Linux Aï¿½ Gï¿½venliï¿½i

Giriï¿½

27 Eylï¿½l 1999

Internet son birkaï¿½ yï¿½ldï¿½r daha tehlikeli olmaya baï¿½ladï¿½. Internet trafiï¿½i artmakta ve ï¿½nemli iï¿½ler Internet'te yapï¿½lmakta. Bununla birlikte insanlardan kaynaklanan zararlar da artmakta.

Eï¿½er ï¿½alï¿½nmaya deï¿½er bir ï¿½ey varsa biri uï¿½raï¿½acak ve de onu ï¿½alacaktï¿½r. Bu gï¿½nï¿½mï¿½zde Internet dï¿½nyasï¿½nda ï¿½ok daha doï¿½rudur. Linux sistemleri bile bu kuralï¿½n dï¿½ï¿½ï¿½na ï¿½ï¿½kamazlar. Ama Linux'un bu Internet ï¿½alkantï¿½larï¿½na karï¿½ï¿½ kuvvetli olmasï¿½ ve birï¿½ok sofistike gï¿½venlik birimlerine sahip olmasï¿½ ï¿½ok gï¿½zel birï¿½ey. Bu Linux'un Intermet'le yoï¿½un uï¿½raï¿½anlar arasï¿½nda popï¿½ler olmasï¿½nï¿½n en onemli sebebidir.

Bununla birlikte Linux gï¿½venlik araï¿½larï¿½nï¿½ uygun bir ï¿½ekilde kullanmazsanï¿½z, problemlerle karï¿½ï¿½laï¿½abilirsiniz. Problemler kï¿½tï¿½ ï¿½ekilde kurulmuï¿½ gï¿½venlik araï¿½larï¿½ndan kaynaklanï¿½r. Bu yazï¿½ hangi hususlara dikkat edilmesi gerektiï¿½ini aï¿½ï¿½klamaya ï¿½alï¿½ï¿½acak.

Sisteminize zorla girmek iï¿½in kullanï¿½lacak birï¿½ok yol vardï¿½r. Genellikle bunlar var olan programlarï¿½n hatalarï¿½nï¿½ kullanï¿½rlar. Linux kulanï¿½cï¿½larï¿½ bu hatalara ï¿½ï¿½ï¿½k tutar ve ï¿½abucak bir yama ï¿½ï¿½kartï¿½rlar. Bu yamalar diï¿½er iï¿½letim sistemlerindeki kardeï¿½ programlarï¿½n yamalarï¿½ndan ï¿½ok daha hï¿½zlï¿½ ï¿½ï¿½karlar.

Bu yazï¿½ makinenizi ( ya da aï¿½ï¿½nï¿½zï¿½ ) bu ï¿½eï¿½it problemlere karï¿½ï¿½ nasï¿½l koruyacaï¿½ï¿½nï¿½zï¿½ aï¿½ï¿½klayacak. Aï¿½aï¿½ï¿½da gï¿½venli bir Linux'un nasï¿½l yapï¿½lacaï¿½ï¿½ aï¿½ï¿½klanacak.

Aï¿½ Servisleri

Linux bir sunucu olarak birï¿½ok servisi iï¿½inde bulundurabilir. ï¿½r : FTP,WWW ve e-mail. Bunlar kapï¿½lar ( port ) vasï¿½tasï¿½yla saï¿½lanï¿½r. ï¿½rnek vermek gerekirse
FTP 21. kapï¿½yï¿½ kullanarak iletiï¿½im saï¿½lar. Eï¿½er servislerin daï¿½ï¿½lï¿½mï¿½ hakkï¿½nda bilgi almak isterseniz /etc/servicesdosyasï¿½na gï¿½z atabilir.

Sistem kaynaklarï¿½ndan kazanmak ve sistem yï¿½netimini daha kolay kï¿½lmak iï¿½in ï¿½oï¿½u servis /etc/inetd.conf tarafï¿½ndan yï¿½netilir. Bu dosya servislerin nasï¿½l ï¿½alï¿½ï¿½acaï¿½ï¿½nï¿½ belirler.

Nelere Sahibiz?

ï¿½oï¿½u Linux daï¿½itimi ï¿½nceden birï¿½ok servisi aï¿½masï¿½na raï¿½men bunlar gï¿½venlik iï¿½in kapalï¿½ olmalï¿½. Birleï¿½miï¿½ sistemlerde gï¿½venlik ï¿½ok sorun deï¿½ildir. Bu "yumuï¿½ak" ortamda kazara gerï¿½ekleï¿½en zararlarï¿½n yeteri kadar ï¿½nlendiï¿½ini varsaymakla beraber bu servislere giriï¿½in saï¿½lanmasï¿½ bunlarï¿½ korumaktan ï¿½nemlidir. Eï¿½er Linux'unuz Internet'e aï¿½ï¿½lï¿½rsa olaya daha deï¿½iï¿½ik bir aï¿½ï¿½dan bakmalï¿½sï¿½nï¿½z. Sisteminizde hangi servislerin ï¿½alï¿½ï¿½tï¿½ï¿½ï¿½nï¿½ kontrol iï¿½in netstat -vat komutu kullanï¿½lï¿½r.

Sonuï¿½ :

   tcp 0 0 *:6000 *:* LISTEN
   tcp 0 0 *:www *:* LISTEN
   tcp 0 0 *:auth *:* LISTEN
   tcp 0 0 *:finger *:* LISTEN
   tcp 0 0 *:shell *:* LISTEN
   tcp 0 0 *:sunrpc *:* LISTEN

LISTEN yazan her satï¿½r baï¿½lanï¿½lmayï¿½ bekleyen bir servistir. Bunlardan baï¿½zï¿½larï¿½ tek baï¿½ï¿½msï¿½z ( stand-alone ) programlardï¿½r; fakat ï¿½oï¿½u /etc/inetd.conf tarafï¿½ndan kontrol edilir. Eï¿½er bir servisin tam olarak ne yaptï¿½ï¿½ï¿½nï¿½ bilimiyorsanï¿½z /etc/services dosyasï¿½ndan bakabilirsiniz.

ï¿½rneï¿½in : grep '^finger' /etc/inetd.conf komutuyla ï¿½ï¿½yle bir ï¿½ï¿½ktï¿½ alï¿½rsï¿½nï¿½z :

finger stream tcp nowait nobody /usr/sbin/tcpd /usr/sbin/in.fingerd

     Programï¿½n ne yaptï¿½ï¿½ï¿½na bakmak iï¿½in man sayfalarï¿½ndan in.fingerd'ye bakï¿½n. Eï¿½er servise ihtiyacï¿½nï¿½z yoksa onu /etc/inetd.conf dan baï¿½ï¿½na bir diyez (#) koyarak kapatï¿½n.
   # finger stream tcp nowait nobody /usr/sbin/tcpd /usr/sbin/in.fingerd

     Daha sonra killall -HUP inetd komutunu vererek inetd 'yi yeniden baï¿½latï¿½n tabii ki finger 'i sonsuza dek kapattï¿½k. Eï¿½er istersek yeniden # 'i
kaldï¿½rarak ve de killall -HUP inetd komutunu vererek bir daha aï¿½arï¿½z. Sistemi yeniden baï¿½latmaya gerek yok. Eï¿½er bir program inetd 'de yer almï¿½yorsa, baï¿½ï¿½msï¿½z (stand-alone) bir programdï¿½r. Bu servisi programï¿½ makineden kaldï¿½rarak
( uninstall ) kaldï¿½rabilirsiniz.Tabii bunu programï¿½n ne iï¿½e yaradï¿½ï¿½ï¿½nï¿½ ve ne yaptï¿½ï¿½ï¿½nï¿½zï¿½ biliyorsanï¿½z yapï¿½n.

hosts.{allow|deny}

ï¿½eï¿½itli servislere ekstra gï¿½venlik eklemek iï¿½in Linux daha ï¿½nceden belirtilmiï¿½ makinelere izin vererek ya da reddederek sistemi korur. ï¿½rnek olarak sadece sizin aï¿½ï¿½nï¿½za baï¿½lï¿½ bilgisayarlara ( Internet'teki bilgisayarlara deï¿½il ) izin vermek iï¿½in /etc/hosts.allow ve /etc/hosts.deny dosyalarï¿½nï¿½ dï¿½zenleyin. Daha fazla bilgi iï¿½in man sayfalarï¿½na bakï¿½n

SSH ( Secure Shell System ):

Makine bilgilerine bakarak baï¿½lantï¿½larï¿½ reddetmek saldï¿½rï¿½lardan korunmak iï¿½in iyi bir yï¿½ntem. Ama hepsi bu kadar deï¿½il.Sahte makine isimleriyle baï¿½lantï¿½ yapmak olasï¿½dï¿½r. Internet ï¿½zerinden programlar arasï¿½ haberleï¿½mede bilgi tehlikededir.Yeterli bilgiye sahip birisi bunlara bakabilir. Spoofing denen yï¿½ntemle sahte bilgileri Sisteminize aï¿½ï¿½layabilirler. Bu problemler Internet protokollerinin karï¿½ï¿½lï¿½klï¿½ haberleï¿½meleri sï¿½rasï¿½nda gerï¿½ekleï¿½ir.Bu gï¿½ï¿½lï¿½klerin ï¿½stesinden gelmek iï¿½in ssh tasarlanmï¿½tir.

> SSH aï¿½ï¿½k kaynak kodu ( open source ) ï¿½artlarï¿½na uygun olarak, baï¿½lantï¿½larda kimlik kontrolï¿½ ve ï¿½ifreleme yapan saï¿½lam yapï¿½lï¿½ ve iyi geliï¿½tirilmiï¿½ bir sistemdir. ï¿½ifreleme, bilgi paketlerinin iletmi sï¿½rasï¿½nda kodlar kullanï¿½r. Kimlik doï¿½rulama
( authentication ) baï¿½lantï¿½ ya da paket iletimi varsa kullanï¿½lan bir yï¿½ntemdir. Diï¿½er iï¿½letim sistemlerinde SSH istemcileri mevcuttur. Sunucu olarak Linux kullanï¿½larak SSH dï¿½zeyinde bilgi iletimi saï¿½lanabilir.
SSH hakkï¿½nda daha fazla bilgi iï¿½in http://www.ssh.fi

Programlarï¿½ izleme. Ne nerede kaydedilir?

Linux, sistem yï¿½neticisinin sistemde neler dï¿½ndï¿½ï¿½ï¿½nï¿½ bilmesini saï¿½layan kapsamlï¿½ alt sistemlere, programlara sahiptir. Aï¿½aï¿½ï¿½da, dosyalarï¿½ kaydeden ( log ) bazï¿½ araï¿½larï¿½n aï¿½ï¿½klamasï¿½ mevcuttur. Bunlarï¿½n doï¿½ru kurulduï¿½undan emin olun ve herhangi bir saldï¿½rï¿½dan ï¿½ï¿½phelenirseniz bunlarï¿½ kontrol edin. Buradaki en onemli sorun: ï¿½ok fazla kayï¿½t bulunmasï¿½dï¿½r. Bunun sonucu olarak filtreleme ve ï¿½nemli bilgilerin kaydedilmesi ï¿½nem kazanï¿½r.

> 3.2.1 JAIL ( Just Another IP Logger ) :

JAIL arka planda ï¿½alï¿½ï¿½an iki kï¿½ï¿½ï¿½k programcï¿½ktan oluï¿½ur ( icmplog ve tcplog ). Bu programlar /var/log/syslog iï¿½indeki bilmek istediï¿½iniz bilgileri kaydederler. Geniï¿½ bilgi iï¿½in man sayfalarï¿½na bakabilirsiniz.
ftpd , rlogind ve birï¿½ok etkileï¿½imli programlar, kendilerine baï¿½lanmak isteyen kullanï¿½cï¿½larï¿½n kayï¿½tlarï¿½nï¿½ /var/log/syslog ve /var/log/messages dosyalarï¿½nda tutarlar.

Diï¿½er Gï¿½venlik ï¿½nlemleri :

Bilgisayarlardaki firewall ï¿½zel bir aï¿½ï¿½ uï¿½suz bucaksï¿½z olan Internet'ten korumayï¿½ saï¿½layan bir araï¿½tï¿½r. Firewall'un en basit ï¿½ekli ( modem yada ethernet kartï¿½ ile ) Internete ya da ï¿½zel aï¿½lara baï¿½lï¿½ bir Linux makinasï¿½dï¿½r. Firewall gï¿½revini ï¿½stlenen bilgisayar, Internet'e ve de aï¿½a eriï¿½ebilir.Bu korumalï¿½ aï¿½ Internet'e ï¿½ï¿½kamaz ve de Internet'te bu aï¿½a giremez. Internet'e veya Internet'ten akan bilgiler firewall tarafï¿½ndan fï¿½ltrelenir. Aï¿½ iï¿½inde servisleri aï¿½ma ya da kapatmada daha az ï¿½zen gï¿½sterilir. Bu ï¿½ekilde sadece bir makina ï¿½zerinde yoï¿½unlaï¿½ï¿½lï¿½r. Firewall kurmak oldukï¿½a karmaï¿½ï¿½k bir iï¿½tir. ï¿½lk baï¿½ta makinenize baï¿½lï¿½ iki ethernet kartï¿½ gerekir. Sonra iki ethernet kartï¿½ arasï¿½ bilgi kï¿½prï¿½lerinin filterelenmesini kurmak iï¿½in ipchains isimli program kurulmalï¿½dï¿½r

ï¿½zet

Sisteminizi gï¿½venli kï¿½lmadaki karï¿½ï¿½lacaï¿½ï¿½nï¿½z en ï¿½nemli engel: sisteme giriï¿½in azalmasï¿½dï¿½r. Sistem gï¿½venligini arttï¿½rmanï¿½n arkasï¿½ndaki mantï¿½k bilgisayarin kullanï¿½mï¿½nï¿½ kï¿½sï¿½tlamaktï¿½r. Bu yazï¿½ ile aklï¿½nï¿½za gelebilecek yeni fikirlerden ï¿½nce madalyonun arka yï¿½zï¿½nï¿½; yani sisteminize gï¿½venli kï¿½larken sisteminizi daha az kullanma olasï¿½lï¿½ï¿½ï¿½nï¿½zï¿½ belirtmek isterim.