Linux Güvenliği
Bu yazı dizimizde yeni başlayanlar için Linux güvenliğini anlatacağız. Temel olarak güvenliğin neden ihtiyaç olduğuna, fiziksel, yerel ve ağ üzerinde nasıl sistemimizi daha güvenli bir hale getirebileceğimize değineceğiz. Daha ileri güvenlik önlemlerini önümüzdeki günlerde yine bu paylaşım altında bulabilirsiniz.
Linux sistemleri diğer işletim sistemlerine göre daha güvenli olarak bilinir. Bu kısmende olsa doğrudur. Güvenlik konusu özellikle sistemlerde kullanıcı sayısıyla ters orantılıdır. Birileri bir güvenlik duvarını kırmaya çalışıyorsa o duvarın arkasında isteyeceği birşeyler olmalıdır. Hacker ya da cracker’ların son kullanıcı hedefleri kadar daha gelişmiş sistemlere sahip hedefleri de vardır bu noktada Linux tabanlı işletim sistemlerinin güvenliği son derece önemlidir. Son kullanıcılar için Linux gerçekten de güvenli bir sistemdir çünkü saldırganlar genellikle Windows OS’ye sahip son kullanıcılar ile uğraşırlar. Bu tamamen arz talep meselesidir. Fakat bir banka ya da telekomünikasyon alt yapısında kullanılan sistemler katı olarak güvenlik önlemleriyle donatılmış olmalıdır. İşte bu noktada mevcut sistem Linux tabanlıysa, Linux güvenliği devreye girer.
1. Fiziksel Güvenlik
Birileri bilgisayarınıza fiziksel olarak erişebiliyorsa güvenlik mutlaka ön planda tutulmalıdır. Eğer bahsi geçen sistem kişisel bilgisayarınızsa bu biraz daha geri plana itilebilir fakat laboratuvar ve benzeri yerler için fiziksel güvenlik çok önemlidir. Fiziksel güvenlik konusu çok derinlemesine incelenebilir fakat şimdi pratik olarak ve temelde yapmanız gereken bazı güvenlik önlemlerini anlatacağım.
1.1. BIOS Güvenliği
Birileri bilgisayarınıza fiziksel olarak erişebiliyorsa güvenlik mutlaka ön planda tutulmalıdır. Eğer bahsi geçen sistem kişisel bilgisayarınızsa bu biraz daha geri plana itilebilir fakat laboratuvar ve benzeri yerler için fiziksel güvenlik çok önemlidir. Fiziksel güvenlik konusu çok derinlemesine incelenebilir fakat şimdi pratik olarak ve temelde yapmanız gereken bazı güvenlik önlemlerini anlatacağım.
/etc/lilo.c dosyası içine şunları eklemelisiniz
LILO password password=şifreniz
Daha sonra ;
chmod a-r /etc/lilo.conf run /sbin/lilo
ile işlemimizi tamamlayabiliriz.
1.2. Temel Güvenlik Önlemleri
Bazı küçük değişiklikler yaparak Linux sisteminizde fiziksel güvenlik seviyesini yukarı çekebilirsiniz. Mesela bir sisteme fiziksel olarak erişebilen bir kişi eğer önlem alınmamışsa sistemi reboot (yeniden başlatmak) edebilir. Bunu engellemek için ctrl+alt+del tuş kombinasyonuna sınırlama getirebiliriz. Bunun için
/etc/inittab açarak,
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
satırını
ca::ctrlaltdel:/sbin/shutdown -a -t3 -r now
ile değişebilirsiniz bundan sonra ’telinit q’ ile yenileme yapmalısınız. Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir. Bir başka problemde herkesin sisteme root olarak giriş yapmasıdır. Gerekmedikçe sisteme root girişi yapmak her zaman güvenlik problemleri yaratabilir bu yüzden buna bir kısıtlama getirmelisiniz. Bunun için /etc/securitty içerisindeki tty değerlerini kaldırabilirsiniz. Bu işlemden sonra /etc/securitty şu şekilde görünecektir. #tty1
#tty2
#tty3
#tty4
#tty5
#tty6
Böylece gerekmedikçe root girişlerinin yapılması engellenmiş oldu. Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir. 1.3. Donanım
Bilgisayarınıza takılı harici donanımlar (mikrofon, kulaklık, webcam...) zaman zaman saldırganların hedefi olabilir. Bu nedenle bu tip aygıtlara erişimi ve bağlantılarını mutlaka kontrol etmelisiniz.
2. Ağ ve Dosya Güvenliği
Eğer ağa bağlı bir makine ile çalışıyorsanız güvenlik sizin için en önemli faktörlerden biri olmalıdır. Ağa bağlı bilgisayarlardan biri tarafından ya da ağ dışında bir saldırgan tarafından bağlı olduğunuz ağ her zaman saldırı tehdidi altındadır. Ağınız, çeşitli tarama araçları ile yapılan saldırılar, ağınızdaki paketleri dışarıdan dinleme saldırıları ve hatta Denial of Service (DoS) saldırılarına maruz kalabilir.
2.1. Paket Dinleyicileri (Sniffers)
Ağınız siz farkında olmadan bir saldırgan tarafından dinlenebiliyor olabilir. Burada dinlemeden kasıt özellikle passwd, login ve su işlemler için verilerin dinlenip kaydedilmesidir. Bu sayede saldırganın sisteme girmesi için herhangi bir ekstra çaba göstermesine gerek kalmaz. Özellikle şifrelenmemiş paketler kullanılıyorsa bu saldırılar ciddi tehlikeler arz edebilir.
İpucu: Sniffer’lar ile başa çıkmanın bir çok yolu var fakat başlangıç olarak yerel ağdaki dinlemeyi kısmen de olsa engelleyebilecek basit bir önlemi yazacağım. Bunun için /etc/rc.d/ içinde bulunan rc.local içine aşağıdaki satırı ekleyin.
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter 2.1.1. Şifreleme
Paket dinleyicilerini engellemek için yapılabilecek en etkili çözüm şifrelemedir(encryption). Şifrelemede kullanılan değişik metotlar vardır. Bunlardan genellikle Linux dağıtımlarında varsayılan olarak kullanılan metot DES (Data Encryption Standard)’tir. Temel mantığı girilen veriler şifrelendikten sonra genellikle
/etc/passwd dosyasında saklanır. Veri gönderimi sırasında veriler tekrar şifrelenerek saklanan şifrelenmiş halleriyle karşılaştırılır ve buna göre izin verilir. Bu sistem daha gelişmiş şifreleme yöntemlerinde de sıklıkla kullanılmaktadır.
2.1.2. Gölgeli Şifreleme (Shadow Password)
Varsayılan şifreleme yöntemi zayıftır bu nedenle Shadow Password Suite oluşturulmuştur. Bu yöntem ile önceden şifrelenmiş veriler tekrar şifrelenelerek
/etc/shadow dosyasına atılır ve
/etc/passwd dosyası temizlenir. Bu şekilde ilk yönteme göre daha sağlam bir güvenlik oluşturulmuş olur.
2.1.3. Dosya Şifreleme
Sistemde sakladığınız özel dosyalarınız için daha güçlendirilmiş şifreleme yöntemleri isteyebilirsiniz. Bu şekilde olası bir saldırı sonucunda en azından önemli verilerinizi muhafaza etmiş olacaksınız. Bunun için aşağıda genellikle açık kaynak kodlu ve ücretsiz şifreleme programlarından birkaçını bulabilirsiniz.
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
Bu araçların kullanımı hakkında bilgiler web sayfalarında bulunmakta. SHA-1, Md5, RSA gibi yüksek şifreleme metotları kullanan bu programları özellikle dosya şifrelemede kullanmanızı tavsiye ederim.
2.2. Kullanılmayan Servisler
Linux sistemlerinde varsayılan olarak aktif gelen bir çok servis vardır. Bunların çoğu zararsız gibi dursalar da her zaman için sistemde tehdit oluşturabilirler. Bu servislerin bazıları ağ içi bazıları da internete açılmada kullanılıyor olabilir. Varsayılan servislerden bazıları şunlardır;
Web sunucusu httpd – port 80: Hyper Text Transfer Protocol için kullanılan bir servistir. Eğer Linux makinenizden internete bir web sayfası yayınlamak istiyorsanız bu servisi kullanabilirsiniz.
Telnet – port 25: Telnet dışarıdan kullanıcıların sisteme ulaşmasını sağlayan eski bir servistir. Kullanılmak istense bile buna bir çok alternatif servisin günümüzde çıkması ile açık olmasının bir manası yoktur.
Güvenli uzaktan erişim ssh – port 22: Tıpkı Telnet gibi Ssh kullanarakta uzaktan sisteme erişim sağlayabilirsiniz. Aralarındaki fark ise Ssh’ın Telnet’e göre çok daha güvenli bir servis olmasıdır.
Dosya transfer protokolü ftp – port 21: Ftp ile sisteminizden bir sunucuya ya da sunucudan sisteminize dosya transferi yapabilirsiniz. Ftp hala yaygın olarak kullanılsa da alternatif olarak vsftp (very secure ftp) protokolünün kullanılmasında fayda vardır.
Posta transfer protokolü smtp – port 25: Dosya alış verişinde kullanılan protokol ve servistir. Bir e-posta istemcisi yardımıyla e-posta alış verişini 25. port üzerinden yapabilirsiniz.
Bunlar ve bunlara benzer servis ve portları tamamen kontrolümüz altına almalıyız. Gerekmediği halde açık olan her bir port sistemde potansiyel güvenlik tehdidi yaratacaktır. Bunun için örnek olarak yukarıdaki bazı portları kapatabiliriz.
/etc/inetd.conf içerisinde yukarıdaki servislerle ilgili verileri bulabiliriz.
telnet stream tcp nowait root
/usr/sbin/tcpd in.telnetd
Telnet servisi içindir. Telnet servisini durdurmak için bunu kaldırmamız yeterli olacaktır. Sonuçta şu şekilde görünecektir,
#telnet stream tcp nowait root
/usr/sbin/tcpd in.telnetd
Benzer şekilde değişik servisleri ve portlarını /etc/services içerisinden bulabilirsiniz. Tekrar eski haline getirmek için ise yaptığınız değişikliklerden sonra inetd’i baştan çalıştırmayı unutmayın. Bunu killall -HUP inetd komutu ile yapabilirsiniz.
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir. Görüntü 2a – inetd.conf 2.3. Servis Dışı Bırakma (DoS)
Bir saldırgan her zaman sistemi kırmaya çalışmaz. Bazı durumlarda kaynakları meşgul ederek isteklerin cevapsız kalmasına dolaysı ile sistemin servis dışı kalmasına yol açabilir. Bu saldırılar genellikle Denial of Service (DoS) saldırıları olarak bilinir. Bu saldırılar güvenlik önlemleri alınmış bir sistemde genelde etkisiz kalsa da özellikle dağıtılmış (distributed) DoS saldırıları tehlikelidir. Bu tip saldırılar için özellikle firewall (ateş duvarı) ayarlarınızın düzgün yapılandırıldığına dikkat etmelisiniz. Bunun dışında etkili bir arayüz olan PAM (Pluggable Authentication Modules) ile çeşitli güvenlik önlemleri alabiliriz.
PAM genellikle login ve benzeri programlarda varsayılan olarak kullanılan bir kimlik belirleme arayüzüdür. Bu sayede kullanıcılara sınırlandırma getirebilirsiniz. Genellikle iki kısımdan oluşur bunlardan ilki modüllerin bulunduğu
/etc/pam.d/ ve ayar dosyalarının bulunduğu
/etc/security’dir.
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir. Görüntü 2b – pam.d
Bizde /etc/security/limits.conf dosyası üzerinde oynama yaparak her bir kullanıcı için kaynak sınırlandırılması getirebiliriz ve böylece DoS saldırılarına karşı orta seviye bir güvenlik önlemi almış oluruz. Örnek olarak bir kullanıcının kaç işlem yapabileceğini sınırlandırmak istiyorsak,
# Limit user processes
* soft nproc 100
* hard nproc 150
ya da bir kullanıcının sahip olabileceği maksimum dosya boyutunu sınırlandırmak istiyorsak,
# limits size of any one of users’ files
* hard 40000
Şeklinde düzenleme yapabiliriz. Böylece bir kullanıcı 40 megabyte’tan yüksek bir dosyaya sahip olamaz böylece olası yüksek boyutlu paket saldırıları sınırlandırılmış oldu.
Sonuç olarak eğer bilgisayar dünyasındaysanız güvenlik tehditleri her zaman için varolacaktır. Temel güvenlik önlemlerinin yanı sıra mutlaka güncel güvenlik açıklarını takip edip sisteminizde gerekli güncelleştirmeleri yapmalısınız. Bir ev kullanıcısı olarak güvenlik sizin için her zaman ön planda olmayabilir fakat bir iş ağı ya da dışarıdan kullanıcıların sıklıkla kullandığı bir sistemdeyseniz mutlaka güvenlik faktörlerini titizce takip edip önlemlerinizi almalısınız.
Alıntı