1. Ana Sayfa
  2. Bilgisayar
  3. Linux ta Güvenlik

Linux ta Güvenlik

Son güncelleme: 05.03.2006 12:31
D_tox D_tox foto
  • 4 Copyright Information - Telif Hakkı Bilgisi

    Linux HOWTO (NASIL) belgeleri, bu telif hakkı bilgisi birlikte bulunduğu sürece, kısmen veya tamamen, çoğaltılabilir ve dağıtılabilir. Ticari amaçlı dağıtımlara da izin verilir ve teşvik edilir; bununla birlikte, böyle bir ticari dağıtım gerçekleşirse, yazarlar bundan haberdar edilmelidir.
    Herhangi bir Linux HOWTO (NASIL) belgesini içine alan çeviriler, HOWTO (NASIL) belgesi türevleri, veya bir araya getirme çalışmaları bu Telif Hakkı kapsamı altında yapılmalıdır. Bu şu anlama geliyor: Bir NASIL belgesinden türeyen bir çalışma üretip, bu yeni çalışmaya ek kısıtlamalar getiremezsiniz. Bazı şartlar altında bu kurallara istisnalara izin verilebilir, lütfen aşağıda adresi bulunan Linux HOWTO (NASIL) Koordinatörü ile iletişime geçin.
    Sorularınız varsa, lütfen adresi aşağıda bulunan Linux HOWTO (NASIL) Koordinatörü Tim Bynum ile iletişime geçin:
    tjbynum@metalab .unc.edu
    :cubuk:

    Bu belge Linux sisteminizi daha güvenli hale getirebilmek için yaygın olarak kullanılan yazılımları ve bazı yordamları açıklamaya çalışacak. Başlamadan önce, öncelikle bazı temel kavramları tartışmak, ve bir güvenlik altyapısı oluşturmak, bu açıdan önemli.


    2.1 Neden Güvenliğe Gereksinim Duyuyoruz?
    Sürekli değişmekte olan küresel iletişim, pahalı olmayan İnternet bağlantıları, ve hızlı adımlarla ilerleyen yazılım gelişimi dünyasında, güvenlik gitgide daha fazla konu haline geliyor. Şu anda güvenlik temel bir gereksinim, çünkü küresel bilişim doğal bir güvensizlik içinde. Örneğin, veriniz A noktasından B noktasina İnternet üzerinde giderken, yolu boyunca bir dizi başka noktalardan geçebilir, ve bu şekilde diğer kullanıcılara, gönderdiğiniz verinin yolunu kesilebilmek, hatta veriyi değiştiribilmek için fırsatlar verebilir. Hatta sisteminizdeki diğer kullanıcılar, kötü niyetle, sizin isteğiniz dışında verinizi başka bir şekle sokabilir. Korsan da denilen bazı saldırganlar sisteminize izinsiz erişim sağlayabilir, ileri düzey bilgileri kullanarak sizmişsiniz gibi davranabilir, sizden bilgi çalabilir, hatta kendi kaynaklarınıza erişiminizi engelleyebillir . Eğer Bilgisayar Kurdu ile Bilgisayar Korsanı arasındaki farkı merak ediyorsanız, Eric Raymond tarafından hazırlanan Nasıl Bilgisayar Kurdu Olunur belgesini aşağıdaki adreste bulabilirsiniz:
    http://www.netaxs.com/~esr/faqs/hacker-howto.html

    Ç.N.: cracker = çatlatan, çatırtadan, argoda sistemleri kıran kişi, korsan, aynı zamanda bildiğimiz kraker anlamına da gelir. Türkçe'de kanımca buna en iyi karşılık gelen ifade Bilgisayar Korsanı olsa gerek. Hacker ise, İngilizce günlük konuşmada bilgisayar teknolojisinin gelişmesinden önce çok yaygın olarak kullanılmayan bir sözcük. Bilgisayar teknolojosinin yaygınlaşması ile birlikte, argoda Bilgisayar ile ilgili bütün konuları en ince ayrıntısına kadar öğrenmeye çalışmaktan derin bir zevk duyan kişi anlamında kullanılmaya başlandı. Yine kanımca Hacker'a en iyi karşılık gelen ifade Bilgisayar Kurdu. Crackerlar kendilerinin kraker olarak anılmasından hoşlanmamış olacak ki bir süre sonra cracker ve hacker sözcükleri aynı anlamı ifade edecek şekilde kullanılmaya başlandı. Daha doğrusu hacker sözcüğü cracker için kullanılmaya başlandı. Bilgisayar dünyasındaki terimlerle resmi olmayan şekilde anlatacak olursak: Hacker her şeyi bilen, cracker ise sisteme (izinsiz) girendir. Bir sisteme izinsiz girebilmek, yani o sistemi kırabilmek için o sistemin bütün teknik ayrıntılarını bilmek gerekmez. Açık kapının, ya da zayıflıkların nerde olduğunu bilmek yeterlidir. Bununla birlikte, bir sistemin bütün teknik ayrıntılarını biliyorsanız, muhtemelen zayıf noktalarını da bilirsiniz, bu yüzden en iyi crackerlar genelde hackerlardan çıkar. Lamer (lame = topal, aksak) ise, zayıf noktanın bile neresi olduğunu anlamadan sisteme girmeye çalışan kişiye denir ).


    2.2 Güvenli, Ne kadar Güvenli?
    Öncelikle, hiçbir bilgisayar sisteminin tamamen güvenli olamayacağını aklınızdan çıkarmayın. Bütün yapabileceğiniz , sisteminizi bozmaya çalışan birinin, bu işini gitgide daha zor bir hale getirmek olacaktır. Ortalama bir ev Linux kullanıcısı için korsanları uzak tutmak fazla bir şey gerektirmez. Bununla birlikte, daha Büyük-Ölçek Linux kullanıcıları (bankalar, telekomunikasyo n şirketleri vb) için yapılması gereken çok çalışma vardır.

    Değerlendirilme si gereken bir diğer etken de, güvenlik önemleriniz arttıkça, bu güvenlik önlemlerinin kendisi sistemi kullanılmaz hale getirebilmekted ir. Bu noktada dengeleri sağlayacak kararlar vermelisiniz, öyleki sisteminiz kullanılabilirl iğini yitirmeden amaçlarınıza uygun bir güvenlik içinde olmalı. Örneğin, sisteminize telefon yoluyla bağlanmak isteyen herkese modem tarafından geri-arama yapılması gibi bir güvenlik önleminiz olabilir. Bu daha güvenli olmakla birlikte evinde bulunmayan bir kişinin sisteme giriş yapmasını zorlaştırır. Ayrıca Linux sisteminizin ağ veya İnternet bağlantısı olmayak şekilde de ayarlayabilirsi niz, fakat bu da sistemin yararlı kullanımını sınırlandırmak olacaktır.

    Eğer orta büyüklükte veya büyük bir siteyseniz, bir güvenlik politikası oluşturmalı, ve bu politika sitenizin ne kadar güvenliğe gereksinimi olduğunu belirtiyor olmalıdır. Bu politikaya uygun olarak alınan önlemlerin ve yordamların uygulandığından emin olmak için bir izleme yordamı da olmalıdır. Yaygın olarak bilinen bir güvenlik politikası örneğini http://www.faqs.org/rfcs/rfc2196.html
    adresinde bulabilirsiniz. Bu belge yakın zamanda güncellendi, ve şirketinizin oluşturulacak güvenlik politikası için gerçekten bir iskelet görevi görecek bilgiler içeriyor.

    2.3 Neyi Korumaya Çalışıyorsunuz?
    Sisteminizi güvenli hale getirmeden önce, korunmanız gereken tehditin düzeyine, hangi tehlikeleri dikkate almamak gerektiğine, ve sonuç olarak sisteminizin saldırıya ne kadar açık olduğuna karar vermelisiniz. Koruduğunuz şeyin ne olduğunu, neden korumakta olduğunuzu, değerinin ne olduğunu, ve verinizin ve diğer değerlilerinizi n sorumluğunun kime ait olduğunu belirlemek amacıyla sisteminizi çözümlemelisini z.


    Risk, bilgisayarınıza erişmeye çalışan bir saldırganın, bunu başarma olasılığıdır. Bir saldırgan, dosyaları okuyabilir veya değiştirebilir, veya zarara yol açacak programlar çalıştırabilir mi? Önemli verileri silebilir mi? Unutmayın: Sizin hesabınıza, veya sisteminize erişim sağlamış biri, sizin kişiliğinize bürünebilir.
    Ek olarak, bir sistemde güvensiz bir hesap bulundurmak bütün ağın güvenliğinin bozulmasıyla sonuçlanabilir. Eğer bir kullanıcıya .rhosts dosyasını kullanarak giriş yapma, veya tftp gibi güvensiz bir servisi çalıştırma izni verirseniz, bir saldırganın kapıdan içeri bir adım atması riskini göze almış oluyorsunuz. Saldırgan bir kez sizin veya bir başkasının sisteminde bir kullanıcı hesabı sahibi olduktan sonra, bu hesabı diğer bir hesaba, veya diğer bir sisteme erişim kazanmak için kullanabilir.


    Tehdit, tipik olarak ağınıza veya bilgisayarınıza izinsiz erişim sağlamak için güdülenmiş birinden gelir. Sisteminize erişim için kimlere güveneceğinize, ve ne gibi tehditler ortaya çıkaracaklarına karar vermelisiniz.
    Çeşitli saldırgan tipleri vardır, ve bunların değişik niteliklerini akıldan çıkarmamak, sistemlerinizin güvenliğini sağlamakta yararlı olur:


    Meraklı - Bu tip saldırgan genelde ne çeşit bir sisteminiz ve veriniz olduğunu keşfetmek ile ilgilenir.
    Kötü Niyetli - Bu tip saldırgan, sisteminizi çalışmaz hale getirmek, www sayfanızın görünüşünü bozmak, ya da yolaçtığı zararı karşılayabilmen iz için sizi zaman ve para harcamaya zorlamak amacıyla ortalarda dolaşır.
    Büyük-Ölçek Saldırganı - Bu tip saldırgan, sisteminizi kullanarak tanınıp sevilme ve ün (infamy) kazanma peşindedir. Büyük ölçekli sisteminizi kullanarak, yeteneklerinin reklamını yapmaya çalışır.
    Rekabet - Bu tip saldırgan, sisteminizde hangi verilerin bulunduğu ile ilgilenir. Kendisine, parasal veya diğer yollarla yararlı olabilecek bir şeye sahip olduğunuzu düşünen biri olabilir.
    Ödünç Alanlar - Bu tip saldırgan, sisteminize dükkan açmak ve kaynaklarını kendi amaçları için kullanmakla ilgilenir. Çoğunlukla sohbet veya IRC servisleri, porno siteleri, hatta DNS servisleri bile çalıştırabilirl er.
    Zıp Zıp Kurbağa - Bu tip saldırgan, sisteminizle ilgilenir çünkü sisteminizden diğer sistemlere atlamak istemektedir. Eğer sisteminiz diğer sistemlere iyi bir bağlantı sağlıyorsa, veya içerdeki diğer bilgisayarlara bir ağ geçidi niteliğindeyse, bu tip saldırganların sistem güvenliğinizi bozmaya çalıştıklarını görebilirsiniz.

    Zayıflık, bilgisayarınızı n diğer ağlardan ne kadar iyi korunmakta olduğunu, ve birinin izinsiz erişim sağlaması potansiyelini tanımlar.
    Biri sisteminize girerse tehlikede olan nedir? Elbette, çevirmeli ağ ile PPP bağlantısı sağlayan bir ev kullanıcısı ile makinelerını İnternete bağlayan bir şirketin, veya diğer büyük bir ağın ilgilendikleri farklı olacaktır.

    Kaybolan herhangi bir veriyi yerine koymak/yeniden yaratmak için ne kadar zaman gerekirdi? İşin başında yapılan bir yatırım için harcanan zaman, daha sonra kaybolan veriyi yeniden yaratmak için harcanan zamandan on kat daha az olabilir. Yedekleme stratejinizi gözden geçirdiniz mi? Son zamanlarda verilerinizi doğruladınız mı?


    2.4 Bir Güvenlik Politikası Geliştirmek
    Sisteminiz için kullanıcılarını zın kolayca anlayıp izleyebileceği basit, ve genel bir politika yaratın. Bu politika verinizi koruduğu gibi, kullanıcılarını zın özel hayatlarını da korumalı. Eklenmesi düşünülebilecek bazı şeyler: Kim sisteme erişime sahip (Arkadaşım hesabımı kullanabilir mi?), kim sistem üzerinde yazılım kurma iznine sahip, veri kime ait, felaketten sonra toparlanma, ve sistemin uygun kullanımı.

    Genel olarak kabul edilmiş bir güvenlik politikası


    İzin verilmemiş herşey yasaklanmıştır
    ifadesi ile başlar. Bu, herhangi bir servis için bir kullanıcının erişimi onaylanmadığı sürece, o kullanıcı erişim onaylanana kadar o servisi kullanmıyor olmalı anlamına gelir. Politikaların kullanıcı hesapları üzerinde işlediğinden emin olun. Örneğin Bu erişim hakları probleminin nerden kaynaklandığını bulamıyorum, neyse, root olarak halledeyim demek, çok bariz güvenlik deliklerine olduğu kadar, henüz hiç keşfedilmemiş olanlarına da yol açabilir.

    rfc1244, kendi ağ güvenlik politikanızı nasıl oluşturabileceğ inizi açıklayan,

    rfc1281 ise her adımı ayrıntılı olarak anlatılmış örnek bir güvenlik politikasını içeren

    birer RFC (Request For Comment - Yorum İçin İstek) belgesidir.

    Son olarak, gerçek hayatta güvenlik politikaları nasıl oluyor görmek isterseniz, COAST politika arşivine bir göz atmak isteyebilirsiniz:
    ftp://coast.cs.purdue.edu/pub/doc/policy


    2.5 Sitenizi Güvenli Hale Getirmenin Yolları
    Bu belge, uğrunda çok çalıştığınız değerli şeylerinizi güvenli hale getirebilmeniz için gereken çeşitli yolları tartışacak. Bu değerli şeyler yerel makineniz, veriniz, kullanıcılarını z, ağınız, hatta kendi saygınlığınız olabilir. Kullanıcılarını zın sahip olduğu veriyi bir saldırgan silerse saygınlığınız ne olur? Ya şirketinizin, önündeki üç aylık süredeki proje planlarını yayımlarsa? Bir ağ kurulumu planlıyorsanız, herhangi bir makineyi ağa dahil etmeden önce dikkate almanız gereken bir çok etken vardır.

    Tek bir PPP hesabınız dahi olsa, ya da sadece küçük bir siteniz, bu saldırganların sizin sisteminizle ilgilenmeyecekl eri anlamına gelmez. Tek hedefler, büyük, büyük ölçekli siteler değildir -- Bir çok saldırgan basitçe, büyüklüğü farketmeden olabildiğince çok sitenin açıklarından yararlanmak ister. Ek olarak, sizin sitenizdeki bir güvenlik deliğini, bağlı olduğnuz diğer sitelere erişim kazanmak amacıyla kullanabilirler .

    Saldırganların elinde çok zaman vardır, sisteminizi nasıl anlaşılmaz bir hale getirdiğinizi, ya da ne derece gözden sakladığınızı öğrenmek için tahmin yolunu değil, basitçe tek tek bütün olasılısıkları deneme yolunu seçerler. Bir saldırganın sisteminizle ilgileniyor oluşunun bir takım başka nedenleri de vardır, bunları daha sonra tartışacağız.


    Bilgisayar Güvenliği
    Belki de sistem yöneticilerinin en çok yoğunlaştığı güvenlik alanlarından biri bilgisayar bazında güvenliktir. Bu, tipik olarak, kendi bilgisayarınızı n güvenli olduğundan emin olmanız, ve ağınızdaki bütün herkesin de emin olduğunu ümit etmenizdir. İyi parolaların seçilmesi, bilgisayarınızı n yerel ağ servislerinin güvenli hale getirilmesi, hesap kayıtlarının iyi korunması, ve güvenlik açıkları olduğu bilinen yazılımın güncellenmesi, yerel güvenlik yöneticisinin sorumlu olduğu işler arasındadır. Bunu yapmak mutlak şekilde gereklidir, fakat ağınızdaki bilgisayar sayısı arttıkça, gerçekten yıldırıcı bir iş haline dönüşebilir.


    Yerel Ağ Güvenliği
    Ağ güvenliği, en az bilgisayarların güvenliği kadar gerekli olan bir kavramdır. Aynı ağ üzerindeki yüzlerce, binlerce, hatta daha fazla bilgisayarla, güvenliğinizi her birinin tek tek güvenli oluşu üzerine kuramazsınız. Ağınızı sadece izin verilen kullanıcıların kullandığını garanti altına almak, ateşduvarları oluşturmak, güçlü bir şifreleme kullanmak, ve ağınızda yaramaz (yani güvensiz) makineler bulunmadığından emin olmak, güvenlik yöneticisinin görevlerinin bir parçasıdır.

    Bu belgede sitenizi daha güvenli bir hale getirmek için kullanılan teknikleri tartışacağız, ve bir saldırganın korumaya çalıştıklarınız a erişim sağlamasını engellemek için gereken yollardan bazılarını göstermeye çalışacağız.


    Karmaşıklaştırm a Yoluyla Güvenlik

    Tartışılması gereken güvenlik tiplerinden biri karmaşıklaştırm a yoluyla güvenliktir. Bunun anlamı, örneğin, güvenlik açıkları bulunan bir servisin standart olmayan bir port (kapı) a taşınmasıdır, saldırganların bu şekilde servisin nerde olduğunu farketmeyerek bu açıktan yararlanamayaca ğı umulur. Diğerlerinin ise servisin nerde olduğunu bilmeleri, dolayısıyla yararlanabilmel eri gerekir. Sitenizin küçük, veya göreli olarak daha küçük ölçekli oluşu, saldırganların sahip olduklarınızla ilgilenmeyeceği anlamına gelmez. Önüzümüzdeki bölümlerde tartıştıklarımı z arasında neyi korumakta olduğunuz da bulunacak.


    2.6 Bu Belgenin Düzeni
    Bu belge, bir takım bölümlere ayrılmıştır. Bu bölümlerde kapsamı geniş olan güvenlik konuları yer almaktır. İlkin, Fiziksel Güvenlik, makinenizi fiziksel bir zarar görmekten nasıl korumanız gerektiğini kapsıyor. İkinci olarak, Yerel Güvenlik, sisteminizin yerel kullanıcılar tarafından karıştırılmasın ın nasıl engelleneceğini açıklıyor. Üçüncüsü, Dosyalar ve Dosyasistemi Güvenliği, dosyasistemleri nizi ve dosyalar üzerindeki erişim haklarının nasıl düzenlenmesi gerektiğini açıklıyor. Sonraki bölüm, Parola Güvenliği ve Şifreleme, makinenizi ve ağınızı daha iyi bir şekilde güvenli hale getirmek için şifrelemenin nasıl kullanıldığını tartışıyor. Çekirdek Güvenliği bölümünde ise daha güvenli bir sistem için farkında olmanız gereken çekirdek seçenekleri anlatılıyor. Ağ Güvenliği, Linux sisteminizi ağ saldırılarına karşı nasıl güvenli hale getirebileceğin iz hakkında bilgi içeriyor. Güvenlik Hazırlığı, makine(ları)nız ı, ağa bağlı hale getirmeden önce nasıl hazırlamanız gerektiğini anlatıyor. Sonraki bölüm, Güvenlik Bozukluğu Sırasında veya Sonrasında Neler Yapılabilir, sistemizi bozmaya çalışma eylemi o an devam etmekte ise, veya böyle bir eylemin yakın zamanda gerçekleştiğini öğrendiğinizde neler yapabileceğiniz konusunu tartışıyor. Güvenlikle İlgili Kaynaklar, bölümünde bazı güvenlik ile ilgili bilgilere erişim sağlanabilecek başlıca kaynaklarının neler olduğu sıralanıyor. Soru ve cevap bölümü, Sıkça Sorulan Sorular, sık sık sorulan bazı soruların cevaplarını içeriyor, ve son olarak Sonuç bölümü yer alıyor.

    Bu belgeyi okurken farkında olunması gereken iki ana konu:


    Sisteminizden haberdar olun. /var/log/messages gibi sistem kayıtlarınızı düzenli olarak gözden geçirin ve gözünüz daima sisteminizin üzerinde olsun.
    Sisteminizi güncel tutun, yazılımlarınızı n en son sürümlerini kurun, ve kullandığınız yazılımla ilgili güvenlik uyarılarını takip ederek gereken güncellemeleri zamanında yapın. Sadece bunu yapmak bile sisteminizi kayda değer şekilde daha güvenli hale getirecektir.


    3. Fiziksel Güvenlik
    Güvenliğin dikkate almanız gereken ilk katmanı bilgisayar sistemlerinizin fiziksel güvenliğidir. Makinenize kimler doğrudan erişim sağlayabiliyor? Sağlamalılar mı? Makinenizi kurcalamalarını engelleyebiliyo r musunuz? Engellemeli misiniz?

    Sisteminizde ne kadar fiziksel güvenliğe gereksinimiz olduğu, durumunuza ve/veya bütçenize bağlıdır.

    Eğer bir ev kullanıcı iseniz, büyük olasılıkla çok fazla gereksiniminiz yoktur (tabii ki makinenizi çocuklardan veya rahatsız edici akrabalarınızda n korumanız gerektiğini düşünebilirsini z). Eğer bir laboratuvardays anız, ciddi anlamda daha fazlasına ihtiyacınız vardır, ama kullanıcıların da aynı zamanda işlerini makineler üzerinde yapabilmesi gerekir. İzleyen bölümler bu konuda yardım etmeye çalışacak. Eğer bir ofisteyseniz, makinenizi mesai saatleri dışınd, veya makinenizin başında değilken daha güvenli hale getirmeye ihtiyacınız olabilir veya olmayabilir de. Bazı şirketlerde, konsolun güvensiz bir durumda bırakmak işten çıkarılma sebebi olabilir.

    Kilitler, (elektrikli) teller, kilitli dolaplar, ve kamerayla izleme gibi apaçık fiziksel güvenlik yöntemlerinin hepsi iyi fikir olmakla birlikte bu belgenin konusu ötesindedir.


    3.1 Bilgisayar Kilitleri
    Yeni PC'lerin çoğunda bir kilitleme özelliği bulunur. Genellikle bu, kasanın önünde yer alan ve beraberinde gelen anahtar kullanılarak açılıp kapanabilir bir kilittir. Kasa kilitleri PC'nizin çalınmasını, ya da kasanın açılarak donanımınıza doğrudan bir müdahele edilmesini veya parçaların çalınmasını engeller. Bazı durumlarda bilgisayarınızı n kapatılıp, disket veya başka donanım ile yeniden açılmasının engellenmesini de sağlayabilirler .

    Bu kasa kilitleri, ana karttaki desteğe, ve kasanın nasıl yapıldığına göre değişik şeyler de yapabilir. Bazı PC'lerde bu kilitler öylesine yapılmıştır ki kasayı açmak için kırmanız gerekir. Diğer bazı PC'lerde ise, yeni bir klavye ya da fare takmanıza izin vermezler. Bununla ilgili bilgiyi kasanızın veya ana kartınızın kullanım rehberinde bulabilirsiniz. Kilitler genelde düşük kalitelidir ve uygun bir maymuncukla kolayca açılabilirler, ama buna rağmen bazı durumlarda gerçekten etkili bir koruma yöntemi olabilirler.

    Bazı makinelerin (SPARClar ve Mac'ler dikkate değer), arka taraflarında içinden bir telin geçebileceği iki tane delik vardır. İçinden bir tel geçirdiğinizde, saldırganlar kasayı açabilmek için teli kesmek veya kasayı kırmak zorunda kalırlar. Bir asma kilit veya bir şifreli kilit takmak bile makinenizin çalınmasında oldukça caydırıcı olabilir.


    3.2 BIOS Güvenliği
    BIOS, x86 tabanlı donanımızı yönlendiren ve ayarlarını yapan en düşük düzeydeki yazılımdır. LILO ve diğer Linux sistem yükleme yöntemleri, Linux makinenizin nasıl açılacağına karar vermek için BIOS'a erişir. Linux'un çalıştığı diğer donanımlarda da benzer bir yazılım bulunur (Mac'lerde OpenFirmware ve yeni Sun'larda Sun boot PROM'u gibi). BIOS'unuzu kullanarak saldırganların bilgisayarınızı kapatıp açmasını, ve Linux sisteminizi yönlendirmesini engelleyebilirs iniz.

    Bir çok BIOS bir parola ayarı yapmanıza izin verir. Bu o kadar da çok güvenlik sağlamaz (BIOS sıfırlanabilir, veya kasa açılarak çıkarılabilir), ama iyi bir caydırıcı etken olabilir (yani zaman alacak ve kurcalamanın izleri kalacaktır). Benzer şekilde, s/Linux (SPARC" işlemcili makineler için Linux) sisteminizde, açılış parolası için EEPROM'unuzu kullanabilirsin iz. Bu saldırganları yavaşlatacaktır .

    Çoğu x86 BIOS'ları, diğer bazı iyi güvenlik ayarları bulundurur. BIOS kitapçığınıza bakabilir, veya bir sonraki açılışta BIOS'a girerek ne tür ayarlar olduğunu gözden geçirebilirsini z. Örneğin, bazı BIOS'lar disket sürücülerden sistem yüklenmesine izin vermez, bazıları da BIOS'un bazı özelliklerinin kullanılması için bir parola gerektirir.

    Not: Makineniz sunucu görevi yapıyorsa, ve bir açılış parolası koyduysanız, makineniz başında kimse olmadığı zaman açılmayacaktır. Örneğin bir elektrik kesilmesi durumunda makinenin açılması için başına giderek parolayı girmeniz gerekecek ;(


    3.3 Sistem Yükleyici Güvenliği
    Çeşitli Linux sistem yükleyicileri de bir parola belirlenmesine izin verebilir. Örneğin, LILO'da password ve restricted ayarları vardır, password açılış (sistem yükleme) sırasında bir parola ister, restricted ise sadece LILO satırında bir seçenek (single gibi) belirtirseniz parola ister.

    lilo.conf'un man (yardım) sayfasından:

    password=parola
    Her resim (çekirdek resmi) için ayarlanabilir olan `password=...'
    seçeneği (aşağıya bakın) bütün resimler için geçerlidir.

    restricted
    Her resim (çekirdek resmi) için ayarlanabilir olan `restricted'
    seçeneği (aşağıya bakın) bütün resimler için geçerlidir.


    password=parola
    Resmi bir parola ile koru.


    restricted
    Sadece komut satırında seçenekler belirtilirse (örneğin single)
    bir parola girilmesini gerektirir.


    Parolaları belirlerken bir gün onları hatırlamanız gerekeceğini aklınızdan çıkarmayın . Ayrıca bu parolaların kararlı bir saldırganı sadece yavaşlatacağını da unutmayın. Parolalar birinin sistemi disketle açıp sabit disk bölümünüzü bağlamasını engellemez. Eğer açılış bağlamında bir güvenlik uyguluyorsanız, o zaman BIOS'tan disketten açılışı da engelleyip, BIOS'u da bir parola ile koruyabilirsini z.

    Eğer farklı bir sistem yükleyici hakkında herhangi biri güvenlikle ilgili bilgiye sahipse duymaktan memnun oluruz (grub, silo, milo, linload, vb).

    Not: Makineniz sunucu görevi yapıyorsa, ve bir açılış parolası koyduysanız, makineniz başında kimse olmadığı zaman açılmayacaktır. Örneğin bir elektrik kesilmesi durumunda makinenin açılması için başına giderek parolayı girmeniz gerekecek ;(


    3.4 xlock ve vlock
    Eğer zaman zaman makinenizin başından uzaklaşıyorsanı z, konsolu kilityebilmek, böylece hiçkimsenin çalışmanızı kurcalayamaması nı, veya bakamamasını sağlamak hoş olur. İki program bu iş için var: xlock ve vlock.

    xlock, bir X görüntü kilidi. X'i destekleyen tüm Linux dağıtımlarında muhtemelen bulunuyordur. Tüm seçenekler hakkında bilgi almak için man (yardım) sayfasına bir göz atmanız gerekebilir, ama genellikle xlock'u konsolunuzdaki herhangi bir xterm'den çalıştırabilirs iniz. xlock bir kere çalıştı mı görüntüyü kitler ve kilidin kalkması için parolanızı girmenizi gerektirir.

    vlock, Linux'unuzdaki bazı veya tüm sanal konsolları kilitleyebilmen izi sağlayan küçük bir programdır. O anda çalışmakta olduğunuz konsolu ya da tüm konsolları kilitleyebilirs iniz. Eğer sadece bir tanesini kilitlerseniz, diğerleri geldiğinde konsolu kullanabilir, fakat o an çalışmakta olduğunuz (ve kilitlediğiniz) konsola erişim sağlayamazlar. vlock RedHat ile birlikte geliyor, fakat sizin dağıtımınızla birlikte gelmeyebilir.

    Elbette konsolu kilitlemek, çalışmanızı kurcalamak isteyen birini engeller, fakat makinenizi yeniden başlatmalarını veya bir şekilde çalışmanızı bozmalarını engellemez. Ayrıca makinenize ağdaki başka bir makinenin erişimini ve yol açacağı problemlere de engel olamaz.

    Daha önemlisi, birinin X Windows sisteminden tamamen çıkıp, normal bir sanal konsol giriş satırına ulaşmasını, ya da X11'in başlatıldığı sanal konsola gidip askıya almasını ve haklarınıza sahip olmasını da engelleyemez. Bu sebeple, sadece xdm kontrolü altında kullanmayı düşünmelisiniz.

    (Ç.N.: Eğer X Windows'u startx komutuyla başlattıysanız, muhtemelen bunu yapmadan önce sisteme (ayarları değiştirmediyse niz) 6 yazı (text) sanal konsoldan birini kullanarak girmişsiniz demektir. startx komutu, X Windows'u çoğunlukla 7. konsolda açar, fakat giriş yaptığınız konsol kapanmaz. Gelen herhangi birisi Control-Alt ile birlikte Fonksiyon tuşlarından birini kullanarak (Ctrl-Alt-F1'den Ctrl-Alt-F12'ye kadar) diğer metin konsollara, ve startx ile X Windows'u başlattığınız konsola geçiş yapabilir. Bu konsolda Ctrl-C veya Ctrl-Z tuş kombinasyonunu kullanarak X Windows'u tümden kapatarak daha önce giriş yapmış olduğunuz konsolun kabuğuna erişim sağlayabilir. Bunu önlemek için, xdm, kdm, veya gdm kullanabilirsin iz. Giriş yaptıktan sonra startx komutunu değil,

    xdm ; exit

    komutunu aynı satıra yazarak X Windows'u başlatabilir, daha sonra xdm giriş ekranından giriş yapabilirsiniz. Veya bilgisayarınızı n daha açılışta xdm'i yüklemesini sağlayabilirsin iz. Bunun için /etc/inittab dosyasıyla ilgili bilgi araştırmasında bulunmanız gerekebilir. xdm komutunu kullanmak çoğunlukla o sistemde root olmayı, ve diğer bazı ayarları yapmış olmayı gerektirebilir. Bunun için Linux dağıtımınızla birlikte gelen belgelere, man sayfalarına, veya Linux-NASIL belgelerine göz atabilirsiniz.)

    3.5 Fiziksel Güvenlik Bozukluklarını Belirleme
    Dikkat edilmesi gereken ilk nokta bilgisayarınızı n ne zaman yeniden başlatıldığıdır . Linux sağlam ve kararlı bir işletim sistemi olduğu için, makinenizi yeniden başlatmanızın gerektirdiği nadir durumlar, sizin gerçekleştirdiğ iniz işletim sistemi güncellemeleri, veya donanım değişikliği gibi durumlardır. Eğer makineniz böyle bir şey yapmadığınız halde kapanıp açılmışsa, bu, makinenizin güvenliğinin bir saldırgan tarafından bozulduğunun bir işareti olabilir.

    Bilgisayarın bulunduğu alanda ve kasada kurcalama işaretleri arayın. Bir çok saldırgan varlıklarının izlerini günlüklerden siler, bütün günlükleri incelemek ve herhangi bir uygunsuzluk olup olmadığını gözden geçirmek, iyi bir fikirdir.

    İyir bir fikir olan bir başka şey de, günlük verisini güvenli bir yerde saklamaktır, örneğin, iyi korunmuş bir ağınızdaki bu işe adanmış bir günlük sunucusunda. Makinenin güvenliği bir kere bozuldu mu, günlük verisi çok az yarar sağlar, çünkü saldırgan tarafından değiştirilmiş olması muhtemeldir.

    syslog sunucu programı (daemon), günlükleri merkezi bir syslog sunucusuna göndermek üzere yapılandırılabi lir, ama bu bilgi çoğunlukla şifresiz gönderilir, bu da veri aktarılırken bir saldırgan tarafından görülmesine izin vermek anlamına gelir. Bu, ağınız ve herkese açık olmasını düşünmediğiniz konular hakkındaki bilgilerin ortaya çıkmasına yol açabilir. Gönderilen veriyi şifreleyen syslog sunucu programları da vardır.

    Bilmeniz gereken bir diğer durum, sahte syslog mesajları hazırlamanın kolay olduğudur - bunun için yayımlanan bir program vardır. Hatta syslog, ağdan gelen ve gerçek kökenini göstermeden yerel bilgisayardan geldiğini iddia eden günlük satırlarını bile kabul eder.

    Günlüklerinizde denetim altında tutmanız gereken bazı şeyler:

    Kısa veya tamamlanmamış günlükler
    Tarih ve zamanları garip olan günlükler
    Yanlış erişim hakları veya sahiplikleri olan günlükler
    Bilgisayarın veya servislerin yeniden başlatılma kayıtları
    Kayıp günlükler
    su kullanımı kayıtları veya sisteme garip yerlerden yapılan girişler.
#03.03.2006 20:41 0 0 0
vural1907 vural1907 foto
  • sağol.
#05.03.2006 12:31 0 0 0