kategori bazlı kurulum yapabilirsiniz.

Information Gathering (bilgi toplama):

• nmap — port, servis ve işletim sistemi tespiti
• recon-ng — açık kaynak istihbarat (OSINT) framework
• theHarvester — e-posta, subdomain, IP toplama

Vulnerability Analysis (zafiyet analizi):

• nikto — web sunucu zafiyet tarayıcısı
• openvas / gvm — kurumsal zafiyet yönetim sistemi
• lynis — Linux sistem denetimi (sertleştirme odaklı)

Web Application Testing:

• burpsuite — HTTP proxy, intercept, aktif/pasif tarama
• zaproxy — OWASP ZAP, açık kaynak alternatif
• sqlmap — SQL injection otomasyonu

Password Attacks (parola saldırıları):

• hashcat — GPU hızlandırmalı hash kırma (MD5, SHA1, NTLM, bcrypt)
• john — John the Ripper, klasik parola kırma
• hydra — ağ servisleri için online brute force

Wireless (kablosuz):

• aircrack-ng — WEP/WPA-PSK analizi ve anahtar kurtarma
• wifite — otomatikleştirilmiş Wi-Fi saldırı framework

Reverse Engineering:

• ghidra — NSA'nın açık kaynak tersine mühendislik platformu
• radare2 — ikili analiz framework
• gdb + peda / pwndbg — exploit geliştirme yardımcısı

Exploitation:

• metasploit-framework — exploit geliştirme ve yürütme platformu
• beef-xss — tarayıcı tabanlı exploit framework

Sniffing / Spoofing:

• wireshark — paket analizi ve protokol diseksiyonu
• ettercap — man-in-the-middle saldırıları

Post Exploitation:

• empire — post-exploitation C2 framework
• mimikatz (Windows hedefi için Wine veya Windows agent) — kimlik bilgisi dumping

9. Pratik Temel Komutlar

Aşağıdaki komutlar yalnızca izinli test ortamlarında kullanılmalıdır.

Nmap ile stealth tarama:

# SYN (stealth) tarama + servis/versiyon tespiti
nmap -sS -sV -O 192.168.56.101

# Belirli port aralığı, NSE script ile
nmap -sV --script=vuln -p 80,443,8080 192.168.56.101

# Ağ keşfini tüm subnet'te çalıştırma
nmap -sn 192.168.56.0/24

Burp Suite temel proxy kurulumu:

1. Burp Suite açın; Proxy > Intercept sekmesinde "Intercept is on" aktif.
2. Tarayıcıda proxy: 127.0.0.1:8080 olarak ayarlayın.
3. Burp CA sertifikasını tarayıcıya yükleyin (http://burp adresinden indirilir).
4. Intercept açıkken hedef sayfaya gidin; HTTP isteğini yakalayın, değiştirin, gönderin.

sqlmap ile temel injection testi:

# Temel veritabanı keşfi (GET parametresi)
sqlmap -u "http://hedef.local/urun?id=1" --dbs

# Belirli veritabanından tablo listeleme
sqlmap -u "http://hedef.local/urun?id=1" -D hedef_db --tables

# Veri dump etme (dikkat: yalnızca izinli sistemde)
sqlmap -u "http://hedef.local/urun?id=1" -D hedef_db -T kullaniciler --dump

10. CTF (Capture The Flag) Eğitim Platformları

CTF yarışmaları ve pratik platformlar, pentest becerilerini yasadışı hedeflere dokunmadan geliştirmenin en iyi yoludur.

• TryHackMe: Tarayıcı tabanlı; her makine bağımsız VPN'e bağlanır. Başlangıç seviyesi öğrenme yolları güçlüdür.
• HackTheBox: Orta-ileri düzey; gerçek CVE ve servis zafiyetleri simüle edilir. OSCP hazırlığı için tercih edilir.
• OverTheWire: Wargame formatı; bash, binary ve crypto odaklı kademeli görevler. Ücretsiz.
• picoCTF: Carnegie Mellon Üniversitesi destekli; öğrenci dostu. Ücretsiz.
• root-me: Fransız platform; web, forensic ve cracking kategorilerinde yüzlerce görev.

Buyukweb VDS'te kendi lab ortamınızı kurabilirsiniz: İzole KVM sanal makinesi başlatın, bir makinede Kali, diğerinde kasıtlı savunmasız hedef (örneğin Metasploitable veya DVWA) çalıştırın. Kendi VDS'ler arası izinli pentest Buyukweb hizmet koşullarına uygundur; üçüncü taraf sistemlere izinsiz saldırı ise ToS ihlalidir.

11. Sertifikasyon Yolları

Pentest alanında kariyer hedefliyorsanız pratik ağırlıklı sertifikalar sizi öne çıkarır.

Sertifika	Kurum	Seviye	Notlar
eJPT	eLearnSecurity	Başlangıç	%100 pratik, 72 saat lab
eCPPT	eLearnSecurity	Orta	Network + web + PowerShell
CompTIA PenTest+	CompTIA	Orta	Çoktan seçmeli + performans
OSCP	OffSec	İleri	24 saat pratik sınav, endüstri standardı
GPEN	SANS / GIAC	İleri	Pahalı; kurumsal kabul güçlü
OSCE3	OffSec	Uzman	OSED + OSEP + OSWE kombinasyonu

OSCP, iş başvurularında en çok aranan sertifikadır. Hazırlık süreci 3-6 ay sürer; OffSec'in PWK (Pen-200) kursu lab erişimi içerir. eJPT ile başlamak, OSCP'ye geçişi kolaylaştırır.

12. Kali'nin Sınırları ve Dikkat Edilmesi Gerekenler

Günlük masaüstü için tasarlanmamıştır. Kali, güvenlik testleri için optimize edilmiştir; genel amaçlı kullanım için değil. Root varsayılan kullanıcı sorunu 2020 sonrasında giderilmiş olsa da sistem ayarları üretim masaüstü için uygun değildir. Bankacılık, sosyal medya ve kişisel işlemleri farklı bir işletim sisteminde yapın.

Üretim sunucu değildir. Pentest araçları ve geliştirici araçlarının karmaşık seti, bir web sitesi veya uygulama çalıştırmak için gereksiz yüktür. Üretimde AlmaLinux, Debian veya Ubuntu Server kullanın.

Güncel tutun. Rolling release modelinde sistem düzenli güncelleme ister. sudo apt update && sudo apt full-upgrade komutu haftada bir çalıştırılmalıdır; aksi hâlde bağımlılık çakışmaları oluşabilir.

Araç güncel ≠ yeterli: Zafiyet keşfetmek, teknik bilginin yanı sıra deneyim, raporlama becerisi ve etik sorumluluk gerektirir. Araç bir araçtır; bağlamı insan yorumlar.

13. Buyukweb VDS ile Kali Pentest Lab

Buyukweb VDS paketi, kendi pentest lab ortamınızı kurmak için gerekli özellikleri barındırır:

• KVM tabanlı sanallaştırma: Tam izolasyon; her VM bağımsız çalışır.
• Tam root erişimi: İşletim sistemi kurulumu, kernel yapılandırması, ağ yönetimi tamamen sizin kontrolünüzde.
• KVM web konsol: SSH bağlantısı olmasa bile tarayıcı üzerinden doğrudan VM erişimi.
• İzole ağ ortamı: VDS'ler arası özel ağ oluşturabilirsiniz; lab trafiği internet omurgasına çıkmaz.

Tipik lab kurulumu:

1. VDS 1: Kali Linux (saldırgan makine)
2. VDS 2: Metasploitable 2/3 veya DVWA (hedef makine, kasıtlı savunmasız)
3. İki VDS arasında özel ağ: Gerçekçi ağ topolojisi simülasyonu

Hizmet koşulları hatırlatması: Buyukweb altyapısını yalnızca kendi VDS'leriniz için izinli test amacıyla kullanabilirsiniz. Üçüncü taraf sistemlere, farklı müşterilerin VDS'lerine veya dış ağ adreslerine yönelik izinsiz tarama, brute force veya exploit girişimi Buyukweb Hizmet Koşulları'nı açıkça ihlal eder ve yasal sonuçlar doğurur.

Teknik destek ve lab kurulumu için 0850 302 60 70 numaralı hattı arayabilirsiniz.

14. Kali Linux Alternatif Dağıtımları

Kali tek seçenek değildir; ekosistemi anlamak için diğer pentest dağıtımlarını da bilmek gerekir.

Parrot OS (Security Edition): Debian tabanlı, XFCE veya MATE masaüstü. Kali'ye kıyasla daha az kaynak tüketir; günlük masaüstü olarak kullanılabilir. Anonim mod (AnonSurf) ve geliştirici araçları dahilidir.

BlackArch Linux: Arch Linux tabanlı; 2800+ araç. Deneyimli kullanıcılar için; Arch bilgisi gerektirir. Araç sayısı Kali'den fazladır ama stabilite daha az öngörülebilir.

Pentoo: Gentoo tabanlı; hardened kernel. Niş bir topluluk için; kaynak koddan derleme esnekliği sunar.

Bu dağıtımların hepsi benzer araç kümesini farklı paketleme ve hedef kitleyle sunar. Yeni başlayanlar için Kali'nin resmi belgeleri, topluluk forumları ve geniş kaynak tabanı avantajlıdır.

15. Sık Sorulan Sorular

Kali Linux yasal mı?
Kali'nin kendisi tamamen yasaldır; bir araç kutusudur. Yasallık; araçları nerede ve kimin için kullandığınıza bağlıdır. İzinli sistemlerde kullanmak yasaldır; izinsiz sistemlerde kullanmak yasadışıdır.

Kali günlük kullanım işletim sistemi olarak kullanılabilir mi?
Teknik olarak mümkündür; pratik olarak tavsiye edilmez. Üretim masaüstü için Ubuntu veya Fedora daha uygundur. Kali'yi VM'de tutun, ihtiyaç duyduğunuzda başlatın.

Hangi Kali sürümünü indirmeliyim?
Rolling sürüm (kali.org/get-kali, installer veya VM görüntüsü) her zaman günceldedir. Haftada bir apt full-upgrade yaparsanız büyük sürüm farklarını takip etmeniz gerekmez.

VDS'te Kali kurabilir miyim?
Buyukweb VDS'te KVM sanallaştırması üzerinden Kali kurabilirsiniz. ISO ile manuel kurulum veya snapshot import mümkündür. Kali'yi doğrudan VDS işletim sistemi olarak değil, KVM VM'i olarak çalıştırmanız önerilir.

OSCP ne kadar zor?
Endüstride "zor fakat adil" olarak değerlendirilir. 24 saatlik sınav yorucu olmakla birlikte, PWK kursunu ve HackTheBox makinelerini tamamlayanlar için ulaşılabilirdir. 3-6 ay yoğun hazırlık gerektiren uygulamalı bir sınavdır.

Kali mi, Parrot OS mi seçmeliyim?
Öğrenme aşamasında ikisi de uygundur. Kali'nin daha büyük topluluğu ve belgeleri vardır; sorun yaşadığınızda çözüm bulmak daha kolaydır. Parrot OS daha az kaynak tüketir. Seçim büyük fark yaratmaz; araçlar aynıdır.

İzinsiz port taraması suç mudur?
Türkiye'de TCK 243 çerçevesinde evet, suç sayılabilir. Port taraması sisteme yetkisiz erişim girişimi kapsamına girebilir. Hedef sistem sizin değilse veya yazılı izniniz yoksa tarama yapmayın.

---

Kali Linux, doğru amaçla kullanıldığında güvenlik dünyasında kariyer inşa etmenin en değerli araçlarından biridir. Etik sınırları net tutun, lab ortamında pratik yapın ve öğrenmeye devam edin. Buyukweb VDS üzerinde kendi test ortamınızı kurmak isterseniz 0850 302 60 70 hattımızdan teknik destek alabilirsiniz.

İlgili Büyükweb Hizmetleri

Kendi pentest lab ortamınızı kurmak için:

• VDS Sunucu
• Fiziksel Dedicated Sunucu
• Linux Hosting
• Nested Sunucu

Sorularınız için 0850 302 60 70 numaralı destek hattımıza veya iletişim sayfamıza yazabilirsiniz.