Linux Gvenlik NASIL

eviren: Tufan Karadere

<tufank (at) gmail.com>

Yazan: Kevin Fenzi

tummy.com, ltd. <kevin-securityhowto (at) tummy.com>

Yazan: Dave Wreski

linuxsecurity.com <dave (at) linuxsecurity.com> v2.4, 26 Ocak 2004 Geliim Bu evirinin srm bilgileri:

Srm 2.4.1

9 Ekim 2006

Tufan Karadere <tufank (at) gmail.com>

Geliim zgn belgenin srm bilgileri:

Srm 2.4

26 Ocak 2004

Kevin Fenzi <kevin-securityhowto (at) tummy.com> Dave Wreski <dave (at) linuxsecurity.com>

zet Bu belgede, Linux sistem yneticilerinin yzyze geldii gvenlik konularna genel bir bak as, genel gvenlik felsefesi ile birlikte Linux sisteminizi daha gvenli hale getirebilmeniz iin rnekler, ve gvenlik ile ilgili program ve bilgilere daha kolay eriebilmeniz iin referanslar bulunmaktadr. Gelitirme, yapc eletiri, ekleme veya dzeltmelerinizi, ve geribildiriminizi her iki yazara da konu ksmnda "Security HOWTO" yazan bir e-mektup ile (ngilizce olarak) iletebilirsiniz.[1]

indekiler

1. Giri 1.1. Bu Belgenin Yeni Srmleri 1.2. Geribildirim 1.3. Yasal Sorumluluk Reddi 1.4. Copyright Information 1.5. Telif Hakk Bilgisi 2. Genel Bak 2.1. Neden Gvenlie Gereksinim Duyuyoruz? 2.2. "Gvenli", Ne kadar Gvenli? 2.3. Neyi Korumaya alyorsunuz? 2.4. Bir Gvenlik Politikas Gelitirmek 2.5. Sitenizi Gvenli Hale Getirmenin Yollar 2.5.1. Bilgisayar Gvenlii 2.5.2. Yerel A Gvenlii 2.5.3. Karmaklatrma Yoluyla Gvenlik 2.6. Bu Belgenin Dzeni 3. Fiziksel Gvenlik 3.1. Bilgisayar Kilitleri 3.2. BIOS Gvenlii 3.3. Sistem Ykleyici Gvenlii 3.4. xlock and vlock 3.5. Yerel cihazlarn gvenlii 3.6. Fiziksel Gvenlik hlallerini Belirleme 4. Yerel Gvenlik 4.1. Yeni Hesap Ama 4.2. Root Gvenlii 5. Dosyalar ve Dosya Sistemi Gvenlii 5.1. Umask Ayarlar 5.2. Dosya zinleri 5.3. Btnlk Denetimi 5.4. Truva Atlar 6. Parola Gvenlii ve ifreleme 6.1. PGP ve Ak Anahtarl ifreleme 6.2. SSL, S-HTTP ve S/MIME

6.3. Linux IP Gvenlii'nin (IPSec) Hayata Geirilmesi 6.4. ssh (Gvenli Kabuk) ve stelnet 6.5. PAM - Taklabilir Kimlik Dorulama Modlleri 6.6. ifreli IP Sarma (CIPE) 6.7. Kerberos 6.8. Glge Parolalar 6.9. "Crack" ve "John the Ripper" 6.10. CFS - ifreli Dosya Sistemi ve TCFS - effaf ifreli Dosya Sistemi 6.11. X11, SVGA ve Grnt Gvenlii 6.11.1. X11 6.11.2. SVGA 6.11.3. GGI GGI (Genel izgesel Arabirim Projesi) 7. ekirdek Gvenlii 7.1. 2.0 ekirdek Derleme Seenekleri 7.2. 2.2 ekirdek Derleme Seenekleri 7.3. ekirdek Aygtlar 8. A Gvenlii 8.1. Paket Koklayclar 8.2. Sistem servisleri ve tcp_wrappers 8.3. DNS Bilginizi Dorulayn 8.4. identd 8.5. Postfix MTA'nn yaplandrlmas ve gvenli hale getirilmesi 8.6. SATAN, ISS, ve Dier A Tarayclar 8.6.1. Port Taramalarn Alglama 8.7. sendmail, qmail and MTA'lar 8.8. Servis Reddi Saldrlar 8.9. NFS (A Dosya Sistemi) Gvenlii 8.10. NIS (A Bilgi Servisi) (nceki Sar Sayfalar, YP). 8.11. Gvenlik duvarlar 8.12. IP Chains - Linux 2.2.x ekirdek Gvenlik duvar 8.13. Netfilter - Linux 2.4.x ekirdek Gvenlik duvar 8.14. VPN'ler - Sanal zel Alar

9. Gvenlik Hazrl (Balanmadan nce) 9.1. Makinenizin Tam Yedeini Aln 9.2. yi Bir Yedekleme izelgesi Seimi 9.3. Yedeklerizinin Denenmesi 9.4. RPM ve Debian Dosya Veritabannz Yedekleyin 9.5. Sistem Hesap Verilerinizi Takip Edin 9.6. Btn Yeni Sistem Gncellemelerini Uygulayn 10. Gvenlik hlali Srasnda ve Sonrasnda Neler Yaplabilir 10.1. Gvenlik hlali Srasnda 10.2. Gvenlik hlali Sonrasnda 10.2.1. A kapatmak 10.2.2. Hasar Tespiti 10.2.3. Yedekler, Yedekler, Yedekler! 10.2.4. Saldrgan zleme 11. Gvenlikle lgili Kaynaklar 11.1. LinuxSecurity.com Atflar 11.2. FTP Siteleri 11.3. WWW Siteleri 11.4. Mektup Listeleri 11.5. Kitaplar - Basl Eserler 12. Szlk 13. Ska Sorulan Sorular 14. Sonu 15. Teekkrler 16. eviri Hakknda - About Translation 16.1. Trke eviri zerine Aklamalar 16.2. Szck Karlklar 16.3. Ksaltma Karlklar

Giri
Bu belge Linux gvenliini etkileyen ana konular kapsyor, ve genel felsefe ve nternet kaynaklar tartlyor. Baz NASIL belgelerinin gvenlik konusunda ortak olarak ierdii blmler olabilir, uygun olan yerlerde bu belirtilmitir.

Bu belge gncel bir gvenlik aklar listesi deildir. Her geen gn yeni gvenlik aklar ortaya kmaktadr. Bu belge, size daha ok bu gncel bilgilerin nerelerde bulunduunu syleyecek, ve gvenlik aklarn engelleyebilmek iin baz genel yntemlerden bahsedecektir.

Bu Belgenin Yeni Srmleri

Bu belgenin yeni srmleri comp.os.linux.answers haber grubuna dzenli olarak postalanacak, ayrca: http://www.linuxdoc.org/ gibi sitelere de eklenecektir Bu belgenin en son srm, eitli belge biimlerinde,
http://scrye.com/~kevin/lsh/ http://www.linuxsecurity.com/docs/Security-HOWTO http://www.tummy.com/security-howto

adreslerinden ulalabilir olmal.[2]

Geribildirim
Btn yorumlar, hata raporlar, ek bilgi ve her eit eletiri: kevin-securityhowto (at) tummy.com ve dave (at) linuxsecurity.com adreslerine ynlendirilmeli. Not: Ltfen geribildiriminizi her iki yazara da gnderin. Ayrca, mektubunuzun konu ksmnda "Linux", "security", veya HOWTO" kelimelerinin bulunduguundan emin olun ki, Kevin'in reklam szgecine yakalanmayasnz.

Yasal Sorumluluk Reddi

Bu belgenin ierii (yazarlara) hibir yasal zorunluluk/sorumluluk getirmez. Belgedeki kavramlar, rnekleri ve dier ierii, tehlikelerini gze alarak kullann. Ek olarak, belgenin bu srm "erken" bir srm olup hatalar veya yanllarn bulunmas mmkndr. Belgedeki baz rnekler ve tanmlamalar RedHat(tm) dzen ve kurulumuna uygun ekilde verilmitir. Sizin sisteminiz bundan farkl olabilir. Belgede, bildiimiz kadaryla, belirli artlar altnda kullanlabilen veya kiisel kullanm iin deerlendirilebilen programlar tantlacak. Bir ok program kaynak kodlar ile birlikte, GNU artlar altnda ulalabilir durumda olacaktr.

Copyright Information
This document is copyrighted (c)1998-2000 Kevin Fenzi and Dave Wreski, and distributed under the following terms:
Linux HOWTO documents may be reproduced and distributed in whole or in part, in any

medium, physical or electronic, as long as this copyright notice is retained on all copies. Commercial redistribution is allowed and encouraged; however, the authors would like to be notified of any such distributions.

All translations, derivative works, or aggregate works incorporating any Linux HOWTO

documents must be covered under this copyright notice. That is, you may not produce a derivative work from a HOWTO and impose additional restrictions on its distribution. Exceptions to these rules may be granted under certain conditions; please contact the Linux HOWTO coordinator at the address given below.
If you have questions, please contact Tim Bynum, the Linux HOWTO coordinator, at

tjbynum (at) metalab.unc.edu

Telif Hakk Bilgisi

Bu belgenin telif haklar (c)1998-2000 Kevin Fenzi ve Dave Wreski'ye aittir, ve belge aadaki artlar altnda datlabilir:
Linux HOWTO (NASIL) belgeleri, bu telif hakk bilgisi birlikte bulunduu srece, ksmen

veya tamamen, oaltlabilir ve datlabilir. Ticari amal datmlara da izin verilir ve tevik edilir; bununla birlikte, byle bir ticari datm gerekleirse, yazarlar bundan haberdar edilmelidir.
Herhangi bir Linux HOWTO (NASIL) belgesini iine alan eviriler, HOWTO (NASIL) belgesi

trevleri, veya bir araya getirme almalar bu Telif Hakk kapsam altnda yaplmaldr. Bu u anlama geliyor: Bir NASIL belgesinden treyen bir alma retip, bu yeni almaya ek kstlamalar getiremezsiniz. Baz artlar altnda bu kurallara istisnalara izin verilebilir, ltfen aada adresi bulunan Linux HOWTO (NASIL) Koordinatr ile iletiime gein.

Sorularnz varsa, ltfen adresi aada bulunan Linux HOWTO (NASIL) Koordinatr Tim

Bynum ile iletiime gein: tjbynum (at) metalab.unc.edu

Genel Bak
Bu belge Linux sisteminizi daha gvenli hale getirebilmek iin yaygn olarak kullanlan yazlmlar ve baz yordamlar aklamaya alacak. Balamadan nce, ncelikle baz temel kavramlar tartmak, ve bir gvenlik altyaps oluturmak, bu adan nemli.

Neden Gvenlie Gereksinim Duyuyoruz?

Srekli deimekte olan kresel iletiim, pahal olmayan nternet balantlar, ve hzl admlarla ilerleyen yazlm geliimi dnyasnda, gvenlik gitgide daha fazla "konu" haline geliyor. u anda gvenlik temel bir gereksinim, nk kresel biliim doal bir gvensizlik iinde. rnein, veriniz A noktasndan B noktasna nternet zerinde giderken, yolu boyunca bir dizi baka noktalardan geebilir, ve bu ekilde dier kullanclara, gnderdiiniz verinin yolunu kesebilmek, hatta veriyi deitiribilmek iin frsatlar verebilir. Hatta sisteminizdeki dier kullanclar, kt

niyetle, sizin isteiniz dnda verinizi baka bir ekle sokabilir. "Korsan" [3] da denilen baz saldrganlar sisteminize izinsiz eriim salayabilir, ileri dzey bilgileri kullanarak sizmisiniz gibi davranabilir, sizden bilgi alabilir, hatta kendi kaynaklarnza eriiminizi engelleyebillir. Eer "Bilgisayar Kurdu" ile "Bilgisayar Korsan" arasndaki fark merak ediyorsanz, Eric Raymond tarafndan hazrlanan "Nasl Bilgisayar Kurdu Olunur" belgesini aadaki adreste bulabilirsiniz: http://www.catb.org/~esr/faqs/hacker-howto.html.

"Gvenli", Ne kadar Gvenli?

ncelikle, hibir bilgisayar sisteminin tamamen gvenli olamayacan aklnzdan karmayn. Btn yapabileceiniz, sisteminizi bozmaya alan birinin, bu iini gitgide daha zor bir hale getirmek olacaktr. Ortalama bir ev Linux kullancs iin "korsan"lar uzak tutmak fazla bir ey gerektirmez. Bununla birlikte, daha Byk-lek Linux kullanclar (bankalar, telekomunikasyon irketleri vb) iin yaplmas gereken ok alma vardr. Deerlendirilmesi gereken bir dier etken de, gvenlik nemleriniz arttka, bu gvenlik nlemlerinin kendisi sistemi kullanlmaz hale getirebilmektedir. Bu noktada dengeleri salayacak kararlar vermelisiniz, yleki sisteminiz kullanlabilirliini yitirmeden amalarnza uygun bir gvenlik iinde olmal. rnein, sisteminize telefon yoluyla balanmak isteyen herkese modem tarafndan geri-arama yaplmas gibi bir gvenlik nleminiz olabilir. Bu daha gvenli olmakla birlikte evinde bulunmayan bir kiinin sisteme giri yapmasn zorlatrr. Ayrca Linux sisteminizin a veya nternet balants olmayak ekilde de ayarlayabilirsiniz, fakat bu da sistemin yararl kullanmn snrlandrmak olacaktr. Eer orta byklkte veya byk bir siteyseniz, bir gvenlik politikas oluturmal, ve bu politika sitenizin ne kadar gvenlie gereksinimi olduunu belirtiyor olmaldr. Bu politikaya uygun olarak alnan nlemlerin ve yordamlarn uygulandndan emin olmak iin bir izleme yordam da olmaldr. Yaygn olarak bilinen bir gvenlik politikas rneini http://www.faqs.org/rfcs/rfc2196.html adresinde bulabilirsiniz. Bu belge yakn zamanda gncellendi, ve irketinizin oluturulacak gvenlik politikas iin harika bir iskelet grevi grecek bilgiler ieriyor.

Neyi Korumaya alyorsunuz?

Sisteminizi gvenli hale getirmeden nce, korunmanz gereken tehditin dzeyine, hangi tehlikeleri dikkate almamak gerektiine, ve sonu olarak sisteminizin saldrya ne kadar ak olduuna karar vermelisiniz. Koruduunuz eyin ne olduunu, neden korumakta olduunuzu, deerinin ne olduunu, ve verinizin ve dier "deerli"lerinizin sorumluunun kime ait olduunu belirlemek amacyla sisteminizi zmlemelisiniz..
Risk, bilgisayarnza erimeye alan bir saldrgann, bunu baarma olasldr. Bir

saldrgan, dosyalar okuyabilir veya deitirebilir, veya zarara yol aacak programlar altrabilir mi? nemli verileri silebilir mi? Unutmayn: Sizin hesabnza, veya sisteminize eriim salam biri, sizin kiiliinize brnebilir.

Ek olarak, bir sistemde gvensiz bir hesap bulundurmak btn an gvenliinin bozulmasyla sonulanabilir. Eer bir kullancya .rhosts dosyasn kullanarak giri yapma, veya tftp gibi gvensiz bir servisi altrma izni verirseniz, bir saldrgann "kapdan ieri bir adm atmas" riskini gze alm oluyorsunuz. Saldrgan bir kez sizin veya bir bakasnn sisteminde bir kullanc hesab sahibi olduktan sonra, bu hesab dier bir hesaba, veya dier bir sisteme eriim kazanmak iin kullanabilir.
Tehdit, tipik olarak anza veya bilgisayarnza izinsiz eriim salamak iin gdlenmi

birinden gelir. Sisteminize eriim iin kimlere gveneceinize, ve ne gibi tehditler ortaya karacaklarna karar vermelisiniz. eitli saldrgan tipleri vardr, ve bunlarn deiik niteliklerini akldan karmamak, sistemlerinizin gvenliini salamakta yararl olur:

Merakl - Bu tip saldrgan genelde ne eit bir sisteminiz ve veriniz olduunu kefetmek ile ilgilenir. Kt Niyetli - Bu tip saldrgan, sisteminizi almaz hale getirmek, www sayfanzn grnn bozmak, ya da yolat zarar karlayabilmeniz iin sizi zaman ve para harcamaya zorlamak amacyla ortalarda dolar. Byk-lek Saldrgan - Bu tip saldrgan, sisteminizi kullanarak tannp sevilme ve n kazanma peindedir. Byk lekli sisteminizi kullanarak, yeteneklerinin reklamn yapmaya alr. Rekabet - Bu tip saldrgan, sisteminizde hangi verilerin bulunduu ile ilgilenir. Kendisine, parasal veya dier yollarla yararl olabilecek bir eye sahip olduunuzu dnen biri olabilir. dn Alanlar - Bu tip saldrgan, sisteminize "dkkan amak" ve kaynaklarn kendi amalar iin kullanmakla ilgilenir. ounlukla sohbet veya IRC servisleri, porno siteleri, hatta DNS servisleri bile altrabilirler. Zp Zp Kurbaa - Bu tip saldrgan, sisteminizle ilgilenir nk sisteminizden dier sistemlere atlamak istemektedir. Eer sisteminiz dier sistemlere iyi bir balant salyorsa, veya ierdeki dier bilgisayarlara bir a geidi niteliindeyse, bu tip saldrganlarn sistem gvenliinizi ihlal etmeye altklarn grebilirsiniz.

Zayflk, bilgisayarnzn dier alardan ne kadar iyi korunmakta olduunu, ve birinin

izinsiz eriim salamas potansiyelini tanmlar.

Biri sisteminize girerse tehlikede olan nedir? Elbette, evirmeli a ile PPP balants salayan bir ev kullancs ile makinelern nternete balayan bir irketin, veya dier byk bir an ilgilendikleri farkl olacaktr. Kaybolan herhangi bir veriyi yerine koymak/yeniden yaratmak iin ne kadar zaman gerekirdi? in banda yaplan bir yatrm iin harcanan zaman, daha sonra kaybolan veriyi yeniden yaratmak iin harcanan zamandan on kat daha az olabilir. Yedekleme stratejinizi gzden geirdiniz mi? Son zamanlarda verilerinizi doruladnz m?

Bir Gvenlik Politikas Gelitirmek

Sisteminiz iin kullanclarnzn kolayca anlayp izleyebilecei basit, ve genel bir politika yaratn. Bu politika verinizi koruduu gibi, kullanclarnzn zel hayatlarn da korumal. Eklenmesi dnlebilecek baz eyler: Kim sisteme eriime sahip (Arkadam hesabm kullanabilir mi?), kim sistem zerinde yazlm kurma iznine sahip, veri kime ait, felaketten sonra toparlanma, ve sistemin uygun kullanm. Genel olarak kabul edilmi bir gvenlik politikas zin verilmemi herey yasaklanmtr. ifadesi ile balar. Bu, herhangi bir servis iin bir kullancnn eriimi onaylanmad srece, o kullanc eriim onaylanana kadar o servisi kullanmyor olmal anlamna gelir. Politikalarn kullanc hesaplar zerinde ilediinden emin olun. rnein "Bu eriim haklar probleminin nereden kaynaklandn bulamyorum, neyse, root olarak halledeyim" demek, ok bariz gvenlik aklarna olduu kadar, henz hi kefedilmemi olanlarna da yol aabilir. rfc1244 kendi a gvenlik politikanz nasl oluturabileceinizi aklayan, rfc1281 ise her adm ayrntl olarak anlatlm rnek bir gvenlik politikasn ieren birer RFC (Request For Comment - Yorum in stek) belgesidir.

Son olarak, gerek hayatta gvenlik politikalar nasl oluyor grmek isterseniz, COAST politika arivine bir gz atmak isteyebilirsiniz: ftp://coast.cs.purdue.edu/pub/doc/policy

Sitenizi Gvenli Hale Getirmenin Yollar

Bu belge, urunda ok altnz deerli eylerinizi gvenli hale getirebilmeniz iin gereken eitli yollar tartacak. Bu deerli eyler yerel makineniz, veriniz, kullanclarnz, anz, hatta kendi saygnlnz olabilir. Kullanclarnzn sahip olduu veriyi bir saldrgan silerse saygnlnz ne olur? Ya irketinizin, nndeki aylk sredeki proje planlarn yaymlarsa? Bir a kurulumu planlyorsanz, herhangi bir makineyi aa dahil etmeden nce dikkate almanz gereken bir ok etken vardr. Tek bir PPP hesabnz dahi olsa, ya da sadece kk bir siteniz, bu saldrganlarn sizin sisteminizle ilgilenmeyecekleri anlamna gelmez. Tek hedefler, byk, byk lekli siteler deildir -- Bir ok saldrgan basite, bykl farketmeden olabildiince ok sitenin aklarndan yararlanmak ister. Ek olarak, sizin sitenizdeki bir gvenlik an, bal olduunuz dier sitelere eriim kazanmak amacyla kullanabilirler. Saldrganlarn elinde ok zaman vardr, sisteminizi nasl anlalmaz bir hale getirdiinizi, ya da ne derece gzden sakladnz renmek iin tahmin yolunu deil, basite tek tek btn olaslsklar deneme yolunu seerler. Bir saldrgann sisteminizle ilgileniyor oluunun bir takm baka nedenleri de vardr, bunlar daha sonra tartacaz.

Bilgisayar Gvenlii
Belki de sistem yneticilerinin en ok younlat gvenlik alanlarndan biri bilgisayar baznda gvenliktir. Bu, tipik olarak, kendi bilgisayarnzn gvenli olduundan emin olmanz, ve anzdaki btn herkesin de emin olduunu mit etmenizdir. yi parolalarn seilmesi, bilgisayarnzn yerel a servislerinin gvenli hale getirilmesi, hesap kaytlarnn iyi korunmas, ve gvenlik aklar olduu bilinen yazlmn gncellenmesi, yerel gvenlik yneticisinin sorumlu olduu iler arasndadr. Bunu yapmak mutlak ekilde gereklidir, fakat anzdaki bilgisayar says arttka, gerekten yldrc bir i haline dnebilir.

Yerel A Gvenlii
A gvenlii, en az bilgisayarlarn gvenlii kadar gerekli olan bir kavramdr. Ayn a zerindeki yzlerce, binlerce, hatta daha fazla bilgisayarla, gvenliinizi her birinin tek tek gvenli oluu zerine kuramazsnz. Anz sadece izin verilen kullanclarn kullandn garanti altna almak, gvenlik duvarlar oluturmak, gl bir ifreleme kullanmak, ve anzda "yaramaz" (yani gvensiz) makineler bulunmadndan emin olmak, gvenlik yneticisinin grevlerinin bir parasdr. Bu belgede sitenizi daha gvenli bir hale getirmek iin kullanlan teknikleri tartacaz, ve bir saldrgann korumaya altklarnza eriim salamasn engellemek iin gereken yollardan bazlarn gstermeye alacaz.

Karmaklatrma Yoluyla Gvenlik

Tartlmas gereken gvenlik tiplerinden biri "karmaklatrma yoluyla gvenlik"tir. Bunun anlam, rnein, gvenlik aklar bulunan bir servisin standart olmayan bir porta (kap) tanmasdr, saldrganlarn bu ekilde servisin nerde olduunu farketmeyerek bu aktan yararlanamayaca umulur. Dierlerinin ise servisin nerde olduunu bilmeleri, dolaysyla yararlanabilmeleri gerekir. Sitenizin kk, veya greli olarak daha kk lekli oluu, saldrganlarn sahip olduklarnzla ilgilenmeyecei anlamna gelmez. nzmzdeki blmlerde tarttklarmz arasnda neyi korumakta olduunuz da bulunacak.

Bu Belgenin Dzeni
Bu belge, bir takm blmlere ayrlmtr. Bu blmlerde kapsam geni olan gvenlik konular yer almaktr. lkin, Fiziksel Gvenlik, makinenizi fiziksel bir zarar grmekten nasl korumanz gerektiini kapsyor. kinci olarak, Yerel Gvenlik, sisteminizin yerel kullanclar tarafndan kartrlmasnn nasl engelleneceini aklyor. ncs, Dosyalar ve Dosya Sistemi Gvenlii, dosya sistemlerinizi ve dosyalar zerindeki eriim haklarnn nasl dzenlenmesi gerektiini aklyor. Sonraki blm, Parola Gvenlii ve ifreleme, makinenizi ve anz daha iyi bir ekilde gvenli hale getirmek iin ifrelemenin nasl kullanldn tartyor. ekirdek Gvenlii blmnde ise daha gvenli bir sistem iin farknda olmanz gereken ekirdek seenekleri anlatlyor. A Gvenlii, Linux sisteminizi a saldrlarna kar nasl gvenli hale getirebileceiniz hakknda bilgi ieriyor. Gvenlik Hazrl (Balanmadan nce), makine(leri)nizi, aa bal hale getirmeden nce nasl hazrlamanz gerektiini anlatyor. Sonraki blm, Gvenlik hlali Srasnda ve Sonrasnda Neler Yaplabilir , sistemizi bozmaya alma eylemi o an devam etmekte ise, veya byle bir eylemin yakn zamanda gerekletiini rendiinizde neler yapabileceiniz konusunu tartyor. Gvenlikle lgili Kaynaklar, blmnde baz gvenlik ile ilgili bilgilere eriim salanabilecek balca kaynaklarnn neler olduu sralanyor. Ska Sorulan Sorular, blm sk sk sorulan baz sorularn cevaplarn ieriyor, ve son olarak Sonu blm yer alyor. Bu belgeyi okurken farknda olunmas gereken iki ana konu:
Sisteminizde neler olup bittiinin farknda olun.

/var/log/messages gibi sistem kaytlarnz dzenli olarak gzden geirin ve gznz daima sisteminizin zerinde olsun.
yazlmla ilgili gvenlik uyarlarn takip ederek gereken gncellemeleri zamannda yapn. Sadece bunu yapmak bile sisteminizi kayda deer ekilde daha gvenli hale getirecektir.

Sisteminizi gncel tutun, yazlmlarnzn en son srmlerini kurun, ve kullandnz

Fiziksel Gvenlik
Gvenliin dikkate almanz gereken ilk katman bilgisayar sistemlerinizin fiziksel gvenliidir. Makinenize kimler dorudan eriim salayabiliyor? Salamallar m? Makinenizi kurcalamalarn engelleyebiliyor musunuz? Engellemeli misiniz? Sisteminizde ne kadar fiziksel gvenlie gereksinimiz olduu, durumunuza ve/veya btenize baldr. Eer bir ev kullanc iseniz, byk olaslkla ok fazla gereksiniminiz yoktur (tabii ki makinenizi ocuklardan veya rahatsz edici akrabalarnzdan korumanz gerektiini dnebilirsiniz). Eer bir laboratuvardaysanz, ciddi anlamda daha fazlasna ihtiyacnz vardr, ama kullanclarn da ayn zamanda ilerini makineler zerinde yapabilmesi gerekir. zleyen blmler bu konuda yardm etmeye alacak. Eer bir ofisteyseniz, makinenizi mesai saatleri dnda, veya makinenizin banda deilken daha gvenli hale getirmeye ihtiyacnz olabilir veya olmayabilir de. Baz irketlerde, konsolun gvensiz bir durumda braklmas iten karlma sebebi olabilir. Kilitler, (elektrikli) teller, kilitli dolaplar, ve kamerayla izleme gibi apak yntemlerinin hepsi iyi fikir olmakla birlikte bu belgenin konusu tesindedir. :) fiziksel gvenlik

Bilgisayar Kilitleri
Yeni PC'lerin ounda bir "kilitleme" zellii bulunur. Genellikle bu, kasann nnde yer alan ve beraberinde gelen anahtar kullanlarak alp kapanabilir bir kilittir. Kasa kilitleri PC'nizin alnmasn, ya da kasann alarak donanmnza dorudan bir mdahele edilmesini veya paralarn alnmasn engeller. Baz durumlarda bilgisayarnzn kapatlp, disket veya baka donanm ile yeniden almasnn engellenmesini de salayabilirler. Bu kasa kilitleri, ana karttaki destee, ve kasann nasl yapldna gre deiik eyler de yapabilir. Baz PC'lerde bu kilitler ylesine yaplmtr ki kasay amak iin krmanz gerekir. Dier baz PC'lerde ise, yeni bir klavye ya da fare takmanza izin vermezler. Bununla ilgili bilgiyi

kasanzn veya ana kartnzn kullanm rehberinde bulabilirsiniz. Kilitler genelde dk kalitelidir ve uygun bir maymuncukla kolayca alabilirler, ama buna ramen baz durumlarda gerekten etkili bir koruma yntemi olabilirler. Baz makinelerin (SPARClar ve Mac'ler dikkate deer), arka taraflarnda iinden bir telin geebilecei iki tane delik vardr. inden bir tel geirdiinizde, saldrganlar kasay aabilmek iin teli kesmek veya kasay krmak zorunda kalrlar. Bir asma kilit veya bir ifreli kilit takmak bile makinenizin alnmasnda olduka caydrc olabilir.

BIOS Gvenlii
BIOS, x86 tabanl donanmz ynlendiren ve ayarlarn yapan en alt dzeydeki yazlmdr. LILO ve dier Linux sistem ykleme yntemleri, Linux makinenizin nasl alacana karar vermek iin BIOS'a eriir. Linux'un alt dier donanmlarda da benzer bir yazlm bulunur (Mac'lerde OpenFirmware ve yeni Sun'larda Sun boot PROM'u gibi). BIOS'unuzu kullanarak saldrganlarn bilgisayarnz kapatp amasn, ve Linux sisteminizi ynlendirmesini engelleyebilirsiniz. Bir ok BIOS bir parola ayar yapmanza izin verir. Bu o kadar da ok gvenlik salamaz (BIOS sfrlanabilir, veya kasa alarak karlabilir), ama iyi bir caydrc etken olabilir (yani zaman alacak ve kurcalamann izleri kalacaktr). Benzer ekilde, s/Linux (SPARC(tm) ilemcili makineler iin Linux) sisteminizde, al parolas iin EEPROM'unuzu kullanabilirsiniz. Bu saldrganlar yavalatacaktr. BIOS parolalarna gvenmenin dier bir riski varsaylan parola sorunudur. ou BIOS reticisi, insanlarn parolalarn unuttuklarnda bilgisayarlarn ap pilleri karmasn beklemedii iin, BIOS'lara, seilen paroladan bamsz bir parola koymutur. Bu parolalardan yaygn olarak kullanlanlar: j262 AWARD_SW AWARD_PW lkwpeter Biostar AMI Award bios BIOS setup cmos AMI!SW1 AMI?SW1 password hewittrand shift + s y x z Ben Award BIOS iin olan AWARD_PW parolasn denedim ve alt. Bu parolalar reticilerin WWW sayfalarndan ve http://astalavista.box.sk adresinden kolaylkla ulalabilir durumdadr ve byle olduu iin de BIOS parolasnn yeterince bilgili bir saldrgana kar yeterli bir koruma olduu dnlemez. ou x86 BIOS'u, dier baz gvenlik ayarlarna sahiptir. BIOS kitapnza bakabilir, veya bir sonraki alta BIOS'a girerek ne tr ayarlar olduunu gzden geirebilirsiniz. rnein, baz BIOS'lar disket srclerden sistem yklenmesine izin vermez, bazlar da BIOS'un baz zelliklerinin kullanlmas iin bir parola gerektirir. Not: Makineniz sunucu grevi yapyorsa, ve bir al parolas koyduysanz, makineniz banda kimse olmad zaman almayacaktr. rnein bir elektrik kesilmesi durumunda makinenin almas iin bana giderek parolay girmeniz gerekecek ;(

Sistem Ykleyici Gvenlii

eitli Linux sistem ykleyicileri de bir parola belirlenmesine izin verebilir. rnein, LILO'da password ve restricted ayarlar vardr, password al (sistem ykleme) srasnda bir parola ister,restricted ise sadece LILO satrnda bir seenek (single gibi) belirtirseniz parola ister. >lilo.conf'un man (yardm) sayfasndan:

password=password Her imge (ekirdek imgesi) iin ayarlanabilir olan `password=...' seenei (a aya bakn) btn imgeler iin geerlidir. restricted

Her imge (ekirdek imgesi) iin ayarlanabilir olan `restricted' seenei (a aya bakn) btn imgeler iin geerlidir. password=password mgeyi bir parola ile korur. restricted Sadece komut satrnda seenekler belirtilirse (rnein single) bir parola girilmesini gerektirir.

Parolalar belirlerken bir gn onlar hatrlamanz gerekeceini aklnzdan karmayn :). Ayrca bu parolalarn kararl bir saldrgan sadece yavalatacan da unutmayn. Parolalar birinin sistemi disketle ap sabit disk blmnz balamasn engellemez. Eer al balamnda bir gvenlik uyguluyorsanz, o zaman BIOS'tan disketten al da engelleyip, BIOS'u da bir parola ile koruyabilirsiniz. Aklnzdan karmamanz gereken bir dier konu da /etc/lilo.conf dosyasnn eriim izinlerinin "600" olmas gerektiidir. Aksi takdirde dierleri parolanz okuyabilir! GRUB bilgi sayfasndan: GRUB, sadece yneticilerin etkileimli ilemleri balatabilmesi (rnein men girilerini dzenlemek ve komut-satr arayzne girebilmek) iin "password" zellii sunmaktadr. Bu zellii kullanmak iin, yaplandrma dosyanzda 'password' komutunu aadaki gibi altrmalsnz (*note password::) password --md5 PASSWORD Eer bu belirtilirse, <p> tuuna basp doru parolay girene dek GRUB tm etkileimli denetimlere izni kstlar. '--md5' seenei GRUB'a 'PASSWORD'n MD5 formatnda olduunu syler. Eer girilmezse, GRUB 'PASSWORD'n ak metin olduunu varsayar. Parolanz 'md5crypt' komutu ile ifreleyebilirsiniz.(*note md5crypt::). rnein, grub kabuunu balatn (*note Invoking the grub shell::), parolanz girin: grub> md5crypt Password: ********** Encrypted: $1$U$JK7xFegdxWH6VuppCUSIb. Sonra da ifrelenmi parolay kopyalayp yaplandrma dosyanzn iine yaptrn. Grub'da ayn zamanda doru parolay girmediinizde disk blmn kitlemeye olanak salayan 'lock' komutu da vardr. Basite 'lock' szcn ekleyin ve disk blmn parola salanmadan eriilemez olacaktr. Eer farkl bir sistem ykleyici hakknda herhangi biri gvenlikle ilgili bilgiye sahipse duymaktan memnun oluruz ( grub, silo, milo, linload, vb). Not: Makineniz sunucu grevi yapyorsa, ve bir al parolas koyduysanz, makineniz banda kimse olmad zaman almayacaktr. rnein bir elektrik kesilmesi durumunda makinenin almas iin bana giderek parolay girmeniz gerekecek ;(

xlock and vlock

Eer zaman zaman makinenizin bandan uzaklayorsanz, konsolu "kilitleyebilmek", bylece hikimsenin almanz kurcalayamamasn, veya bakamamasn salamak ho olur. ki program bu i iin var: xlock ve vlock.

xlock bir X grnt kilidi. X'i destekleyen tm Linux datmlarnda muhtemelen bulunuyordur.
Tm seenekler hakknda bilgi almak iin man (yardm) sayfasna bir gz atmanz gerekebilir, ama genellikle xlock'u konsolunuzdaki herhangi bir xterm'den altrabilirsiniz. xlock bir kere alt m grnty kitler ve kilidin kalkmas iin parolanz girmenizi gerektirir.

vlock Linux'unuzdaki baz veya tm sanal konsollar kilitleyebilmenizi salayan kk bir

programdr. O anda almakta olduunuz konsolu ya da tm konsollar kilitleyebilirsiniz. Eer sadece bir tanesini kilitlerseniz, dierleri geldiinde konsolu kullanabilir, fakat o an almakta olduunuz (ve kilitlediiniz) konsola eriim salayamazlar. vlock RedHat Linux ile birlikte geliyor, fakat kullandnz datma gre deiiklik gsterebilir. Elbette konsolu kilitlemek, almanz kurcalamak isteyen birini engeller, fakat makinenizi yeniden balatmalarn veya bir ekilde almanz bozmalarn engellemez. Ayrca makinenize adaki baka bir makinenin eriimini ve yol aaca problemlere de engel olamaz. Daha nemlisi, birinin X Windows sisteminden tamamen kp, normal bir sanal konsol giri satrna ulamasn, ya da X11'in balatld sanal konsola gidip askya almasn ve haklarnza sahip olmasn da engelleyemez. Bu sebeple, X'i sadece xdm kontrol altnda kullanmay dnmeli, veya startx kullanyorsanz bilgisayarn bandan ayrldnzda kimsenin bilgisayara ulamadndan emin olmalsnz.[4]

Yerel cihazlarn gvenlii

Sisteminize eklenmi bir webcam veya mikrofon varsa, bir saldrgann bu cihazlara eriim salamas tehlikesini gz nnde bulundurmalsnz. Kullanmda deilken bu tr cihazlarn kasadan ayrmak veya filerini ekmek bir seenek olabilir. Bu tr cihazlara eriim salayan yazlm da (kullanm kitapklarn/belgelerini okuyarak) ok iyi tanmalsnz.

Fiziksel Gvenlik hlallerini Belirleme

Dikkat edilmesi gereken ilk nokta bilgisayarnzn ne zaman yeniden balatlddr. Linux salam ve kararl bir iletim sistemi olduu iin, makinenizi yeniden balatmanzn gerektirdii nadir durumlar, sizin gerekletirdiiniz iletim sistemi gncellemeleri, veya donanm deiiklii gibi durumlardr. Eer makineniz byle bir ey yapmadnz halde kapanp almsa, bu, makinenizin gvenliinin bir saldrgan tarafndan bozulduunun bir iareti olabilir. Bilgisayarn bulunduu alanda ve kasada kurcalama iaretleri arayn. Bir ok saldrgan varlklarnn izlerini gnlklerden siler, btn gnlkleri incelemek ve herhangi bir uygunsuzluk olup olmadn gzden geirmek, iyi bir fikirdir. yi bir fikir olan bir baka ey de, gnlk verisini gvenli bir yerde saklamaktr, rnein, iyi korunmu bir anzdaki bu ie adanm bir gnlk sunucusunda. Makinenin gvenlii bir kere bozuldu mu, gnlk verisi ok az yarar salar, nk saldrgan tarafndan deitirilmi olmas muhtemeldir. Syslog sunucu program (daemon), gnlkleri merkezi bir syslog sunucusuna gndermek zere yaplandrlabilir, ama bu bilgi ounlukla ifresiz gnderilir, bu da veri aktarlrken bir saldrgan tarafndan grlmesine izin vermek anlamna gelir. Bu, anz ve herkese ak olmasn dnmediiniz konular hakkndaki bilgilerin ortaya kmasna yol aabilir. Gnderilen veriyi ifreleyen syslog sunucu programlar da vardr. Farknda olmanz gereken bir dier durum, sahte syslog mesajlar hazrlamann kolay olduudur - bunun iin yaymlanan bir program vardr. Hatta syslog, adan gelen ve gerek kkenini gstermeden yerel bilgisayardan geldiini iddia eden gnlk satrlarn bile kabul eder. Gnlklerinizde denetim altnda tutmanz gereken baz eyler: Ksa veya tamamlanmam gnlkler.
Tarih ve zamanlar garip olan gnlkler. Yanl eriim haklar veya sahiplikleri olan gnlkler. Bilgisayarn veya servislerin yeniden balatlma kaytlar.

 Kayp gnlkler.

su kullanm kaytlar veya sisteme garip yerlerden yaplan giriler

Sistem gnlk verisini, bu belgede daha sonra Sistem Hesap Verilerinizi Takip Edin blmnde tartacaz.

Yerel Gvenlik
yle bir gz atlmas gereken sonraki konu, yerel kullanclardan gelen saldrlara kar sistem gvenliiniz konusu. Kullanclarn yerel olduunu syledik mi? Evet! Sistem saldrganlarnn root hesabna giden yollarndaki ilk eylerden bir tanesi yerel bir kullanc hesabna eriim elde etmektir. Bu saldrganlar, gevek bir yerel gvenlik ile, kt ayarl bir yerel servis veya eitli "bceklerden" [5] yararlanarak, normal kullanc eriimlerini root eriimine "terfi ettirir". Eer yerel gvenliinizin sk olduundan emin olursanz, saldrgann zerinden atlamas gereken baka bir it daha oluturmu olursunuz. Yerel kullanclar, gerekten syledikleri kii olduklar durumda bile sistem zerinde fazlaca kargaa yaratabilir. [6] Tanmadnz insanlara, veya iletiim bilgilerine sahip olmadnz birine hesap amak, gerekten ok kt bir fikirdir.

Yeni Hesap Ama

Kullanc hesaplarnn, kullanclarn yapmas zorunlu iler iin asgari gereklerini karlayacak ekilde aldndan emin olmalsnz. Eer (10 yandaki) olunuza bir hesap aarsanz, eriiminin bir kelime ilemci ya da izim programyla snrl olmasn, ve kendisinin olmayan veriyi silme yetkisinin olmamasn isteyebilirsiniz. Dier kullanclarn Linux makinenize meru bir eriim salamasna izin verirken esas olarak alnabilecek baz kurallar:
Onlara, gereksinim duyduklar en az yetkiyi verin. Ne zaman ve nereden sisteme giri yaptklarna, ya da yapmalar gerektiine dikkat edin. Kullanlmayan hesaplarn kapandndan emin olun. Btn

bilgisayar ve alarda ayn kullanc isminin kullanlmas, hesabn bakmn kolaylatrmas, ve gnlk verisinin daha kolay zmlenmesi asndan tavsiye edilir.

Grup kullanc kimliklerinin yaratlmas mutlak surette yasaklanmaldr. Kullanc hesaplar

sorumluluk mekanizmas da salar, ve bu birden fazla kiinin kulland grup hesaplaryla mmkn deildir. hata

Gvenlik ihlallerinde kullanlan bir ok yerel kullanc hesab, aylardr kullanlmayanlardr. Kimse onlar kullanmad iin, ideal bir saldr aracdrlar.

yllardr

Root Gvenlii
Makinenizdeki, peinden en fazla koulan hesap root (stn kullanc) hesabdr. Bu hesap btn makine zerinde yetki salamasnn yan sra, adaki dier makineler zerinde de yetki salyor durumda olmas mmkndr. Unutmayn ki root hesabn, sadece zel iler iin ve ok ksa sreliine kullanmalsnz, geri kalan zamanlarda normal kullanc olarak ilerinizi yrtmelisiniz. Root kullancs olarak sisteme giri yaptnzda, yaptnz kk hatalar dahi sorunlara yol aabilir. Root hesabyla ne kadar az zaman harcarsanz, o kadar gvende olursunuz.

Dier kullanclarn Linux makinenize meru bir eriim salamasna izin verirken esas olarak alnabilecek baz kurallar: Karmak bir komut kullanrken, komutu ilk nce ykc olmayan baka bir ekilde kullanmay deneyin... zellikle komutun geni apl kullanmnda... rnein rm foo*.bak, yapmak istiyorsanz, nce ls foo*.bak komutunu kullanarak, silmek zere olduunuz dosyalarn, silmeyi dndnz dosyalar olduundan emin olun. Bu tr tehlikeli komutlarn kullanmnda, komutlar yerine echo kullanmak da zaman zaman ie yarayabilir.
Kullanclarnza,

rm komutunun, dosyalar silmeden nce onay almasn salayacak,

[7]

varsaylan bir takma ismini oluturun.

Sadece belirli, tek bir ii yapmanz gerektii zamanlarda root olun. Eer kendinizi bir

eyin nasl yapldn tahmin etmeye alrken bulursanz, normal kullanc hesabnza geri dnp, root tarafndan neyin yaplacandan emin olmadan nce root kullancsna dnmeyin.

Root iin komut yolu tanm ok nemli. Komut yolu (yani

PATH evre deikeni),

girdiiniz herhangi bir komut ya da programn hangi dizinlerde aranacan belirtir. Root kullancs iin komut yolunu olabildiince snrlandrmaya aln, ve asla . dizinini eklemeyin ("geerli dizin" anlamna gelir [8]. Ek olarak, komut yolunuzda, yazlabilen dizinler bulundurmayn, nk bu saldrganlarn bu dizinler iine, bir sonraki sefer kullandnzda root eriim izniyle alacak olan yeni altrlabilir dosyalar koyabilmesi anlamna gelir.
Asla rlogin/rsh/rexec aralarn (r-aralar olarak adlandrlrlar) root olarak kullanmayn.

nk bunlar, ok eitli saldrlara ak komutlardr, dolaysyla root olarak altrldklarnda ok daha tehlikeli hale gelirler. Asla root iin .rhosts dosyas oluturmayn. [9]

/etc/securettydosyas, root olarak giri yaplabilecek terminalleri belirtir. Bu

dosyann varsaylan ayarlar (Red Hat Linux'ta) yerel sanal konsollardr. Bu dosyaya herhangi bir ey eklerken ok tedbirli olun. Root olmanz gerektiinde uzaktan normal bir kullanc hesabna ( ssh (Gvenli Kabuk) ve stelnet veya dier ifrelenmi bir yolla) giri yapp su komutuyla root olabilirsiniz. Dolaysyla dorudan root olarak giri yapabilmeye gereksiniminiz yoktur.

Root'u kullanrken daima yava ve temkinli davrann. Davranlarnz bir ok eyi

etkileyebilir. Tulara dokunmadan nce dnn! Eer birine (umarz gvenilir biridir), mutlak surette root hesabn kullanmas iin izin vermeniz gerekiyorsa, yardmc olabilecek bir ka ara var. sudo, kullanclarn, parolalarn kullanarak snrl sayda komutu root olarak altrmalarna izin verir. Bu, rnein, bir kullancnn, ayrlabilir medyann balanmas veya karlmas iini, dier root yetkilerini kullanamadan yapabilmesi anlamna gelebilir. sudo ayn zamanda, baarl ve baarsz sudo denemelerinin bir gnln tutar, bu ekilde kimin ne yapmak iin bu komutu kullandn izlemeniz mmkn hale gelir. Bu sebeple sudo, birden fazla kiinin root eriimi olduu yerlerde bile iyi bir i yapar, nk deiikliklerin takip edilmesinde yardm etmi olur.

sudo belirli kullanclara belirli yetkiler vermekte yararl olmasna ramen, baz eksiklikleri
vardr. Sadece snrl bir takm ilerde kullanlmak zorundadr, rnein bir sunucuyu yeniden balatmak, veya yeni kullanclar eklemek gibi. sudo ile altrlan, ve kabua kmaya izin veren her program, sisteme root eriimi salam olur. Buna rnek olarak bir ok metin dzenleyici gsterilebilir. Ayrca,/bin/cat kadar zararsz bir program bile, dosyalarn zerine yazmakta, ve root eriimi salamakta kullanlabilir. sudo programn, yaplan iten kimin sorumlu olduunun izlenilmesi iin kullanlan bir programm gibi dnn, ve hem root kullancsnn yerine gemesini hem de gvenli olmasn beklemeyin.

Dosyalar ve Dosya Sistemi Gvenlii

Sistemlerinizi aa balamadan nce yaplacak bir ka dakikalk hazrlk ve planlama, sistemlerinizin ve zerlerinde saklanan verinin korunmasnda yardmc olabilir. Kullanclarn, SUID/SGID programlar ev dizinlerinden altrmalarna izin vermek iin herhangi bir sebep olmamaldr. /etc/fstab dosyasnda, root'tan bakalarnn da yazma izninin olduu disk blmleri iin nosuid seeneini kullann. Ayrca, kullanclarn ev dizinlerinin bulunduu blmlerde, ve /var dizininde, program altrlmasn ve karakter veya blok cihazlarn oluturulmasn engellemek iin (ne de olsa hibir zaman byle bir ey gerekmeyecektir) nodev ve noexec seeneklerini kullanabilirsiniz.
NFS kullanarak dosya sistemlerini dar ayorsanz,

/etc/exports dosyasnda en fazla snrlandrma salayan seenekleri kullandnzdan emin olun. Bu, genel karakter kullanlmamas, root kullancsna yazma izninin verilmemesi, ve mmkn olduu yerlerde saltokunur ekilde da almas anlamna geliyor. umask'ini mmkn olduu kadar snrl tutun. Bkz. Umask
sistemini kullanarak dosya sistemlerini balyorsanz, Ayarlar.

Kullanclarnzn dosya yaratma

Eer,

NFS

gibi

bir

dosya

/etc/exports dosyasnda uygun snrlama ayarlarn yaptnzdan emin olun. Tipik olarak, nodev, nosuid, ve belki de noexec gerekli olanlardr.
Dosya sistemlerinin snrlar belirleyin, varsaylan

ayarna izin vermeyin. snrlar, kaynak-limitleri PAM modln kullanarak, ve /etc/pam.d/limits.confdosyasndaki ayarlar aracl ile yapabilirsiniz. rnein, users grubu iin snrlar u ekilde olabilir:

unlimited

[10]

Kullanc

bazndaki

@users @users @users

hard hard hard

core nproc rss

0 50 5000

Burda sylenen, core dosyalarnn yasaklanmas, ilem saysnn 50 ile snrlanmas, ve bellek kullanmnn 5M ile snrlandrlmasdr. Ayn snrlamalar,
The

/etc/login.defs dosyasnda da belirtebilirsiniz.

/var/log/wtmp ve /var/run/utmp osyalar sisteminizdeki tm kullanclarn sisteme giri bilgilerini ierir. Bu dosyalarn btnlkleri korunmaldr, nk bir kullancnn (ya da bir saldrgann) ne zaman ve nereden giri yaptn belirlemede kullanlabilirler. Bu dosyalarn eriim izinleri, olaan ilevlerini gerekletirmelerine engel olmayan 644 olmaldr.
deimez biti kullanlabilir. Bu ayrca, dosyaya bir engelleyecektir. Deimez biti ile ilgili daha fazla bilgi iin simgesel ba oluturulmasn da

Korunmas gereken bir dosyann kazara silinmesi veya zerine yazlmasn nlemek iin

chattr(1) man sayfasna bakn.

Sisteminizdeki SUID ve SGID dosyalar, potansiyel bir gvenlik riski oluturur ve yakndan

izlenmelidir. Bu programlar, onlar altran kullancya zel yetkiler verdii iin, gvensiz programlarn kurulu olmadndan emin olmak gereklidir. Korsanlarn gzde bir numaras da SUID-root programlarndan yararlanarak, bir sonraki girilerinde arkakap olarak kullanmak zere bir SUID program yerletirmektir. Bu ekilde asl ak kapatlsa bile yeni arka kap sayesinde sisteme giri yapabilirler. Sisteminizdeki btn SUID/SGID programlar bularak ne olduklarn izleyin. Bylelikle, bir deiiklik olduunda, ki bu deiiklikler potansiyel bir saldrgann gstergesi olabilir, haberiniz olmu olur. Sisteminizdeki btn SUID/SGID programlar bulmak iin aadaki komutu kullanabilirsiniz:

root#

find / -type f \( -perm -04000 -o -perm -02000 \)

Debian datm, hangi SUID programlarnn bulunduunu belirlemek iin her gece bir i altrr. Daha sonra bunu bir nceki gece ile karlatrr. Bu gnlk iin /var/log/setuid* dosyalarna bakabilirsiniz. pheli bir programdaki SUID ve SGID eriim izinlerini chmod ile kaldrabilir, daha sonra mutlak ekilde gerektiini hissederseniz tekrar yerine koyabilirsiniz.
Herkes tarafndan yazlabilir dosyalar, zellikle sistem dosyalar, bir korsan sisteminize eriir ve

zerlerinde deiiklik yaparsa bir gvenlik a haline gelebilir. Ayrca herkes tarafndan yazlabilir dizinler de tehlikelidir, nk bir korsann istedii gibi dosya ekleme ve silmesine izin verir. Sisteminizdeki herkes tarafndan yazlabilen dosyalar bulmak iin, aadaki komutu kullann:

root# find / -perm -2 ! -type l -ls

ve bu dosyalarn neden yazlabilir olduklarn bildiinizden emin olun. Normal ilevler srasnda, herkes tarafndan yazlabilir bir takm dosyalar bulunur, bunlar arasnda /dev dizinindekiler ve simgesel balar da vardr. Bu nedenle yukardaki find komutunda simgesel balar darda brakan ! -type l seeneini kullandk.
Sahipsiz dosyalar da bir saldrgann sisteminize eritiinin bir gstergesi olabilir. Sahibi

olmayan veya hibir gruba ait olmayan dosyalar aadaki komut ile bulabilirsiniz:

root# find / \( -nouser -o -nogroup \) -print

.rhosts dosyalarna sisteminiz zerinde izin vermemelisiniz, dolaysyla sistem zerindeki bu

dosyalarn bulunmas dzenli ynetim grevlerinizin bir paras olmal. Unutmayn, bir korsan btn anza eriebilmek iin sadece bir gvensiz hesaba gereksinim duyar. Aadaki komutla sistem zerindeki tm .rhosts dosyalarn bulabilirsiniz:

root# find /home -name .rhosts -print

Son olarak, herhangi bir sistem dosyas zerindeki eriim izinlerini deitirmeden nce, ne

yaptnz anladnzdan emin olun. Sadece baz ilerin daha kolay olduunu dndnz iin bir dosyann eriim izinlerini deitirmeyin. Daima deitirmeden nce neden o dosyann o izinlere sahip olduunu belirleyin.

Umask Ayarlar
The umask komutu, sistem zerinde varsaylan dosya yaratma kipini belirlemek amacyla kullanlabilir. stenen dosya kipinin sekizli say dzeninde tmleyicisidir. Eer dosyalar, eriim ayarlarna bakmakszn oluturulursasa, kullanc dikkatsizce, okuma veya yazma izni olmamas gereken birine bu izinleri verebilir. Tipik umask ayarlar, 022, 027, ve 077 (en fazla snrlama budur) ayarlardr. Normal olarak, umask /etc/profile dosyasnda belirlenir, dolaysyla btn kullanclar iin geerlidir. Ortaya kan izin u ekilde hesaplanabilir: kullanc/grup/dierleri iin olan varsaylan izin (dizinler iin 7, dosyalar iin 6), umask'in mantksal DELi ile bit baznda VE mantksal ilemine sokulur.[11] rnek 1: dosya, varsaylan 6, ikili : 110 umask, (rn. 2): 010, DEL: 101 ortaya kan izin, VE: 100 (eittir 4, r__)

rnek 2: dosya, varsaylan 6, ikili : 110 umask, (rn. 6): 110, DEL: 001 ortaya kan izin, AND: 000 (eittir 0, ___) rnek 3: dizin, varsaylan 7, ikili : 111 umask, (rn. 2): 010, DEL: 101 ortaya kan izin, VE: 101 (eittir 5, r_x) rnek 4: dizin, varsaylan 7, ikili : 111 umask, (rn. 6): 110, DEL: 001 ortaya kan izin, VE: 001 (eittir 1, __x)

# Set the user's default umask umask 033

root kullancsnn umask'ini 077 yaptnzdan emin olun. Bylelikle root tarafndan oluturulan dosyalarn/dizinlerin varsaylan olarak dier kullanclara okuma, yazma ve altrma izinleri, chmod komutuyla deitirilmedikleri srece kapal olacaktr. which will disable read, write, and execute permission for other users, unless explicitly changed using chmod . Yukardaki rnekte, yeni oluturulan dizinlerin izinleri, 777 - 033 = 744 olacaktr. Yeni oluturulan dosyalarn ise bu maske ile eriim izinleri 644 olur. Eer Red Hat kullanyorsanz, ve onlarn kullanc ve grup ID oluturma dzenlerine bal kalyorsanz, umask iin gereken sadece 002 deeridir. Bunun sebebi, Red Hat'te varsaylan ayarn her kullanc iin ayr bir grup olmasdr. [12]

Dosya zinleri
Sistem dosyalarnzn, kullanclar tarafndan, ve sistem dosyalarnn bakmndan sorumlu olmayan kiiler tarafndan almadn garanti altna almak nemlidir. Unix, dosya ve dizinlerdeki eriim denetiminde ayr zellie gre salar: sahip, grup, ve dier. Bir dosyann her zaman bir sahibi ve grubu vardr, geriye kalan herkes "dier" zelliine sahiptir. Unix izinlerini ksaca aklayacak olursak: Sahiplik - Hangi kullanc(lar) ve grup(lar), dosyann (veya dizin/st dizinin) izin haklarn denetim altnda tutuyor? zinler - Kimi eriim tiplerine msade etmek iin 1 veya 0 olabilen bitler. Dosyalarn izinleri, dizinlerinkinden farkl anlamlar tar. Okuma: Dosyann ieriini grebilme
Dizini okuyabilme. [13]

Yazma: Bir dosya zerinde deiiklik veya ekleme yapabilme

 Bir dizindeki dosyalar silebilme veya tayabilme

altrma: kili yapdaki bir program veya kabuk betiini altrma

[14]

Bir dizinde arama yapabilme, okuma izinleri ile birlikte [15]

Metin Sakla Nitelii: (Dizinler iin) "Yapkan bit" dizinlere ve dosyalara uygulandnda farkl anlamlar tar. Eer bir dizinin yapkan biti 1 ise, bir kullanc o dizinde yeni bir dosya oluturabilir, fakat dizindeki dier dosyalar, kendine ait olmad veya ak bir ekilde izin verilmedii srece silemez. Bu bit, /tmp gibi herkesin yazabilecei, ama dier hibir kullancnn bakalarnn dosyalarn silmemesinin salanmas gereken dizinler iin tasarlanmtr. Uzun dizin listesinde yapkan bit t olarak grnr. [16] SUID Nitelii: (Dosyalar iin) Bu, dosyann "kullanc-kimlii-belirle" izinleriyle ilgilidir. Eer sahip izinleri blmnde bu bit 1 ise, ve dosya altrlabilir bir dosya ise, alan sreler sistem kaynaklarna, ilemi balatan kiinin deil, dosya sahibinin kimliinde eriim salar. Bu, bir ok "tampon tamas" aklarnn da sebebidir. [17] SGID Nitelii: (Dosyalar iin) Bu bit grup izinlerinde 1 ise, dosyann "grup-kimlii-belirle" durumunu denetler. Bu kullanc-kimlii-belirle biti ile ayn ekilde alr, fakat bu kez grup kimlii etkilenir. Bu bitin etkili olabilmesi iin dosyann altrlabilir olmas arttr.[18] SGID Nitelii: (Dizinler iin) Eer bir dizinin bu bitini 1 yaparsanz (chmod g+s dosyalarn gruplar, bu dizinin grubu ile ayn olacaktr. Siz - Dosyann sahibi Grup - Ait olduunuz grup Herkes - Sizin ve grubunuzun dier yelerinin dnda kalan herkes. Dosya rnei:

dizin ile), bu dizinde yaratlan

-rw-r--r-- 1 kevin users 114 Aug 28 1997 .zlogin 1. bit - dizin mi? (hayr) 2. bit - sahibi okuyabilir mu? (evet, kevin ) 3. bit - sahibi yazabiliyor mu? (evet) 4. bit - sahibi altrabiliyor mu? (hayr) 5. bit - grup yeleri okuyabilir mu? (evet, users) 6. bit - grup yeleri yazabiliyor mu? (hayr) 7. bit - grup yeleri altrabiliyor mu? (hayr) 8. bit - herkes okuyabiliyor mu? (evet) 9. bit - herkes yazabiliyor mu? (hayr) 10. bit - herkes altrabiliyor mu? (hayr)

Aadaki satrlar, dosyalar iin aklanan eriim izinlerinin uygulanabilmesi iin verilmesi gereken en az izinlerin rnekleridir. Herhangi birine burdakilerden daha fazla izin vermek isteyebilirsiniz, fakat bunlarn en azlar aklanmaktadr:

-r-------- Sahibinin dosyay okumasna izin verir. --w------- Sahibinin dosyay dei tirmesine veya silmesine izin verir. (Dosyann iinde bulunduu dizine yazma hakk olan herkes, dosyann zerine yazabilir, dolaysyla dosyay silebilir)

---x------ Sahibi programlar altrabilir. Kabuk betiklerini al tramaz, nk onlar iin de okuma izni olmaldr. ---s------ Etkin kullanc kimliini dosya sahibinin kullac kimlii haline getirir. --------s- Etkin grup kimliini dosyann grup kimlii haline getirir. -rw------T "Son dei tirilme zaman" gncellenmez. Genelde takas dosyalar iin kullanlr. ---t------ Etkisi yoktur. (nceleri yap kan bit olarak kullanlrd)

Dizin rnei:

drwxr-xr-x 3 kevin users 512 Sep 19 13:47 .public_html/ 1. bit - dizin mi? (evet, bir ok dosyaya sahip) 2. bit - sahibi okuyabilir mu? (evet, kevin) 3. bit - sahibi yazabiliyor mu? (evet) 4. bit - sahibi al trabiliyor mu? (evet) 5. bit - grup yeleri okuyabilir mu? (evet, users) 6. bit - grup yeleri yazabiliyor mu? (hayr) 7. bit - grup yeleri al trabiliyor mu? (evet) 8. bit - herkes okuyabiliyor mu? (evet) 9. bit - herkes yazabiliyor mu? (hayr) 10. bit - herkes al trabiliyor mu? (evet)

Aadaki satrlar, dosyalar iin aklanan eriim izinlerinin uygulanabilmesi iin verilmesi gereken en az izinlerin rnekleridir. Herhangi birine burdakilerden daha fazla izin vermek isteyebilirsiniz, fakat bunlarn en azlar aklanmaktadr:

dr-------- Dizin ierii listelenebilir, fakat dosya nitelikleri okunamaz. d--x------ Dizine girilebilir, ve tam al trma yollarnda kullanlabilir [19] dr-x------ Dosya nitelikleri sahip tarafndan okunabilir. d-wx------ Dosyalar, dizinin iine girilmeksizin yaratlabilir/silinebilir. d------x-t Dosyalarn yazma hakk olan dierlerince silinmesini engeller. /tmp dizininde kullanlr. d---s--s-- Bir etkisi yoktur.
Sistem yaplandrma dosyalar (genelde /etc iinde) , genelde 640kipindedir (-rw-r-----), ve sahipleri root'tur. Sitenizin gvenlik gereksinimlerine bal olarak, bunun zerinde deiiklik yapmak isteyebilirsiniz. Asla herhangi bir sistem dosyasn grup veya herkes tarafndan yazlabilir durumda brakmayn. Baz yaplan dosyalar, /etc/shadow da buna dahildir, sadece root tarafndan okunabilir durumda olmal. /etc iindeki baz dizinler de en azndan dier kullanclar tarafndan eriilemez olmal. SUID Kabuk Betikleri SUID kabuk betikleri, ciddi bir gvenlik riskidir, ve bu sebeple ekirdek tarafndan ho karlanmazlar. Bir kabuk betiinin ne kadar gvenli olduunu dnrseniz dnn, bir korsan ondan yararlanarak bir root kabuuna eriebilir.

Btnlk Denetimi
Yerel (ve a) saldrlarn ortaya karmann ok iyi bir yolu da bir btnlk denetleyici, rnein Tripwire, Aide veya Osiris. gibi bir program altrmaktr. Bu btnlk denetleyiciler, btn nemli ikili dosyalarnzn zerinde bir salama toplam hesaplar, ve dosyalar iyi durumda olduklarndaki toplamlarla karlatrr. Sonu olarak, dosyalardaki deiiklikler farkedilebilir. Bu tr programlar bir diskete kurmak, ve disketin yazma korumasn kapatmak iyi bir fikirdir. Bu yolla saldrganlar btnlk denetleyicisinin kendisini veya veritabann kurcalayamazlar. Bir kere bunun gibi bir dzeneiniz olduktan sonra, bu dzenei normal ynetim grevleriniz arasnda kullanmak, ve deien bir eyler olup olmadn grmek de iyi bir fikirdir. Hatta, crontab 'a denetleyicinizin her gece disketten almas iin bir girdi ekleyebilir, ve sabaha sonularn gzden geirebilirsiniz. Aadaki gibi bir ey size her sabah 5:15'te bir raporu mektup olarak yollar:

# set mailto MAILTO=kevin # run Tripwire 15 05 * * * root /usr/local/adm/tcheck/tripwire

Btnlk denetleyicileri, aksi takdirde farkedilmesi zor olan saldrganlar ortaya karmak konusunda bir nimettir. Ortalama bir sistemde ok fazla dosya deitii iin, hangisinin bir korsan tarafndan, hanginizin kendiniz tarafndan deitirildii konusunda dikkatli olmak zorundasnz.

Tripwire'n ak kaynak srmn, cretsiz olarak http://www.tripwire.org adresinde

bulabilirsiniz. Kitapklar ve destek ise satn alnabilir.

Aide http://www.cs.tut.fi/~rammer/aide.html adresinde, Osiris ise http://www.shmoo.com/osiris/ adresinde bulunabilir.

Truva Atlar
Truva Atlarnn ismi Virgil'in "Aenid"indeki nl numaradan gelmektedir. Bunun arkasndaki fikir, bir korsann, kulaa ok ho gelen bir program veya ikili dosya datp, dier insanlarn dosyay indirmesi ve root olarak altrmasn tevik etmesidir. altrlan program, sistem gvenliini dikkat ekmeden ihlal eder. nsanlar indirdikleri ve altrdklar dosyann tek bir ey yaptn (ve bunu ok iyi yapyor da olabilir) dnrler, ama program bir taraftan gvenlie de zarar vermekle meguldr. Makinenize hangi programlar kurduunuza dikkat edin. Red Hat, RPM dosyalar iin, programn gereini kurduunuzu dorulayabilmeniz amacyla, MD5 salama toplamlar ve PGP imzalar salar. Dier datmlar da benzer yntemler kullanr. Asla bilmediiniz, kaynak kodu elinizde bulunmayan bir ikili dosyay, root olarak altrmayn! ok az saldrgan kaynak kodlarn halka ak hale getirir. Karmak olabilir, fakat bir programn kaynak kodunu gerek datm sitesinden aldnza emin olun. Eer program root olarak alacaksa, gvendiiniz birinin kaynak koduna bakmasn ve dorulamasn salayn.

Parola Gvenlii ve ifreleme

Bugn en nemli gvenlik zelliklerinden biri parolalardr. Hem sizin hem de tm kullanclarnz iin, gvenli, tahmin edilemeyen parolalara sahip olmak nemli bir konudur. Yakn zamanl Linux datmlarnn ou, kolay tahmin edilebilir bir parola belirlemenizi engelleyen passwd programlar ile birlikte gelir. passwd programnzn gncel ve bu zelliklere sahip olduundan emin olun.

ifrelemenin derinlemesine tartlmas bu belgenin konusu tesindedir, ama bir giri yaplabilir. ifreleme gerekten yararldr, hatta bu zaman ve ada gereklidir de. ifrelemenin bir ok yntemi vardr ve her biri kendi zellikler kmesini birlikte getirir. Bir ok Unix (ve Linux bir istisna deil), parolalarnz ifrelemek iin ounlukla tek ynl, DES (Data Encryption Standard - Veri ifreleme Standard) adnda bir algoritma kullanr. ifrelenmi parola (tipik olarak)/etc/passwd veya (daha az sklkla) /etc/shadowdosyasnn iinde tutulur. Sisteme giri yapmaya kalktnzda, girmi olduunuz parola tekrar ifrelenir, ve parola dosyalarnn iindeki ile karlatrlr. Eer uyarsa, o zaman ayn parola olmal demektir, ve eriime izin verilir. DES aslnda iki ynl bir ifreleme algoritmasdr (doru anahtar olduunda, bir mesaj ifreleyebilir veya ifreli bir mesajn ifresini zebilirsiniz). Bununla beraber, DES'in Unixler zerindeki deiik biimi tek ynldr. Bunun anlam, /etc/passwd (veya /etc/shadow) dosyasnn iindeki ifrelenmi parolaya bakarak, ifreleme algoritmasn tersine evirmek yoluyla parolay bulmak mmkn olmamaldr. "Crack" veya "John the Ripper" (Bkz. "Crack" ve "John the Ripper") programlarnda olduu gibi kaba kuvvet saldrlar, parolanz yeterince rastgele deilse bulabilir. PAM modlleri (aada), parolalarnz ile birlikte baka bir ifreleme algoritmasnn kullanlmasna izin verir (MD5 vb.). Crack programn kendi lehinizde de kullanabilirsiniz. Kendi parola veritabannz, gvensiz parolalara kar Crack programn altrarak dzenli olarak denetlemeyi dnn. Gvensiz parolaya sahip kullancyla iletiim kurarak, parolasn deitirmesini isteyebilirsiniz. yi bir ifrenin nasl seildii hakknda bilgi http://consult.cern.ch/writeup/security/security_3.html adresine gidebilirsiniz. almak iin

PGP ve Ak Anahtarl ifreleme

Ak anahtarl ifreleme, rnein PGP'de kullanlan gibi, bir anahtar ifreleme, dier bir anahtar da ifre zme iin kullanr. Geleneksel ifreleme tekniklerinde, ifreleme ve ifre zme iin ayn anahtar kullanlr. Bu anahtarn, her iki tarafta da bulunmas, dolaysyla bir ekilde bir tarafdan dier tarafa gvenli ekilde aktarlm olmas gerekir. ifreleme anahtarnn gvenli aktarmn kolaylatrmak iin, ak anahtarl ifreleme iki ayr anahtar kullanr: bir ak anahtar ve bir de zel anahtar. Herkesin ak anahtar dierlerine ifreleme yapabilmesi amacyla "ak"tr, ama herkes zel anahtarn, doru ak anahtarla yaplm ifreyi aabilmek iin dierlerinden gizli tutar. Ak anahtarl ya da gizli anahtarl ifrelemenin kendine has baz avantajlar vardr. kisi arasndaki farklar hakknda bilgi edinmek iin the the RSA Cryptography FAQ (RSA ifreleme SSS) belgesine gz atabilirsiniz. PGP (Pretty Good Privacy, Olduka yi -Kiisel- Gizlilik) Linux'ta iyi desteklenir. 2.6.2 ve 5.0 srmlerinin iyi alt biliniyor. yi bir PGP tantm ve nasl kullanld ile ilgili bilgiyi PGP SSS iermektedir: http://www.pgp.com/service/export/faq/55faq.cgi lkeniz iin uygun srm kullandnzdan emin olun. ABD Hkmetinin dsatm snrlamalarndan dolay, gl ifrelemenin elektronik yollarla lke dna aktarlmas yasaktr. ABD dsatm denetimleri, artk ITAR tarafndan deil, EAR (Export Administration Regulations Dsatm Ynetim Dzenlemeleri) tarafndan idare edilmektedir. Ayrca, Linux zerinde PGP yaplandrmasn adm adm anlatan bir rehber http://mercury.chem.pitt.edu/~angel/LinuxFocus/English/November1997/article7.html adresinde bulunmaktadr. Bu rehber PGP'nin uluslararas srmleri iin yazlmtr, ama ABD srm iin de uyarlanabilir. Bunun yansra Linux'un son srmleri iin bir yamaya ihtiyacnz olabilir. Bu yamaya ftp://metalab.unc.edu/pub/Linux/apps/crypto adresinden ulaabilirsiniz.. PGP'nin cretsiz ve ak kaynak ekliyle yeniden hayata geirme amacn tayan bir proje var. GnuPG, PGP'nin yerini alacak tamamlanm ve cretsiz bir yazlm. IDEA veya RSA'y kullanmad iin snrlandrma olmakszn kullanlabilir. GnuPG OpenPGP ile uyumludur. Daha fazla bilgi iin GNU Gizlilik Nbetisi ana sayfasna bakabilirsiniz: http://www.gnupg.org/.

ifreleme ile ilgili daha fazla bilgi RSA ifreleme SSS'nda http://www.rsa.com/rsalabs/newfaq/. Burda, "Diffie-Hellman", "Ak-Anahtarl "Saysal Sertifika" vb. konular hakknda bilgi bulabilirsiniz.

bulunabilir: ifreleme",

SSL, S-HTTP ve S/MIME

Kullanclar sk sk eitli gvenlik ve ifreleme protokolleri arasndak farklar, ve nasl kullanldklarn sorar. Bu bir ifreleme belgesi olmamakla birlikte her bir protokoln ne olduunu ve daha fazla bilginin nerde bulunabileceini aklamak iyi bir fikir olabilir. SSL: - SL, veya Secure Sockets Layer (Gvenli Soket Katman), Netscape tarafndan nternet zerinde gvenlik salamak amacyla gelitirilen bir ifreleme yntemidir. SSL veri aktarm katmannda ilev grr, gvenli bir ifreli veri kanal oluturduu iin bir ok veri tipini ifreleyebilir. Bu en yaygn olarak, Communicator gvenli bir WWW sitesine baland, ve gvenli bir belgeyi grntlemek istediinde grlr. SSL, Netscape Communications irketinin dier veri ifrelemelerinin olduu kadar, Communicator'n da gvenli iletiim temellerini oluturur. Daha fazla bilgi iin http://www.consensus.com/security/ssl-talk-faq.html adresine bakabilirsiniz. Netscape'in gvenlikle ilgili hayata geirdii dier rnekler, ve bu protokoller iin iyi bir balang noktas da http://home.netscape.com/info/security-doc.html adresinde bulunabilir. SSL protokol dier bir ok protokol "sararak" gvenlik salayabilir. http://www.quiltaholic.com/rickk/sslwrap/ adresinde ayrtntl bilgi bulabilirsiniz.
S-HTTP: - S-HTTP, nternet zerinde gvenlik servislerini salayan bir dier protokoldr.

Tasarlanma amac gizlilik, kimlik dorulama, btnlk, ve inkar edememe (kendisinden bakas olduunu syleyememe) olan S-HTTP, ayn zamanda birden ok anahtarynetimi mekanizmasn ve ifreleme algoritmasn, taraflar arasndaki aktarmda yer alan seenek kararlatrlmas yoluyla destekler. S-HTTP, kendisini hayata geirmi olan belirli yazlmlarla snrldr, ve her bir mesaj ayr ayr ifreler (RSA ifreleme SSS, Sayfa 138)
S/MIME:

- S/MIME, veya Gvenli okamal nternet Mektup Uzants (Secure Multipurpose Internet Mail Extension), elektronik mektup ve nternet zerindeki dier mesajlar ifrelemek iin kullanlan bir ifremele standarddr. RSA tarafndan gelitirilen ak bir standarttr, dolaysyla bir gn Linux zerinde grme olaslmz yksektir. S/MIME ile ilgili daha fazla bilgi http://home.netscape.com/assist/security/smime/overview.html adresinde bulunabilir.

Linux IP Gvenlii'nin (IPSec) Hayata Geirilmesi

CIPE ve dier veri ifreleme biimlerinin yannda, IPSEC'in de Linux iin bir ka hayata geirilme rnei vardr. IPSEC, IP a dzeyinde ifreli-gvenli iletiimler yaratmak, ve kimlik dorulama, btnlk, eriim denetimi ve gizlilik salayabilmek amacyla IETF tarafndan gsterilen bir abadr. IPSEC ve nternet tasla zerinde daha fazla bilgiye http://www.ietf.org/html.charters/ipsec-charter.html adresinden ulaabilir, ayrca anahtar ynetimini ieren dier protokollere, ve bir IPSEC mektuplama (haberleme) listesi ve arivlerine ulaabilirsiniz. Arizona niversitesi'nde gelitirilen, Linux iin x-ekirdek (x-kernel) uygulamas, x-ekirdek ad verilen a protokollerinin hayata geirilmesi iin nesne tabanl bir iskelet kullanr. Bununla ilgili bilgi http://www.cs.arizona.edu/xkernel/hpcc-blue/linux.htmladresinde bulunabilir. En basit anlatmla, x-ekirdek, mesajlarn ekirdek dzeyinde aktarlmas yntemidir, ki bu hayata geirilmesini kolaylatrr. IPSEC'in cretsiz bir dier uygulamas da Linux FreeS/WAN IPSEC'tir. WWW sayfalarnda belirtildiine gre,"Bu servisler, gvenmediiniz alarn iinde gvenli tneller oluturmanz salar. Gvenilmeyen adan geen herey IPSEC a geidi tarafndan ifrelenir ve dier utaki a geidinde ifresi zlr. Sonu bir Sanal zel A, yani VPN'dir (Virtual Private Network). Bu, bir takm farkl sitelerdeki gvensiz nternet ile birbirine bal bulununan makineler ierdii halde, etkin anlamda zel bir adr." Bilgisayarnza indirmek isterseniz, http://www.xs4all.nl/~freeswan/, adresinden ulaabilirsiniz.

Bu belge yazld srada srm 1.0 henz kmt. Dier ifreleme biimleri gibi, bu da dsatm snrlamalar nedeniyle ekirdek ile birlikte datlmyor.

ssh (Gvenli Kabuk) ve stelnet

ssh ve stelnet uzak sistemlere giri yapabilmenizi, ve ifreli bir balant kurabilmenizi
salayan programlar grubudur.

openssh ise for rlogin, rsh ve rcp'nin yerine geen gvenli bir programlar grubudur.
Kullanclarn kimliini dorulamak iin ve iki bilgisayar arasndaki iletiimi ifrelemek iin ak anahtarl ifreleme tekniini kullanr. Uzaktaki bir bilgisayara gvenli ekilde giri yapmak veya bilgisayarlar arasnda veri kopyalama yapmak, ama bu srada gelebilecek ortadaki-adam (oturum karma) ve DNS taklit saldrlarn engellemek amacyla kullanlabilir. Balantlarnz arasndaki veriler sktrr, ve bilgisayarlar arasndaki X11 iletiimini gvenli hale getirir. u anda bir ok ssh uygulamas mevcut. Data Fellows tarafndan hayata geirilen zgn ticari srm http://www.datafellows.com adresinde bulunabilir. Mkemmel Openssh uygulamasnda, Data Fellows ssh'nn nceki srmlerinden biri taban oluturmu, ve patentli veya tescilli herhangi bir para bulunmamas iin tamamen yeniden bir alma yaplmtr. BSD lisans altnda cretsiz olarak datlmaktadr: http://www.openssh.com. ssh' sfrdan yeniden yazmak amacyla, "psst..." adyla balatlan bir ak kaynak kodlu bir proje daha mevcut. Daha fazla bilgi iin: http://www.net.lut.ac.uk/psst/

ssh' Windows i istasyonunuzdan Linux ssh sunucunuza balanmak amacyla da

kullanabilirsiniz. cretsiz olarak datlan bir ok Windows istemcisi de mevcut, bunlardan birine http://guardian.htu.tuwien.ac.at/therapy/ssh/ adresinden ulaabilirsiniz. Data Fellows'un ticari bir uygulamasna ise aadaki adresten ulalabiliyor olmal: http://www.datafellows.com. SSLeay, Netscape'in Gvenli Soket Katman protokol uygulamasnn, Eric Young tarafndan yazlan cretsiz bir srm. Gvenli telnet gibi baz uygulamalar, Apache iin bir modl, bir takm veritabanlar, ve DES, IDEA, ve Blowfish algoritmalar SSLeay'in iinde bulunabilir. Bu ktphaneyi kullanarak, telnet balants zerinde ifreleme yapan gvenli bir telnet uygulamas oluturuldu. SSH'nin tersine, stelnet SSL'yi, Netscape tarafndan gelitirilen Gvenli Soket Katman'n kullanyor. Gvenli telnet ve Gvenli FTP hakknda bilgiyi SSLeay SSS'ndan balayarak bulabilirsiniz: http://www.psy.uq.oz.au/~ftp/Crypto/. Bir dier gvenli telnet/ftp uygulamas ise SRP. WWW sayfalarndan: "SRP projesi, dnya apnda cretsiz kullanm iin gvenli nternet yazlm gelitiriyor. Tamamen gvenli bir Telnet ve FTP datmndan balayarak, a zerindeki zayf kimlik dorulama sistemlerini deitirmeyi, bunu yaparken de gvenlik uruna kullanc-dostluunu kurban etmemeyi amalyoruz. Gvenlik, varsaylan olmal, bir seenek deil!" Daha fazla bilgi iin: http://www-cs-students.stanford.edu/~tjw/srp/

PAM - Taklabilir Kimlik Dorulama Modlleri

Red Hat Linux datmlarnn yeni srmleri, "PAM" ad verilen birlemi bir kimlik dorulama tasarm ile birlikte geliyor. PAM, kimlik dorulama yntem ve gereksinimlerinizi alma kesilmeksizin deitirmenize izin veriyor, ve ikililerinizin yeniden derlenmesine gerek brakmakszn btn yerel kimlik dorulama yntemlerinizi evreliyor. PAM yaplandrmas, bu belgenin konusu dnda, bununla birlikte daha fazla bilgi iin PAM sitesini yle bir gzden geirmeyi ihmal etmeyin: http://www.kernel.org/pub/linux/libs/pam/index.html.

PAM ile yapabileceklerinizden sadece bir ka:

Parolalarnz iin DES'ten baka bir ifreleme kullanma (Bylelikle kaba kuvvet saldrlarn

daha da zorlatrma)

Tm kullanclarnzn zerinde, kaynak snrlandrmalar koyabilme, bylelikle servis-reddi

saldrlarn engelleme (ilem says, bellek miktar vb.)

alma kesilmeksizin glge parolaya gei olana (aaya bakn) Belirli kullanclarn, sadece belirli zamanlarda ve belirli yerlerden giri yapmalarna izin

verme

Sisteminizi bir ka saat iinde kurduktan ve yaplandrdktan sonra, bir ok saldry gereklemeden durdurabilirsiniz. rnein, kullanclarn ev dizinlerindeki .rhosts dosyalarnn kullanmn engellemek iin, sistem genelinde /etc/pam.d/rlogin dosyasna aadaki satrlar ekleyerek PAM'i kullanabilirsiniz:

# # Kullanclar iin rsh/rlogin/rexec kullanmn yasakla # login auth required pam_rhosts_auth.so no_rhosts

ifreli IP Sarma (CIPE)

Bu yazlmn birincil amac (gizlice dinleme, trafik zmlemesi ve araya sahte mesaj sokmaya kar), nternet gibi gvensiz paket a boyunca oluturulan alt a balantlarn gvenli hale getirmede bir kolaylk salamaktr. CIPE veriyi a dzeyinde ifreler. Bilgisayarlar arasnda a zerinde seyahat eden paketler ifrelenir. ifreleme motoru, paketleri alan ve gnderen srcye yakn bir yerdedir. Bu, verileri soket dzeyinde balantlara gre ifreleyen SSH'den farkldr. Farkl bilgisayarda alan programlar aras mantksal balantlar ifrelenir. CIPE, Sanal zel A yaratmak amacyla tnellemede kullanlabilir. Dk-dzey ifrelemenin, uygulama yazlmnda deiiklik yapmakszn VPN'de bal iki a arasnda effaf ekilde altrlabilme getirisi vardr. CIPE belgesinden zet: IPSEC standartlar, (dier eyler arasnda) ifrelenmi VPN'ler oluturmak iin kullanlabilecek protokoller kmesini tanmlar. Bununla birlikte, IPSEC, bir ok seenei olan ar ve kark bir protokol kmesidr, protokoln btn olarak hayata geirilebildii durumlar nadirdir ve baz konular (anahtar idaresi gibi) tam olarak zlmemi durumdadr. CIPE, deitirgelenebilen bir ok eyin (kullanlan asl ifreleme algoritmasnn seimi gibi) kurulum zamanndaki sabit bir seim olduu daha basit bir yaklam kullanr. Bu esneklii kstlar, ama daha basit (ve dolaysyla daha etkili, bcek ayklamasn kolaylatran) bir uygulama olana salar. Daha fazla bilgi http://www.inka.de/~bigred/devel/cipe.html adresinde bulunabilir. Dier ifreleme biimleri datlmamaktadr. gibi, dsatm kstlamalar yznden ekirdek ile birlikte

Kerberos
Kerberos, MIT'teki [20] Athena Projesi tarafndan gelitirilen bir kimlik dorulama sistemidir. Kullanc sisteme giri yaptnda, Kerberos kullancnn kimliini dorular (bir parola kullanarak),

ve kullancya aa dalm dier sunucular ve bilgisayarlara kimliini kantlamak iin bir yol salar. te bu kimlik dorulama rlogin gibi programlar tarafndan kullanlr (.rhosts dosyas yerine), ve kullancya dier bilgisayarlara parolasz girebilmesi iin izin verilir. Bu kimlik dorulama yntemi posta sistemi tarafndan da mektubun doru kiiye datldndan emin olmak, ve gnderen kiinin iddia ettii kii olduunu garanti altna almak amacyla kullanlabilir. Kerberos ve birlikte gelen dier programlar, kullanclarn baka birini "taklit" yoluyla sistemi yanltmasn engeller. Ne yazk ki, Kerberos'u kurmak kkten deiiklik ister, bir ok standard programn yenileriyle deitirilmesini gerektirir. Kerberos hakknda daha fazla bilgi almak iin Kerberos http://nii.isi.edu/info/kerberos/ adresine bakabilirsiniz. SSS'a, kodu almak iinse

[Kaynak: Stein, Jennifer G., Clifford Neuman, and Jeffrey L. Schiller. "Kerberos: An Authentication Service for Open Network Systems (Kerberos: Ak A Sistemleri iin Bir Kimlik Dorulama Servisi") USENIX Konferans Tutanaklar, Dallas, Texas, Winter 1998.] Kerberos, bilgisayarnzn gvenliini iyiletirmede ilk admnz olmamal. Olduka kapsaml olduu gibi, rnein SSH kadar yaygn olarak da kullanlmamaktadr.

Glge Parolalar
Glge parolalar, ifrelenmi parola bilgilerinizi normal kullanclardan gizli tutmann bir yoludur. Hem Red Hat hem de Debian Linux datmlarnn yeni srmleri, glge parolalar var saylan yaplandrmada kullanyor, fakat dier sistemlerde, ifrelenmi parolalar, herkesin okuyabilecei ekilde /etc/passwddosyasnda saklanyor. Herhangi biri bunlar zerinde parola-tahmin programlar kullanarak ne olduklarn bulmaya alabilir. Glge parolalar ise tam tersine /etc/shadow, dosyasnda saklanr, ve sadece yetkili kullanclar okuyabilir. Glge parolalar, kullanlabilmek iin, parola bilgisine eriime gereksinim duyan btn yararl programlar tarafndan destekleniyor olmaldr. PAM (yukarda) de bir glge modlnn taklmasna izin verir, ve altrabilir dosyalarn yeniden derlenmesini gerektirmez. Daha fazla bilgi iin ShadowPassword HOWTO (Glge-Parola NASIL) dosyasna bavurabilirsiniz: http://metalab.unc.edu/LDP/HOWTO/Shadow-Password-HOWTO.html Yalnz olduka eski olabilir ve PAM' zaten destekleyen datmlar iin gerek yoktur.

"Crack" ve "John the Ripper"

Herhangi bir nedenle passwd program tahmini-zor parolalar semeye zorlayamyorsa, bir parola-krc program altrmak, ve kullanclarnzn parolalarnn gvenli olduundan emin olmak isteyebilirsiniz. Parola kran programlar basit bir dnceye dayanarak alr: Szlkteki her szc, ve szcklerden treyen ifadeleri dener. nce bunlar ifreler, daha sonra sistemdeki ifrelenmi parola ile karlatrr. Eer birbirini tutarsa, parolay bulmu olurlar. En dikkate deer ikisi "Crack" ve "John the Ripper" olmak zere ( http://www.openwall.com/john/) ortalarda dolaan bir ka program mevcuttur. Bu programlar ok fazla ilemci zaman alrlar, fakat nce kendiniz altrarak ve zayf parolas olan kullanclar farkederek herhangi bir saldrgann bunlar kullanarak sisteme girip giremeyeceini renebilirsiniz. Dikkat edilmesi gereken bir nokta, bir saldrgann bu programlar kullanabilmesi iin, nce baka bir ak kullanarak/etc/passwd dosyasn okumu olmas gerekir ve bu tr aklar dndnzden daha yaygndr. Gvenlik, en gvensiz bilgisayar kadar gl olduundan, belirtilmelidir ki, eer anzda Windows makineler varsa L0phtCrack programna da bir gz atmak isteyebilirsiniz. L0phtCrack Windows iin bir parola krma uygulamasdr: http://www.l0pht.com

CFS - ifreli Dosya Sistemi ve TCFS - effaf ifreli Dosya Sistemi

CFS btn dizin aalarn ifrelemenin, ve kullanclarn bu dizinlerde ifreli dosyalar saklayabilmesini salamann bir yoludur. Yerel makinede alan bir NFS sunucusundan yararlanr. RPM dosyalarn, http://www.zedz.net/redhat/ adresinden, ve nasl alt hakknda daha fazla bilgiyi ise ftp://ftp.research.att.com/dist/mab/ adresinden bulabilirsiniz. TCFS, dosya sistemine daha fazla btnlk katarak CFS'in gelitirilmi halidir, bylece dosya sisteminin ifrelenmi olduu kullanclara effaf olur. Daha fazla bilgi: http://www.tcfs.it/. Ayrca tm dosya sistemleri zerinde de kullanlabilir. Dizin aalar zerinde de allabilir.

X11, SVGA ve Grnt Gvenlii

X11
Saldrganlarn parolalarnz yazarken almasn, ekranda okuduunuz belge ve bilgileri okumasn, hatta root eriimi salama iin bir ak kullanmasn engellemek amacyla, izgesel grntnz gvenli hale getirmeniz nem tar. A zerinde uzak X uygulamalar altrmak da, koklayclarn uzak sistemle olan tm etkileiminizi grmeleri asndan, tehlike dolu olabilir. X bir takm eriim-denetim mekanizmalarna sahiptir. Bunlarn en basiti bilgisayar baznda olandr. Grntnze erimesine izin verdiiniz bilgisayarlar iin xhost programn kullanrsnz. Bu kesinlikle ok gvenli deildir, nk biri makinenize eriim salarsa, xhost + saldrgann makinesi aparak rahatlkla girebilir. Ayrca, gvensiz bir makineden eriime izin verirseniz, oradaki herhangi biri grntnz bozabilir. Giri yapmak iin xdm (X Display Manager, X Grnt Yneticisi) kullanrken, ok daha iyi bir eriim ynteminiz vardr: MIT-MAGIC-COOKIE-1. 128 bitlik bir erez retilir ve .Xauthority dosyanzda saklanr. Eer uzak bir makineye grnt eriim izni vermek isterseniz, xauth komutunu ve .Xauthority dosyanzdaki bilgiyi bunu salamak iin kullanabilirsiniz. Remote-X-Apps mini-howto (Uzak-X-Uygulamalar Mini-NASIL) belgesine bir gz atabilirsiniz: http://metalab.unc.edu/LDP/HOWTO/mini/Remote-X-Apps.html. Gvenli X balatlar iin ssh (see ssh (Gvenli Kabuk) ve stelnet da kullanabilirsiniz. connections. unun son kullancya effaf olmas avantaj vardr, ve ada ifrelenmemi hi bir veri aknn olmad anlamna gelir. Ayrca, X sunucunuzu '-nolisten tcp' seenei ile altrarak, uzaktan eriimi tamamen kapatabilirsiniz. Bu, sunucunuza tcp soketleri zerinden herhangi bir a balantsna engel olacaktr. X gvenlii ile ilgili daha fazla bilgi iin Xsecurity man page for more information on X security. man sayfasna bir gz atn. En gvenilir yol, konsola giri yapmak iin xdm , zerinde X programlar altrmak istediiniz uzak sitelere gitmek iinse ssh kullanmaktr.

SVGA
SVGAlib programlar, Linux makinenizin video donanmna erimek iin tipik olarak SUIDroot'tur. Bu onlar ok tehlikeli yapar. Eer gerlerse, kullanlr bir konsol almak iin tipik olarak makinenizi yeniden balatmak zorunda kalrsnz. SVGA programlarnzn dzgn olduundan, en azndan bir ekilde gvenilir olduundan emin olun. Daha da iyisi, hi altrmayn.

GGI GGI (Genel izgesel Arabirim Projesi)

Linux GGI projesi, Linux'ta video arabirimlerinden kaynaklanan bir takm problemleri zmeyi deneyen bir projedir. CGI, bir para video kodunu Linux ekirdeine tar, sonra video sistemine eriimi denetler. Bu, ekirdeinizin iyi bir durumunun herhangi bir zamanda tekrar arlabilecei anlamna gelir. Verdikleri gvenli anahtar sayesinde, konsolunuzda alan bir Truva at login programnn olmadndan emin olabilirsiniz. http://synergy.caltech.edu/~ggi/

ekirdek Gvenlii
Bu blmde gvenlikle ilgili ekirdek yaplandrma seeneklerini aklayacak, ne ie yaradklarn ve nasl kullanldklarn anlatlyor. ekirdek, bilgisayarnzn an denetim altnda tuttuu iin, ok gvenli olmas ve bozulmamas nemli. En yeni a saldrlarn engellemek iin, ekirdek srmnz gncel tutmaya almalsnz. ekirdeklerinizi ftp://ftp.kernel.org adresinden, veya datcnzdan bulabilirsiniz. Ana Linux ekirdeine, birletirilmi bir ifre yamas salayan uluslararas bir grup var. Bu yama, dsatm kstlamalar yznden ana ekirdee dahil edilemeyen eyler ve baz ifreli alt sistemler iin destek salyor. Daha fazla bilgi iin: http://www.kerneli.org

2.0 ekirdek Derleme Seenekleri

2.0.x ekirdekleri iin izleyen seenekler geerli. Bu seenekleri ekirdek yaplandrma ilemi srasnda grrsnz. Buradaki yorumlarn ou ./linux/Documentation/Configure.help, belgesinden, ayn belge ekirdein make config aamasnda Help (Yardm) ksmnda da kullanlyor.
A Gvenlik duvarlar (CONFIG_FIREWALL)

Bu seenek, eer Linux makinenizde gvenlik duvar kullanacaksanz, veya maskeleme yapacaksanz ak olmal. Eer sradan bir istemci makine olacaksa, kapata da bilirsiniz.
IP: ynlendirme/a geidi (CONFIG_IP_FORWARD)

IP ynlendirmesini aarsanz, Linux kutunuz bir yneltici haline gelir. Eer makineniz a zerinde ise, bir adan dierine veri ynlendiriyor olabilirsiniz, belki de bunun olmasn engelleyen bir gvenlik duvarn devre d brakarak. Normal evirmeli a kullanclar bunu kapatmak isteyecektir, dier kullanclar ise bunun gvenlik yan etkileri zerinde dnmelidir. Gvenlik duvar grevi yapacak makineler bu seenein ak olmasn, ve gvenlik duvar yazlmyla uyum iinde kullanlmasn gerektirir. IP ynlendirmeyi u komutu kullanarak dinamik ekilde aabilir:

root#

echo 1 > /proc/sys/net/ipv4/ip_forward

ve u komutu kullanarak da kapatabilirsiniz:

root#

echo 0 > /proc/sys/net/ipv4/ip_forward

proc dizini iindeki dosyalarn "sanal" dosyalar olduunu ve gsterilen boyutun dosyadan alnabilecek veri miktarn yanstmadn aklnzdan karmayn.

IP: syn erezleri (CONFIG_SYN_COOKIES)

"SYN Saldrs", makinenizdeki tm kaynaklar tketen bir servis reddi (DoS) saldrsdr, sistemi yeniden balatmak zorunda kalrsnz. Normal olarak bu seenei amamanz gerektirecek bir sebep dnemiyoruz. 2.2.x ekirdek serisinde bu yaplandrma seenei "syn erez"lerini amaya izin verir, fakat onlar amaz. Amak iin aadaki komutu kullanmalsnz:

root# echo 1 > /proc/sys/net/ipv4/tcp_syncookies <P>

IP: Gvenlik duvar (CONFIG_IP_FIREWALL)

Makinenizi bir gvenlik duvar olarak yaplandracaksanz, veya maskeleme yapacaksanz, veya PPP evirmeli a arabirimini kullanarak evirmeli a i istasyonunuza birinin girmesine engel olmak istiyorsanz bu seenei amanz gerekir.
IP: Gvenlik duvar paket gnl (CONFIG_IP_FIREWALL_VERBOSE)

Bu seenek gvenlik duvarnzn paketler hakknda ald gnderici, alc, port gibi bilgileri verir.
IP: Kaynaktan ynlendirilen ereveyi dr (CONFIG_IP_NOSR)

Bu seenek etkinletirilmelidir. Kaynaktan ynlendirilen ereveler, gidecekleri yeri paketin iinde bulundurur. Bu, paketin iinden getii yneltici tarafndan incelenmemesi, ve sadece ynlendirmesi anlamna gelir. Bu, potansiyel aklardan yararlanmak isteyen verinin sisteminize girebilmesine olanak tanyabilir.
IP: Maskeleme (CONFIG_IP_MASQUERADE)

Linux'unuzun gvenlik duvar roln stlendii yerel anzdaki bilgisayarlardan biri dar bir ey gndermek isterse, Linux'unuz kendini o bilgisayar olarak "maskeleyebilir", yani trafii istenen hedefe gndererek, kendisinden geliyormu gibi grnmesini salayabilir. Daha fazla bilgi iin http://www.indyramp.com/masq adresine bakn.
IP: ICMP Maskeleme (CONFIG_IP_MASQUERADE_ICMP)

Bu seenek, sadece TCP ve UDP trafiinin maskelenmesi anlamna gelen bir nceki seenee ICMP maskelemesini de ekler.
IP: effaf vekil destei (CONFIG_IP_TRANSPARENT_PROXY)

Bu, Linux gvenlik duvarnzn, yerel adan kan ve uzaktaki bir bilgisayara gidecek olan tm trafii, "effaf vekil sunucu" ad verilen yerel bir sunucuya ynlendirebilir. Bu, yerel kullanclarn uzak u ile konutuklarn sanmalarna yol aar, halbuki yerel vekile balanm durumdadrlar. Daha fazla bilgi iin http://www.indyramp.com/masq adresindeki IP-Masquerading HOWTO (IP Maskeleme NASIL) belgesine gz atn.
IP: paralar daima birletir (CONFIG_IP_ALWAYS_DEFRAG)

Genellikle bu seenek kapal durumdadr, fakat bir gvenlik duvar veya maskeleyen bir bilgisayar oluturuyorsanz, etkin hale getirmek isteyeceksiniz. Veri bir bilgisayardan dierine giderken, her zaman tek bir paket halinde deil, bir ka paraya ayrlarak gnderilir. Buradaki sorun birinin kalan paketlere orada olmas beklenmeyen baz bilgileri sokmasdr. Bu seenek ayrca, gzya saldrsna kar yama uygulanmam ierdeki bir bilgisayara yaplan bu saldry da engelleyebilir.
Paket mzalar (CONFIG_NCPFS_PACKET_SIGNING)

Bu, 2.2.x ekirdek dizisinde yer alan ve daha gl gvenlik iin NCP paketlerinin imzalanmasn salayan bir seenektir. Olaan durumlarda kapal brakabilirsiniz, ama

gereksinim duyarsanz orda duruyor.

IP: Gvenlik duvar paket abalants aygt (CONFIG_IP_FIREWALL_NETLINK)

Bu, bir paketin meruluk durumuna bakarak kabul edilip edilmeyeceini belirlemek amacyla, kullanc uzaynda alan herhangi bir programndaki paketlerin ilk 128 baytn inceleyebilmenizi salayan etkileyi bir seenektir.

2.2 ekirdek Derleme Seenekleri

2.2.x ekirdekleri iin, seeneklerin ou ayn, fakat yeni bir ka seenek daha var. Buradaki aklamalarn ou, ekirdei derlerken ki make config aamasnda kullanlan Yardm blmnn referans ald ./linux/Documentation/Configure.help belgesiyle ayndr[21]. Gereken seeneklerin bir listesi iin 2.0 aklamalarna bavurun. 2.2 ekirdekteki en anlaml deiiklik IP gvenlik duvar kodudur. Artk gvenlik duvar oluturmak iin, 2.0 ekirdeindeki ipfwadm programnn yerine ipchains program kullanlyor. [22]
Soket Szm (CONFIG_FILTER)

ou insan iin bu seenee hayr demek gvenlidir. Bu seenek, tm soketlere kullanc uzaynda bir szgeci balamanz, ve bu yolla paketlerin geiine izin verilip verilmeyeceini belirlemenizi salar. ok zel bir gereksinim duyuyor olmadka ve byle bir szge programlayabilir bilgiye sahip olmadka hayr demelisiniz. Ayrca bu belgenin yazl srasnda TCP dndaki tm protokoller destekleniyordu.
Port Ynlendirme

Port Ynlendirme, gvenlik duvarndaki belirli portlarda, dar giden veya ieri gelen paketlerde baz ynlendirmelerin yaplabilmesini salar. Bu, rnein bir WWW sunucusunu gvenlik duvarnn veya maskeleme bilgisisayarnn arkasnda altracanz halde o WWW sunucusunun d dnyadan ulalabilir durumda olmas gerektii durumlarda yararldr. Bir d istemci gvenlik duvarnn 80. portuna bir istek yollar, gvenlik duvar bu istei WWW sunucusuna ynlendirir, WWW sunucusu istekle ilgilenir ve sonular gvenlik duvarnn stnden tekrar zgn istemciye gnderir. stemci gvenlik duvarnn kendisinin WWW sunucusu olarak altn dnr. Bu, eer gvenlik duvarnn arkasnda bir WWW sunucu iftlii bulunduruyorsanz, yk dengelemede de kullanlabilir. Bu zellik hakknda daha fazla bilgiyi http://www.monmouth.demon.co.uk/ipsubs/portforwarding.html adresinden bulabilirsiniz. Genel bilgi iin ltfen ftp://ftp.compsoc.net/users/steve/ipportfw/linux21/ adresine gz atn.
Soket Szm (CONFIG_FILTER)

Bu seenei kullanarak, kullanc uzayndaki programlar tm soketlere bir szge ekleyebilir, dolaysyla ekirdee belirli tipteki verinin soket iinden geip geemeyeceini bildirebilir. Linux soket szm imdilik TCP dndaki tm soket tiplerinde alyor. Daha fazla bilgi iin ./linux/Documentation/networking/filter.txt dosyasna gz atn.
IP: Maskeleme

2.2 ekirdek maskeleme gelitirilmi durumda. zel protokollerin maskelenmesi iin ek destek salyor vb. Daha fazla bilgi iin Ipchains NASIL belgesine gz atn.

ekirdek Aygtlar
Linux zerinde gvenlik konusunda yardmc olabilecek bir ka blok ve karakter aygt mevcuttur.

/dev/random ve /dev/urandom aygtlar, rastgele veri salama amacn tar.

Hem /dev/random hem de /dev/urandom, PGP anahtarlarnn retilmesinde, ssh balantlarnda, ve rastgele saylarn gerektii dier uygulamalarda kullanlmak iin yeteri kadar gvenli olmaldr. Verilen herhangi bu kaynaklardan kan herhangi bir say dizisi iin saldrganlar bir sonraki sayy tahmin edememeli. Bu kaynaklardan elde edilen verinin kelimenin tam anlamyla rastgele olmas iin ok fazla aba ortaya konmutur. Bu iki cihaz arasndaki tek fark, /dev/random cihaznn elindeki rastgele baytlarn tkenmesi, ve yenileri toplanmas iin beklemek zorunda oluunuzdur. Yani kullanc tarafndan retilen entropinin sisteme girmesi iin beklemesi durumunda uzun bir sre almas durabilir. Dolaysyla /dev/random' kullanrken dikkatli olmak zorundasnz. (Belki de yaplacak en iyi ey bu cihaz hassas anahtarlama bilgisini retirken kullanmak, ve kullancya "Tamam, yeterli" denilene kadar klavyesindeki tulara rastgele basmasn sylemektir.)

/dev/random yksek kalitede entropi salar, kesmeler arasndaki farkl zamanlar lme vb.
eylerden elde edilir. Yeterli bitte rastgele veri var olana kadar almas durur.

/dev/urandom benzeri bir aygttr, fakat depolanm entropi azalmaya baladnda, olan
kadarnn, gl bir ifresel hash deerini dndrr. Bu, rastgele veri kadar gvenli olmasa da ou uygulama iin yeterli derecede gvenlidir. Bu aygtlardan okuma yapmak iin aadaki gibi bir ey kullanabilirsiniz:

root#

head -c 6 /dev/urandom | mimencode

Bu, konsola sekiz rastgele karakter yazar, rnein parola retimi iin kullanlabilir. You can find mimencode programn metamail paketi iinde bulabilirsiniz. Algoritmann aklamas iin gz atn.

/usr/src/linux/drivers/char/random.c dosyasna bi

Bu konuda bana yardmc olan, Theodore Y. Ts'o, Jon Lewis, ve Linux ekirdek grubundan dierlerine teekkrler.

A Gvenlii
A gvenlii, insanlarn bal olduu sre arttka, daha nemli hale gelmektedir. A gvenliini ihlal etmek, fiziksel veya yerel gvenlii ihlal etmekten ok daha kolay, ve ok daha yaygndr. A gvenliine yardmc olan iyi aralar var, ve Linux datmlaryla birlikte gelenlerin says gittike artyor.

Paket Koklayclar
Saldrganlarn, anz zerinde daha fazla sisteme eriim kazanmasnn en yaygn yollarndan biri, gvenlii ihlal edilen bilgisayarlardan birinin zerinde bir paket koklayc altrmasdr. Bu "koklayc", paket ak iinde passwd, login ve su gibi programlar iin Ethernet portunu dinler ve gnlk tutar. Bu yolla saldrganlar, girmeye hi kalkmadklar sistemlerin parolalarna dahi eriebilirler. Ak metin parolalar bu saldrya kar ok korunmaszdrlar. rnek: A Bilgisayarnn gvenlii ihlal edilmi durumda. Saldrgan bir koklayc kurar. Koklayc,

B Bilgisayarndan C Bilgisayarna giri yapan sisyn (sistem yneticisi) parolasn ele geirir. Sonra, sisyn bir sorunu zmek iin su yapar. Saldrganlar bylelikle B Bilgisayarndaki root parolasna da sahip olur. Daha sonra sisyn, herhangi bir kiiye, hesabile balanmasna izin verir. Artk saldrgan Z Bilgisayarnda da bir parola/giri bilgisine sahiptir. Gnmzde bir saldrgann bunu yapabilmesi iin bir sistemin gvenliini ihlal etmesine dahi gerek yoktur: Kendi kiisel veya dizst bilgisayarlarn bir binaya getirip anza saplanabilirler. Using ssh veya dier ifreli parola yntemlerini kullanarak, bu saldrnn nne geilebilir. POP hesaplar iin APOP gibi eyler bu saldry engeller (Olaan POP girileri, a zerinde ak metin parola gnderen herey gibi, bu saldrya kar ok korunmaszdr).

Sistem servisleri ve tcp_wrappers

Linux sisteminizi HERHANG bir a zerine koymadan nce, bakmanz gereken ilk ey hangi servisleri sunmanz gerektiidir. Sunmanz gerekmeyen servisler kapatlmal, ki her gereksiz servisin kapatl, endielenmeniz gereken ve saldrganlarn ak arayaca eylerin bir azalmas anlamna gelir. Linux'ta servisleri kapatmann bir ka yolu vardr. /etc/inetd.conf dosyasna bakarak inetd tarafndan hangi servislerin sunulduunu grebilirsiniz. Gereksinim duymadklarnz aklama haline getirerek (o satrn bana # koyarak), ve sonrasnda inetd ilemine bir SIGHUP sinyali gndererek kapatabilirsiniz. Bunun yansra, /etc/services dosyasndaki servisleri silebilirsiniz (ya da aklama haline getirebilirsiniz). Bu, yerel istemcilerin de servisi kullanamamas anlamna gelir (yani ftp,satrn siler, sonra o makineden uzaktaki bir siteye Genellikle ftp balants yapmaya alrsanz, ilem "bilinmeyen servis" mesaj vererek baarsz olacaktr. Genellikle /etc/services dosyasndaki servisleri kaldrarak kacak sorunlarla uramaya demez, nk ek bir gvenlik getirisi yoktur. Eer yerel bir kullanc, kaldrm olmanza ramen ftp kullanmak isterse, yaygn ftp portunu kullanan kendi istemcisini yapp bunu baarabilir. alr durumda olmasn isteyebileceiniz servislerden bazlar:

ftp telnet (veya ssh) pop-3 veya imap

mail, rnein

identd

Eer belirli bir paketi kullanmayacanzdan eminseniz, toptan kaldrma yolunu da seebilirsiniz. Red Hat Linux altnda rpm -e paket_ismi komutu ile btn paketi silmeniz mmkndr. Debian altndadpkg --remove komutu ayn ii grecektir. Ek olarak, gerekten rsh/rlogin/rcp gerelerini /etc/inetd.conf dosyasn kullanarak kapatmak isteyebilirsiniz; buna login (rlogin rlogin tarafndan kullanlan), shell (rcp tarafndan kullanlan), ve exec (rsh tarafndan kullanlan) de dahildir. Bu protokoller ar derecede gvensizdir ve gemite bir ok an sebebi olmutur.

/etc/rc.d/rc[0-9].d (Red Hat) veya/etc/rc[0-9].d (Debian) balang dizinlerini

kontrol ederek, herhangi bir sunucunun altrlp altrlmadn grebilirsiniz. Bu dizindeki dosyalar aslnda/etc/rc.d/init.d (Red Hat) veya /etc/init.d (Debian) dizinindeki dosyalara simgesel balardr. init.d dizinindeki dosyalarn isimlerini deitirmek, o dosyaya bal olan simgesel balar etkisiz hale getirir. Eer belirli bir alma dzeyindeki servisi kapatmak istiyorsanz, ilgili simgesel ban ismindeki byk S harfini kk s harfiyle deitirebilirsiniz:

root# root#

cd /etc/rc6.d mv S45dhcpd s45dhcpd /etc/rc* dizinlerini

Eer BSD-tarz rc dosyalarnz varsa, ihtiyacnz olmayan programlar iin kontrol etmek isteyebilirsiniz.

ou Linux datm, tm TCP servislerinizi "rten" tcp_wrappers ile birlikte gelir. Gerek sunucunun yerine inetd iinden bir tcp_wrapper (tcpd) altrlr, tcpd servisi isteyen bilgisayar kontrol eder, ya gerek sunucuyu altrr, veya o bilgisayardan eriimi reddeder. tcpd , TCP servislerinize eriimi kstlamanz salar. Bir /etc/hosts.allow dosyas oluturmal, ve sadece makinenize eriime gereksinim duyan bilgisayarlar eklemelisiniz. Evden balanan bir evirmeli a kullanc iseniz, nerimiz her balanty reddetmenizdir. tcpd aayn zamanda baarsz olan balant giriimlerinin de gnln tutar, bu ekilde bir saldr geldiinde haberiniz olur. Eer yeni TCP-tabanl servisler eklerseniz, tcp_wrappers kullanacak ekilde yaplandrmalsnz. rnein, olaan evirmeli a kullanclar dardakilerin kendi makinelerine balanmasn engelleyebilir, ama ayn zamanda mektup alma, ve nternete a balants kurma ilemlerini de gerekletirebilir. Bunu yapmak iin, /etc/hosts.allow dosyanza: ALL: 127. satrn ekleyebilirsiniz. Elbette /etc/hosts.deny dosyanz da ALL: ALL satrn bulundurmal. Bu ekilde makinenize dardan gelen tm balantlar engeller, bununla birlikte ierde nternetteki servislere balanmanza izin verirsiniz. tcp_wrappers'n dier bir ka dier servis dnda, sadeceinetd tarafndan altrlan servisleri koruduunu unutmayn. Makinenizde alan pekala dier servisler de olabilir. netstat -ta komutunu kullanarak makinenizde sunulan tm servislerin bir listesini grebilirsiniz.

DNS Bilginizi Dorulayn

Anzdaki btn bilgisayarlarn DNS bilgisinin gncel tutulmas, gvenliin artrlmasnda yardmc olabilir. Eer izinsiz bir bilgisayar anza balanrsa, DNS giriinin olmamasndan tanyabilirsiniz. Bir ok serviste, sadece geerli bir DNS girii olduunda balantya izin verilmesi eklinde bir yaplandrma gerekletirmek mmkndr.

identd
identd,inetd sunucunuzun dnda alan kk bir programdr. Hangi kullancnn hangi
TCP servisini altrdn izler, ve istendiinde rapor verir. Bir ok kii identd'nin yararlln yanl anlamakta, dolaysyla kapatmakta veya site d tm isteklerin nn kesmektedir. identd, uzak sitelere yardm etmek iin deildir. Uzak identd servisinden alnan verinin doru olup olmadn bilmenin bir yolu yoktur. identd isteklerinde kimlik dorulama yoktur. O zaman neden altrmak isteyebilirsiniz? nk yardm ettii sizsinizdir, ve izlemede dier bir veri-noktasdr. Eer bozulmamsa, bilirsiniz ki identd servisiniz uzak sitelere TCP servisini kullanan kullanc ismi ya da kullanc kimliini bildirmektedir. Uzak sitenin sisyn gelir ve sisteminizdeki kullancnn sitelerini krmaya altn sylerse, kolaylkla bu kullancya kar tavr alabilirsiniz. identd, altrmyorsanz, ok ama ok fazla gnlk dosyasna bakmanz, ve o anda kimin sistemde olduunu bulmanz gerekir, genelde bu, kullancnn kim olduunun belirlenmesini ok daha uzatr.

ou datmla birlikte gelen identd , bir ok kiinin tahmin ettiinden ok daha yaplandrlabilir durumdadr. Belirli kullanclar iin kapatabilir (bir .noident dosyas yaratabilirler), btnidentd isteklerinin gnln tutabilir (neriyoruz), hatta identd tarafndan dndrlen bilginin kullanc ismi yerine kullanc kimlii olmasn ya da NO-USER [23] olmasn salayabilirsiniz.

Postfix MTA'nn[24] yaplandrlmas ve gvenli hale getirilmesi

Postfix posta sunucusu, Postfix ile beraber dier nternet gvenlik rnlerinin yazar olan Wietse Venema tarafndan, yaygn olarak kullanlan Sendmail programna bir alternatif salamak amacyla yazlmtr. Postfix'in temel hedefi, hzl, kolay ynetilebilen ve gvenli olmas umulan, bunlar salarken de kullanclarn rahat asndan olabildiince sendmail ile uyumlu bir posta datm arac olmaktr. Postfix hakknda daha fazla bilgi iin Postfix Ana sayfas ve Postfix'i Yaplandrmak ve Gvenli Hale Getirmek adreslerine gz atmak isteyebilirsiniz.

SATAN, ISS, ve Dier A Tarayclar

Makinelerde veya alarda port ve servis tabanl tarama yapan bir ka farkl yazlm paketleri mevcut. SATAN, ISS, ve Nessus, iyi bilinenlerden bazlar. Bu yazlmlar hedef makineye balanr, ve hangi servisin altn belirlemeye alr. Bu bilgiye dayanarak, makinedeki servislerin bir a olup olmadn syleyebilirsiniz. SATAN (Security Administrator's Tool for Analyzing Networks - Alarn zmlenmesi in Gvenlik Yneticisi Arac). Herhangi bir makine veya ada hafif, orta, veya gl kontroller yapmak zere yaplandrlabilir. SATAN ile makinenizi veya anz tarayarak bulduu sorunlar dzeltmek iyi bir fikirdir. SATAN' metalab'dan dan veya bilindik baka bir FTP veya WWW sitesinden aldnzdan emin olun. nk SATAN'n nternet zerinde dolaan bir de truva at kopyas mevcut: http://www.trouble.org/~zen/satan/satan.html. SATAN olduka uzun bir sredir gncellenmiyor ve aadaki dier baz aralar daha ok ie yarayabilir. ISS (Internet Security Scanner - nternet Gvenlik Tarayc), baka bir port-tabanl taraycdr. Satan'dan daha hzldr, dolaysyla byk alar iin daha uygun olabilir. Bununla birlikte SATAN daha fazla bilgi verme eilimindedir. Abacus, bilgisayar-tabanl gvenlik ve izinsiz giri belirleme aracdr. nternet sayfasnda daha fazla bilgi bulabilirsiniz: http://www.psionic.com/abacus/ SAINT, SATAN'n gncellenmi bir srm. WWW-tabanl ve SATAN'dan daha ok gncel testlere sahip. Daha fazla bilgi iin: http://www.wwdsi.com/~saint Nessus, cretsiz bir gvenlik tarayacdr. GTK izgesel arabirimi ile kolay kullanma sahiptir. Ayrca yeni port-tarayan testler iin ok ho bir eklenti ayar sitemi birlikte tasarlanmtr. Daha fazla bilgi iin: http://www.nessus.org

Port Taramalarn Alglama

SATAN, ISS ve dier tarayc yazlmlarn yoklamalar durumunda sizi uyaracak baz aralar da vardr. Bununla birlkite, eer tcp_wrappers kullanyor ve gnlk dosyalarnza dzenli olarak bakyorsanz, bu tr yoklamalar farketmeniz zor olmaz. En dk ayarda bile SATAN Red Hat gnlklerinde iz brakr. Ayrca "gizli" port tarayclar da vardr. TCP ACK biti 1 olan bir paket (balant kurulurken yapld gibi) byk olaslkla paket-szen bir gvenlik duvarn aacaktr. Kurulmu hibir balants olmayan bir porttan dndrlen RST paketi, o portta hayat olduunun bir kant olarak grlebilir. TCP rt programlarnn bunu farkedeceini sanmyorum.

Ayrca, serbest bir IDS (Intrusion Detection System - Saldr Belirleme Sistemi) olan SNORT'a da bir gz atabilirsiniz. SNORT, aa yaplan dier baz izinsiz girileri/saldrlar da belirleyebilir: http://www.snort.org

sendmail, qmail and MTA'lar

Salayabileceiniz en nemli servislerden biri posta servisidir. Ne yazk ki, saldrya en korumasz olanlardan biri de budur. Bunun sebebi basite yerine getirmek zorunda olduu grevlerin says ve bunlar iin gereken yetkilerdir.

sendmail kullanyorsanz, gncel srmlerini takip etmek ok nem tayor. sendmail'in

gvenlik aklar konusunda ok uzun bir tarihi var. Daima en gncel srmn altrdnzdan http://www.sendmail.org adresine bakarak emin olun. Unutmayn ki mektup atabilmeniz iin sendmail'in alyor olmas gerekmiyor. Ev kullanc iseniz, sendmail'i btnyle kapatabilir, ve posta istemcinizi mektup gndermek amacyla kullanabilirsiniz. Sendmail balang dosyasndaki "-bd" bayran kaldrarak posta iin dardan gelen istekleri engellemeniz de mmkn. Dier bir deyile, balang dosyanzda sendmail'i aadaki komut ile altrabilirsiniz:

# /usr/lib/sendmail -q15m
Bu, sendmail'in mektup kuyruunda bekleyen ve ilk giriimde datlamayan tm mesajlarn 15 dakikada bir boaltmasn salar. Bir ok ynetici sendmail yerine dier posta datm aralarn kullanmay tercih ediyor. Siz de sendmail yerine qmail kullanmay dnebilirsiniz. qmail, temelde gvenlik dncesi ile sfrdan tasarlanmtr. Hzl, kararl, ve gvenlidir. Qmail http://www.qmail.org adresinde bulunabilir. Qmail ile dorudan rekabet iinde olan bir baka program da, tcp_wrappers ve dier gvenlik aralarnn yazar tarafndan yazlm olan "postfix". nceki vmailer isimli, ve sponsorluu IBM tarafndan yaplan bu program da sfrdan gvenlik dnlerek yazlm bir posta datm arac. Postfix hakknda daha fazla bilgiyi http://www.postfix.org adresinden bulabilirsiniz.

Servis Reddi Saldrlar

Bir "Servis Reddi" saldrs, saldrgann baz kaynaklar ar megul etmesi yoluyla servisin meru isteklere cevap verememesini, veya meru kullanclarn makineye eriimlerinin reddedilmesini salamasdr. Servis reddi saldrlar son yllarda olduka fazlalat. Baz yeni ve gzde olanlar aada listelenmitir. Unutmayn ki bunlar sadece bir ka rnek, her geen gn yenileri ortaya kyor. Daha gncel bilgi iin Linux gvenlik ve bugtraq listelerine ve arivlerine gz atn.
SYN Seli - SSYN seli, bir a servis reddi saldrsdr. TCP balantlarnn oluturulma

eklindeki bir boluktan yararlanr. Yeni Linux ekirdekleri (2.0.30 ve yukars) SYN seli saldrlarnn insanlarn makinenize ya da servislerine eriimini reddetmesini engellemek iin yaplandrlabilir seeneklere sahiptir. Uygun ekirdek koruma seenekleri iin ekirdek Gvenlii blmne bakn.
Pentium "F00F" Bcei - Yakn zamanda, gerek bir Intel Pentium ilemcisine gnderilen

baz Assembly programlama dili kodlarnnn makineyi yeniden balatabilecei kefedildi. Bu, alan iletim sisteminin ne olduu farketmeksizin, Pentium ilemcili (Pentium Pro, Pentium III, veya Pentium benzeri ilemciler deil) her makineyi etkiliyor. Linux ekirdeklerinin 2.0.32 ve yukars srmlerinde bu bcein makineyi kilitlemesini engelleyen bir nlem mevcut. Kernel 2.0.33, bu ekirdek zmnn gelimi bir

srmn ieriyor, 2.0.32'ye tercih edilmesi nerilir. Eer Pentium ilemci zerinde alyorsanz, hemen gncellemelisiniz!
Ping Seli - Ping seli, basit bir kaba-kuvvet servis reddi saldrs. Saldrgan makinenize

ICMP paketlerinden oluan bir "sel" gnderir. Eer bunu bant genilii sizinkinden daha iyi olan bir bilgisayardan yapyorsa, makineniz a zerine hibir ey yollayamaz hale gelecektir. Bu saldrnn bir deiik ekli, "irince", dn adresi sizin makinenizin IP adresi olan ICMP paketleri gnderir, bylelikle yollanan sel basknnn kimin tarafndan olduunun belirlenmesi de gleir. "irin" saldrs ile ilgili daha fazla bilgiyi http://www.quadrunner.com/~chuegen/smurf.txt adresinde bulabilirsiniz.[25] Eer bir ping seli saldrsna maruz kalrsanz, paketlerin nerden geldiini (ya da nerden geliyor gibi grndn) belirlemek iin tcpdump gibi bir ara kullann, ve servis salaycnzla bu bilgi ile birlikte iletiim kurun. Ping selleri, en kolay ekilde yneltici dzeyinde veya bir gvenlik duvar kullanarak durdurulabilir.
lm Pingi - lm pingi saldrs, ekirdekte bulunan, ICMP ECHO REQUEST paketlerini

tutmakla grevli veri yapsna uymayacak kadar byk bir paket gnderir. Tek ve byk bir paket (65,510 bayt) gndererek ou sistemin kilitlenmesine, hatta gmesine yol aan bu sorun ksa zamanda "lm Pingi" olarak adlandrlmtr. Bu sorun ok uzun sre nce zlmtr, ve artk endielenecek bir ey yoktur.

Gzya / Yeni Gzya - En yeni aklardan birisi, Linux ve Windows platformlarndaki IP

paralama kodunda bulunan bir bcektir. ekirdek 2.0.33 srmnde onarlm, ve onarmdan yararlanmak iin herhangi bir ekirdek derleme-zaman seeneini semeye gerek yoktur. "Yeni Gzya" ana kar ise, Linux'ta grnte byle bir tehlike yoktur. aklamalar

Aklardan yararlanan kodlar, ve nasl altklar konusundaki detayl http://www.rootshell.com adresinde, arama motorunu kullanarak bulabilirsiniz.

NFS (A Dosya Sistemi) Gvenlii

NFS, yaygn olarak kullanlan bir paylam protokoldr. nfsd ve mountd altran sunucularn dosya sistemlerinin tamamnn, ekirdeklerinde NFS dosya sistemi destei bulunan (veya Linux makine deilse dier istemci destei bulunan) dier makinelere ihra edilmesini salar. mountd, /etc/mtab dosyasndaki balanm dosya sistemlerini takip eder, ve showmount komut ile bunlar grntler. ou site NFS'i kullanclara ev dizinleri vermek iin kullanr, bylelikle bilgisayar demetindeki hangi makineye giri yaparlarsa yapsnlar, evlerindeki dosyalara ulaabilirler. Dosya sistemlerinin da almasnda kk bir miktar gvenlie izin verilir. nfsdsunucunuzun uzak root kullancsn (uid=0) nobody kullancsna karlk getirmesini, bylelikle da alan tm dosyalara eriiminin reddedilmesini salayabilirsiniz. Bununla birlikte, bireysel kullanclar kendi dosyalarna (en azndan uid'si ayn olanlara) eriebilecei iin uzak root kullancs, kullanclarn hesaplarna giri veya su yaparak onlarn dosyalarna eriebilir. Bu, da atnz dosya sistemlerini balayabilen bir saldrgan iin sadece kk bir engeldir. Eer kanlmaz ekilde NFS kullanmanz gerekiyorsa, dosya sistemlerini gerekten sadece gereken makinelere atnza emin olun. Asla kk dizininizin tamamn da amayn; sadece gereken dizinleri an. NFS hakknda daha fazla bilgi iin, http://metalab.unc.edu/mdw/HOWTO/NFSHOWTO.htmladresindeki NFS NASIL belgesine bakabilirsiniz.

NIS (A Bilgi Servisi) (nceki Sar Sayfalar, YP).

A Bilgi Servisi (YP), bir makineler grubu arasnda bilginin datlmas iin bir yoldur. NIS sunucusu bilgi tablolarn tutar ve onlar NIS harita dosyalarna evirir. Bu haritalar daha sonra

a zerinde NIS istemci makinelerinin giri, parola, ve ev dizinleri ile kabuk bilgilerinin (hepsi standart bir /etc/passwd dosyasndadr) alnmasna hizmet eder. Bu, kullancnn bir makinede parolasn deitirdiinde dier btn NIS alanndaki makinelerde de bu deiikliin geerli olmasn salar. NIS kesinlikle gvenli deildir. Hi bir zaman olmas dnlmemitir. Kolay kullanlr ve yararl olmas amac gdlmtr. NIS alannzn adn tahmin edebilen (nternette herhangi bir yerdeki) herkes /etc/passwd dosyasnzn bir kopyasn alabilir, ve "Crack" ve "John the Ripper" programlarn kullanclarnzn parolalar zerinde kullanabilir. Ayrca, NIS'i taklit etmek ve her eit yaramaz numaralar yapmak mmkndr. Eer NIS'i kullanmak zorundaysanz, tehlikelerinin de farknda olduunuzdan emin olun. NIS'in yerine geen ok daha gvenli bir program vardr: NIS+ Daha fazla bilgi iin NIS HOWTO (NIS NASIL)belgesine bir gz atn: http://metalab.unc.edu/mdw/HOWTO/NIS-HOWTO.html

Gvenlik Duvar
Gvenlik duvar, yerel anzn iine giren ve dna kan bilgiyi denetim altnda tutmann bir yoludur. Tipik bir gvenlik duvar, nternete ve yerel anza balanm durumdadr, ve yerel anzdan nternete tek k yolu gvenlik duvarnn iinden gemektir. Bu yolla gvenlik duvar yerel adan nternete ya da nternetten yerel aa nelerin getiini denetleyebilir. Bir ka gvenlik duvar ve kurma yntemi vardr. Linux makinelerden olduka iyi gvenlik duvar olur. Gvenlik duvar kodu, 2.0 ve daha yukar srm ekirdein iine tmleik olabilir. Kullanc aralar, 2.0 ekirdek iin ipfwadm , ve 2.2 ekirdek iin ipchains, [26] izin verdiiniz a trafii tiplerini alma kesilmeksizin deitirebilmenizi salarlar. Gvenlik duvarlar, anz gvenli hale getirmede ok yararl ve nemli bir tekniktir. Bununla birlikte, bir gvenlik duvarnz varsa, arkasndaki makinelerin gvenliini salamak gerekmediini asla dnmeyin. Bu lmcl bir hatadr. Gvenlik duvarlar ve Linux hakknda daha fazla bilgi iin metalab arivindeki http://metalab.unc.edu/mdw/HOWTO/FirewallHOWTO.html belgesine bir gz atn. Daha fazla bilgi iin IP-Maskeleme mini-nasl belgesine http://metalab.unc.edu/mdw/HOWTO/mini/IP-Masquerade.html de gz atabilirsiniz:

ipfwadm hakknda daha fazla bilgiyi (gvenlik duvarnzn ayarlarn yapabileceiniz bir ara)
http://www.xos.nl/linux/ipfwadm/ Eer gvenlik duvarlar ile daha nce hi tecrbeniz yoksa, ve basit bir gvenlik politikasndan daha fazlas iin kurmay planlyorsanz, "O'Reilly and Associates"in "the Firewalls (Gvenlik duvarlar)" kitabn, ya da nternette bulunan dier belgeleri okumanz arttr. Daha fazla bilgi iin http://www.ora.com adresine bir gz atn. NIST (The National Institute of Standards and Technology - Ulusal Standard ve Teknoloji Enstits), gvenlik duvarlar zerine harika bir belge hazrlamtr. 1995 tarihli olmasna ramen, hala iyidir. Bu belgeyi http://csrc.nist.gov/nistpubs/800-10/main.html adresinde bulabilirsiniz. Ayrca ilgili olarak:
The Freefire Project (Serbest Ate Projesi) -- Serbest gvenlik duvar aralarnn bir

listesi: http://sites.inka.de/sites/lina/freefire-l/index_en.html

SunWorld Gvenlik duvar Tasarm -- O'Reilly kitabnn yazarlar tarafndan hazrlanan bu

belge farkl gvenlik duvar tipleriyle ilgili balang dzeyinde bilgi niteliini tayor: http://www.sunworld.com/swol-01-1996/swol-01-firewall.html
Mason - Linux iin otomatik gvenlik duvar oluturucusu. Bu, anzda yapmanz gereken

eyleri siz yaptka renen bir gvenlik http://www.pobox.com/~wstearns/mason/

duvar

betiidir.

Daha

fazla

bilgi:

IP Chains - Linux 2.2.x ekirdek Gvenlik duvar

Linux IPChains, Linux 2.0 gvenlik duvar sisteminin 2.2 ekirdek iin gncellenmi halidir. nceki uygulamadan ok daha fazla zellii vardr, bunlarn arasnda:
Daha esnek paket ynetimi Daha karmak muhasebe Basit politika deiikliklerinin otomatik olarak deitirilebilmesi Paralarn aka engellenebilmesi, reddedilebilmesi vb. pheli paketlerin gnlnn tutulmas ICMP/TCP/UDP dndaki dier protokolleri de idare edebilmesi.

saylabilir. u anda 2.0 ekirdeinizde ipfwadm kullanyorsanz, kullanlabilecek biime dntren betikler mevcuttur.

ipfwadm komut biimini ipchains'de

emin olun:

Daha fazla bilgi iin IP Chains NASIL belgesini okuduunuzdan http://www.adelaide.net.au/~rustcorp/ipfwchains/ipfwchains.html

Netfilter - Linux 2.4.x ekirdek Gvenlik duvar

ekirdek IP paket szm kodu iin bir baka gelime de, netfilter program tarafndan kullanclarn 2.4 ekirdeinde paket szmnn kurulum, bakm ve denetleme ilemlerini yapabilmesine olanak salanmasdr. Netfilter alt sistemi ipchains ve ipfwadm dahil olmak zere tm paket szm uygulamalarnn yeniden yazlm halidir. Netfilter ok sayda gelitirilmi zellik sunar, ve geni irket alarn korumada artk daha olgun ve kararl bir zm olmu durumdadr.

iptables
komutunu kullanarak ekirdek iindeki gvenlik duvar tablolarn ynetebilirsiniz. Netfilter, paketleri ekirdein eitli blmlerinden geerken ynetmenize olanak salayan ham bir alma ortam salar. Bu alma ortamnnn bir blm maskeleme, standart paket szm, ve a adres evirisi iin destek salar. Netfilter, ayn zamanda gvenlik duvarnn arkasndaki bir grup sunucuda alan hizmet programlarna ynelik yaplan yk dengeleme istekleri iin bile daha gelimi bir destee sahiptir. Durum denetleme zellikleri gerekten ok yararl. Durum denetleme zellii szceten geen iletiim aknn izlenmesi ve denetlenmesine olanak tanr. Oturum hakknda durum ve balam bilgisinin izlenebilmesi kural koyma ilemini basitletirir ve daha yksek dzeydeki protokollerin yorumlamaya alr. Ayrca, paketlerin kullanc uzayndaki programlara geirilip ilendikten sonra tekrar paket ak iine geri dndrlmesi gibi belirli ek ilevleri yerine getirmek zere kk modller gelitirilebilir. Bu programlarn kullanc uzaynda gelitirilebilmesi, daha nceki bir zorunluluk olan ekirdek dzeyindeki deiikliin yol at karmakln azaltlmasn salar. Dier IP Tables referanslar arasnda:

 Oskar Andreasson IP Tables Dersi -- Oskar Andreasson, LinuxSecurity.com ile giri

dzeyinde IP Tables dersinin salam kullanlabilecei hakknda konuuyor.

bir

gvenlik

duvar

oluturmak

iin

nasl

Hal Burgiss Introduces Linux Gvenlii Hzl-Balama Rehberleri -- Hal Burgiss, Linux'un

gvenliini salama zerine gvenlik duvarlarnn ynetimini de iine alan iki yetkin rehber yazm durumda.

Netfilter Ana Sayfas -- Netfilter/iptables ana sayfas. 2.4 Linux ekirdei Gvenlik duvar olgunlayor: netfilter -- Bu LinuxSecurity.com

makalesinde paket szmnn temelleri, iptables kullanarak ie nasl balanabilecei, ve Linux iin yeni nesil gvenlik duvarlarnda ne gibi yeni zelliklerin bulunduu aklanyor.

VPN'ler - Sanal zel Alar

VPN'ler, var olan bir an stne "sanal" bir a kurmann bir yoludur. Bu sanal a, baz durumlarda ifreli olup, sadece aa katlm olan ve kim olduu bilinen bilgisayarlar arasndaki trafie izin verir. VPN'ler, ounlukla evde alan birini, herkese ak nternet zerinden dahili bir irket ana balamak iin kullanlr. Eer bir Linux maskeleme gvenlik duvarnz varsa ve MS PPTP paketleri (Microsoft'un VPN noktadan-noktaya rn) geirmeniz gerekiyorsa, bunu yapabilmeniz iin gereken bir ekirdek yamas mevcut: ip-masq-vpn. Linux'taki VPN zmlerinden bir ka: vpnd. Bkz. http://sunsite.dk/vpnd/.
Free S/Wan, http://www.xs4all.nl/~freeswan/ ssh, bir VPN oluturmak iin kullanlabilir. Daha fazla bilgi iin VPN mini-nasl belgesine

bakn.
vps (sanal zel sunucu): http://www.strongcrypto.com. yawipin http://yavipin.sourceforge.net

Daha fazla bilgi ve referans iin IPSEC ile ilgili blme de bakn.

Gvenlik Hazrl (Balanmadan nce)

Tamam, sisteminizi gzden geirdiniz, ve olabildiince gvenli olduunu belirlediniz, ve balanmaya hazrsnz. Sisteminize yaplacak olas izinsiz giri durumunda, giren kiiyi abucak etkisiz hale getirerek sisteminizi tekrar alr duruma dndrebilmek iin imdi yapmanz gereken bir ka hazrlk var.

Makinenizin Tam Yedeini Aln

Yedekleme yntemleri ve depolama hakknda bir tartma bu belgenin konusu tesinde, ama yedekleme ve gvenlik ile ilgili bir ka sz sylenebilir: Eer bir sabit disk blmnde 650 MB veriden daha az varsa, verinizi CD-R zerine kopyalamak iyi bir yoldur (daha sonra kurcalanmas da zordur, hem uygun ekilde saklanrsa uzun sreli bir mr vardr). Manyetik bant ve dier yeniden-yazlabilir ortamlar, yedekleme tamamlanr tamamlanmaz yazmaya kar korunmal, ve deitirilmenin engellenmesi iin dorulanmaldr. Yedeklerinizi, gvenli ve bal olmayan bir alanda sakladnzdan emin olun. yi bir yedein

anlam, sistemi iyi bir noktadan tekrar yerine koyabilir olmanzdr.

yi Bir Yedekleme izelgesi Seimi

A six-tape cycle is easy to maintain. This includes four tapes for during the week, one tape for even Fridays, and one tape for odd Fridays. Perform an incremental backup every day, and a full backup on the appropriate Friday tape. If you make some particularly important changes or add some important data to your system, a full backup might well be in order.

Yedeklerizinin Denenmesi
6-bantlk bir dnmn bakm kolaydr. 4 bant hafta ii, 1 bant ift Cumalar iin, bir bant da tek Cumalar iin olabilir. Her gn bir artml yedekleme uygulayn, ve uygun Cuma bandnda tam yedek aln. Sisteminizde zellikle nemli deiiklikler yapar veya baz nemli veri eklemesi yaparsanz da tam yedek almak iyi olabilir..

RPM ve Debian Dosya Veritabannz Yedekleyin

Bir izinsiz giri durumunda, RPM veritabannz, ayn tripwire, gibi kullanabilirsiniz, veritabannn da deitirilmediinden emin olmanz durumunda elbette. RPM veritabannz bir diskete kopyalamal, ve daima balantsz ekilde tutmalsnz. Debian datmnda da benzer bir eyler olmas muhtemeldir. The files /var/lib/rpm/fileindex.rpm ve /var/lib/rpm/packages.rpm mdosyalar byk olaslkla tek bir diskete smayacaktr, fakat sktrlrlarsa, her biri bir diskete sabilir. imdi, sisteminizin gvenlii ihlal edildiinde,

root#

rpm -Va

komutunu, sistem zerindeki her bir dosyay dorulamak amacyla kullanabilirsiniz. rpm man sayfasna bir bakn, bir ka dier seenek sayesinde bu ilemi daha az ey syleyerek yapmasn salayabilirsiniz. Unutmayn ki bunu yaparken RPM programnzn da bozulmadndan emin olmalsnz. Bunun anlam, sisteminize her yeni RPM eklendiinde, RPM veritabannn da yeniden arivlenmesi gerekecek. Getirileri ve gtrleri karlatracak ve karar verecek olan sizsiniz..

Sistem Hesap Verilerinizi Takip Edin

syslog 'dan gelen bilginin bozulmamas ok nemlidir. /var/log altndaki dosyalarn sadece
snrl sayda kullanc tarafndan okunabilmesi ve yazlabilmesi iyi bir balangtr. Gznz orda yazl olanlar, zellikle auth ksmndakiler stnde olsun. rnein birden ok giri baarszlklar, bir krma giriiminin gstergesi olabilir. Gnlk dosyanzn nerde olduu datmnza baldr. "Linux Dosya Sistemi Standart"na uyan bir Linux sisteminde, rnein Red Hat'te, /var/log 'un altna bakabilir, messages,mail.log, ve dier dosyalar gzden geirebilirsiniz. Kendi datmzn nereye gnlk tuttuunu /etc/syslog.conf dosyasna bakarak bulabilirsiniz. Bu dosya syslogd'ye (sistem gnlk sunucu program) eitli mesajlarn gnlnn nerelerde tutulmas gerektiini syler.

Ayrca gnlkleri baa dndren betik veya sunucu program loglar daha uzun sre tutmas iin yaplandrabilirsiniz, bylelikle onlar incelemek iin daha fazla zamannz olur. Red Hat datmnda logrotate paketine bir gz atn. Dier datmlar da muhtemelen benzer bir ileme sahiptirler. Gnlk dosyalarnz kurcalandysa, tam olarak ne eit eylerin ne zaman kurcalanmaya baladn belirlemeye aln. Hesap bilgilerine ulalamayan geni zaman aralklar var m? Kurcalanmam gnlk dosyalar iin yedekleme verinize (eer varsa) bakmak iyi bir fikirdir. Sisteme izinsiz girenler, tipik olarak izlerini saklamak iin gnlk dosyalarn deitirir, yine de garip olgular belirlemek amacyla gz atmak gerekir. zinsiz giren kiinin, root hesab iin giri kazanmaya altn, ya da bir programdan yararlandn belirleyebilirsiniz belki de. Belki de izinsiz giren kiinin, gnlk dosyalarn deitirmeye zaman bulamad ksmlar grebilirsiniz. Ayrca, su kullanarak kullanc deitirme giriimleri, sisteme giri giriimleri, ve dier kullanc hesap bilgileri de dahil olmak zere tm auth verisini dier gnlk verisinden ayr tutmalsnz. Mmknse syslog 'u, verinin bir kopyasn gvenli bir sisteme gndermek zere yaplandrn. Bu, izinsiz giren kiinin, login/su/ftp/vb giriimlerinin izlerini ortadan kaldrmasn engelleyecektir. syslog.conf man sayfasnda @ seeneine bir gz atn. nternette daha gelimi syslogd programlar da vardr: http://www.core-sdi.com/ssyslog/ adresinde Secure Syslog (Gvenli Syslog) program mevcuttur. Secure Syslog, syslog verinizi ifreleyebilmenizi ve kimsenin deitirmediinden emin olmanz salar. Daha fazla zellikli bir dier syslogd ise syslog-ng sayfasnda yer almaktadr. Gnlk tutmada daha fazla esneklie sahiptir ve ayrca uzak syslog aknzn da deitirilmesini engeller. Son olarak, eer okuyan kimse yoksa gnlk dosyalarnn da fazla bir yarar yoktur. Arada bir gnlk dosyalarnza bakmak iin zaman ayrn, ve olaan bir gnde nasl grndkleri hakknda bir fikir sahibi olun. Bunu bilmek, olaan d eyleri farketmede olduka yardmc olacaktr.

Btn Yeni Sistem Gncellemelerini Uygulayn

ou kullanc Linux'u bir CD-ROM'dan kurar. Gvenlik onarmlarnn hzl doas sebebiyle, srekli yeni (onarlm) programlar kar. Makinenizi aa balamadan nce, datmnzn ftp sitesine gz atmak ve CD-ROM'dan beri gncellenen tm paketleri almak iyi bir fikirdir. ou zaman bu paketler nemli gvenlik onarmlarn ierir, dolaysyla bu gncelleme paketlerini kurmak iyi bir fikirdir..

Gvenlik hlali Srasnda ve Sonrasnda Neler Yaplabilir[27]

Evet, burdaki (veya baka bir yerdeki) nerileri dinlediniz ve bir sistem krlma durumunu belirlediniz. lk yaplacak ey, soukkanll korumaktr. Aceleci davranlar saldrgann neden olduundan daha ok zarara yol aabilir.

Gvenlik hlali Srasnda

Gvenlik ihlalini, olduu srada belirlemek ar bir ykmllk olabilir. Vereceiniz tepki byk sonular dourabilir. Grdnz ihlal fiziksel ise, olaslklar, birinin evinize, ofisinize veya laboratuvarnza girmi olabileceidir. Yerel yetkililere haber vermelisiniz. Bir laboratuvarda, birinin kasay amaya veya makineyi yeniden balatmaya altn belirlemi olabilirsiniz. Yetkileriniz ve yordamlarnza bal olarak, engel olmaya alabilir veya yerel gvenlik grevlilerinizle iletiime geebilirsiniz. Eer yerel bir kullancnn gvenliinizi ihlal ettiini farkettiyseniz, ilk yaplacak ey, onlarn

aslnda sandnz kii olduklarnn dorulanmasdr. Sisteme nerden giri yaptklarn kontrol edin. Olaan durumlarda giri yaptklar yer ile ayn m? Hayr m? O zaman temasa gemenin elektronik olmayan bir yolunu kullann. rnein, telefon ile arayn ya da konumak iin ofislerine/evlerine gidin. Eer sistemde olduklar konusunda anlamaya varabilirseniz, ne yaptklarn aklamalarn veya yaptklar eye son vermelerini isteyebilirsiniz. Eer sistemde deillerse, ve ne sylediiniz hakknda bir fikirleri yoksa, olaslkla bu olayn daha fazla aratrlmas gerekecek. Bu tr olaylar iyice aratrn, ve bir sulama yapmadan nce fazlasyla bilgi sahibi olun.. Eer bir a gvenlii ihlali belirlediyseniz, ilk yaplacak ey (yapabiliyorsanz), anzn balantsn kesmektir. Modem ile balanyorlarsa, modem kablosunu karabilir, Ethernet yoluyla balanyorlarsa Ethernet kablosunu karabilirsiniz. Bu onlarn daha fazla zarar vermesini engelleyecek, ve yakalandklarndan ok bir a problemi olduuna inanmalarna yol aacaktr. Eer an balantsn kesemiyorsanz (youn kullanml bir siteniz varsa, veya makinelerinizin fiziksel denetimi elinizde deilse), en iyi dier bir adm, izinsiz giri yapan kiinin sitesinden eriimi tcp_wrappers veya ipfwadm kullanarak reddetmektir. Eer izinsiz giren kiinin sitesinden eriimi reddedemeyecek durumda iseniz, kullancnn hesabn kilitlemek zorunda kalabilirsiniz. Unutmayn ki hesab kilitlemek kolay bir i deildir. Dnmeniz gerekenler arasnda .rhosts dosyalar, FTP eriimi ve olas baka arka kaplar saylabilir. Yukardakilerden birini yaptktan sonra (an balantsn kestiniz, siteden eriimi yasakladnz ve/veya hesaplarn etkisiz hale getirdiniz), yapmanz gereken o kullancnn altrd tm ilemleri ldrmek ve sistem dna karmaktr. Sonraki bir ka dakika iin sitenizi izleyebilirsiniz, nk saldrgan tekrar girmeyi deneyecektir. Belki de farkl bir hesap kullanarak ve/veya farkl bir a adresinden.

Gvenlik hlali Sonrasnda

Evet, diyelim ki gereklemi bir gvenlik ihlalini veya bozukluunu belirlediniz ve saldrgan sisteminiz dna (umarm) attnz. Srada ne var?

A kapatmak
Eer saldrgann sisteminize ne ekilde girdiini belirleyebildiyseniz, o a kapatmay denemelisiniz. rnein, kullanc giri yapmadan nce belki de gnlkte bir takm FTP kaytlar grdnz. FTP servisini kapatp gncel bir srmnn olup olmadna bakabilir, veya listelerde herhangi bir onarm arayabilirsiniz.. Btn gnlk dosyalarnz gzden geirin, ve gvenlik liste ve sayfalarnz bir ziyaret ederek onarabileceiniz herhangi bir yeni ak olup olmadn belirleyin. Caldera gvenlik onarmlarn http://www.caldera.com/tech-ref/security/adresinde bulabilirsiniz. Red Hat henz gvenlik onarmlarn bcek onarmlarndan ayrmad, fakat datm hata dzelten belgeleri http://www.redhat.com/errata adresinden ulalabilir durumda. Debian artk bir gvenlik mektup listesi ve WWW sayfasna sahip. Daha fazla bilgi iin: http://www.debian.org/security/ adresine bakn. Eer bir datmc firma bir gvenlik gncellemesi datmclarnn da karmas olasl ok yksektir. kardysa, dier ou Linux

Artk bir Linux gvenlik izleme projesi var. Dzenli bir ekilde btn kullanc gerelerini deniyor ve olas gvenlik aklar ve tamalarn aratryorlar. Duyurularndan: "OpenBSD kadar gvenli olabilme bak asyla btn Linux kaynaklarn sistemli bir ekilde izleme giriimimiz var. Baz problemleri belirlemi (ve onarm) durumdayz, fakat daha fazla yardma da az. Liste kstl bir liste deil ve ayn zamanda genel gvenlik

tartmalar iin de yararl bir kaynak. Liste adresi: security-audit@ferret.lmh.ox.ac.uk. Abone olmak iin security-audit-subscribe@ferret.lmh.ox.ac.uk adresine bir mektup gnderin" Saldrgann giriini kilitleyerek engellemezseniz, muhtemelen geri gelecektir. Dn sadece sizin makinenize deil, anzdaki herhangi bir yere olabilir. Eer bir paket koklayc altryorduysa, dier makinelere eriim salam olmalar da muhtemeldir.

Hasar Tespiti
Yaplacak ilk i hasarn tespit edilmesidir. Tam olarak bozulan nedir? Tripwiregibi bir btnlk inceleyici altryorsanz, bir btnlk taramas iin kullanabilirsiniz; neyin bozulduunu bulmanza yardmc olacaktr. Kullanmyorsanz, tm nemli verinizi kendiniz incelemek zorunda olacaksnz. Linux sistemlerinin gn getike daha kolay kuruluyor olmas nedeniyle, yaplandrma dosyalarnz saklamay, disklerinizi temizleyip, yeniden kurmay, sonra da kullanc ve yaplandrma dosyalarnz yedeklerden yerine koymay dnebilirsiniz. Bu yeni ve temiz bir sisteme sahip olduunuzdan emin olmanz salayacaktr. Eer bozuk sistemden baz dosyalar almak durumunda kalrsanz, altrlabilir dosyalar konusunda zellikle dikkatli olun, nk izinsiz giri yapan kii tarafndan konulmu truva atlar olabilir. zinsiz giren kiinin root eriimi salamas durumunda yeniden kurulum zorunlu olarak dnlmelidir. Ek olarak, var olan kantlar saklamak isteyebilirsiniz, dolaysyla yedek bir disk bulundurmak mantkldr. Dnmeniz gereken bir dier konu da gvenlik ihlalinin ne kadar zaman nce gerekletii, ve yedeklerdeki bilgilerin hasarl almalar ierip iermediidir. imdi yedekler konusu.

Yedekler, Yedekler, Yedekler!

Dzenli yedekleme, gvenlik konularnda bir nimettir. Sisteminizin gvenlii ihlal edildiyse, gereken veriyi yedeklerden yerine koyabilirsiniz. Elbette, baz veri saldrgan iin de deerlidir, sadece yok etmek deil, bilgiyi alma ve kendi kopyalarn oluturma eylemlerini de gerekletirebilirler. Ama en azndan verinin bir kopyasn elinizde bulundurmu olursunuz.. Kurcalanan bir dosyay yerine koymadan nce, bir ka yedek ncesine de bakmalsnz. Saldrgan dosyalarnz uzun sre nce bozmu olabilir ve bozulan dosyalarn yedeini alm olabilirsiniz! Elbette, yedeklerle ilgili bir takm gvenlik konular da vardr. Yedeklerinizi gvenli bir yerde sakladnzdan emin olun. Kimlerin eriimi olduunu bilin (Eer bir saldrgan yedeklerinize ularsa, haberiniz bile olmadan tm verinize ulaabilir).

Saldrgan zleme
Tamam, saldrgan dar attnz, ve sisteminizi iyiletirdiniz, ama iiniz henz bitmi saylmaz. ou saldrgann yakalanma olasl dk olmakla birlikte, saldry rapor etmeliniz. Saldry, saldrgann sitesindeki yneticilere bildirmelisiniz. Bu ynetici bilgisine whois komutuyla ya da Internic veritabanndan ulaabilirsiniz. Onlara btn uygun gnlk satrlaryla tarih ve saat bilgilerini ieren bir e-mektup atabilirsiniz. Saldrgan hakknda ayrt edici baka herhangi bir ey de belirlediyseniz, bunu da onlara bildirin. Mektubu gnderdikten sonra (dilerseniz) bir telefon konumas da yapabilirsiniz. Eer o ynetici sizin saldrgannz belirlerse, o siteye giri yapt dier sitenin yneticisiyle konuabilir, ve bu ekilde srer.

yi korsanlar, arada pek ok site kullanrlar, bunlardan bazlar (veya ou) gvenliklerinin ihlal edildiinden dahi habersizdirler. Bir korsan ev sistemine kadar izlemeyi denemek zor bir i olabilir. Konutuunuz sitelerin yneticilerine kar nazik olmak, yardm alma konusunda olduka yol almanz salayabilir. Ayrca, Linux sistem datcnz olduu kadar, bir paras olduunuz (CERT ve benzeri), gvenlik rgtlerini de bu konuda uyarmalsnz.

Gvenlikle lgili Kaynaklar

Genel olarak Unix gvenlii, ve zel olarak da Linux gvenlii ile ilgili OK SAYIDA iyi site vardr. Bir (veya daha fazla) gvenlik mektup listelerine abone olmak ve gvenlik onarmlar hakknda gncel bilgiye sahip olmak nemlidir. Bunlarn ou ok youn olmayan ve ok bilgilendirici listeler.

LinuxSecurity.com Atflar
The LinuxSecurity.com WWW sitesinde, LinuxSecurity personeli ve dnyann eitli blgelerinden insanlar tarafndan hazrlanm ok sayda ak kaynak gvenlik referanslarn bulabilirsiniz.
Linux Tavsiye zleme -- Hafta boyunca duyrulan gvenlik zayflklarnn taslaklarn ieren

haberler. Her bir zayfln betimlemesi ve gncellenen paketlere linkleri de ieriyor.

Haftalk Linux Gvenlii -- Bu belgenin amac, her hafta okuyuculara en nemli Linux

gvenlik balklarnn bir zetini sunmak.

Linux Gvenlii Tartma Listesi -- Bu mektup listesi, genel gvenlik sorular ve yorumlar

iin.
Linux Gvenlik Haberleri -- Tm haberler iin abonelik bilgisi. comp.os.linux.security SSS -- comp.os.linux.security haber grubu iin yantlaryla birlikte

Ska Sorulan Sorular.

Linux Gvenlik Belgeleri -- Linux ve Ak Kaynak Gvenlik iin harika bir balang

noktas.

FTP Siteleri
CERT (Computer Emergency Response Team) Bilgisayar Acil Durum Yant Takm'dr. ounlukla gncel saldr ve onarmlar hakknda uyarlarda bulunurlar. Daha fazla bilgi iin ftp://ftp.cert.org adresine bakabilirsiniz. ZZEDZ (nceki Replay) ( http://www.zedz.net) arivi bir ok gvenlikle ilgili program bulundurur. ABD'nin dnda olduklar iin ABD ifre kstlamalarna uymalar da gerekmiyor. Matt Blaze CFS'nin yazar ve mkemmel bir gvenlik ftp://ftp.research.att.com/pub/mab adresinde bulunabilir. danman. Matt'in arivi

tue.nl Hollanda'da bulunan byk bir gvenlik FTP sitesi: ftp.win.tue.nl

WWW Siteleri
The Hacker FAQ, Bilgisayar kurtlar hakknda bir SSS: The Hacker FAQ

 COAST arivi ok sayda Unix gvenlik program ve bilgisini bulunduruyor: COAST SuSe Gvenlik Sayfas: http://www.suse.de/security/ Rootshell.com, korsanlar tarafndan kullanlan gncel aklarn neler olduunu grmek

iin harika bir site: http://www.rootshell.com/

BUGTRAQ, gvenlik konularnda tavsiyeler veren bir site: BUGTRAQ archives CERT, Bilgisayar Acil Durum Yant Takm, Unix ile ilgili yaygn saldrlar konusunda

tavsiyeler veriyor: CERT home

Dan Farmer, SATAN'n ve dier bir ok gvenlik aracnn yazar. Ev sitesinde ilgin baz

aratrma bilgileri, ve dier gvenlik aralar var: http://www.trouble.org

The Linux security WWW (Linux Gvenlik WWW Sayfas), Linux gvenlii ile ilgili bilgiler

iin iyi bir site: Linux Security WWW

Infilsec, hangi platformun hangi aklara kar korunmasz olduunu syleyecek bir

motora sahip: http://www.infilsec.com/vulnerabilities/ yaygn aklar konusunda dzenli http://ciac.llnl.gov/cgi-bin/index/bulletins

CIAC,

gvenlik

bltenleri

yaymlyor:

Linux PAM iin iyi bir balang noktas: http://www.kernel.org/pub/linux/libs/pam/. Debian

projesi, gvenlik onarmlar http://www.debian.com/security/.

ve

bilgi

iin

bir

WWW

sayfasna

sahip:

Lincoln Stein tarafndan yazlan WWW Security FAQ (WWW Gvenlik SSS), harika bir

WWW gvenlii referans: http://www.w3.org/Security/Faq/www-security-faq.html

Mektup Listeleri
Bugtraq: Abone olmak iin, listserv@netscape.org adresine, gvde ksmnda subscribe bugtraq yazan bir mektup atn (arivler iin aadaki linklere bakn) CIAC: majordomo@tholia.llnl.gov adresine mektup atn. Mesajn GVDE ksmnda (Subject, yani Konu ksmnda deil) unlar bulunmal: subscribe ciac-bulletin Red Hat'te de bir takm mektup listeleri var, en nemlisi redhat-announce (redhat-duyuru listesi). Gvenlik (ve dier eylerin) onarmlar hakknda, ktklar anda haber alabilirsiniz. redhat-announce-list-request@redhat.com adresine, Konu ksmnda Subscribe yazl olan bir mektup atn. Daha fazla bilgi ve arivler iin https://listman.redhat.com/mailman/listinfo/ adresine bir gz atn. Debian, gvenlik onarmlarn http://www.debian.com/security/ kapsayan bir mektup listesine sahip:

Kitaplar - Basl Eserler

Gvenlikle ilgili bir ok iyi kitap da mevcut. Bu blmde bir ka tanesini sralayacaz. Gvenlikle ilgili kitaplara ek olarak, sistem ynetiminin anlatld ve gvenlik konusunda da bilgilerin yer ald kitaplar mevcut.[28]
Building Internet Firewalls By D. Brent Chapman & Elizabeth D. Zwicky, 1st Edition

September 1995, ISBN: 1-56592-124-0

Practical UNIX & Internet Security, 2nd Edition By Simson Garfinkel & Gene Spafford,

2nd Edition April 1996, ISBN: 1-56592-148-8

Computer Security Basics By Deborah Russell & G.T. Gangemi, Sr., 1st Edition July 1991,

ISBN: 0-937175-71-4
Linux Network Administrator's Guide By Olaf Kirch, 1st Edition January 1995, ISBN: 1-

56592-087-2

PGP: Pretty Good Privacy By Simson Garfinkel, 1st Edition December 1994, ISBN: 1-

56592-098-8
Computer Crime A Crimefighter's Handbook By David Icove, Karl Seger & William

VonStorch (Consulting Editor Eugene H. Spafford), 1st Edition August 1995, ISBN: 156592-086-4

Linux Security By John S. Flowers, New Riders; ISBN: 0735700354, March 1999 Maximum Linux Security : A Hacker's Guide to Protecting Your Linux Server and

Network, Anonymous, Paperback - 829 pages, Sams; ISBN: 0672313413, July 1999

Intrusion Detection By Terry Escamilla, Paperback - 416 pages (September 1998), John

Wiley and Sons; ISBN: 0471290009

Fighting Computer Crime, Donn Parker, Paperback - 526 pages (September 1998), John

Wiley and Sons; ISBN: 0471163783

Szlk
Aada bilgisayar gvenlii ile ilgili en sk kullanlan terimleri bulacaksnz. Daha geni bir szle LinuxSecurity.com Szl'nden eriebilirsiniz.[29]
authentication (kimlik dorulama): Verinin, asl gnderilen veri olduunu, ve veriyi gndermi

gibi grnen kiinin, gerekten gnderen kii olduunun bilinmesi.

bastion host (sur bilgisayar): nternete ak ve ierdeki kullanclar iin ana bir iletiim noktas

olduundan dolay saldrlara urama tehlikesinin ok fazla oluu nedeniyle yksek derecede gvenli hale getirilmesi gereken bilgisayar sistemi. smi, ortaa kalelerinin d duvarlarndaki yksek derecede glendirilmi yaplardan gelmektedir. Kale surlar, savunmada kritik alanlara yukardan bakan, genelde gl duvarl, fazladan asker iin geni alanl, saldrganlara kzgn yan dklerek uzaklatrld yerlerdir.
buffer overflow (tampon tamas): Yaygn programlama tarznda, asla yeteri byklkte

tamponlar ayrlmaz, ve tamalarn olup olmad gzden geirilmez. Bu tr tamalar olduunda, alan program (sunucu program ya da suid program) baka eyler yapmak zere kandrlabilir. Genelde bu, fonksiyonun yndaki dn adresini deitirerek baka bir yere ynlendirme yoluyla yaplr.

denial of service (servis reddi): Bilgisayarnzn, yapmasn dnmediiniz eylerle fazlaca

megul olup kaynaklarnn saldrgan tarafndan tketilmesi yoluyla, meru kullanclar iin ayrlm a kaynaklarnn olaan kullanmnn engellenmesi.[30]

dual-homed host (ift evli bilgisayar): En az iki a arabirimi bulunan genel amal bilgisayar

sistemi.

 firewall (gvenlik duvar): nternet ve korunan bir a arasnda, ya da dier a kmeleri

arasnda, eriimi kstlayan bileen, veya bileenler kmesi.

host (bilgisayar): Aa dahil olmu bir bilgisayar sistemi. IP spoofing (IP taklidi): IP taklidi, bir takm bileenlerden oluan karmak teknikli bir saldrdr.

Bilgisayarlara, olmadnz bir kii gibi grnerek gvenlerini kazanmanza yol aan bir gvenlik adr. Bu konuda "Phrack Magazine", 7. Cilt, 48. Konuda, daemon9, route, ve infinity tarafndan yazlm kapsaml bir makale vardr.[31]
non-repudiation (inkar edememe): Bir alcnn, bir veriyi gndermi gibi grnen kiinin

gerekten veriyi gnderen kii olduunu, gnderen kii daha sonra inkar etmeye kalksa dahi kantlayabilmesi [32]

packet (paket): nternet zerindeki haberlemenin temel birimi. packet filtering (paket szme): Bir adaki ie ve da olan veri aknn bir cihaz tarafndan

seici olarak gerekletirilmesi davran. Paket szgeleri, genelde bir adan bir bakasna yneltme yaparken paketlerin geiine izin verir veya engel olur (ounlukla nternet'ten ierideki aa, veya tam tersi). Paket szgecinin baarl olmas iin, hangi paketlere (IP adreslerine ve portlarna gre) izin verileceine ve hangilerine engel olunacana karar veren kurallar belirlemeniz gerekir.

perimeter network (evre a): Ek bir gvenlik katman oluturabilmek amacyla korunan bir a

ile dardaki bir a arasna eklenen a. evre a bazen DMZ olarak da adlandrlr.
proxy server (vekil sunucu): erdeki istemcilerin adna dardaki sunucularla iletiim kuran bir

program. Vekil istemciler, vekil sunucuya konuur, vekil sunucular onaylanm istemcilerin isteklerini gerek sunucuya nakleder, gelen cevaplar da tekrar istemcilere nakleder.

superuser (stn kullanc):

root'un resmi olmayan isimlerinden biri.

Ska Sorulan Sorular

1. Src desteini dorudan ekirdee tmleik olarak derlemek, modl olarak derlemekten daha m gvenlidir? Yant: Baz insanlar, cihaz srclerini modller yoluyla yklenememesinin daha iyi olacan dnrler, nk sisteme izinsiz giren biri, bir Truva at ya da sistem gvenliini etkileyebilecek bir modl yerletirebilir. Bununla birlikte, modlleri ykleyebilmek iin root olmanz gerekir. Modl nesne sadece root tarafndan yazlabilir dosyalardr. Bunun anlam, izinsiz girenin sokmadan nce root eriimine gereksinimi olduudur. Eer izinsiz giren kii kazanrsa, modl yklemesinden ok daha fazla endielenilmesi gereken, daha vardr. dosyalar da bir modl root eriimi ciddi eyler

Modller, sk kullanlmayan belirli bir cihaz iin destein dinamik olarak yklenmesi amacn tar. Sunucu makinelerde, veya rnein gvenlik duvarlarnda, bunun olma olasl dktr. Bu sebeple, sunucu makineler iin destei dorudan ekirdee tmleik derlemek daha mantkldr. Ayrca modller, ekirdee tmleik derlenmi destekten daha yavatrlar. 2. Uzak bir makineden root olarak giri yapmak neden hep baarszlkla sonulanyor? Yant: Baknz: Root Gvenlii. Bu, uzak kullanclarn makinenize telnet yoluyla rootolarak balanma giriimlerini engellemek amacyla kastl olarak yaplan bir eydir. Uzaktan root olarak balanabilmek ciddi bir gvenlik adr, nk bu durumda root parolas a boyunca ak metin olarak iletilmektedir. Unutmayn: potensiyel saldrganlarn vakti vardr, ve parolanz

bulmak iin otomatik programlar altrabilirler. 3. Linux makinemde glge parolalar nasl etkin hale getirebilirim? Yant: Glge parolalar etkin hale getirmek iin, pwconvrogramn root olarak altrn. Bylelikle /etc/shadow dosyas yaratlr ve uygulamalar tarafndan kullanlmaya balar. RH 4.2 ve st kullanyorsanz, PAM modlleri otomatik olarak olaan /etc/passwd dosyasndan glge parolalara geie, baka bir deiiklie gerek kalmakszn uyum salayacaktr. Baz temel bilgiler: Glge parola mekanizmas, parolalarnz olaan /etc/passwd dosyasnndan baka bir dosyada tutar. Bunun bir takm getirileri vardir. Birincisi, glge dosyas, /etc/shadow, herkes tarafndan okunabilen /etc/passwd,dosyasnn aksine, sadece root tarafndan okunabilen bir dosyadr. Dier bir getiri, ynetici olarak, dier kullanclarn haberi olmadan bir kullanc hesabn etkisiz veya etkin hale getirebilirsiniz. The /etc/passwd dosyas, kullanc ve grup isimlerini tutmak iin, rnein /bin/ls program tarafndan bir dizin listesindeki dosyalarn uygun kullanc ve grup isimlerini bulmak amacyla kullanlr. The /etc/shadow dosyas ise kullanc ismi ve parolasn, ve rnein hesabn ne zaman sresinin dolduu gibi hesap bilgilerini ierir. Parolalarnz gvenli hale getirmekle ilgilendiinize gre, belki iyi parolalar retmeye balamakla da ilgili olabilirsiniz. Bunun iin PAM'in bir paras olan pam_cracklib modln kullanabilirsiniz. Parolanz Crack ktphanelerini kullanarak gzden geirir, bylelikle parolakran programlar tarafndan kolaylkla tahmin edilebilir parolalar belirlemenizi salar. 4. Apache SSL uzantlarn nasl etkin hale getirebilirim? Yant: a. ftp://ftp.psy.uq.oz.au/pub/Crypto/SSL adresinden srmn indirin b. Derleyin, deneyin, ve kurun! c. Apache kaynak dosyasn indirin. d. Burdan SSLeay uzantlarn indirin e. Apache kaynak dizininde sktrlm dosyay an ve README dosyasnda yazd gibi yamay uygulayn. f. Yaplandrn ve derleyin. SSLeay 0.8.0 veya daha yukar

Ayrca, bir sr nceden derlenmi paketlere sahip olan ve ABD'nin dnda bulunan ZEDZ net'i de deneyebilirsiniz. 5. Kullanc hesaplarn idare ederken gvenlii nasl salayabilirim? Yant: Red Hat datm, zellikle RH5.0, kullanc hesaplarnn zelliklerini deitirebilmeyi salayan bir ok arala birlikte gelir. a.

pwconv ve unpwconv programlar glge ve olaan parolalar arasnda gei yapmak

amacyla kullanlabilir.

b.

pwck ve grpck programlar, passwd ve group dosyalarnn uygun dzende

olduunun dorulanmas iin kullanlabilir.

c.

useradd, usermod, ve userdelprogramlar kullanc eklemek, silmek, ve deiiklik yapmak amacyla kullanlabilir. groupadd,groupmod, ve groupdel programlar ayn
eyleri gruplar iin yapar.

d. Grup parolalar

gpasswd kullanlarak yaratlabilir.

Btn bu programlar "glgenin farknda" olan programlardr, yani glge parolalar etkin hale getirdiinizde parola bilgisi iin /etc/shadow osyasn kullanrlar, getirmezseniz kullanmazlar. Daha fazla bilgi iin ilgili man sayfasna bakabilirsiniz. 6. Apache'yi kullanarak belirli HTML belgelerini nasl parola-korumal hale getirebilirim? Yant: Bahse girerim http://www.apacheweek.org adresini bilmiyordunuz deil mi? Kullanc kimlik dorulamas hakknda bilgiyi http://www.apacheweek.com/features/userauth adresinden, WWW sunucusu hakknda gvenlik ipularn ise http://www.apache.org/docs/misc/security_tips.html adresinden bulabilirsiniz.

Sonu
Gvenlik uyar mektup listelerine ye olarak, ve gncel olaylar takip ederek, makinenizi gvenli hale getirmeye doru ok adm atabilirsiniz. Gnlk dosyalarnza ilgi gsterir ve tripwire gibi bir program dzenli olarak altrrsanz, daha fazlasn da yapabilirsiniz. Evdeki bir makinede akla yatkn dzeyde bilgisayar gvenliini kurmak ve idare etmek zor deildir. makineleri iin daha fazla aba gerekir, fakat Linux gerekten gvenli bir platform haline gelebilir. Linux geliiminin doas gerei, gvenlik onarmlar ticari iletim sistemlerinde olduundan ok daha hzl ortaya kar, bu da gvenliin art olduu durumlarda Linux'u ideal bir platform haline getirir.

Teekkrler
Burdaki bilgiler bir ok kaynaktan toplanmtr. Aada bulunan ve dorudan veya dolayl olarak katkda bulunan herkese teekkrler:

Rob Riggs
rob (at) DevilsThumb.com

S. Coffin
scoffin (at) netcom.com

Viktor Przebinda
viktor (at) CRYSTAL.MATH.ou.edu

Roelof Osinga
roelof (at) eboa.com

Kyle Hasselbacher
kyle (at) carefree.quux.soltec.net

David S. Jackson
dsj (at) dsj.net

Todd G. Ruskell
ruskell (at) boulder.nist.gov

Rogier Wolff
R.E.Wolff (at) BitWizard.nl

Antonomasia ant (at) notatla.demon.co.uk Nic Bellamy sky (at) wibble.net Eric Hanchrow offby1 (at) blarg.net Robert J. Berger
rberger (at) ibd.com

Ulrich Alpers
lurchi (at) cdrom.uni-stuttgart.de

David Noha dave (at) c-c-s.com Pavel Epifanov. epv (at) ibm.net Joe Germuska. joe (at) germuska.com Franklin S. Werren fswerren (at) bagpipes.net Paul Rusty Russell
Paul.Russell (at) rustcorp.com.au

Christine Gaunt cgaunt (at) umich.edu lin bhewitt (at) refmntutl01.afsc.noaa.gov A. Steinmetz astmail (at) yahoo.com Jun Morimoto morimoto (at) xantia.citroen.org Xiaotian Sun sunx (at) newton.me.berkeley.edu Eric Hanchrow offby1 (at) blarg.net Camille Begnis camille (at) mandrakesoft.com

Neil D neild (at) sympatico.ca Michael Tandy

Michael.Tandy (at) BTInternet.com

Tony Foiani tkil (at) scrye.com Matt Johnston mattj (at) flashmail.com Geoff Billin gbillin (at) turbonet.com Hal Burgiss hburgiss (at) bellsouth.net Ian Macdonald ian (at) linuxcare.com M.Kiesel m.kiesel (at) iname.com Mario Kratzer
kratzer (at) mathematik.uni-marburg.de

Othmar Pasteka pasteka (at) kabsi.at Robert M rom (at) romab.com Cinnamon Lowe clowe (at) cinci.rr.com Rob McMeekin blind_mordecai (at) yahoo.com Gunnar Ritter g-r (at) bigfoot.de Frank Lichtenheld
frank (at) lichtenheld.de

Bjrn Lotz
blotz (at) suse.de

Othon Marcelo Nunes Batista

othonb (at) superig.com.br

Carlo Perassi
carlo (at) linux.it

Aadaki insanlar bu HOWTO belgesini eitli dier dillere evirdiler. Linux mesajnn yaylmasna yardm eden sizlerin hepinize zel bir teekkr ediyoruz:

Polonyaca: Ziemek Borowski

ziembor (at) FAQ-bot.ZiemBor.Waw.PL

Japonca: FUJIWARA Teruyoshi

fjwr (at) mtj.biglobe.ne.jp

Endonezce: Tedi Heriyanto

22941219 (at) students.ukdw.ac.id

Korece: Bume Chang Boxcar0001 (at) aol.com spanyolca: Juan Carlos Fernandez
piwiman (at) visionnetware.com

Hollandaca: "Nine Matthijssen"

nine (at) matthijssen.nl

Norvee: ketil@vestby.com
ketil (at) vestby.com

Trke: Tufan Karadere

tufank (at) gmail.com

eviri Hakknda - About Translation

In this additional page to the translation of the Linux Security HOWTO, I wish to make some additional explanations about the translation procedure for Turkish speaking people, which I hope to be helpful in following up the document. These explanations include the difficulty in translating a technical document, choosing the right terms/words for a given event/technology, and an EnglishTurkish vocabulary, which I hope to function as a map for not being lost in the Turkish terminology. I wanted to translate Linux Security HOWTO for mainly two reasons:
I think this HOWTO is an outstanding document for those who want to secure their Linux

systems but don't know where to begin, in that this document includes nearly all of the issues generally relating to the security and where to find more information; and for those who has a general understanding of the terms of security, but want to know what exact implementations exist, and where to find more information about them. Although original HOWTO is dated a bit and some of the links may possibly be broken/changed, it's still a great source for general purpose security reading. Thanks to Kevin Fenzi and Dave Wreski for such a good contribution to the Linux community. I thought such a document should be translated into Turkish as well, so that Turkish people who can't speak English (if any, :) ) can make use of the document.
A second simple reason is to contribute to the Turkish terminology, by translating the terms of

Computer Security issues, specifically in Linux Security. I think one of the most difficult tasks ever, is to provide translations of the fresh technical terms into one's own language (perhaps more difficult than securing Linux :) ). The rest of this page continues in Turkish to explain the difficulties in choosing the words, and make a little discussion about which words have been recommended, and why.

Trke eviri zerine Aklamalar

Daha nce yapm olanlar bilir, teknik bir belgeyi Trke'ye evirmek zor bir itir. Bu zorluklarn sebeplerinin banda, seilen szcn ilk kez duyanlara "komik" gelmesi yer alyor sanrm. Devlet memurluunu millete ok sevdiimiz iin, seilen szcklerin de devlet kurumu ciddiyetinde olmasn bekliyoruz belki de. Oysa ngilizce'deki, zellikle de bilgisayar dnyasndaki terimlerin Trke'deki tam karlklar kadar, ngilizce'deki anlamlar da "komik", en azndan "elenceli" eylerdir. "Trke'nin hali ne olacak?" eklindeki tartma ok uzun sreden beri devam ediyor. eviri yapmak iin bu tartmann sonucunu beklersek, yle sanyorum ki kendimizi bu tartmay ngilizce yaparken bulacaz. Bu eviride "yaayan Trke'yi" kullanmaya zen gsterdiimi syleyebilirim. Bunun anlam u: otobse "oturgal gtrge" demedim ama "construction" szcn de konstrksiyon eklinde evirmedim. En azndan temel dncem belgenin anlalabilir olmasyd. Bilmeyen kiilere bu konular anlatrken kullandm szckleri kullanmaya zen gsterdim. Szcklerin evirisinde Trk Biliim Dernei'nin "nerdii" szckleri de zaman zaman kullandm. Bununla beraber, aka sylemeliyim ki TBD'nin szck karlklarnn ok yetersiz veya "yanl" olduunu dndm zamanlar da olmad deil. Bunun en gzel rnei "key" iin kullanlan "ifre" szcyd. Eer nerilen szckleri aynen kullanmaya kalkarsam, rnein "encryption key" ifadesini "ifreleme ifresi" ve "key encrypting key" ifadesini ise "ifre ifreleyen ifre" gibi garip bir Trke ile evirmek zorunda kalabilirdim. Eer gvenlik ile ilgili her terimin bana "gvenlik" (gvenlik duvarnda olduu gibi), ifre ile ilgili her terimin bana da "ifre" koyarak Trke karlk bulmaya kalkarsak, sanrm iimiz hi kolay olmaz. Er ge dzeltilmesi gerekecektir. Yeni yeni dzeltilmeye balanan, password szcne karlk "ifre" yerine doru karl olan "parola"y kullanmak gibi. in iinden klamayan szckler de oluyor elbette: Hacker, cracker, encapsulation, daemon, web, "on the fly" vb. Bu szklere ise olabildiince karlk bulmaya altm, encapsulation gibi bazlarn TBD'den alnt ile "sarma" (yaprak sarma gibi oldu ama n'apalm :) ), cracker gibi bazlarn ise tam yaptklar ii anlatan ekilde "korsan" olarak evirdim (krakere tercih ettim). Bilgisayar teknolojisi yaygnlamadan nce de "hacker" szcnn tam karl, fiil ile birlikte kullanlyordu: "Kurt" veya "bir eyin kurdu olmak" eklinde. Nedense "kurt" szc artk "bir eyi iyi bilen" veya "bir eyle ok uraan" anlamnda daha seyrek kullanlmaya baland. Belki de "Kurt" szcnn belirli bir siyasi gr/kimlii artrmasnn da bununla bir ilgisi vardr. Halbuki "hacker", nerdeyse tam anlamyla "bilgisayar kurdu"nun ngilizce'sidir. E-mail szcn "e-posta" yerine "e-mektup" eklinde evirmeyi daha uygun bulduumu da burda belirtmek istiyorum. Buna karlk MTA'daki "Mail"in de posta eklinde evrildiini, ama "to send a mail"in "posta gndermek"ten ok "mektup gndermek" olduunu dndm de ekleyim. E-posta'nn ou kimse tarafndan cmle iinde akc biimde kullanl(a)madn, bir ekilde "mail" veya "email" ile desteklenerek kullanldn, ya da bu szc kullanmamak iin sadece "email" kullanldn gzlemlemem zerine byle bir tercihte bulunduumun altn izmeliyim. "E-posta"nn, bu kadar uzun sredir kullanlmasna ramen yeteri kadar yerlememi bir szck olduunu dnyorum. Bence bunun en nemli nedenlerinden biri, benzerleri gibi Trke'de ok yaygn olarak kullanlan deyimlerden oluturulmam olmasdr. Oysa ngilizce'deki tm bilimsel terimler, (artk) insanlarn gnlk hayatta kulland szcklerden, ya da bunlarn ksaltmasndan oluturulmaya allyor. Yukarda sylediim gibi, temel ama konu hakknda bilgisi olmayan kiilerin en iyi anlayabilecei ekilde eviri yapabilmek idi. Konuurken bir yabanc szck yerine birkan kullanabilirsiniz, ama yazl belgelerde bu ok ie yarar bir yntem olmuyor ne yazk ki. Bu kadar aklamay yapmamn sebebi, bu belgedeki terimlerin, tartmaya ve nerilere ak olduunu daha iyi anlatabilmek iindi. Tm yapc neri ve eletirilerinizi, tufank@gmail.com adresine, konu ksmnda "Guvenlik NASIL" yazan bir mektup atarak iletebilirsiniz (mektuplarn bana ulatndan emin olmak iin ile deil u ile yazmanz rica ediyorum). Belgenin zgn biimi, Linux Security HOWTO, gvenlik konusunda, zellikle balang, taslak oluturma ve referans bakmndan, en iyi belgelerden ve NASIL'lardan biri. eviri yapmak istememin de iki sebebinden biri, byle bir belgeden ngilizce bilmeyen kiilerin de

yararlanmasn salayabilmek; dieri ise gvenlik konusunda yava yava da olsa uyanmaya balayan gzide yurdumun, gzide dilini "Kriptoloji, kriptografi, enkripn, diimn, meyl, dos atak, hek, krek, adov, veb, transparan, trojan-troyan-trocn hors, pablik, snifr, spuf" gibi says sonsuz gibi grnen ingli szcklerden temizleme abasna katkda bulunmakt. Her iki adan da yararlanmanz dilei ile...

Szck Karlklar
Alk olunmadn ya da farkl olduunu dndm szcklerin kullandm karlklarn belirtmenin, belgeyi takip etmeyi kolaylatracan dndm.

account: hesap alias: takma isim brute force attack: kaba kuvvet saldrs bug: bcek boot: (bilgisayar) balatmak cracker: Bilgisayar sistemlerini "kran" kii, krc, korsan. reboot: (bilgisayar) yeniden balatmak attack: saldr attacker: saldrgan buffer overflow: tampon tamas checksum: salama toplam cluster: demet compromise: (gvenliini) bozmak/ihlal etmek cookie: erez / kurabiye cryptology: ifrebilim cryptography: ifreleme cryptanalyst: ifrezmleyici encrypt: ifrelemek decrypt: ifresini zmek/amak exploit: (gvenlik aklarndan) yararlanmak, (gvenlik aklar anlamnda da
kullanlr)

display: grnt

file: dosya filesystem: dosya sistemi firewall: gvenlik duvar / yangn duvar frame: ereve free: cretsiz, zgr free software: zgr yazlm (ounlukla cretsizdir de, ama asl kastedilen yazlm
kullanabilme zgrldr, GPL lisansnda ayrntl bilgi bulabilirsiniz)

gateway: a geidi graphic(s): izgesel hacker: zellikle biliim teknolojileriyle ilgili, belirli bir alanda (rnein gvenlik
alannda) tm ayrntlar renmeye almaktan zevk duyan kii, bilgisayar canavar, bilgisayar kurdu.

host: bilgisayar (aslnda ounlukla, ftp, www, news gibi bir hizmet veren bilgisayar) image: resim intrude: izinsiz girmek intruder: izinsiz giren (kii). intrusion: izinsiz giri link: ba symbolic link: simgesel ba log: gnlk, gnlk tutmak, gnln tutmak. login: (sisteme) giri mail: mektup e-mail (electronic mail): elektronik mektup, e-mektup mail transfer agent: posta datm arac mailbox: posta kutusu mailing list: mektup listesi (haberleme listesi veya elektronik liste olarak da
kullanlr)

mail server: posta sunucusu malicous: kt niyetli man-in-the-middle attack: ortadaki adam saldrs

masquerading: maskeleme mount: (sabit disk blmn bir dizine) balama, balanma node: u netlink: abalants parameter: deitirge parameterize: deitirgelemek partition: sabit disk blm password: parola shadow password: glge parola policy: politika router: yneltici script: betik (inde komutlarn toplu halde bulunduu, altrlabilir olduu halde ikili
yapda deil de metin yapsnda olan dosya)

server: sunucu (makine veya program) sniff: koklamak sniffer: koklayc spam: reklam (Tam olarak "spam mail", nternet'te ounlukla reklam, ounlukla da
ticari reklam amacyla, istek yaplmad halde gnderilen mektuplar anlamnda kullanlr)

spoof: taklit etmek, taklit spoofing: taklit etme site: site (Belgede hem bir bilgisayar, rnein WWW, FTP sitesi gibi, hem de bir
irketin WWW, FTP, NEWS gibi sunucularnn hepsini birden, yani tm bilgisayarlar topluluunu ifade etmek iin kullanlm)

smurf: irin (Aslnda anlam irin deil, fakat smurf szc Trkiye'deki ismi "irinler"
olan "Smurfs" isimli izgi filmden geliyor, smurf szc ngilizce'de de bu izgi filmden nce kullanlan bir anlama sahip deil)

sticky bit: yapkan bit swap: takas text: metin trojan horse: truva at vulnerability: (saldrlara kar) korunmasz olmak, saldrya ak olmak

Ksaltma Karlklar
Belge iinde ekleri olabildiince Trke okunularna eklemeye altm. Yaygn ngilizce okunularn ve anlamlarn ise aada bulabilirsiniz.

BIOS: (bayos) - Basic Input/Output System - Temel Girdi/kt Sistemi CIPE: (sayp) - Cryptographic IP Encapsulation - ifreli IP Sarma DOS: (dos) - Disc Operating System - Disk letim Sistemi DoS: (dos) - Denial of Service - Servis Reddi DDoS: (di dos) - Distributed Denial of Service - (Birden ok bilgisayara) Yaylm Servis
Reddi

FTP: (ef ti pi) - File Transfer Protocol - Dosya Aktarm Protokol IP: (ay pi) - Internet Protocol - nternet Protokol IPSec: (ay pi sek) - IP Security - IP Gvenlii man: (men) - Manual - El Kitab, Kitapk (Unix benzeri iletim sistemlerinin yardm
sistemi)

MIME: (maym) - Multipurpose Internet Mail Extension - okamal nternet Mektup

Uzants

NIS: (nis) - Network Information System - A Bilgi Sistemi NFS: (en ef es) - Network File System - A Dosya Sistemi PAM: (pem) - Pluggable Authentication Modules - Taklabilir Kimlik Dorulama Modlleri PGP: (pi ci pi) - Pretty Good Privacy - Olduka yi (Kiisel) Gizlilik SSL: (es es el) - Secure Sockets Layer - Gvenli Soket Katman ssh: (es es eyc, ama Trke'de es es a) - Secure Shell - Gvenli Kabuk CFS: (si ef es) - Cyrptographic File System - ifreli Dosya Sistemi TCFS: (ti si ef es) - Transparent Cyrptographic File System - effaf ifreli Dosya Sistemi SATAN: (seytn)- Security Administrator's Tool for Analyzing Networks - (eytan) - A
zmlemesi in Yneticinin Gvenlik Arac

VPN: (vi pi en) - Virtual Private Network - Sanal zel A WWW: (bunun telafuzu ok uzuuun bi tartma :), Trke'de ounlukla" ve ve ve"
eklinde, Amerikan ngilizce'sinde ok hzl ve yutarak bir "dabyu dabyu dabyu" :) ) World Wide Web - Dnya apnda rmcek A

Web: (Cem Ylmaz'n mukawwa deyiindeki "w" gibi :), web) - Web (Ksaltma deil) rmcek A

[1]

(eviri konusundaki eletirilerinizi, eklemek istediklerinizi, ya da yanl eviriler konusudaki nerilerinizi tufank (at) gmail.com adresine gnderebilirsiniz. Konu ksmna "Guvenlik NASIL" yazn ki, benim reklam szgecime de yakalanmayasnz :). Cevap alma konusunda da ltfen sabrl olun :) )

[2]

evirinin gncel bir haline de http://www.belgeler.org adresinden ulaabilirsiniz.

[3]

cracker = atlatan, atrtadan, argoda sistemleri "kran" kii, "korsan", ayn zamanda bildiimiz kraker anlamna da gelir. Trke'de kanmca buna en iyi karlk gelen ifade "Bilgisayar Korsan" olsa gerek. Hacker ise, ngilizce gnlk konumada bilgisayar teknolojisinin gelimesinden nce ok yaygn olarak kullanlmayan bir szck. Bilgisayar teknolojosinin yaygnlamas ile birlikte, argoda "Bilgisayar ile ilgili btn konular en ince ayrntsna kadar renmeye almaktan derin bir zevk duyan kii" anlamnda kullanlmaya baland. Yine kanmca Hacker'a en iyi karlk gelen ifade "Bilgisayar Kurdu". Cracker"lar kendilerinin kraker olarak anlmasndan holanmam olacak ki bir sre sonra cracker ve hacker szckleri ayn anlam ifade edecek ekilde kullanlmaya baland. Daha dorusu hacker szc cracker iin kullanlmaya baland. Bilgisayar dnyasndaki terimlerle resmi olmayan ekilde anlatacak olursak: Hacker her eyi bilen, cracker ise sisteme (izinsiz) girendir. Bir sisteme izinsiz girebilmek, yani o sistemi "krabilmek" iin o sistemin btn teknik ayrntlarn bilmek gerekmez. Ak kapnn, ya da zayflklarn nerde olduunu bilmek yeterlidir. Bununla birlikte, bir sistemin btn teknik ayrntlarn biliyorsanz, muhtemelen zayf noktalarn da bilirsiniz, bu yzden en iyi "cracker"lar genelde "hacker"lardan kar. "Lamer" (lame = topal, aksak) ise, zayf noktann bile neresi olduunu anlamadan sisteme girmeye alan kiiye denir :).

[4]

Eer X Windows'u startx komutuyla balattysanz, muhtemelen bunu yapmadan nce sisteme metin konsollarndan birini (ayarlar deitirmediyseniz 6 tane) kullanarak girmisiniz demektir. startx komutu, X Windows'u ounlukla 7. konsolda aar, fakat giri yaptnz konsol kapanmaz. Gelen herhangi birisi <Control>-<Alt> ile birlikte Fonksiyon tularndan birini kullanarak (<Control>-<Alt>-<F1>'den <Control>-<Alt>-<F12>'ye kadar) dier metin konsollara, ve startx ile X Windows'u balattnz konsola gei yapabilir. Bu konsolda <Ctrl>-<C> veya <Ctrl>-<Z> tu kombinasyonunu kullanarak X Windows'u tmden kapatp daha nce giri yapm olduunuz konsolun kabuuna eriim salayabilir. Bunu nlemek iin, xdm, kdm, veya gdm kullanabilirsiniz. Giri yaptktan sonra startx komutunu deil,

xdm; exit
komutunu yazarak X Windows'u balatabilir, daha sonra xdm giri ekranndan giri yapabilirsiniz. Veya bilgisayarnzn daha alta xdm'i yklemesini salayabilirsiniz. Bunun iin /etc/inittab dosyasyla ilgili bilgi aratrmasnda bulunmanz gerekebilir. xdm komutunu kullanmak ounlukla o sistemde root olmay, ve dier baz ayarlar yapm olmay gerektirebilir. Bunun iin Linux datmnzla birlikte gelen belgelere, man sayfalarna, veya Linux-NASIL belgelerine gz atabilirsiniz.

[5]

ngilizce bug (bcek) kelimesi, bilgisayar dnyasnda, yazlmlarn, yazarlar tarafndan nceden tahmin edemedikleri, "alma zamannda", yani "alrken" ortaya kan hatalar kastetmek iin kullanlr. Bununla ilgili anlatlan bir hikaye, bilgisayarlarn henz bir oda byklnde olduu zamanlarda, bir bcein bilgisayarn iine girerek ksa devreye sebep olduu, bylelikle o anda almakta olan "yazlm"n grevini yerine getirememesine yol at eklindedir. Bu olay, ilk "yazlm bcei" olarak anlr. Genelde "bcek" kelimesi, yazlmlarn alrken, ounlukla beklemedikleri veya kontrol etmedikleri bir girdi karsnda ne yapacaklarn bilememeleri, yahut da kendilerine

iletim sistemi tarafndan yasaklanm olan baz eyler yapmaya kalkmalar yznden "gmesi" ile sonulanan "yazlm hatalar" iin kullanlr. Bu yazlm hatalar, nemli bir oranda denetimin yazlm dna kmasna ve iletim sistemine devredilmesine yol aar. Bunu bilen bir saldrgann, yazlmn brakt yerde, iletim sistemi henz devreye girmemiken, denetimi devralarak kendi yararna olan yazlm kodu paracklarn sistem zerinde altrmasna olanak salar. Bu yzden daha nce bahsedilen, yazlm srmlerinin gncel tutulmas zellikle nem kazanmaktadr. nk bir yazlmn bulunmu bcekleri, bir sonraki srm kmadan nce temizlenir. Hatta baz gncellemeler, yazlmn sadece bceklerden temizlenmi olmas iin yaynlanan gncellemelerdir.

Bizzat hesabn meru sahibi tarafndan zarar verilmek istenebilir.

[7]

Bir ok Linux sistemde bunu alias rm="rm -i" komutuyla, rnein sistem genelindeki balang dosyalarnn (/etc/profile gibi) iinde gerekletirebilirsiniz.

[8]

tek bir nokta olan geerli dizin, o anda iinde bulunduunuz dizindir.

[9]

Bu dosya baka bilgisayarlardan ounlukla parolasz balant iin kullanlr. Sadece oluturmamakla kalmayp, zellikle root iin byle bir dosyann olmadndan emin olun. Bir ok saldr, root'un ev dizinine, iinde + + satr bulunan bir .rhosts dosya oluturulmas ile sonulanr, ki bu makinenize her hangi bir bilgisayardan herhangi bir kullancnn parola girmeden root olarak balanabilecei anlamna gelir.

[10]

snrsz

[11]

bit, binary digit (ikili say dzenindeki rakam) ifadesinin ksaltmasdr. kili say dzeninde iki rakam vardr, 1 ve 0.

[12]

Red Hat datmnda, yeni bir kullanc atnz zaman, grubunu belirtmediiniz srece, kullanc ismiyle ayn yeni bir grup alr ve kullanc bu grupta yer alr.

[13]

Dizinde hangi dosyalarn bulunduunu grebilme

[14]

Betikler, ikili dosya trnde olmayp, bildiimiz okunabilir metin dosyalardr. Dier metin dosyalarndan farklar altrlabilme zellikleridir. Bu zellikleri, betiklerin ikili dosya tipleri, yani programlar tarafndan yorumlanmas eklindedir. rnein bash kabuu iin yazlm bir kabuk betii bash program tarafndan, bir perl betii perl program (veya modl) tarafndan, ve bir php betii ise php program (veya modl) tarafndan okunarak, iindeki komutlar yerine getirilir.

[15]

Bir dizin iin altrma bitinin durumu, o dizine

cd veya chdir komutlaryla girilip

girilemeyeceini de belirler.

[16]

Bir baka rnek, dosya gndermenize izin verilen ftp sunuculardr. Burda ayn dizine herkes dosya aktarm yapabilir, ama bir kullancnn koyduu dosyay dier bir kullanc silemez.

[17]

Normalde Unix sistemlerde bir bir program veya kabuk betiini altrarak bir ilem balattnzda, o ilemin kullanc kimlii ve izinleri, balatan kiininkiyle ayndr. Sz konusu dosyann sahip izinleri blmnde SETUID (Set User ID) biti 1 ise, bu, dosya sahibinin kullanc kimliinin, ilemin etkin kullanc kimlii haline getirilmesini salar, ve ilem o dosya sahibinin eriim izinleri ile alr. Bunun pratik olarak anlam udur: Bir dosyann sahibi root ise, ve SETUID biti 1 ise, o dosya altrldnda, altran kii ilemin almas boyunca root olur, ilem bittiinde eski kullanc kimliine (gerek kullanc kimlii) geri dndrlr. Tampon tamalar, programn "gmesine" ve yarm kalmasna sebep olan bceklerdir. Program henz bitmemi olduu iin altran kullanc hala root eriim iznindedir. Bu noktada bir kabuk altrlabilirse bu kii pratik anlamda root'un yapabilecei hereyi yapabilir anlamna gelir.

[18]

SGID - set group id, grup kimliini belirle

[19]

Dizin iindeki dosyalar listelenmez, ama dosyann ismini biliyorsanz, ve dosyann izinleri uygunsa dizinle birlikte dosyann tam yolunu yazdnz takdirde dosyaya erimeniz mmkndr.

[20]

Massachusetts Institute of Technology - Massachusetts Teknoloji Enstits

[21]

ekirdek kaynak dosyalar genelde /usr/src/linux altnda bulunur, make config komutu da bu dizine girdikten sonra verilir. Bahsedilen dosya da make config komutunun verildii dizine gre genelde ./Documentation/ altndadr.

[22]

2.4 ekirdek srmnden itibaren artk bu iki programn yerine iptables kullanlmaktadr.

[23]

NO-USER: KULLANICI-YOK

[24]

MTA: Mail Transfer Agent, Posta Datm Arac

[25]

irin szc iin bkz. Szck Karlklar

[26]

2.4 ve 2.6 ekirdekler iin

iptables

[27]

Krldnz Nasl Anlarsnz, Sonrasnda Ne Yaparsnz? bu konudaki bir baka Trke belge, ve dier gvenlikle ilgili belgeler ile birlikte http://www.ulakbim.gov.tr/dokumanlar/guvenlik/sunumlar.uhtml adresinde duruyor.

[28]

Kitaplar ngilizce olduu iin, ulamak istemeniz durumunda ngilizce referanslarn bulunmas daha iyi olacaktr. Bu yzden referans bilgilerini evirmeden brakmann daha iyi olabileceini dnyorum

[29]

Bu eviride kullanlan ngilizce szckler iin nerdiim Trke karlklar Szck Karlklar blmnde bulabilirsiniz. En azndan bir gz attnzdan emin olun :)

[30]

Bilgisayar, saldrgana servis vermekle o kadar meguldr ki meru kullanclara servis vermeyi reddeder

[31]

Temel olarak, balant yapmaya altnz bilgisayara, IP bilgilerinizi yanl iletmek olarak zetlenebilir

[32]

Yani veriyi gnderen kiinin veriyi gnderdiini daha sonra inkar edememesi