Temel Linux Sistem Güvenliği
Kategori: (Linux Server Güvenliği) Yazan: admin, 15-11-2007
Linux iÅŸletim sisteminin temel çıkış noktasını göz önüne alırsak, hikayesi oldukça etkileyicidir.Linux, bir kiÅŸinin hobi olarak baÅŸladığı alçak gönüllü bir yazılımdır. Günümüz de ise tam teÅŸekküllü bir iÅŸletim sistemi halini almıştır.Linux’un bilinen özellikleri şöyledir:
* Kararlıdır
* Çok çeşitli sayıda yazılım desteği bulunur
* Hızlı çalışır
* Nadiren tekler
Maalesef hemen hemen hergün Linux makineleri sorun çıkartabilir. Bu da Linux işletim sistemini güvensiz bir sistem yapmaz. Aslına bakarsanız Linux kendini güvenli kılacak çok çeşitli aracı da bünyesinde bulundurur. Gerçek şu ki, Linux kullanıcı sayısındaki artışa paralel olarak Linux sistemlerin güvenliği de artmıyor.
Öte yandan hackerların kullandığı yöntemi anlamamız veya kullandığı araçların tekniklerini çözmemiz de sistem yöneticilerine Linux makinaları daha güvenilir kılmaları için katkı sağlamış olur.
Bu yazıda kendimce bazı temel ve basit olan güvenlik noktalarına dikkati çekmeyi amaçladım, böylece karşılaşabileceğiniz muhtemel saldırılara karşı güvenliğinizi önceden arttırmış olmanızı umarım.
=1- Zayıf Parolalar=
Uzun zaman önce hackerlar Linux sistemlere erişebilmek için ya da denetimi eline almak için kullanılan parolayı çözmeye uğraşırlardı. Genellikle ilk hedefleri kullanıcı parolalarıdır, ardından kullanıcı hesabı ile sisteme erişirlerdi.Ardından da son adım olarak root parolası üzerinde çalışırlardı. İyi tanımlanmış parolalar herhangi bir bilgisayardaki güvenliğin en önemli noktasıdır.
Parola belirlenirken genelde yapılan hatalar şöyledir:
A- Parola olarak “password” ya da “parola” tanımlaması yapılması.
B- Parola olarak bilgisayar isminin kullanılması.
C- Bilim, spor ya da siyaset alanında tanıdık simaların isimlerinin parola olarak kullanılması.
D- Filmlere atıfta bulunarak parola belirlenmesi.
E- Kullanıcı web sitesindeki herhangi bir bilginin parola olarak kullanılmas.
F- Kullanıcı hesabı ile ilgili bilgilerin parola olarak kullanılması.
Son sürüm Linux sistemler, gölgelenmiş parolalar kullanır. Eğer bir saldırgan ya da meraklı kişi şifrelenmiş parolaları görebilirse, basit bir işlev ile şifreleri çözebilir. Bu yüzden passwd dosyası içerisinde parolaları saklamak yerine, sadece root kullanıcısının okuyabileceği dosya (shadow file) içerisinde saklanır.Böylece bir saldırgan şifreleri çözebilmesi için ilk olarak bir hesap adı belirlemesi gerekecek. Bir diğer güvenlik adımı da passwd dosyası içerisinde sisteme oturum açmasını istemediğiniz isimleri belirtmektir. Örneğin apache, mysql, ftp vb.
Ayrıca hangi root uçbirimlerinin de sisteme giriş yapabileceklerini sınırlandırmak akıllıca bir yoldur. Eğer root kullanıcıdı sadece belli uçbirimlerden sisteme giriş yapabilirse bu güvenliği korur. Bir saldırganın da sisteme sızmasını imkansız yapar. Bu sınırlama işi /etc/security dosyası içerisindeki kabul edilen terminallerin belirlenmesi ile olur.
=2- Açık Ağ Portları=
Herhangi bir Linux dağıtımının ön tanımlı olarak kulurması beraberinde bir çok yazılım ve servisin de kurulmasına önayak olur. Son kullanıcı olarak bizlerin bu yazılımların ve servislerin çoğuna ihtiyacımız olmaz. İhtiyacımız olmayan ya da kullanmayacağımız servis ve yazılımların kaldırılması, bunlar üzerinden yapılabilecek bir saldırı yolunu kapatacağından, sistem güvenliğini arttırır.Servisleri yapılandırmak için xinetd server kullanımı oldukça yaygın olan bir araçtır.
=3- Eski Sürüm Yazılımlar=
Hergün programlar içerisinde birçok zayıf nokta bulunur, ve bunların pek çoğu da anlık olarak düzeltilir. Bu değişiklikleri takip etmek önemli ve kimi zaman da kritiktir. Bu değişiklikler her Linux dağıtımı için oluşturulan e-posta listelerinde sergilenir.
Aşağıda güvenlik açıkları ile ilgi gelişmeleri takip edebileceğiniz bir kaç site ismi var:
* http://www.redhat.com/mailman/listinfo/redhat-announce-list
* http://www.debian.org/MailingLists/
* http://www.mandrakesecure.net/en/mlist.php
* http://www.suse.com/us/private/support/security/index.html
* http://www.freebsd.org/security/index.html
* http://www.linuxtoday.com/
* http://www.lwn.net/
Güvenlik için çıkartılan yapaların oldukça çabuk bir şekilde sisteminie kurulması çok önemlidir. Hacker toplulukları güvenlik açıklarının farkındadırlar, ve onlar yamalar uygulanmadan bu açıkları kullanabilirler.
=4- Kötü ve Güvensiz Yapılandırılan Yazılımlar=
Güvenlik problemleri olan çok çeşitli yazılımlar vardır. Bunlarsan bazıları şöyledir: IMAP, POP, FTP, port map ve NFS vb. Yapıla bilecek en iyi iş bu yazılımların spop, sftp ya da scp gibi daha güvenilir olanlar ile yerdeğiştirilmesidir.
Bir yazılımı kullanmaya başlamadan önce yöneticinin bu yazılım hakkındaki güvenlik geçmişini iyi incelemesi gerekir. Bazı durumlarda küçük yapılandırmalar ileride oluşabilecek büyük başağrılarının önüne geçebilir.
Web sunucu yapılandırılmasında verilebilecek öneriler şöyledir:
- Web sunucuyu asla ayrıcalıklı kullanıcı olarak çalıştırmayın.
- Kredi kartı numarası, telefon numarası, e-posta adresleri gibi özel bilgileri web sunucuda değil de ayrı bir makine üzerinde saklayın.
- Form üzerindeki ayrıcalıklı verilerin ayrıcalıklı kullanıcı haricindeki herhangi bir kullanıcı tarafından görülemediğinden emin olun.
- Bağlantı kabul değerleri web sunucu tarafından karşılansın.
- CGI yazılımı üzerindeki zayıf noktaları denetleyin.
=5- Gereksiz ve Kullanılmayan Hesaplar=
Bir kullanıcı uzun zamandır hesabını kullanmıyor ise, bu hesabın sistemden keldırıldığından emin olun. Bu kullanılmayan hesabın düzenli olarak değiştirilmeyen parolası sistemde bir güvenlik açığı oluşturur. Bu hesaba ait olan ve genel olarak erişilip okunabilen ve yazılabilen dosyalar silinmelidir. Kullanılmayan servisleri sistemden kaldırdığınız da buna bağlı olan hesapları da kaldırdığınızdan emin olun.
İnternet Üzerinde Erişebileceğiniz Güvenlik Kaynakları
Bugtraq - Unix güvenlik açıkları ve kapsamlı açıklamaları içerir
Firewalls - Güvenlik duvarları için tasarım, inşa, kullanım ve bakım bilgilerini içerir:
http://www.isc.org/services/public/lists/firewalls.html
RISKS Topluluklara bilgisayarlardan gelebilecek bilgileri içerir:
Insecure.org
