Professional Documents
Culture Documents
Linux Guvenlik Nasil
Linux Guvenlik Nasil
Srm 2.4.1
9 Ekim 2006
Srm 2.4
26 Ocak 2004
Kevin Fenzi <kevin-securityhowto (at) tummy.com> Dave Wreski <dave (at) linuxsecurity.com>
zet Bu belgede, Linux sistem yneticilerinin yzyze geldii gvenlik konularna genel bir bak as, genel gvenlik felsefesi ile birlikte Linux sisteminizi daha gvenli hale getirebilmeniz iin rnekler, ve gvenlik ile ilgili program ve bilgilere daha kolay eriebilmeniz iin referanslar bulunmaktadr. Gelitirme, yapc eletiri, ekleme veya dzeltmelerinizi, ve geribildiriminizi her iki yazara da konu ksmnda "Security HOWTO" yazan bir e-mektup ile (ngilizce olarak) iletebilirsiniz.[1]
indekiler
1. Giri 1.1. Bu Belgenin Yeni Srmleri 1.2. Geribildirim 1.3. Yasal Sorumluluk Reddi 1.4. Copyright Information 1.5. Telif Hakk Bilgisi 2. Genel Bak 2.1. Neden Gvenlie Gereksinim Duyuyoruz? 2.2. "Gvenli", Ne kadar Gvenli? 2.3. Neyi Korumaya alyorsunuz? 2.4. Bir Gvenlik Politikas Gelitirmek 2.5. Sitenizi Gvenli Hale Getirmenin Yollar 2.5.1. Bilgisayar Gvenlii 2.5.2. Yerel A Gvenlii 2.5.3. Karmaklatrma Yoluyla Gvenlik 2.6. Bu Belgenin Dzeni 3. Fiziksel Gvenlik 3.1. Bilgisayar Kilitleri 3.2. BIOS Gvenlii 3.3. Sistem Ykleyici Gvenlii 3.4. xlock and vlock 3.5. Yerel cihazlarn gvenlii 3.6. Fiziksel Gvenlik hlallerini Belirleme 4. Yerel Gvenlik 4.1. Yeni Hesap Ama 4.2. Root Gvenlii 5. Dosyalar ve Dosya Sistemi Gvenlii 5.1. Umask Ayarlar 5.2. Dosya zinleri 5.3. Btnlk Denetimi 5.4. Truva Atlar 6. Parola Gvenlii ve ifreleme 6.1. PGP ve Ak Anahtarl ifreleme 6.2. SSL, S-HTTP ve S/MIME
6.3. Linux IP Gvenlii'nin (IPSec) Hayata Geirilmesi 6.4. ssh (Gvenli Kabuk) ve stelnet 6.5. PAM - Taklabilir Kimlik Dorulama Modlleri 6.6. ifreli IP Sarma (CIPE) 6.7. Kerberos 6.8. Glge Parolalar 6.9. "Crack" ve "John the Ripper" 6.10. CFS - ifreli Dosya Sistemi ve TCFS - effaf ifreli Dosya Sistemi 6.11. X11, SVGA ve Grnt Gvenlii 6.11.1. X11 6.11.2. SVGA 6.11.3. GGI GGI (Genel izgesel Arabirim Projesi) 7. ekirdek Gvenlii 7.1. 2.0 ekirdek Derleme Seenekleri 7.2. 2.2 ekirdek Derleme Seenekleri 7.3. ekirdek Aygtlar 8. A Gvenlii 8.1. Paket Koklayclar 8.2. Sistem servisleri ve tcp_wrappers 8.3. DNS Bilginizi Dorulayn 8.4. identd 8.5. Postfix MTA'nn yaplandrlmas ve gvenli hale getirilmesi 8.6. SATAN, ISS, ve Dier A Tarayclar 8.6.1. Port Taramalarn Alglama 8.7. sendmail, qmail and MTA'lar 8.8. Servis Reddi Saldrlar 8.9. NFS (A Dosya Sistemi) Gvenlii 8.10. NIS (A Bilgi Servisi) (nceki Sar Sayfalar, YP). 8.11. Gvenlik duvarlar 8.12. IP Chains - Linux 2.2.x ekirdek Gvenlik duvar 8.13. Netfilter - Linux 2.4.x ekirdek Gvenlik duvar 8.14. VPN'ler - Sanal zel Alar
9. Gvenlik Hazrl (Balanmadan nce) 9.1. Makinenizin Tam Yedeini Aln 9.2. yi Bir Yedekleme izelgesi Seimi 9.3. Yedeklerizinin Denenmesi 9.4. RPM ve Debian Dosya Veritabannz Yedekleyin 9.5. Sistem Hesap Verilerinizi Takip Edin 9.6. Btn Yeni Sistem Gncellemelerini Uygulayn 10. Gvenlik hlali Srasnda ve Sonrasnda Neler Yaplabilir 10.1. Gvenlik hlali Srasnda 10.2. Gvenlik hlali Sonrasnda 10.2.1. A kapatmak 10.2.2. Hasar Tespiti 10.2.3. Yedekler, Yedekler, Yedekler! 10.2.4. Saldrgan zleme 11. Gvenlikle lgili Kaynaklar 11.1. LinuxSecurity.com Atflar 11.2. FTP Siteleri 11.3. WWW Siteleri 11.4. Mektup Listeleri 11.5. Kitaplar - Basl Eserler 12. Szlk 13. Ska Sorulan Sorular 14. Sonu 15. Teekkrler 16. eviri Hakknda - About Translation 16.1. Trke eviri zerine Aklamalar 16.2. Szck Karlklar 16.3. Ksaltma Karlklar
Giri
Bu belge Linux gvenliini etkileyen ana konular kapsyor, ve genel felsefe ve nternet kaynaklar tartlyor. Baz NASIL belgelerinin gvenlik konusunda ortak olarak ierdii blmler olabilir, uygun olan yerlerde bu belirtilmitir.
Bu belge gncel bir gvenlik aklar listesi deildir. Her geen gn yeni gvenlik aklar ortaya kmaktadr. Bu belge, size daha ok bu gncel bilgilerin nerelerde bulunduunu syleyecek, ve gvenlik aklarn engelleyebilmek iin baz genel yntemlerden bahsedecektir.
Geribildirim
Btn yorumlar, hata raporlar, ek bilgi ve her eit eletiri: kevin-securityhowto (at) tummy.com ve dave (at) linuxsecurity.com adreslerine ynlendirilmeli. Not: Ltfen geribildiriminizi her iki yazara da gnderin. Ayrca, mektubunuzun konu ksmnda "Linux", "security", veya HOWTO" kelimelerinin bulunduguundan emin olun ki, Kevin'in reklam szgecine yakalanmayasnz.
Copyright Information
This document is copyrighted (c)1998-2000 Kevin Fenzi and Dave Wreski, and distributed under the following terms:
Linux HOWTO documents may be reproduced and distributed in whole or in part, in any
medium, physical or electronic, as long as this copyright notice is retained on all copies. Commercial redistribution is allowed and encouraged; however, the authors would like to be notified of any such distributions.
All translations, derivative works, or aggregate works incorporating any Linux HOWTO
documents must be covered under this copyright notice. That is, you may not produce a derivative work from a HOWTO and impose additional restrictions on its distribution. Exceptions to these rules may be granted under certain conditions; please contact the Linux HOWTO coordinator at the address given below.
If you have questions, please contact Tim Bynum, the Linux HOWTO coordinator, at
veya tamamen, oaltlabilir ve datlabilir. Ticari amal datmlara da izin verilir ve tevik edilir; bununla birlikte, byle bir ticari datm gerekleirse, yazarlar bundan haberdar edilmelidir.
Herhangi bir Linux HOWTO (NASIL) belgesini iine alan eviriler, HOWTO (NASIL) belgesi
trevleri, veya bir araya getirme almalar bu Telif Hakk kapsam altnda yaplmaldr. Bu u anlama geliyor: Bir NASIL belgesinden treyen bir alma retip, bu yeni almaya ek kstlamalar getiremezsiniz. Baz artlar altnda bu kurallara istisnalara izin verilebilir, ltfen aada adresi bulunan Linux HOWTO (NASIL) Koordinatr ile iletiime gein.
Sorularnz varsa, ltfen adresi aada bulunan Linux HOWTO (NASIL) Koordinatr Tim
Genel Bak
Bu belge Linux sisteminizi daha gvenli hale getirebilmek iin yaygn olarak kullanlan yazlmlar ve baz yordamlar aklamaya alacak. Balamadan nce, ncelikle baz temel kavramlar tartmak, ve bir gvenlik altyaps oluturmak, bu adan nemli.
niyetle, sizin isteiniz dnda verinizi baka bir ekle sokabilir. "Korsan" [3] da denilen baz saldrganlar sisteminize izinsiz eriim salayabilir, ileri dzey bilgileri kullanarak sizmisiniz gibi davranabilir, sizden bilgi alabilir, hatta kendi kaynaklarnza eriiminizi engelleyebillir. Eer "Bilgisayar Kurdu" ile "Bilgisayar Korsan" arasndaki fark merak ediyorsanz, Eric Raymond tarafndan hazrlanan "Nasl Bilgisayar Kurdu Olunur" belgesini aadaki adreste bulabilirsiniz: http://www.catb.org/~esr/faqs/hacker-howto.html.
saldrgan, dosyalar okuyabilir veya deitirebilir, veya zarara yol aacak programlar altrabilir mi? nemli verileri silebilir mi? Unutmayn: Sizin hesabnza, veya sisteminize eriim salam biri, sizin kiiliinize brnebilir.
Ek olarak, bir sistemde gvensiz bir hesap bulundurmak btn an gvenliinin bozulmasyla sonulanabilir. Eer bir kullancya .rhosts dosyasn kullanarak giri yapma, veya tftp gibi gvensiz bir servisi altrma izni verirseniz, bir saldrgann "kapdan ieri bir adm atmas" riskini gze alm oluyorsunuz. Saldrgan bir kez sizin veya bir bakasnn sisteminde bir kullanc hesab sahibi olduktan sonra, bu hesab dier bir hesaba, veya dier bir sisteme eriim kazanmak iin kullanabilir.
Tehdit, tipik olarak anza veya bilgisayarnza izinsiz eriim salamak iin gdlenmi
birinden gelir. Sisteminize eriim iin kimlere gveneceinize, ve ne gibi tehditler ortaya karacaklarna karar vermelisiniz. eitli saldrgan tipleri vardr, ve bunlarn deiik niteliklerini akldan karmamak, sistemlerinizin gvenliini salamakta yararl olur:
Merakl - Bu tip saldrgan genelde ne eit bir sisteminiz ve veriniz olduunu kefetmek ile ilgilenir. Kt Niyetli - Bu tip saldrgan, sisteminizi almaz hale getirmek, www sayfanzn grnn bozmak, ya da yolat zarar karlayabilmeniz iin sizi zaman ve para harcamaya zorlamak amacyla ortalarda dolar. Byk-lek Saldrgan - Bu tip saldrgan, sisteminizi kullanarak tannp sevilme ve n kazanma peindedir. Byk lekli sisteminizi kullanarak, yeteneklerinin reklamn yapmaya alr. Rekabet - Bu tip saldrgan, sisteminizde hangi verilerin bulunduu ile ilgilenir. Kendisine, parasal veya dier yollarla yararl olabilecek bir eye sahip olduunuzu dnen biri olabilir. dn Alanlar - Bu tip saldrgan, sisteminize "dkkan amak" ve kaynaklarn kendi amalar iin kullanmakla ilgilenir. ounlukla sohbet veya IRC servisleri, porno siteleri, hatta DNS servisleri bile altrabilirler. Zp Zp Kurbaa - Bu tip saldrgan, sisteminizle ilgilenir nk sisteminizden dier sistemlere atlamak istemektedir. Eer sisteminiz dier sistemlere iyi bir balant salyorsa, veya ierdeki dier bilgisayarlara bir a geidi niteliindeyse, bu tip saldrganlarn sistem gvenliinizi ihlal etmeye altklarn grebilirsiniz.
Biri sisteminize girerse tehlikede olan nedir? Elbette, evirmeli a ile PPP balants salayan bir ev kullancs ile makinelern nternete balayan bir irketin, veya dier byk bir an ilgilendikleri farkl olacaktr. Kaybolan herhangi bir veriyi yerine koymak/yeniden yaratmak iin ne kadar zaman gerekirdi? in banda yaplan bir yatrm iin harcanan zaman, daha sonra kaybolan veriyi yeniden yaratmak iin harcanan zamandan on kat daha az olabilir. Yedekleme stratejinizi gzden geirdiniz mi? Son zamanlarda verilerinizi doruladnz m?
Son olarak, gerek hayatta gvenlik politikalar nasl oluyor grmek isterseniz, COAST politika arivine bir gz atmak isteyebilirsiniz: ftp://coast.cs.purdue.edu/pub/doc/policy
Bilgisayar Gvenlii
Belki de sistem yneticilerinin en ok younlat gvenlik alanlarndan biri bilgisayar baznda gvenliktir. Bu, tipik olarak, kendi bilgisayarnzn gvenli olduundan emin olmanz, ve anzdaki btn herkesin de emin olduunu mit etmenizdir. yi parolalarn seilmesi, bilgisayarnzn yerel a servislerinin gvenli hale getirilmesi, hesap kaytlarnn iyi korunmas, ve gvenlik aklar olduu bilinen yazlmn gncellenmesi, yerel gvenlik yneticisinin sorumlu olduu iler arasndadr. Bunu yapmak mutlak ekilde gereklidir, fakat anzdaki bilgisayar says arttka, gerekten yldrc bir i haline dnebilir.
Yerel A Gvenlii
A gvenlii, en az bilgisayarlarn gvenlii kadar gerekli olan bir kavramdr. Ayn a zerindeki yzlerce, binlerce, hatta daha fazla bilgisayarla, gvenliinizi her birinin tek tek gvenli oluu zerine kuramazsnz. Anz sadece izin verilen kullanclarn kullandn garanti altna almak, gvenlik duvarlar oluturmak, gl bir ifreleme kullanmak, ve anzda "yaramaz" (yani gvensiz) makineler bulunmadndan emin olmak, gvenlik yneticisinin grevlerinin bir parasdr. Bu belgede sitenizi daha gvenli bir hale getirmek iin kullanlan teknikleri tartacaz, ve bir saldrgann korumaya altklarnza eriim salamasn engellemek iin gereken yollardan bazlarn gstermeye alacaz.
Bu Belgenin Dzeni
Bu belge, bir takm blmlere ayrlmtr. Bu blmlerde kapsam geni olan gvenlik konular yer almaktr. lkin, Fiziksel Gvenlik, makinenizi fiziksel bir zarar grmekten nasl korumanz gerektiini kapsyor. kinci olarak, Yerel Gvenlik, sisteminizin yerel kullanclar tarafndan kartrlmasnn nasl engelleneceini aklyor. ncs, Dosyalar ve Dosya Sistemi Gvenlii, dosya sistemlerinizi ve dosyalar zerindeki eriim haklarnn nasl dzenlenmesi gerektiini aklyor. Sonraki blm, Parola Gvenlii ve ifreleme, makinenizi ve anz daha iyi bir ekilde gvenli hale getirmek iin ifrelemenin nasl kullanldn tartyor. ekirdek Gvenlii blmnde ise daha gvenli bir sistem iin farknda olmanz gereken ekirdek seenekleri anlatlyor. A Gvenlii, Linux sisteminizi a saldrlarna kar nasl gvenli hale getirebileceiniz hakknda bilgi ieriyor. Gvenlik Hazrl (Balanmadan nce), makine(leri)nizi, aa bal hale getirmeden nce nasl hazrlamanz gerektiini anlatyor. Sonraki blm, Gvenlik hlali Srasnda ve Sonrasnda Neler Yaplabilir , sistemizi bozmaya alma eylemi o an devam etmekte ise, veya byle bir eylemin yakn zamanda gerekletiini rendiinizde neler yapabileceiniz konusunu tartyor. Gvenlikle lgili Kaynaklar, blmnde baz gvenlik ile ilgili bilgilere eriim salanabilecek balca kaynaklarnn neler olduu sralanyor. Ska Sorulan Sorular, blm sk sk sorulan baz sorularn cevaplarn ieriyor, ve son olarak Sonu blm yer alyor. Bu belgeyi okurken farknda olunmas gereken iki ana konu:
Sisteminizde neler olup bittiinin farknda olun.
/var/log/messages gibi sistem kaytlarnz dzenli olarak gzden geirin ve gznz daima sisteminizin zerinde olsun.
yazlmla ilgili gvenlik uyarlarn takip ederek gereken gncellemeleri zamannda yapn. Sadece bunu yapmak bile sisteminizi kayda deer ekilde daha gvenli hale getirecektir.
Fiziksel Gvenlik
Gvenliin dikkate almanz gereken ilk katman bilgisayar sistemlerinizin fiziksel gvenliidir. Makinenize kimler dorudan eriim salayabiliyor? Salamallar m? Makinenizi kurcalamalarn engelleyebiliyor musunuz? Engellemeli misiniz? Sisteminizde ne kadar fiziksel gvenlie gereksinimiz olduu, durumunuza ve/veya btenize baldr. Eer bir ev kullanc iseniz, byk olaslkla ok fazla gereksiniminiz yoktur (tabii ki makinenizi ocuklardan veya rahatsz edici akrabalarnzdan korumanz gerektiini dnebilirsiniz). Eer bir laboratuvardaysanz, ciddi anlamda daha fazlasna ihtiyacnz vardr, ama kullanclarn da ayn zamanda ilerini makineler zerinde yapabilmesi gerekir. zleyen blmler bu konuda yardm etmeye alacak. Eer bir ofisteyseniz, makinenizi mesai saatleri dnda, veya makinenizin banda deilken daha gvenli hale getirmeye ihtiyacnz olabilir veya olmayabilir de. Baz irketlerde, konsolun gvensiz bir durumda braklmas iten karlma sebebi olabilir. Kilitler, (elektrikli) teller, kilitli dolaplar, ve kamerayla izleme gibi apak yntemlerinin hepsi iyi fikir olmakla birlikte bu belgenin konusu tesindedir. :) fiziksel gvenlik
Bilgisayar Kilitleri
Yeni PC'lerin ounda bir "kilitleme" zellii bulunur. Genellikle bu, kasann nnde yer alan ve beraberinde gelen anahtar kullanlarak alp kapanabilir bir kilittir. Kasa kilitleri PC'nizin alnmasn, ya da kasann alarak donanmnza dorudan bir mdahele edilmesini veya paralarn alnmasn engeller. Baz durumlarda bilgisayarnzn kapatlp, disket veya baka donanm ile yeniden almasnn engellenmesini de salayabilirler. Bu kasa kilitleri, ana karttaki destee, ve kasann nasl yapldna gre deiik eyler de yapabilir. Baz PC'lerde bu kilitler ylesine yaplmtr ki kasay amak iin krmanz gerekir. Dier baz PC'lerde ise, yeni bir klavye ya da fare takmanza izin vermezler. Bununla ilgili bilgiyi
kasanzn veya ana kartnzn kullanm rehberinde bulabilirsiniz. Kilitler genelde dk kalitelidir ve uygun bir maymuncukla kolayca alabilirler, ama buna ramen baz durumlarda gerekten etkili bir koruma yntemi olabilirler. Baz makinelerin (SPARClar ve Mac'ler dikkate deer), arka taraflarnda iinden bir telin geebilecei iki tane delik vardr. inden bir tel geirdiinizde, saldrganlar kasay aabilmek iin teli kesmek veya kasay krmak zorunda kalrlar. Bir asma kilit veya bir ifreli kilit takmak bile makinenizin alnmasnda olduka caydrc olabilir.
BIOS Gvenlii
BIOS, x86 tabanl donanmz ynlendiren ve ayarlarn yapan en alt dzeydeki yazlmdr. LILO ve dier Linux sistem ykleme yntemleri, Linux makinenizin nasl alacana karar vermek iin BIOS'a eriir. Linux'un alt dier donanmlarda da benzer bir yazlm bulunur (Mac'lerde OpenFirmware ve yeni Sun'larda Sun boot PROM'u gibi). BIOS'unuzu kullanarak saldrganlarn bilgisayarnz kapatp amasn, ve Linux sisteminizi ynlendirmesini engelleyebilirsiniz. Bir ok BIOS bir parola ayar yapmanza izin verir. Bu o kadar da ok gvenlik salamaz (BIOS sfrlanabilir, veya kasa alarak karlabilir), ama iyi bir caydrc etken olabilir (yani zaman alacak ve kurcalamann izleri kalacaktr). Benzer ekilde, s/Linux (SPARC(tm) ilemcili makineler iin Linux) sisteminizde, al parolas iin EEPROM'unuzu kullanabilirsiniz. Bu saldrganlar yavalatacaktr. BIOS parolalarna gvenmenin dier bir riski varsaylan parola sorunudur. ou BIOS reticisi, insanlarn parolalarn unuttuklarnda bilgisayarlarn ap pilleri karmasn beklemedii iin, BIOS'lara, seilen paroladan bamsz bir parola koymutur. Bu parolalardan yaygn olarak kullanlanlar: j262 AWARD_SW AWARD_PW lkwpeter Biostar AMI Award bios BIOS setup cmos AMI!SW1 AMI?SW1 password hewittrand shift + s y x z Ben Award BIOS iin olan AWARD_PW parolasn denedim ve alt. Bu parolalar reticilerin WWW sayfalarndan ve http://astalavista.box.sk adresinden kolaylkla ulalabilir durumdadr ve byle olduu iin de BIOS parolasnn yeterince bilgili bir saldrgana kar yeterli bir koruma olduu dnlemez. ou x86 BIOS'u, dier baz gvenlik ayarlarna sahiptir. BIOS kitapnza bakabilir, veya bir sonraki alta BIOS'a girerek ne tr ayarlar olduunu gzden geirebilirsiniz. rnein, baz BIOS'lar disket srclerden sistem yklenmesine izin vermez, bazlar da BIOS'un baz zelliklerinin kullanlmas iin bir parola gerektirir. Not: Makineniz sunucu grevi yapyorsa, ve bir al parolas koyduysanz, makineniz banda kimse olmad zaman almayacaktr. rnein bir elektrik kesilmesi durumunda makinenin almas iin bana giderek parolay girmeniz gerekecek ;(
password=password Her imge (ekirdek imgesi) iin ayarlanabilir olan `password=...' seenei (a aya bakn) btn imgeler iin geerlidir. restricted
Her imge (ekirdek imgesi) iin ayarlanabilir olan `restricted' seenei (a aya bakn) btn imgeler iin geerlidir. password=password mgeyi bir parola ile korur. restricted Sadece komut satrnda seenekler belirtilirse (rnein single) bir parola girilmesini gerektirir.
Parolalar belirlerken bir gn onlar hatrlamanz gerekeceini aklnzdan karmayn :). Ayrca bu parolalarn kararl bir saldrgan sadece yavalatacan da unutmayn. Parolalar birinin sistemi disketle ap sabit disk blmnz balamasn engellemez. Eer al balamnda bir gvenlik uyguluyorsanz, o zaman BIOS'tan disketten al da engelleyip, BIOS'u da bir parola ile koruyabilirsiniz. Aklnzdan karmamanz gereken bir dier konu da /etc/lilo.conf dosyasnn eriim izinlerinin "600" olmas gerektiidir. Aksi takdirde dierleri parolanz okuyabilir! GRUB bilgi sayfasndan: GRUB, sadece yneticilerin etkileimli ilemleri balatabilmesi (rnein men girilerini dzenlemek ve komut-satr arayzne girebilmek) iin "password" zellii sunmaktadr. Bu zellii kullanmak iin, yaplandrma dosyanzda 'password' komutunu aadaki gibi altrmalsnz (*note password::) password --md5 PASSWORD Eer bu belirtilirse, <p> tuuna basp doru parolay girene dek GRUB tm etkileimli denetimlere izni kstlar. '--md5' seenei GRUB'a 'PASSWORD'n MD5 formatnda olduunu syler. Eer girilmezse, GRUB 'PASSWORD'n ak metin olduunu varsayar. Parolanz 'md5crypt' komutu ile ifreleyebilirsiniz.(*note md5crypt::). rnein, grub kabuunu balatn (*note Invoking the grub shell::), parolanz girin: grub> md5crypt Password: ********** Encrypted: $1$U$JK7xFegdxWH6VuppCUSIb. Sonra da ifrelenmi parolay kopyalayp yaplandrma dosyanzn iine yaptrn. Grub'da ayn zamanda doru parolay girmediinizde disk blmn kitlemeye olanak salayan 'lock' komutu da vardr. Basite 'lock' szcn ekleyin ve disk blmn parola salanmadan eriilemez olacaktr. Eer farkl bir sistem ykleyici hakknda herhangi biri gvenlikle ilgili bilgiye sahipse duymaktan memnun oluruz ( grub, silo, milo, linload, vb). Not: Makineniz sunucu grevi yapyorsa, ve bir al parolas koyduysanz, makineniz banda kimse olmad zaman almayacaktr. rnein bir elektrik kesilmesi durumunda makinenin almas iin bana giderek parolay girmeniz gerekecek ;(
xlock bir X grnt kilidi. X'i destekleyen tm Linux datmlarnda muhtemelen bulunuyordur.
Tm seenekler hakknda bilgi almak iin man (yardm) sayfasna bir gz atmanz gerekebilir, ama genellikle xlock'u konsolunuzdaki herhangi bir xterm'den altrabilirsiniz. xlock bir kere alt m grnty kitler ve kilidin kalkmas iin parolanz girmenizi gerektirir.
Kayp gnlkler.
Sistem gnlk verisini, bu belgede daha sonra Sistem Hesap Verilerinizi Takip Edin blmnde tartacaz.
Yerel Gvenlik
yle bir gz atlmas gereken sonraki konu, yerel kullanclardan gelen saldrlara kar sistem gvenliiniz konusu. Kullanclarn yerel olduunu syledik mi? Evet! Sistem saldrganlarnn root hesabna giden yollarndaki ilk eylerden bir tanesi yerel bir kullanc hesabna eriim elde etmektir. Bu saldrganlar, gevek bir yerel gvenlik ile, kt ayarl bir yerel servis veya eitli "bceklerden" [5] yararlanarak, normal kullanc eriimlerini root eriimine "terfi ettirir". Eer yerel gvenliinizin sk olduundan emin olursanz, saldrgann zerinden atlamas gereken baka bir it daha oluturmu olursunuz. Yerel kullanclar, gerekten syledikleri kii olduklar durumda bile sistem zerinde fazlaca kargaa yaratabilir. [6] Tanmadnz insanlara, veya iletiim bilgilerine sahip olmadnz birine hesap amak, gerekten ok kt bir fikirdir.
bilgisayar ve alarda ayn kullanc isminin kullanlmas, hesabn bakmn kolaylatrmas, ve gnlk verisinin daha kolay zmlenmesi asndan tavsiye edilir.
sorumluluk mekanizmas da salar, ve bu birden fazla kiinin kulland grup hesaplaryla mmkn deildir. hata
Gvenlik ihlallerinde kullanlan bir ok yerel kullanc hesab, aylardr kullanlmayanlardr. Kimse onlar kullanmad iin, ideal bir saldr aracdrlar.
yllardr
Root Gvenlii
Makinenizdeki, peinden en fazla koulan hesap root (stn kullanc) hesabdr. Bu hesap btn makine zerinde yetki salamasnn yan sra, adaki dier makineler zerinde de yetki salyor durumda olmas mmkndr. Unutmayn ki root hesabn, sadece zel iler iin ve ok ksa sreliine kullanmalsnz, geri kalan zamanlarda normal kullanc olarak ilerinizi yrtmelisiniz. Root kullancs olarak sisteme giri yaptnzda, yaptnz kk hatalar dahi sorunlara yol aabilir. Root hesabyla ne kadar az zaman harcarsanz, o kadar gvende olursunuz.
Dier kullanclarn Linux makinenize meru bir eriim salamasna izin verirken esas olarak alnabilecek baz kurallar: Karmak bir komut kullanrken, komutu ilk nce ykc olmayan baka bir ekilde kullanmay deneyin... zellikle komutun geni apl kullanmnda... rnein rm foo*.bak, yapmak istiyorsanz, nce ls foo*.bak komutunu kullanarak, silmek zere olduunuz dosyalarn, silmeyi dndnz dosyalar olduundan emin olun. Bu tr tehlikeli komutlarn kullanmnda, komutlar yerine echo kullanmak da zaman zaman ie yarayabilir.
Kullanclarnza,
Sadece belirli, tek bir ii yapmanz gerektii zamanlarda root olun. Eer kendinizi bir
eyin nasl yapldn tahmin etmeye alrken bulursanz, normal kullanc hesabnza geri dnp, root tarafndan neyin yaplacandan emin olmadan nce root kullancsna dnmeyin.
girdiiniz herhangi bir komut ya da programn hangi dizinlerde aranacan belirtir. Root kullancs iin komut yolunu olabildiince snrlandrmaya aln, ve asla . dizinini eklemeyin ("geerli dizin" anlamna gelir [8]. Ek olarak, komut yolunuzda, yazlabilen dizinler bulundurmayn, nk bu saldrganlarn bu dizinler iine, bir sonraki sefer kullandnzda root eriim izniyle alacak olan yeni altrlabilir dosyalar koyabilmesi anlamna gelir.
Asla rlogin/rsh/rexec aralarn (r-aralar olarak adlandrlrlar) root olarak kullanmayn.
nk bunlar, ok eitli saldrlara ak komutlardr, dolaysyla root olarak altrldklarnda ok daha tehlikeli hale gelirler. Asla root iin .rhosts dosyas oluturmayn. [9]
etkileyebilir. Tulara dokunmadan nce dnn! Eer birine (umarz gvenilir biridir), mutlak surette root hesabn kullanmas iin izin vermeniz gerekiyorsa, yardmc olabilecek bir ka ara var. sudo, kullanclarn, parolalarn kullanarak snrl sayda komutu root olarak altrmalarna izin verir. Bu, rnein, bir kullancnn, ayrlabilir medyann balanmas veya karlmas iini, dier root yetkilerini kullanamadan yapabilmesi anlamna gelebilir. sudo ayn zamanda, baarl ve baarsz sudo denemelerinin bir gnln tutar, bu ekilde kimin ne yapmak iin bu komutu kullandn izlemeniz mmkn hale gelir. Bu sebeple sudo, birden fazla kiinin root eriimi olduu yerlerde bile iyi bir i yapar, nk deiikliklerin takip edilmesinde yardm etmi olur.
sudo belirli kullanclara belirli yetkiler vermekte yararl olmasna ramen, baz eksiklikleri
vardr. Sadece snrl bir takm ilerde kullanlmak zorundadr, rnein bir sunucuyu yeniden balatmak, veya yeni kullanclar eklemek gibi. sudo ile altrlan, ve kabua kmaya izin veren her program, sisteme root eriimi salam olur. Buna rnek olarak bir ok metin dzenleyici gsterilebilir. Ayrca,/bin/cat kadar zararsz bir program bile, dosyalarn zerine yazmakta, ve root eriimi salamakta kullanlabilir. sudo programn, yaplan iten kimin sorumlu olduunun izlenilmesi iin kullanlan bir programm gibi dnn, ve hem root kullancsnn yerine gemesini hem de gvenli olmasn beklemeyin.
/etc/exports dosyasnda en fazla snrlandrma salayan seenekleri kullandnzdan emin olun. Bu, genel karakter kullanlmamas, root kullancsna yazma izninin verilmemesi, ve mmkn olduu yerlerde saltokunur ekilde da almas anlamna geliyor. umask'ini mmkn olduu kadar snrl tutun. Bkz. Umask
sistemini kullanarak dosya sistemlerini balyorsanz, Ayarlar.
Eer,
NFS
gibi
bir
dosya
/etc/exports dosyasnda uygun snrlama ayarlarn yaptnzdan emin olun. Tipik olarak, nodev, nosuid, ve belki de noexec gerekli olanlardr.
Dosya sistemlerinin snrlar belirleyin, varsaylan
ayarna izin vermeyin. snrlar, kaynak-limitleri PAM modln kullanarak, ve /etc/pam.d/limits.confdosyasndaki ayarlar aracl ile yapabilirsiniz. rnein, users grubu iin snrlar u ekilde olabilir:
unlimited
[10]
Kullanc
bazndaki
0 50 5000
Burda sylenen, core dosyalarnn yasaklanmas, ilem saysnn 50 ile snrlanmas, ve bellek kullanmnn 5M ile snrlandrlmasdr. Ayn snrlamalar,
The
/var/log/wtmp ve /var/run/utmp osyalar sisteminizdeki tm kullanclarn sisteme giri bilgilerini ierir. Bu dosyalarn btnlkleri korunmaldr, nk bir kullancnn (ya da bir saldrgann) ne zaman ve nereden giri yaptn belirlemede kullanlabilirler. Bu dosyalarn eriim izinleri, olaan ilevlerini gerekletirmelerine engel olmayan 644 olmaldr.
deimez biti kullanlabilir. Bu ayrca, dosyaya bir engelleyecektir. Deimez biti ile ilgili daha fazla bilgi iin simgesel ba oluturulmasn da
Korunmas gereken bir dosyann kazara silinmesi veya zerine yazlmasn nlemek iin
Sisteminizdeki SUID ve SGID dosyalar, potansiyel bir gvenlik riski oluturur ve yakndan
izlenmelidir. Bu programlar, onlar altran kullancya zel yetkiler verdii iin, gvensiz programlarn kurulu olmadndan emin olmak gereklidir. Korsanlarn gzde bir numaras da SUID-root programlarndan yararlanarak, bir sonraki girilerinde arkakap olarak kullanmak zere bir SUID program yerletirmektir. Bu ekilde asl ak kapatlsa bile yeni arka kap sayesinde sisteme giri yapabilirler. Sisteminizdeki btn SUID/SGID programlar bularak ne olduklarn izleyin. Bylelikle, bir deiiklik olduunda, ki bu deiiklikler potansiyel bir saldrgann gstergesi olabilir, haberiniz olmu olur. Sisteminizdeki btn SUID/SGID programlar bulmak iin aadaki komutu kullanabilirsiniz:
root#
Debian datm, hangi SUID programlarnn bulunduunu belirlemek iin her gece bir i altrr. Daha sonra bunu bir nceki gece ile karlatrr. Bu gnlk iin /var/log/setuid* dosyalarna bakabilirsiniz. pheli bir programdaki SUID ve SGID eriim izinlerini chmod ile kaldrabilir, daha sonra mutlak ekilde gerektiini hissederseniz tekrar yerine koyabilirsiniz.
Herkes tarafndan yazlabilir dosyalar, zellikle sistem dosyalar, bir korsan sisteminize eriir ve
zerlerinde deiiklik yaparsa bir gvenlik a haline gelebilir. Ayrca herkes tarafndan yazlabilir dizinler de tehlikelidir, nk bir korsann istedii gibi dosya ekleme ve silmesine izin verir. Sisteminizdeki herkes tarafndan yazlabilen dosyalar bulmak iin, aadaki komutu kullann:
olmayan veya hibir gruba ait olmayan dosyalar aadaki komut ile bulabilirsiniz:
yaptnz anladnzdan emin olun. Sadece baz ilerin daha kolay olduunu dndnz iin bir dosyann eriim izinlerini deitirmeyin. Daima deitirmeden nce neden o dosyann o izinlere sahip olduunu belirleyin.
Umask Ayarlar
The umask komutu, sistem zerinde varsaylan dosya yaratma kipini belirlemek amacyla kullanlabilir. stenen dosya kipinin sekizli say dzeninde tmleyicisidir. Eer dosyalar, eriim ayarlarna bakmakszn oluturulursasa, kullanc dikkatsizce, okuma veya yazma izni olmamas gereken birine bu izinleri verebilir. Tipik umask ayarlar, 022, 027, ve 077 (en fazla snrlama budur) ayarlardr. Normal olarak, umask /etc/profile dosyasnda belirlenir, dolaysyla btn kullanclar iin geerlidir. Ortaya kan izin u ekilde hesaplanabilir: kullanc/grup/dierleri iin olan varsaylan izin (dizinler iin 7, dosyalar iin 6), umask'in mantksal DELi ile bit baznda VE mantksal ilemine sokulur.[11] rnek 1: dosya, varsaylan 6, ikili : 110 umask, (rn. 2): 010, DEL: 101 ortaya kan izin, VE: 100 (eittir 4, r__)
rnek 2: dosya, varsaylan 6, ikili : 110 umask, (rn. 6): 110, DEL: 001 ortaya kan izin, AND: 000 (eittir 0, ___) rnek 3: dizin, varsaylan 7, ikili : 111 umask, (rn. 2): 010, DEL: 101 ortaya kan izin, VE: 101 (eittir 5, r_x) rnek 4: dizin, varsaylan 7, ikili : 111 umask, (rn. 6): 110, DEL: 001 ortaya kan izin, VE: 001 (eittir 1, __x)
Dosya zinleri
Sistem dosyalarnzn, kullanclar tarafndan, ve sistem dosyalarnn bakmndan sorumlu olmayan kiiler tarafndan almadn garanti altna almak nemlidir. Unix, dosya ve dizinlerdeki eriim denetiminde ayr zellie gre salar: sahip, grup, ve dier. Bir dosyann her zaman bir sahibi ve grubu vardr, geriye kalan herkes "dier" zelliine sahiptir. Unix izinlerini ksaca aklayacak olursak: Sahiplik - Hangi kullanc(lar) ve grup(lar), dosyann (veya dizin/st dizinin) izin haklarn denetim altnda tutuyor? zinler - Kimi eriim tiplerine msade etmek iin 1 veya 0 olabilen bitler. Dosyalarn izinleri, dizinlerinkinden farkl anlamlar tar. Okuma: Dosyann ieriini grebilme
Dizini okuyabilme. [13]
[14]
Metin Sakla Nitelii: (Dizinler iin) "Yapkan bit" dizinlere ve dosyalara uygulandnda farkl anlamlar tar. Eer bir dizinin yapkan biti 1 ise, bir kullanc o dizinde yeni bir dosya oluturabilir, fakat dizindeki dier dosyalar, kendine ait olmad veya ak bir ekilde izin verilmedii srece silemez. Bu bit, /tmp gibi herkesin yazabilecei, ama dier hibir kullancnn bakalarnn dosyalarn silmemesinin salanmas gereken dizinler iin tasarlanmtr. Uzun dizin listesinde yapkan bit t olarak grnr. [16] SUID Nitelii: (Dosyalar iin) Bu, dosyann "kullanc-kimlii-belirle" izinleriyle ilgilidir. Eer sahip izinleri blmnde bu bit 1 ise, ve dosya altrlabilir bir dosya ise, alan sreler sistem kaynaklarna, ilemi balatan kiinin deil, dosya sahibinin kimliinde eriim salar. Bu, bir ok "tampon tamas" aklarnn da sebebidir. [17] SGID Nitelii: (Dosyalar iin) Bu bit grup izinlerinde 1 ise, dosyann "grup-kimlii-belirle" durumunu denetler. Bu kullanc-kimlii-belirle biti ile ayn ekilde alr, fakat bu kez grup kimlii etkilenir. Bu bitin etkili olabilmesi iin dosyann altrlabilir olmas arttr.[18] SGID Nitelii: (Dizinler iin) Eer bir dizinin bu bitini 1 yaparsanz (chmod g+s dosyalarn gruplar, bu dizinin grubu ile ayn olacaktr. Siz - Dosyann sahibi Grup - Ait olduunuz grup Herkes - Sizin ve grubunuzun dier yelerinin dnda kalan herkes. Dosya rnei:
-rw-r--r-- 1 kevin users 114 Aug 28 1997 .zlogin 1. bit - dizin mi? (hayr) 2. bit - sahibi okuyabilir mu? (evet, kevin ) 3. bit - sahibi yazabiliyor mu? (evet) 4. bit - sahibi altrabiliyor mu? (hayr) 5. bit - grup yeleri okuyabilir mu? (evet, users) 6. bit - grup yeleri yazabiliyor mu? (hayr) 7. bit - grup yeleri altrabiliyor mu? (hayr) 8. bit - herkes okuyabiliyor mu? (evet) 9. bit - herkes yazabiliyor mu? (hayr) 10. bit - herkes altrabiliyor mu? (hayr)
Aadaki satrlar, dosyalar iin aklanan eriim izinlerinin uygulanabilmesi iin verilmesi gereken en az izinlerin rnekleridir. Herhangi birine burdakilerden daha fazla izin vermek isteyebilirsiniz, fakat bunlarn en azlar aklanmaktadr:
-r-------- Sahibinin dosyay okumasna izin verir. --w------- Sahibinin dosyay dei tirmesine veya silmesine izin verir. (Dosyann iinde bulunduu dizine yazma hakk olan herkes, dosyann zerine yazabilir, dolaysyla dosyay silebilir)
---x------ Sahibi programlar altrabilir. Kabuk betiklerini al tramaz, nk onlar iin de okuma izni olmaldr. ---s------ Etkin kullanc kimliini dosya sahibinin kullac kimlii haline getirir. --------s- Etkin grup kimliini dosyann grup kimlii haline getirir. -rw------T "Son dei tirilme zaman" gncellenmez. Genelde takas dosyalar iin kullanlr. ---t------ Etkisi yoktur. (nceleri yap kan bit olarak kullanlrd)
Dizin rnei:
drwxr-xr-x 3 kevin users 512 Sep 19 13:47 .public_html/ 1. bit - dizin mi? (evet, bir ok dosyaya sahip) 2. bit - sahibi okuyabilir mu? (evet, kevin) 3. bit - sahibi yazabiliyor mu? (evet) 4. bit - sahibi al trabiliyor mu? (evet) 5. bit - grup yeleri okuyabilir mu? (evet, users) 6. bit - grup yeleri yazabiliyor mu? (hayr) 7. bit - grup yeleri al trabiliyor mu? (evet) 8. bit - herkes okuyabiliyor mu? (evet) 9. bit - herkes yazabiliyor mu? (hayr) 10. bit - herkes al trabiliyor mu? (evet)
Aadaki satrlar, dosyalar iin aklanan eriim izinlerinin uygulanabilmesi iin verilmesi gereken en az izinlerin rnekleridir. Herhangi birine burdakilerden daha fazla izin vermek isteyebilirsiniz, fakat bunlarn en azlar aklanmaktadr:
dr-------- Dizin ierii listelenebilir, fakat dosya nitelikleri okunamaz. d--x------ Dizine girilebilir, ve tam al trma yollarnda kullanlabilir [19] dr-x------ Dosya nitelikleri sahip tarafndan okunabilir. d-wx------ Dosyalar, dizinin iine girilmeksizin yaratlabilir/silinebilir. d------x-t Dosyalarn yazma hakk olan dierlerince silinmesini engeller. /tmp dizininde kullanlr. d---s--s-- Bir etkisi yoktur.
Sistem yaplandrma dosyalar (genelde /etc iinde) , genelde 640kipindedir (-rw-r-----), ve sahipleri root'tur. Sitenizin gvenlik gereksinimlerine bal olarak, bunun zerinde deiiklik yapmak isteyebilirsiniz. Asla herhangi bir sistem dosyasn grup veya herkes tarafndan yazlabilir durumda brakmayn. Baz yaplan dosyalar, /etc/shadow da buna dahildir, sadece root tarafndan okunabilir durumda olmal. /etc iindeki baz dizinler de en azndan dier kullanclar tarafndan eriilemez olmal. SUID Kabuk Betikleri SUID kabuk betikleri, ciddi bir gvenlik riskidir, ve bu sebeple ekirdek tarafndan ho karlanmazlar. Bir kabuk betiinin ne kadar gvenli olduunu dnrseniz dnn, bir korsan ondan yararlanarak bir root kabuuna eriebilir.
Btnlk Denetimi
Yerel (ve a) saldrlarn ortaya karmann ok iyi bir yolu da bir btnlk denetleyici, rnein Tripwire, Aide veya Osiris. gibi bir program altrmaktr. Bu btnlk denetleyiciler, btn nemli ikili dosyalarnzn zerinde bir salama toplam hesaplar, ve dosyalar iyi durumda olduklarndaki toplamlarla karlatrr. Sonu olarak, dosyalardaki deiiklikler farkedilebilir. Bu tr programlar bir diskete kurmak, ve disketin yazma korumasn kapatmak iyi bir fikirdir. Bu yolla saldrganlar btnlk denetleyicisinin kendisini veya veritabann kurcalayamazlar. Bir kere bunun gibi bir dzeneiniz olduktan sonra, bu dzenei normal ynetim grevleriniz arasnda kullanmak, ve deien bir eyler olup olmadn grmek de iyi bir fikirdir. Hatta, crontab 'a denetleyicinizin her gece disketten almas iin bir girdi ekleyebilir, ve sabaha sonularn gzden geirebilirsiniz. Aadaki gibi bir ey size her sabah 5:15'te bir raporu mektup olarak yollar:
Truva Atlar
Truva Atlarnn ismi Virgil'in "Aenid"indeki nl numaradan gelmektedir. Bunun arkasndaki fikir, bir korsann, kulaa ok ho gelen bir program veya ikili dosya datp, dier insanlarn dosyay indirmesi ve root olarak altrmasn tevik etmesidir. altrlan program, sistem gvenliini dikkat ekmeden ihlal eder. nsanlar indirdikleri ve altrdklar dosyann tek bir ey yaptn (ve bunu ok iyi yapyor da olabilir) dnrler, ama program bir taraftan gvenlie de zarar vermekle meguldr. Makinenize hangi programlar kurduunuza dikkat edin. Red Hat, RPM dosyalar iin, programn gereini kurduunuzu dorulayabilmeniz amacyla, MD5 salama toplamlar ve PGP imzalar salar. Dier datmlar da benzer yntemler kullanr. Asla bilmediiniz, kaynak kodu elinizde bulunmayan bir ikili dosyay, root olarak altrmayn! ok az saldrgan kaynak kodlarn halka ak hale getirir. Karmak olabilir, fakat bir programn kaynak kodunu gerek datm sitesinden aldnza emin olun. Eer program root olarak alacaksa, gvendiiniz birinin kaynak koduna bakmasn ve dorulamasn salayn.
ifrelemenin derinlemesine tartlmas bu belgenin konusu tesindedir, ama bir giri yaplabilir. ifreleme gerekten yararldr, hatta bu zaman ve ada gereklidir de. ifrelemenin bir ok yntemi vardr ve her biri kendi zellikler kmesini birlikte getirir. Bir ok Unix (ve Linux bir istisna deil), parolalarnz ifrelemek iin ounlukla tek ynl, DES (Data Encryption Standard - Veri ifreleme Standard) adnda bir algoritma kullanr. ifrelenmi parola (tipik olarak)/etc/passwd veya (daha az sklkla) /etc/shadowdosyasnn iinde tutulur. Sisteme giri yapmaya kalktnzda, girmi olduunuz parola tekrar ifrelenir, ve parola dosyalarnn iindeki ile karlatrlr. Eer uyarsa, o zaman ayn parola olmal demektir, ve eriime izin verilir. DES aslnda iki ynl bir ifreleme algoritmasdr (doru anahtar olduunda, bir mesaj ifreleyebilir veya ifreli bir mesajn ifresini zebilirsiniz). Bununla beraber, DES'in Unixler zerindeki deiik biimi tek ynldr. Bunun anlam, /etc/passwd (veya /etc/shadow) dosyasnn iindeki ifrelenmi parolaya bakarak, ifreleme algoritmasn tersine evirmek yoluyla parolay bulmak mmkn olmamaldr. "Crack" veya "John the Ripper" (Bkz. "Crack" ve "John the Ripper") programlarnda olduu gibi kaba kuvvet saldrlar, parolanz yeterince rastgele deilse bulabilir. PAM modlleri (aada), parolalarnz ile birlikte baka bir ifreleme algoritmasnn kullanlmasna izin verir (MD5 vb.). Crack programn kendi lehinizde de kullanabilirsiniz. Kendi parola veritabannz, gvensiz parolalara kar Crack programn altrarak dzenli olarak denetlemeyi dnn. Gvensiz parolaya sahip kullancyla iletiim kurarak, parolasn deitirmesini isteyebilirsiniz. yi bir ifrenin nasl seildii hakknda bilgi http://consult.cern.ch/writeup/security/security_3.html adresine gidebilirsiniz. almak iin
ifreleme ile ilgili daha fazla bilgi RSA ifreleme SSS'nda http://www.rsa.com/rsalabs/newfaq/. Burda, "Diffie-Hellman", "Ak-Anahtarl "Saysal Sertifika" vb. konular hakknda bilgi bulabilirsiniz.
bulunabilir: ifreleme",
Tasarlanma amac gizlilik, kimlik dorulama, btnlk, ve inkar edememe (kendisinden bakas olduunu syleyememe) olan S-HTTP, ayn zamanda birden ok anahtarynetimi mekanizmasn ve ifreleme algoritmasn, taraflar arasndaki aktarmda yer alan seenek kararlatrlmas yoluyla destekler. S-HTTP, kendisini hayata geirmi olan belirli yazlmlarla snrldr, ve her bir mesaj ayr ayr ifreler (RSA ifreleme SSS, Sayfa 138)
S/MIME:
- S/MIME, veya Gvenli okamal nternet Mektup Uzants (Secure Multipurpose Internet Mail Extension), elektronik mektup ve nternet zerindeki dier mesajlar ifrelemek iin kullanlan bir ifremele standarddr. RSA tarafndan gelitirilen ak bir standarttr, dolaysyla bir gn Linux zerinde grme olaslmz yksektir. S/MIME ile ilgili daha fazla bilgi http://home.netscape.com/assist/security/smime/overview.html adresinde bulunabilir.
Bu belge yazld srada srm 1.0 henz kmt. Dier ifreleme biimleri gibi, bu da dsatm snrlamalar nedeniyle ekirdek ile birlikte datlmyor.
openssh ise for rlogin, rsh ve rcp'nin yerine geen gvenli bir programlar grubudur.
Kullanclarn kimliini dorulamak iin ve iki bilgisayar arasndaki iletiimi ifrelemek iin ak anahtarl ifreleme tekniini kullanr. Uzaktaki bir bilgisayara gvenli ekilde giri yapmak veya bilgisayarlar arasnda veri kopyalama yapmak, ama bu srada gelebilecek ortadaki-adam (oturum karma) ve DNS taklit saldrlarn engellemek amacyla kullanlabilir. Balantlarnz arasndaki veriler sktrr, ve bilgisayarlar arasndaki X11 iletiimini gvenli hale getirir. u anda bir ok ssh uygulamas mevcut. Data Fellows tarafndan hayata geirilen zgn ticari srm http://www.datafellows.com adresinde bulunabilir. Mkemmel Openssh uygulamasnda, Data Fellows ssh'nn nceki srmlerinden biri taban oluturmu, ve patentli veya tescilli herhangi bir para bulunmamas iin tamamen yeniden bir alma yaplmtr. BSD lisans altnda cretsiz olarak datlmaktadr: http://www.openssh.com. ssh' sfrdan yeniden yazmak amacyla, "psst..." adyla balatlan bir ak kaynak kodlu bir proje daha mevcut. Daha fazla bilgi iin: http://www.net.lut.ac.uk/psst/
daha da zorlatrma)
verme
Sisteminizi bir ka saat iinde kurduktan ve yaplandrdktan sonra, bir ok saldry gereklemeden durdurabilirsiniz. rnein, kullanclarn ev dizinlerindeki .rhosts dosyalarnn kullanmn engellemek iin, sistem genelinde /etc/pam.d/rlogin dosyasna aadaki satrlar ekleyerek PAM'i kullanabilirsiniz:
# # Kullanclar iin rsh/rlogin/rexec kullanmn yasakla # login auth required pam_rhosts_auth.so no_rhosts
Kerberos
Kerberos, MIT'teki [20] Athena Projesi tarafndan gelitirilen bir kimlik dorulama sistemidir. Kullanc sisteme giri yaptnda, Kerberos kullancnn kimliini dorular (bir parola kullanarak),
ve kullancya aa dalm dier sunucular ve bilgisayarlara kimliini kantlamak iin bir yol salar. te bu kimlik dorulama rlogin gibi programlar tarafndan kullanlr (.rhosts dosyas yerine), ve kullancya dier bilgisayarlara parolasz girebilmesi iin izin verilir. Bu kimlik dorulama yntemi posta sistemi tarafndan da mektubun doru kiiye datldndan emin olmak, ve gnderen kiinin iddia ettii kii olduunu garanti altna almak amacyla kullanlabilir. Kerberos ve birlikte gelen dier programlar, kullanclarn baka birini "taklit" yoluyla sistemi yanltmasn engeller. Ne yazk ki, Kerberos'u kurmak kkten deiiklik ister, bir ok standard programn yenileriyle deitirilmesini gerektirir. Kerberos hakknda daha fazla bilgi almak iin Kerberos http://nii.isi.edu/info/kerberos/ adresine bakabilirsiniz. SSS'a, kodu almak iinse
[Kaynak: Stein, Jennifer G., Clifford Neuman, and Jeffrey L. Schiller. "Kerberos: An Authentication Service for Open Network Systems (Kerberos: Ak A Sistemleri iin Bir Kimlik Dorulama Servisi") USENIX Konferans Tutanaklar, Dallas, Texas, Winter 1998.] Kerberos, bilgisayarnzn gvenliini iyiletirmede ilk admnz olmamal. Olduka kapsaml olduu gibi, rnein SSH kadar yaygn olarak da kullanlmamaktadr.
Glge Parolalar
Glge parolalar, ifrelenmi parola bilgilerinizi normal kullanclardan gizli tutmann bir yoludur. Hem Red Hat hem de Debian Linux datmlarnn yeni srmleri, glge parolalar var saylan yaplandrmada kullanyor, fakat dier sistemlerde, ifrelenmi parolalar, herkesin okuyabilecei ekilde /etc/passwddosyasnda saklanyor. Herhangi biri bunlar zerinde parola-tahmin programlar kullanarak ne olduklarn bulmaya alabilir. Glge parolalar ise tam tersine /etc/shadow, dosyasnda saklanr, ve sadece yetkili kullanclar okuyabilir. Glge parolalar, kullanlabilmek iin, parola bilgisine eriime gereksinim duyan btn yararl programlar tarafndan destekleniyor olmaldr. PAM (yukarda) de bir glge modlnn taklmasna izin verir, ve altrabilir dosyalarn yeniden derlenmesini gerektirmez. Daha fazla bilgi iin ShadowPassword HOWTO (Glge-Parola NASIL) dosyasna bavurabilirsiniz: http://metalab.unc.edu/LDP/HOWTO/Shadow-Password-HOWTO.html Yalnz olduka eski olabilir ve PAM' zaten destekleyen datmlar iin gerek yoktur.
SVGA
SVGAlib programlar, Linux makinenizin video donanmna erimek iin tipik olarak SUIDroot'tur. Bu onlar ok tehlikeli yapar. Eer gerlerse, kullanlr bir konsol almak iin tipik olarak makinenizi yeniden balatmak zorunda kalrsnz. SVGA programlarnzn dzgn olduundan, en azndan bir ekilde gvenilir olduundan emin olun. Daha da iyisi, hi altrmayn.
ekirdek Gvenlii
Bu blmde gvenlikle ilgili ekirdek yaplandrma seeneklerini aklayacak, ne ie yaradklarn ve nasl kullanldklarn anlatlyor. ekirdek, bilgisayarnzn an denetim altnda tuttuu iin, ok gvenli olmas ve bozulmamas nemli. En yeni a saldrlarn engellemek iin, ekirdek srmnz gncel tutmaya almalsnz. ekirdeklerinizi ftp://ftp.kernel.org adresinden, veya datcnzdan bulabilirsiniz. Ana Linux ekirdeine, birletirilmi bir ifre yamas salayan uluslararas bir grup var. Bu yama, dsatm kstlamalar yznden ana ekirdee dahil edilemeyen eyler ve baz ifreli alt sistemler iin destek salyor. Daha fazla bilgi iin: http://www.kerneli.org
Bu seenek, eer Linux makinenizde gvenlik duvar kullanacaksanz, veya maskeleme yapacaksanz ak olmal. Eer sradan bir istemci makine olacaksa, kapata da bilirsiniz.
IP: ynlendirme/a geidi (CONFIG_IP_FORWARD)
IP ynlendirmesini aarsanz, Linux kutunuz bir yneltici haline gelir. Eer makineniz a zerinde ise, bir adan dierine veri ynlendiriyor olabilirsiniz, belki de bunun olmasn engelleyen bir gvenlik duvarn devre d brakarak. Normal evirmeli a kullanclar bunu kapatmak isteyecektir, dier kullanclar ise bunun gvenlik yan etkileri zerinde dnmelidir. Gvenlik duvar grevi yapacak makineler bu seenein ak olmasn, ve gvenlik duvar yazlmyla uyum iinde kullanlmasn gerektirir. IP ynlendirmeyi u komutu kullanarak dinamik ekilde aabilir:
root#
root#
"SYN Saldrs", makinenizdeki tm kaynaklar tketen bir servis reddi (DoS) saldrsdr, sistemi yeniden balatmak zorunda kalrsnz. Normal olarak bu seenei amamanz gerektirecek bir sebep dnemiyoruz. 2.2.x ekirdek serisinde bu yaplandrma seenei "syn erez"lerini amaya izin verir, fakat onlar amaz. Amak iin aadaki komutu kullanmalsnz:
Makinenizi bir gvenlik duvar olarak yaplandracaksanz, veya maskeleme yapacaksanz, veya PPP evirmeli a arabirimini kullanarak evirmeli a i istasyonunuza birinin girmesine engel olmak istiyorsanz bu seenei amanz gerekir.
IP: Gvenlik duvar paket gnl (CONFIG_IP_FIREWALL_VERBOSE)
Bu seenek gvenlik duvarnzn paketler hakknda ald gnderici, alc, port gibi bilgileri verir.
IP: Kaynaktan ynlendirilen ereveyi dr (CONFIG_IP_NOSR)
Bu seenek etkinletirilmelidir. Kaynaktan ynlendirilen ereveler, gidecekleri yeri paketin iinde bulundurur. Bu, paketin iinden getii yneltici tarafndan incelenmemesi, ve sadece ynlendirmesi anlamna gelir. Bu, potansiyel aklardan yararlanmak isteyen verinin sisteminize girebilmesine olanak tanyabilir.
IP: Maskeleme (CONFIG_IP_MASQUERADE)
Linux'unuzun gvenlik duvar roln stlendii yerel anzdaki bilgisayarlardan biri dar bir ey gndermek isterse, Linux'unuz kendini o bilgisayar olarak "maskeleyebilir", yani trafii istenen hedefe gndererek, kendisinden geliyormu gibi grnmesini salayabilir. Daha fazla bilgi iin http://www.indyramp.com/masq adresine bakn.
IP: ICMP Maskeleme (CONFIG_IP_MASQUERADE_ICMP)
Bu seenek, sadece TCP ve UDP trafiinin maskelenmesi anlamna gelen bir nceki seenee ICMP maskelemesini de ekler.
IP: effaf vekil destei (CONFIG_IP_TRANSPARENT_PROXY)
Bu, Linux gvenlik duvarnzn, yerel adan kan ve uzaktaki bir bilgisayara gidecek olan tm trafii, "effaf vekil sunucu" ad verilen yerel bir sunucuya ynlendirebilir. Bu, yerel kullanclarn uzak u ile konutuklarn sanmalarna yol aar, halbuki yerel vekile balanm durumdadrlar. Daha fazla bilgi iin http://www.indyramp.com/masq adresindeki IP-Masquerading HOWTO (IP Maskeleme NASIL) belgesine gz atn.
IP: paralar daima birletir (CONFIG_IP_ALWAYS_DEFRAG)
Genellikle bu seenek kapal durumdadr, fakat bir gvenlik duvar veya maskeleyen bir bilgisayar oluturuyorsanz, etkin hale getirmek isteyeceksiniz. Veri bir bilgisayardan dierine giderken, her zaman tek bir paket halinde deil, bir ka paraya ayrlarak gnderilir. Buradaki sorun birinin kalan paketlere orada olmas beklenmeyen baz bilgileri sokmasdr. Bu seenek ayrca, gzya saldrsna kar yama uygulanmam ierdeki bir bilgisayara yaplan bu saldry da engelleyebilir.
Paket mzalar (CONFIG_NCPFS_PACKET_SIGNING)
Bu, 2.2.x ekirdek dizisinde yer alan ve daha gl gvenlik iin NCP paketlerinin imzalanmasn salayan bir seenektir. Olaan durumlarda kapal brakabilirsiniz, ama
Bu, bir paketin meruluk durumuna bakarak kabul edilip edilmeyeceini belirlemek amacyla, kullanc uzaynda alan herhangi bir programndaki paketlerin ilk 128 baytn inceleyebilmenizi salayan etkileyi bir seenektir.
ou insan iin bu seenee hayr demek gvenlidir. Bu seenek, tm soketlere kullanc uzaynda bir szgeci balamanz, ve bu yolla paketlerin geiine izin verilip verilmeyeceini belirlemenizi salar. ok zel bir gereksinim duyuyor olmadka ve byle bir szge programlayabilir bilgiye sahip olmadka hayr demelisiniz. Ayrca bu belgenin yazl srasnda TCP dndaki tm protokoller destekleniyordu.
Port Ynlendirme
Port Ynlendirme, gvenlik duvarndaki belirli portlarda, dar giden veya ieri gelen paketlerde baz ynlendirmelerin yaplabilmesini salar. Bu, rnein bir WWW sunucusunu gvenlik duvarnn veya maskeleme bilgisisayarnn arkasnda altracanz halde o WWW sunucusunun d dnyadan ulalabilir durumda olmas gerektii durumlarda yararldr. Bir d istemci gvenlik duvarnn 80. portuna bir istek yollar, gvenlik duvar bu istei WWW sunucusuna ynlendirir, WWW sunucusu istekle ilgilenir ve sonular gvenlik duvarnn stnden tekrar zgn istemciye gnderir. stemci gvenlik duvarnn kendisinin WWW sunucusu olarak altn dnr. Bu, eer gvenlik duvarnn arkasnda bir WWW sunucu iftlii bulunduruyorsanz, yk dengelemede de kullanlabilir. Bu zellik hakknda daha fazla bilgiyi http://www.monmouth.demon.co.uk/ipsubs/portforwarding.html adresinden bulabilirsiniz. Genel bilgi iin ltfen ftp://ftp.compsoc.net/users/steve/ipportfw/linux21/ adresine gz atn.
Soket Szm (CONFIG_FILTER)
Bu seenei kullanarak, kullanc uzayndaki programlar tm soketlere bir szge ekleyebilir, dolaysyla ekirdee belirli tipteki verinin soket iinden geip geemeyeceini bildirebilir. Linux soket szm imdilik TCP dndaki tm soket tiplerinde alyor. Daha fazla bilgi iin ./linux/Documentation/networking/filter.txt dosyasna gz atn.
IP: Maskeleme
2.2 ekirdek maskeleme gelitirilmi durumda. zel protokollerin maskelenmesi iin ek destek salyor vb. Daha fazla bilgi iin Ipchains NASIL belgesine gz atn.
ekirdek Aygtlar
Linux zerinde gvenlik konusunda yardmc olabilecek bir ka blok ve karakter aygt mevcuttur.
/dev/random yksek kalitede entropi salar, kesmeler arasndaki farkl zamanlar lme vb.
eylerden elde edilir. Yeterli bitte rastgele veri var olana kadar almas durur.
/dev/urandom benzeri bir aygttr, fakat depolanm entropi azalmaya baladnda, olan
kadarnn, gl bir ifresel hash deerini dndrr. Bu, rastgele veri kadar gvenli olmasa da ou uygulama iin yeterli derecede gvenlidir. Bu aygtlardan okuma yapmak iin aadaki gibi bir ey kullanabilirsiniz:
root#
Bu, konsola sekiz rastgele karakter yazar, rnein parola retimi iin kullanlabilir. You can find mimencode programn metamail paketi iinde bulabilirsiniz. Algoritmann aklamas iin gz atn.
/usr/src/linux/drivers/char/random.c dosyasna bi
Bu konuda bana yardmc olan, Theodore Y. Ts'o, Jon Lewis, ve Linux ekirdek grubundan dierlerine teekkrler.
A Gvenlii
A gvenlii, insanlarn bal olduu sre arttka, daha nemli hale gelmektedir. A gvenliini ihlal etmek, fiziksel veya yerel gvenlii ihlal etmekten ok daha kolay, ve ok daha yaygndr. A gvenliine yardmc olan iyi aralar var, ve Linux datmlaryla birlikte gelenlerin says gittike artyor.
Paket Koklayclar
Saldrganlarn, anz zerinde daha fazla sisteme eriim kazanmasnn en yaygn yollarndan biri, gvenlii ihlal edilen bilgisayarlardan birinin zerinde bir paket koklayc altrmasdr. Bu "koklayc", paket ak iinde passwd, login ve su gibi programlar iin Ethernet portunu dinler ve gnlk tutar. Bu yolla saldrganlar, girmeye hi kalkmadklar sistemlerin parolalarna dahi eriebilirler. Ak metin parolalar bu saldrya kar ok korunmaszdrlar. rnek: A Bilgisayarnn gvenlii ihlal edilmi durumda. Saldrgan bir koklayc kurar. Koklayc,
B Bilgisayarndan C Bilgisayarna giri yapan sisyn (sistem yneticisi) parolasn ele geirir. Sonra, sisyn bir sorunu zmek iin su yapar. Saldrganlar bylelikle B Bilgisayarndaki root parolasna da sahip olur. Daha sonra sisyn, herhangi bir kiiye, hesabile balanmasna izin verir. Artk saldrgan Z Bilgisayarnda da bir parola/giri bilgisine sahiptir. Gnmzde bir saldrgann bunu yapabilmesi iin bir sistemin gvenliini ihlal etmesine dahi gerek yoktur: Kendi kiisel veya dizst bilgisayarlarn bir binaya getirip anza saplanabilirler. Using ssh veya dier ifreli parola yntemlerini kullanarak, bu saldrnn nne geilebilir. POP hesaplar iin APOP gibi eyler bu saldry engeller (Olaan POP girileri, a zerinde ak metin parola gnderen herey gibi, bu saldrya kar ok korunmaszdr).
mail, rnein
identd
Eer belirli bir paketi kullanmayacanzdan eminseniz, toptan kaldrma yolunu da seebilirsiniz. Red Hat Linux altnda rpm -e paket_ismi komutu ile btn paketi silmeniz mmkndr. Debian altndadpkg --remove komutu ayn ii grecektir. Ek olarak, gerekten rsh/rlogin/rcp gerelerini /etc/inetd.conf dosyasn kullanarak kapatmak isteyebilirsiniz; buna login (rlogin rlogin tarafndan kullanlan), shell (rcp tarafndan kullanlan), ve exec (rsh tarafndan kullanlan) de dahildir. Bu protokoller ar derecede gvensizdir ve gemite bir ok an sebebi olmutur.
root# root#
Eer BSD-tarz rc dosyalarnz varsa, ihtiyacnz olmayan programlar iin kontrol etmek isteyebilirsiniz.
ou Linux datm, tm TCP servislerinizi "rten" tcp_wrappers ile birlikte gelir. Gerek sunucunun yerine inetd iinden bir tcp_wrapper (tcpd) altrlr, tcpd servisi isteyen bilgisayar kontrol eder, ya gerek sunucuyu altrr, veya o bilgisayardan eriimi reddeder. tcpd , TCP servislerinize eriimi kstlamanz salar. Bir /etc/hosts.allow dosyas oluturmal, ve sadece makinenize eriime gereksinim duyan bilgisayarlar eklemelisiniz. Evden balanan bir evirmeli a kullanc iseniz, nerimiz her balanty reddetmenizdir. tcpd aayn zamanda baarsz olan balant giriimlerinin de gnln tutar, bu ekilde bir saldr geldiinde haberiniz olur. Eer yeni TCP-tabanl servisler eklerseniz, tcp_wrappers kullanacak ekilde yaplandrmalsnz. rnein, olaan evirmeli a kullanclar dardakilerin kendi makinelerine balanmasn engelleyebilir, ama ayn zamanda mektup alma, ve nternete a balants kurma ilemlerini de gerekletirebilir. Bunu yapmak iin, /etc/hosts.allow dosyanza: ALL: 127. satrn ekleyebilirsiniz. Elbette /etc/hosts.deny dosyanz da ALL: ALL satrn bulundurmal. Bu ekilde makinenize dardan gelen tm balantlar engeller, bununla birlikte ierde nternetteki servislere balanmanza izin verirsiniz. tcp_wrappers'n dier bir ka dier servis dnda, sadeceinetd tarafndan altrlan servisleri koruduunu unutmayn. Makinenizde alan pekala dier servisler de olabilir. netstat -ta komutunu kullanarak makinenizde sunulan tm servislerin bir listesini grebilirsiniz.
identd
identd,inetd sunucunuzun dnda alan kk bir programdr. Hangi kullancnn hangi
TCP servisini altrdn izler, ve istendiinde rapor verir. Bir ok kii identd'nin yararlln yanl anlamakta, dolaysyla kapatmakta veya site d tm isteklerin nn kesmektedir. identd, uzak sitelere yardm etmek iin deildir. Uzak identd servisinden alnan verinin doru olup olmadn bilmenin bir yolu yoktur. identd isteklerinde kimlik dorulama yoktur. O zaman neden altrmak isteyebilirsiniz? nk yardm ettii sizsinizdir, ve izlemede dier bir veri-noktasdr. Eer bozulmamsa, bilirsiniz ki identd servisiniz uzak sitelere TCP servisini kullanan kullanc ismi ya da kullanc kimliini bildirmektedir. Uzak sitenin sisyn gelir ve sisteminizdeki kullancnn sitelerini krmaya altn sylerse, kolaylkla bu kullancya kar tavr alabilirsiniz. identd, altrmyorsanz, ok ama ok fazla gnlk dosyasna bakmanz, ve o anda kimin sistemde olduunu bulmanz gerekir, genelde bu, kullancnn kim olduunun belirlenmesini ok daha uzatr.
ou datmla birlikte gelen identd , bir ok kiinin tahmin ettiinden ok daha yaplandrlabilir durumdadr. Belirli kullanclar iin kapatabilir (bir .noident dosyas yaratabilirler), btnidentd isteklerinin gnln tutabilir (neriyoruz), hatta identd tarafndan dndrlen bilginin kullanc ismi yerine kullanc kimlii olmasn ya da NO-USER [23] olmasn salayabilirsiniz.
Ayrca, serbest bir IDS (Intrusion Detection System - Saldr Belirleme Sistemi) olan SNORT'a da bir gz atabilirsiniz. SNORT, aa yaplan dier baz izinsiz girileri/saldrlar da belirleyebilir: http://www.snort.org
# /usr/lib/sendmail -q15m
Bu, sendmail'in mektup kuyruunda bekleyen ve ilk giriimde datlamayan tm mesajlarn 15 dakikada bir boaltmasn salar. Bir ok ynetici sendmail yerine dier posta datm aralarn kullanmay tercih ediyor. Siz de sendmail yerine qmail kullanmay dnebilirsiniz. qmail, temelde gvenlik dncesi ile sfrdan tasarlanmtr. Hzl, kararl, ve gvenlidir. Qmail http://www.qmail.org adresinde bulunabilir. Qmail ile dorudan rekabet iinde olan bir baka program da, tcp_wrappers ve dier gvenlik aralarnn yazar tarafndan yazlm olan "postfix". nceki vmailer isimli, ve sponsorluu IBM tarafndan yaplan bu program da sfrdan gvenlik dnlerek yazlm bir posta datm arac. Postfix hakknda daha fazla bilgiyi http://www.postfix.org adresinden bulabilirsiniz.
eklindeki bir boluktan yararlanr. Yeni Linux ekirdekleri (2.0.30 ve yukars) SYN seli saldrlarnn insanlarn makinenize ya da servislerine eriimini reddetmesini engellemek iin yaplandrlabilir seeneklere sahiptir. Uygun ekirdek koruma seenekleri iin ekirdek Gvenlii blmne bakn.
Pentium "F00F" Bcei - Yakn zamanda, gerek bir Intel Pentium ilemcisine gnderilen
baz Assembly programlama dili kodlarnnn makineyi yeniden balatabilecei kefedildi. Bu, alan iletim sisteminin ne olduu farketmeksizin, Pentium ilemcili (Pentium Pro, Pentium III, veya Pentium benzeri ilemciler deil) her makineyi etkiliyor. Linux ekirdeklerinin 2.0.32 ve yukars srmlerinde bu bcein makineyi kilitlemesini engelleyen bir nlem mevcut. Kernel 2.0.33, bu ekirdek zmnn gelimi bir
srmn ieriyor, 2.0.32'ye tercih edilmesi nerilir. Eer Pentium ilemci zerinde alyorsanz, hemen gncellemelisiniz!
Ping Seli - Ping seli, basit bir kaba-kuvvet servis reddi saldrs. Saldrgan makinenize
ICMP paketlerinden oluan bir "sel" gnderir. Eer bunu bant genilii sizinkinden daha iyi olan bir bilgisayardan yapyorsa, makineniz a zerine hibir ey yollayamaz hale gelecektir. Bu saldrnn bir deiik ekli, "irince", dn adresi sizin makinenizin IP adresi olan ICMP paketleri gnderir, bylelikle yollanan sel basknnn kimin tarafndan olduunun belirlenmesi de gleir. "irin" saldrs ile ilgili daha fazla bilgiyi http://www.quadrunner.com/~chuegen/smurf.txt adresinde bulabilirsiniz.[25] Eer bir ping seli saldrsna maruz kalrsanz, paketlerin nerden geldiini (ya da nerden geliyor gibi grndn) belirlemek iin tcpdump gibi bir ara kullann, ve servis salaycnzla bu bilgi ile birlikte iletiim kurun. Ping selleri, en kolay ekilde yneltici dzeyinde veya bir gvenlik duvar kullanarak durdurulabilir.
lm Pingi - lm pingi saldrs, ekirdekte bulunan, ICMP ECHO REQUEST paketlerini
tutmakla grevli veri yapsna uymayacak kadar byk bir paket gnderir. Tek ve byk bir paket (65,510 bayt) gndererek ou sistemin kilitlenmesine, hatta gmesine yol aan bu sorun ksa zamanda "lm Pingi" olarak adlandrlmtr. Bu sorun ok uzun sre nce zlmtr, ve artk endielenecek bir ey yoktur.
paralama kodunda bulunan bir bcektir. ekirdek 2.0.33 srmnde onarlm, ve onarmdan yararlanmak iin herhangi bir ekirdek derleme-zaman seeneini semeye gerek yoktur. "Yeni Gzya" ana kar ise, Linux'ta grnte byle bir tehlike yoktur. aklamalar
Aklardan yararlanan kodlar, ve nasl altklar konusundaki detayl http://www.rootshell.com adresinde, arama motorunu kullanarak bulabilirsiniz.
a zerinde NIS istemci makinelerinin giri, parola, ve ev dizinleri ile kabuk bilgilerinin (hepsi standart bir /etc/passwd dosyasndadr) alnmasna hizmet eder. Bu, kullancnn bir makinede parolasn deitirdiinde dier btn NIS alanndaki makinelerde de bu deiikliin geerli olmasn salar. NIS kesinlikle gvenli deildir. Hi bir zaman olmas dnlmemitir. Kolay kullanlr ve yararl olmas amac gdlmtr. NIS alannzn adn tahmin edebilen (nternette herhangi bir yerdeki) herkes /etc/passwd dosyasnzn bir kopyasn alabilir, ve "Crack" ve "John the Ripper" programlarn kullanclarnzn parolalar zerinde kullanabilir. Ayrca, NIS'i taklit etmek ve her eit yaramaz numaralar yapmak mmkndr. Eer NIS'i kullanmak zorundaysanz, tehlikelerinin de farknda olduunuzdan emin olun. NIS'in yerine geen ok daha gvenli bir program vardr: NIS+ Daha fazla bilgi iin NIS HOWTO (NIS NASIL)belgesine bir gz atn: http://metalab.unc.edu/mdw/HOWTO/NIS-HOWTO.html
Gvenlik Duvar
Gvenlik duvar, yerel anzn iine giren ve dna kan bilgiyi denetim altnda tutmann bir yoludur. Tipik bir gvenlik duvar, nternete ve yerel anza balanm durumdadr, ve yerel anzdan nternete tek k yolu gvenlik duvarnn iinden gemektir. Bu yolla gvenlik duvar yerel adan nternete ya da nternetten yerel aa nelerin getiini denetleyebilir. Bir ka gvenlik duvar ve kurma yntemi vardr. Linux makinelerden olduka iyi gvenlik duvar olur. Gvenlik duvar kodu, 2.0 ve daha yukar srm ekirdein iine tmleik olabilir. Kullanc aralar, 2.0 ekirdek iin ipfwadm , ve 2.2 ekirdek iin ipchains, [26] izin verdiiniz a trafii tiplerini alma kesilmeksizin deitirebilmenizi salarlar. Gvenlik duvarlar, anz gvenli hale getirmede ok yararl ve nemli bir tekniktir. Bununla birlikte, bir gvenlik duvarnz varsa, arkasndaki makinelerin gvenliini salamak gerekmediini asla dnmeyin. Bu lmcl bir hatadr. Gvenlik duvarlar ve Linux hakknda daha fazla bilgi iin metalab arivindeki http://metalab.unc.edu/mdw/HOWTO/FirewallHOWTO.html belgesine bir gz atn. Daha fazla bilgi iin IP-Maskeleme mini-nasl belgesine http://metalab.unc.edu/mdw/HOWTO/mini/IP-Masquerade.html de gz atabilirsiniz:
ipfwadm hakknda daha fazla bilgiyi (gvenlik duvarnzn ayarlarn yapabileceiniz bir ara)
http://www.xos.nl/linux/ipfwadm/ Eer gvenlik duvarlar ile daha nce hi tecrbeniz yoksa, ve basit bir gvenlik politikasndan daha fazlas iin kurmay planlyorsanz, "O'Reilly and Associates"in "the Firewalls (Gvenlik duvarlar)" kitabn, ya da nternette bulunan dier belgeleri okumanz arttr. Daha fazla bilgi iin http://www.ora.com adresine bir gz atn. NIST (The National Institute of Standards and Technology - Ulusal Standard ve Teknoloji Enstits), gvenlik duvarlar zerine harika bir belge hazrlamtr. 1995 tarihli olmasna ramen, hala iyidir. Bu belgeyi http://csrc.nist.gov/nistpubs/800-10/main.html adresinde bulabilirsiniz. Ayrca ilgili olarak:
The Freefire Project (Serbest Ate Projesi) -- Serbest gvenlik duvar aralarnn bir
listesi: http://sites.inka.de/sites/lina/freefire-l/index_en.html
belge farkl gvenlik duvar tipleriyle ilgili balang dzeyinde bilgi niteliini tayor: http://www.sunworld.com/swol-01-1996/swol-01-firewall.html
Mason - Linux iin otomatik gvenlik duvar oluturucusu. Bu, anzda yapmanz gereken
duvar
betiidir.
Daha
fazla
bilgi:
saylabilir. u anda 2.0 ekirdeinizde ipfwadm kullanyorsanz, kullanlabilecek biime dntren betikler mevcuttur.
iptables
komutunu kullanarak ekirdek iindeki gvenlik duvar tablolarn ynetebilirsiniz. Netfilter, paketleri ekirdein eitli blmlerinden geerken ynetmenize olanak salayan ham bir alma ortam salar. Bu alma ortamnnn bir blm maskeleme, standart paket szm, ve a adres evirisi iin destek salar. Netfilter, ayn zamanda gvenlik duvarnn arkasndaki bir grup sunucuda alan hizmet programlarna ynelik yaplan yk dengeleme istekleri iin bile daha gelimi bir destee sahiptir. Durum denetleme zellikleri gerekten ok yararl. Durum denetleme zellii szceten geen iletiim aknn izlenmesi ve denetlenmesine olanak tanr. Oturum hakknda durum ve balam bilgisinin izlenebilmesi kural koyma ilemini basitletirir ve daha yksek dzeydeki protokollerin yorumlamaya alr. Ayrca, paketlerin kullanc uzayndaki programlara geirilip ilendikten sonra tekrar paket ak iine geri dndrlmesi gibi belirli ek ilevleri yerine getirmek zere kk modller gelitirilebilir. Bu programlarn kullanc uzaynda gelitirilebilmesi, daha nceki bir zorunluluk olan ekirdek dzeyindeki deiikliin yol at karmakln azaltlmasn salar. Dier IP Tables referanslar arasnda:
bir
gvenlik
duvar
oluturmak
iin
nasl
Hal Burgiss Introduces Linux Gvenlii Hzl-Balama Rehberleri -- Hal Burgiss, Linux'un
gvenliini salama zerine gvenlik duvarlarnn ynetimini de iine alan iki yetkin rehber yazm durumda.
Netfilter Ana Sayfas -- Netfilter/iptables ana sayfas. 2.4 Linux ekirdei Gvenlik duvar olgunlayor: netfilter -- Bu LinuxSecurity.com
makalesinde paket szmnn temelleri, iptables kullanarak ie nasl balanabilecei, ve Linux iin yeni nesil gvenlik duvarlarnda ne gibi yeni zelliklerin bulunduu aklanyor.
bakn.
vps (sanal zel sunucu): http://www.strongcrypto.com. yawipin http://yavipin.sourceforge.net
Daha fazla bilgi ve referans iin IPSEC ile ilgili blme de bakn.
Yedeklerizinin Denenmesi
6-bantlk bir dnmn bakm kolaydr. 4 bant hafta ii, 1 bant ift Cumalar iin, bir bant da tek Cumalar iin olabilir. Her gn bir artml yedekleme uygulayn, ve uygun Cuma bandnda tam yedek aln. Sisteminizde zellikle nemli deiiklikler yapar veya baz nemli veri eklemesi yaparsanz da tam yedek almak iyi olabilir..
root#
rpm -Va
komutunu, sistem zerindeki her bir dosyay dorulamak amacyla kullanabilirsiniz. rpm man sayfasna bir bakn, bir ka dier seenek sayesinde bu ilemi daha az ey syleyerek yapmasn salayabilirsiniz. Unutmayn ki bunu yaparken RPM programnzn da bozulmadndan emin olmalsnz. Bunun anlam, sisteminize her yeni RPM eklendiinde, RPM veritabannn da yeniden arivlenmesi gerekecek. Getirileri ve gtrleri karlatracak ve karar verecek olan sizsiniz..
Ayrca gnlkleri baa dndren betik veya sunucu program loglar daha uzun sre tutmas iin yaplandrabilirsiniz, bylelikle onlar incelemek iin daha fazla zamannz olur. Red Hat datmnda logrotate paketine bir gz atn. Dier datmlar da muhtemelen benzer bir ileme sahiptirler. Gnlk dosyalarnz kurcalandysa, tam olarak ne eit eylerin ne zaman kurcalanmaya baladn belirlemeye aln. Hesap bilgilerine ulalamayan geni zaman aralklar var m? Kurcalanmam gnlk dosyalar iin yedekleme verinize (eer varsa) bakmak iyi bir fikirdir. Sisteme izinsiz girenler, tipik olarak izlerini saklamak iin gnlk dosyalarn deitirir, yine de garip olgular belirlemek amacyla gz atmak gerekir. zinsiz giren kiinin, root hesab iin giri kazanmaya altn, ya da bir programdan yararlandn belirleyebilirsiniz belki de. Belki de izinsiz giren kiinin, gnlk dosyalarn deitirmeye zaman bulamad ksmlar grebilirsiniz. Ayrca, su kullanarak kullanc deitirme giriimleri, sisteme giri giriimleri, ve dier kullanc hesap bilgileri de dahil olmak zere tm auth verisini dier gnlk verisinden ayr tutmalsnz. Mmknse syslog 'u, verinin bir kopyasn gvenli bir sisteme gndermek zere yaplandrn. Bu, izinsiz giren kiinin, login/su/ftp/vb giriimlerinin izlerini ortadan kaldrmasn engelleyecektir. syslog.conf man sayfasnda @ seeneine bir gz atn. nternette daha gelimi syslogd programlar da vardr: http://www.core-sdi.com/ssyslog/ adresinde Secure Syslog (Gvenli Syslog) program mevcuttur. Secure Syslog, syslog verinizi ifreleyebilmenizi ve kimsenin deitirmediinden emin olmanz salar. Daha fazla zellikli bir dier syslogd ise syslog-ng sayfasnda yer almaktadr. Gnlk tutmada daha fazla esneklie sahiptir ve ayrca uzak syslog aknzn da deitirilmesini engeller. Son olarak, eer okuyan kimse yoksa gnlk dosyalarnn da fazla bir yarar yoktur. Arada bir gnlk dosyalarnza bakmak iin zaman ayrn, ve olaan bir gnde nasl grndkleri hakknda bir fikir sahibi olun. Bunu bilmek, olaan d eyleri farketmede olduka yardmc olacaktr.
aslnda sandnz kii olduklarnn dorulanmasdr. Sisteme nerden giri yaptklarn kontrol edin. Olaan durumlarda giri yaptklar yer ile ayn m? Hayr m? O zaman temasa gemenin elektronik olmayan bir yolunu kullann. rnein, telefon ile arayn ya da konumak iin ofislerine/evlerine gidin. Eer sistemde olduklar konusunda anlamaya varabilirseniz, ne yaptklarn aklamalarn veya yaptklar eye son vermelerini isteyebilirsiniz. Eer sistemde deillerse, ve ne sylediiniz hakknda bir fikirleri yoksa, olaslkla bu olayn daha fazla aratrlmas gerekecek. Bu tr olaylar iyice aratrn, ve bir sulama yapmadan nce fazlasyla bilgi sahibi olun.. Eer bir a gvenlii ihlali belirlediyseniz, ilk yaplacak ey (yapabiliyorsanz), anzn balantsn kesmektir. Modem ile balanyorlarsa, modem kablosunu karabilir, Ethernet yoluyla balanyorlarsa Ethernet kablosunu karabilirsiniz. Bu onlarn daha fazla zarar vermesini engelleyecek, ve yakalandklarndan ok bir a problemi olduuna inanmalarna yol aacaktr. Eer an balantsn kesemiyorsanz (youn kullanml bir siteniz varsa, veya makinelerinizin fiziksel denetimi elinizde deilse), en iyi dier bir adm, izinsiz giri yapan kiinin sitesinden eriimi tcp_wrappers veya ipfwadm kullanarak reddetmektir. Eer izinsiz giren kiinin sitesinden eriimi reddedemeyecek durumda iseniz, kullancnn hesabn kilitlemek zorunda kalabilirsiniz. Unutmayn ki hesab kilitlemek kolay bir i deildir. Dnmeniz gerekenler arasnda .rhosts dosyalar, FTP eriimi ve olas baka arka kaplar saylabilir. Yukardakilerden birini yaptktan sonra (an balantsn kestiniz, siteden eriimi yasakladnz ve/veya hesaplarn etkisiz hale getirdiniz), yapmanz gereken o kullancnn altrd tm ilemleri ldrmek ve sistem dna karmaktr. Sonraki bir ka dakika iin sitenizi izleyebilirsiniz, nk saldrgan tekrar girmeyi deneyecektir. Belki de farkl bir hesap kullanarak ve/veya farkl bir a adresinden.
A kapatmak
Eer saldrgann sisteminize ne ekilde girdiini belirleyebildiyseniz, o a kapatmay denemelisiniz. rnein, kullanc giri yapmadan nce belki de gnlkte bir takm FTP kaytlar grdnz. FTP servisini kapatp gncel bir srmnn olup olmadna bakabilir, veya listelerde herhangi bir onarm arayabilirsiniz.. Btn gnlk dosyalarnz gzden geirin, ve gvenlik liste ve sayfalarnz bir ziyaret ederek onarabileceiniz herhangi bir yeni ak olup olmadn belirleyin. Caldera gvenlik onarmlarn http://www.caldera.com/tech-ref/security/adresinde bulabilirsiniz. Red Hat henz gvenlik onarmlarn bcek onarmlarndan ayrmad, fakat datm hata dzelten belgeleri http://www.redhat.com/errata adresinden ulalabilir durumda. Debian artk bir gvenlik mektup listesi ve WWW sayfasna sahip. Daha fazla bilgi iin: http://www.debian.org/security/ adresine bakn. Eer bir datmc firma bir gvenlik gncellemesi datmclarnn da karmas olasl ok yksektir. kardysa, dier ou Linux
Artk bir Linux gvenlik izleme projesi var. Dzenli bir ekilde btn kullanc gerelerini deniyor ve olas gvenlik aklar ve tamalarn aratryorlar. Duyurularndan: "OpenBSD kadar gvenli olabilme bak asyla btn Linux kaynaklarn sistemli bir ekilde izleme giriimimiz var. Baz problemleri belirlemi (ve onarm) durumdayz, fakat daha fazla yardma da az. Liste kstl bir liste deil ve ayn zamanda genel gvenlik
tartmalar iin de yararl bir kaynak. Liste adresi: security-audit@ferret.lmh.ox.ac.uk. Abone olmak iin security-audit-subscribe@ferret.lmh.ox.ac.uk adresine bir mektup gnderin" Saldrgann giriini kilitleyerek engellemezseniz, muhtemelen geri gelecektir. Dn sadece sizin makinenize deil, anzdaki herhangi bir yere olabilir. Eer bir paket koklayc altryorduysa, dier makinelere eriim salam olmalar da muhtemeldir.
Hasar Tespiti
Yaplacak ilk i hasarn tespit edilmesidir. Tam olarak bozulan nedir? Tripwiregibi bir btnlk inceleyici altryorsanz, bir btnlk taramas iin kullanabilirsiniz; neyin bozulduunu bulmanza yardmc olacaktr. Kullanmyorsanz, tm nemli verinizi kendiniz incelemek zorunda olacaksnz. Linux sistemlerinin gn getike daha kolay kuruluyor olmas nedeniyle, yaplandrma dosyalarnz saklamay, disklerinizi temizleyip, yeniden kurmay, sonra da kullanc ve yaplandrma dosyalarnz yedeklerden yerine koymay dnebilirsiniz. Bu yeni ve temiz bir sisteme sahip olduunuzdan emin olmanz salayacaktr. Eer bozuk sistemden baz dosyalar almak durumunda kalrsanz, altrlabilir dosyalar konusunda zellikle dikkatli olun, nk izinsiz giri yapan kii tarafndan konulmu truva atlar olabilir. zinsiz giren kiinin root eriimi salamas durumunda yeniden kurulum zorunlu olarak dnlmelidir. Ek olarak, var olan kantlar saklamak isteyebilirsiniz, dolaysyla yedek bir disk bulundurmak mantkldr. Dnmeniz gereken bir dier konu da gvenlik ihlalinin ne kadar zaman nce gerekletii, ve yedeklerdeki bilgilerin hasarl almalar ierip iermediidir. imdi yedekler konusu.
Saldrgan zleme
Tamam, saldrgan dar attnz, ve sisteminizi iyiletirdiniz, ama iiniz henz bitmi saylmaz. ou saldrgann yakalanma olasl dk olmakla birlikte, saldry rapor etmeliniz. Saldry, saldrgann sitesindeki yneticilere bildirmelisiniz. Bu ynetici bilgisine whois komutuyla ya da Internic veritabanndan ulaabilirsiniz. Onlara btn uygun gnlk satrlaryla tarih ve saat bilgilerini ieren bir e-mektup atabilirsiniz. Saldrgan hakknda ayrt edici baka herhangi bir ey de belirlediyseniz, bunu da onlara bildirin. Mektubu gnderdikten sonra (dilerseniz) bir telefon konumas da yapabilirsiniz. Eer o ynetici sizin saldrgannz belirlerse, o siteye giri yapt dier sitenin yneticisiyle konuabilir, ve bu ekilde srer.
yi korsanlar, arada pek ok site kullanrlar, bunlardan bazlar (veya ou) gvenliklerinin ihlal edildiinden dahi habersizdirler. Bir korsan ev sistemine kadar izlemeyi denemek zor bir i olabilir. Konutuunuz sitelerin yneticilerine kar nazik olmak, yardm alma konusunda olduka yol almanz salayabilir. Ayrca, Linux sistem datcnz olduu kadar, bir paras olduunuz (CERT ve benzeri), gvenlik rgtlerini de bu konuda uyarmalsnz.
LinuxSecurity.com Atflar
The LinuxSecurity.com WWW sitesinde, LinuxSecurity personeli ve dnyann eitli blgelerinden insanlar tarafndan hazrlanm ok sayda ak kaynak gvenlik referanslarn bulabilirsiniz.
Linux Tavsiye zleme -- Hafta boyunca duyrulan gvenlik zayflklarnn taslaklarn ieren
Linux Gvenlii Tartma Listesi -- Bu mektup listesi, genel gvenlik sorular ve yorumlar
iin.
Linux Gvenlik Haberleri -- Tm haberler iin abonelik bilgisi. comp.os.linux.security SSS -- comp.os.linux.security haber grubu iin yantlaryla birlikte
Linux Gvenlik Belgeleri -- Linux ve Ak Kaynak Gvenlik iin harika bir balang
noktas.
FTP Siteleri
CERT (Computer Emergency Response Team) Bilgisayar Acil Durum Yant Takm'dr. ounlukla gncel saldr ve onarmlar hakknda uyarlarda bulunurlar. Daha fazla bilgi iin ftp://ftp.cert.org adresine bakabilirsiniz. ZZEDZ (nceki Replay) ( http://www.zedz.net) arivi bir ok gvenlikle ilgili program bulundurur. ABD'nin dnda olduklar iin ABD ifre kstlamalarna uymalar da gerekmiyor. Matt Blaze CFS'nin yazar ve mkemmel bir gvenlik ftp://ftp.research.att.com/pub/mab adresinde bulunabilir. danman. Matt'in arivi
WWW Siteleri
The Hacker FAQ, Bilgisayar kurtlar hakknda bir SSS: The Hacker FAQ
COAST arivi ok sayda Unix gvenlik program ve bilgisini bulunduruyor: COAST SuSe Gvenlik Sayfas: http://www.suse.de/security/ Rootshell.com, korsanlar tarafndan kullanlan gncel aklarn neler olduunu grmek
BUGTRAQ, gvenlik konularnda tavsiyeler veren bir site: BUGTRAQ archives CERT, Bilgisayar Acil Durum Yant Takm, Unix ile ilgili yaygn saldrlar konusunda
The Linux security WWW (Linux Gvenlik WWW Sayfas), Linux gvenlii ile ilgili bilgiler
CIAC,
gvenlik
bltenleri
yaymlyor:
ve
bilgi
iin
bir
WWW
sayfasna
sahip:
Lincoln Stein tarafndan yazlan WWW Security FAQ (WWW Gvenlik SSS), harika bir
Mektup Listeleri
Bugtraq: Abone olmak iin, listserv@netscape.org adresine, gvde ksmnda subscribe bugtraq yazan bir mektup atn (arivler iin aadaki linklere bakn) CIAC: majordomo@tholia.llnl.gov adresine mektup atn. Mesajn GVDE ksmnda (Subject, yani Konu ksmnda deil) unlar bulunmal: subscribe ciac-bulletin Red Hat'te de bir takm mektup listeleri var, en nemlisi redhat-announce (redhat-duyuru listesi). Gvenlik (ve dier eylerin) onarmlar hakknda, ktklar anda haber alabilirsiniz. redhat-announce-list-request@redhat.com adresine, Konu ksmnda Subscribe yazl olan bir mektup atn. Daha fazla bilgi ve arivler iin https://listman.redhat.com/mailman/listinfo/ adresine bir gz atn. Debian, gvenlik onarmlarn http://www.debian.com/security/ kapsayan bir mektup listesine sahip:
Computer Security Basics By Deborah Russell & G.T. Gangemi, Sr., 1st Edition July 1991,
ISBN: 0-937175-71-4
Linux Network Administrator's Guide By Olaf Kirch, 1st Edition January 1995, ISBN: 1-
56592-087-2
PGP: Pretty Good Privacy By Simson Garfinkel, 1st Edition December 1994, ISBN: 1-
56592-098-8
Computer Crime A Crimefighter's Handbook By David Icove, Karl Seger & William
VonStorch (Consulting Editor Eugene H. Spafford), 1st Edition August 1995, ISBN: 156592-086-4
Linux Security By John S. Flowers, New Riders; ISBN: 0735700354, March 1999 Maximum Linux Security : A Hacker's Guide to Protecting Your Linux Server and
Network, Anonymous, Paperback - 829 pages, Sams; ISBN: 0672313413, July 1999
Intrusion Detection By Terry Escamilla, Paperback - 416 pages (September 1998), John
Szlk
Aada bilgisayar gvenlii ile ilgili en sk kullanlan terimleri bulacaksnz. Daha geni bir szle LinuxSecurity.com Szl'nden eriebilirsiniz.[29]
authentication (kimlik dorulama): Verinin, asl gnderilen veri olduunu, ve veriyi gndermi
bastion host (sur bilgisayar): nternete ak ve ierdeki kullanclar iin ana bir iletiim noktas
olduundan dolay saldrlara urama tehlikesinin ok fazla oluu nedeniyle yksek derecede gvenli hale getirilmesi gereken bilgisayar sistemi. smi, ortaa kalelerinin d duvarlarndaki yksek derecede glendirilmi yaplardan gelmektedir. Kale surlar, savunmada kritik alanlara yukardan bakan, genelde gl duvarl, fazladan asker iin geni alanl, saldrganlara kzgn yan dklerek uzaklatrld yerlerdir.
buffer overflow (tampon tamas): Yaygn programlama tarznda, asla yeteri byklkte
tamponlar ayrlmaz, ve tamalarn olup olmad gzden geirilmez. Bu tr tamalar olduunda, alan program (sunucu program ya da suid program) baka eyler yapmak zere kandrlabilir. Genelde bu, fonksiyonun yndaki dn adresini deitirerek baka bir yere ynlendirme yoluyla yaplr.
megul olup kaynaklarnn saldrgan tarafndan tketilmesi yoluyla, meru kullanclar iin ayrlm a kaynaklarnn olaan kullanmnn engellenmesi.[30]
dual-homed host (ift evli bilgisayar): En az iki a arabirimi bulunan genel amal bilgisayar
sistemi.
host (bilgisayar): Aa dahil olmu bir bilgisayar sistemi. IP spoofing (IP taklidi): IP taklidi, bir takm bileenlerden oluan karmak teknikli bir saldrdr.
Bilgisayarlara, olmadnz bir kii gibi grnerek gvenlerini kazanmanza yol aan bir gvenlik adr. Bu konuda "Phrack Magazine", 7. Cilt, 48. Konuda, daemon9, route, ve infinity tarafndan yazlm kapsaml bir makale vardr.[31]
non-repudiation (inkar edememe): Bir alcnn, bir veriyi gndermi gibi grnen kiinin
gerekten veriyi gnderen kii olduunu, gnderen kii daha sonra inkar etmeye kalksa dahi kantlayabilmesi [32]
packet (paket): nternet zerindeki haberlemenin temel birimi. packet filtering (paket szme): Bir adaki ie ve da olan veri aknn bir cihaz tarafndan
seici olarak gerekletirilmesi davran. Paket szgeleri, genelde bir adan bir bakasna yneltme yaparken paketlerin geiine izin verir veya engel olur (ounlukla nternet'ten ierideki aa, veya tam tersi). Paket szgecinin baarl olmas iin, hangi paketlere (IP adreslerine ve portlarna gre) izin verileceine ve hangilerine engel olunacana karar veren kurallar belirlemeniz gerekir.
perimeter network (evre a): Ek bir gvenlik katman oluturabilmek amacyla korunan bir a
ile dardaki bir a arasna eklenen a. evre a bazen DMZ olarak da adlandrlr.
proxy server (vekil sunucu): erdeki istemcilerin adna dardaki sunucularla iletiim kuran bir
program. Vekil istemciler, vekil sunucuya konuur, vekil sunucular onaylanm istemcilerin isteklerini gerek sunucuya nakleder, gelen cevaplar da tekrar istemcilere nakleder.
Modller, sk kullanlmayan belirli bir cihaz iin destein dinamik olarak yklenmesi amacn tar. Sunucu makinelerde, veya rnein gvenlik duvarlarnda, bunun olma olasl dktr. Bu sebeple, sunucu makineler iin destei dorudan ekirdee tmleik derlemek daha mantkldr. Ayrca modller, ekirdee tmleik derlenmi destekten daha yavatrlar. 2. Uzak bir makineden root olarak giri yapmak neden hep baarszlkla sonulanyor? Yant: Baknz: Root Gvenlii. Bu, uzak kullanclarn makinenize telnet yoluyla rootolarak balanma giriimlerini engellemek amacyla kastl olarak yaplan bir eydir. Uzaktan root olarak balanabilmek ciddi bir gvenlik adr, nk bu durumda root parolas a boyunca ak metin olarak iletilmektedir. Unutmayn: potensiyel saldrganlarn vakti vardr, ve parolanz
bulmak iin otomatik programlar altrabilirler. 3. Linux makinemde glge parolalar nasl etkin hale getirebilirim? Yant: Glge parolalar etkin hale getirmek iin, pwconvrogramn root olarak altrn. Bylelikle /etc/shadow dosyas yaratlr ve uygulamalar tarafndan kullanlmaya balar. RH 4.2 ve st kullanyorsanz, PAM modlleri otomatik olarak olaan /etc/passwd dosyasndan glge parolalara geie, baka bir deiiklie gerek kalmakszn uyum salayacaktr. Baz temel bilgiler: Glge parola mekanizmas, parolalarnz olaan /etc/passwd dosyasnndan baka bir dosyada tutar. Bunun bir takm getirileri vardir. Birincisi, glge dosyas, /etc/shadow, herkes tarafndan okunabilen /etc/passwd,dosyasnn aksine, sadece root tarafndan okunabilen bir dosyadr. Dier bir getiri, ynetici olarak, dier kullanclarn haberi olmadan bir kullanc hesabn etkisiz veya etkin hale getirebilirsiniz. The /etc/passwd dosyas, kullanc ve grup isimlerini tutmak iin, rnein /bin/ls program tarafndan bir dizin listesindeki dosyalarn uygun kullanc ve grup isimlerini bulmak amacyla kullanlr. The /etc/shadow dosyas ise kullanc ismi ve parolasn, ve rnein hesabn ne zaman sresinin dolduu gibi hesap bilgilerini ierir. Parolalarnz gvenli hale getirmekle ilgilendiinize gre, belki iyi parolalar retmeye balamakla da ilgili olabilirsiniz. Bunun iin PAM'in bir paras olan pam_cracklib modln kullanabilirsiniz. Parolanz Crack ktphanelerini kullanarak gzden geirir, bylelikle parolakran programlar tarafndan kolaylkla tahmin edilebilir parolalar belirlemenizi salar. 4. Apache SSL uzantlarn nasl etkin hale getirebilirim? Yant: a. ftp://ftp.psy.uq.oz.au/pub/Crypto/SSL adresinden srmn indirin b. Derleyin, deneyin, ve kurun! c. Apache kaynak dosyasn indirin. d. Burdan SSLeay uzantlarn indirin e. Apache kaynak dizininde sktrlm dosyay an ve README dosyasnda yazd gibi yamay uygulayn. f. Yaplandrn ve derleyin. SSLeay 0.8.0 veya daha yukar
Ayrca, bir sr nceden derlenmi paketlere sahip olan ve ABD'nin dnda bulunan ZEDZ net'i de deneyebilirsiniz. 5. Kullanc hesaplarn idare ederken gvenlii nasl salayabilirim? Yant: Red Hat datm, zellikle RH5.0, kullanc hesaplarnn zelliklerini deitirebilmeyi salayan bir ok arala birlikte gelir. a.
b.
c.
useradd, usermod, ve userdelprogramlar kullanc eklemek, silmek, ve deiiklik yapmak amacyla kullanlabilir. groupadd,groupmod, ve groupdel programlar ayn
eyleri gruplar iin yapar.
d. Grup parolalar
Btn bu programlar "glgenin farknda" olan programlardr, yani glge parolalar etkin hale getirdiinizde parola bilgisi iin /etc/shadow osyasn kullanrlar, getirmezseniz kullanmazlar. Daha fazla bilgi iin ilgili man sayfasna bakabilirsiniz. 6. Apache'yi kullanarak belirli HTML belgelerini nasl parola-korumal hale getirebilirim? Yant: Bahse girerim http://www.apacheweek.org adresini bilmiyordunuz deil mi? Kullanc kimlik dorulamas hakknda bilgiyi http://www.apacheweek.com/features/userauth adresinden, WWW sunucusu hakknda gvenlik ipularn ise http://www.apache.org/docs/misc/security_tips.html adresinden bulabilirsiniz.
Sonu
Gvenlik uyar mektup listelerine ye olarak, ve gncel olaylar takip ederek, makinenizi gvenli hale getirmeye doru ok adm atabilirsiniz. Gnlk dosyalarnza ilgi gsterir ve tripwire gibi bir program dzenli olarak altrrsanz, daha fazlasn da yapabilirsiniz. Evdeki bir makinede akla yatkn dzeyde bilgisayar gvenliini kurmak ve idare etmek zor deildir. makineleri iin daha fazla aba gerekir, fakat Linux gerekten gvenli bir platform haline gelebilir. Linux geliiminin doas gerei, gvenlik onarmlar ticari iletim sistemlerinde olduundan ok daha hzl ortaya kar, bu da gvenliin art olduu durumlarda Linux'u ideal bir platform haline getirir.
Teekkrler
Burdaki bilgiler bir ok kaynaktan toplanmtr. Aada bulunan ve dorudan veya dolayl olarak katkda bulunan herkese teekkrler:
Rob Riggs
rob (at) DevilsThumb.com
S. Coffin
scoffin (at) netcom.com
Viktor Przebinda
viktor (at) CRYSTAL.MATH.ou.edu
Roelof Osinga
roelof (at) eboa.com
Kyle Hasselbacher
kyle (at) carefree.quux.soltec.net
David S. Jackson
dsj (at) dsj.net
Todd G. Ruskell
ruskell (at) boulder.nist.gov
Rogier Wolff
R.E.Wolff (at) BitWizard.nl
Antonomasia ant (at) notatla.demon.co.uk Nic Bellamy sky (at) wibble.net Eric Hanchrow offby1 (at) blarg.net Robert J. Berger
rberger (at) ibd.com
Ulrich Alpers
lurchi (at) cdrom.uni-stuttgart.de
David Noha dave (at) c-c-s.com Pavel Epifanov. epv (at) ibm.net Joe Germuska. joe (at) germuska.com Franklin S. Werren fswerren (at) bagpipes.net Paul Rusty Russell
Paul.Russell (at) rustcorp.com.au
Christine Gaunt cgaunt (at) umich.edu lin bhewitt (at) refmntutl01.afsc.noaa.gov A. Steinmetz astmail (at) yahoo.com Jun Morimoto morimoto (at) xantia.citroen.org Xiaotian Sun sunx (at) newton.me.berkeley.edu Eric Hanchrow offby1 (at) blarg.net Camille Begnis camille (at) mandrakesoft.com
Tony Foiani tkil (at) scrye.com Matt Johnston mattj (at) flashmail.com Geoff Billin gbillin (at) turbonet.com Hal Burgiss hburgiss (at) bellsouth.net Ian Macdonald ian (at) linuxcare.com M.Kiesel m.kiesel (at) iname.com Mario Kratzer
kratzer (at) mathematik.uni-marburg.de
Othmar Pasteka pasteka (at) kabsi.at Robert M rom (at) romab.com Cinnamon Lowe clowe (at) cinci.rr.com Rob McMeekin blind_mordecai (at) yahoo.com Gunnar Ritter g-r (at) bigfoot.de Frank Lichtenheld
frank (at) lichtenheld.de
Bjrn Lotz
blotz (at) suse.de
Carlo Perassi
carlo (at) linux.it
Aadaki insanlar bu HOWTO belgesini eitli dier dillere evirdiler. Linux mesajnn yaylmasna yardm eden sizlerin hepinize zel bir teekkr ediyoruz:
Korece: Bume Chang Boxcar0001 (at) aol.com spanyolca: Juan Carlos Fernandez
piwiman (at) visionnetware.com
Norvee: ketil@vestby.com
ketil (at) vestby.com
systems but don't know where to begin, in that this document includes nearly all of the issues generally relating to the security and where to find more information; and for those who has a general understanding of the terms of security, but want to know what exact implementations exist, and where to find more information about them. Although original HOWTO is dated a bit and some of the links may possibly be broken/changed, it's still a great source for general purpose security reading. Thanks to Kevin Fenzi and Dave Wreski for such a good contribution to the Linux community. I thought such a document should be translated into Turkish as well, so that Turkish people who can't speak English (if any, :) ) can make use of the document.
A second simple reason is to contribute to the Turkish terminology, by translating the terms of
Computer Security issues, specifically in Linux Security. I think one of the most difficult tasks ever, is to provide translations of the fresh technical terms into one's own language (perhaps more difficult than securing Linux :) ). The rest of this page continues in Turkish to explain the difficulties in choosing the words, and make a little discussion about which words have been recommended, and why.
yararlanmasn salayabilmek; dieri ise gvenlik konusunda yava yava da olsa uyanmaya balayan gzide yurdumun, gzide dilini "Kriptoloji, kriptografi, enkripn, diimn, meyl, dos atak, hek, krek, adov, veb, transparan, trojan-troyan-trocn hors, pablik, snifr, spuf" gibi says sonsuz gibi grnen ingli szcklerden temizleme abasna katkda bulunmakt. Her iki adan da yararlanmanz dilei ile...
Szck Karlklar
Alk olunmadn ya da farkl olduunu dndm szcklerin kullandm karlklarn belirtmenin, belgeyi takip etmeyi kolaylatracan dndm.
account: hesap alias: takma isim brute force attack: kaba kuvvet saldrs bug: bcek boot: (bilgisayar) balatmak cracker: Bilgisayar sistemlerini "kran" kii, krc, korsan. reboot: (bilgisayar) yeniden balatmak attack: saldr attacker: saldrgan buffer overflow: tampon tamas checksum: salama toplam cluster: demet compromise: (gvenliini) bozmak/ihlal etmek cookie: erez / kurabiye cryptology: ifrebilim cryptography: ifreleme cryptanalyst: ifrezmleyici encrypt: ifrelemek decrypt: ifresini zmek/amak exploit: (gvenlik aklarndan) yararlanmak, (gvenlik aklar anlamnda da
kullanlr)
display: grnt
file: dosya filesystem: dosya sistemi firewall: gvenlik duvar / yangn duvar frame: ereve free: cretsiz, zgr free software: zgr yazlm (ounlukla cretsizdir de, ama asl kastedilen yazlm
kullanabilme zgrldr, GPL lisansnda ayrntl bilgi bulabilirsiniz)
gateway: a geidi graphic(s): izgesel hacker: zellikle biliim teknolojileriyle ilgili, belirli bir alanda (rnein gvenlik
alannda) tm ayrntlar renmeye almaktan zevk duyan kii, bilgisayar canavar, bilgisayar kurdu.
host: bilgisayar (aslnda ounlukla, ftp, www, news gibi bir hizmet veren bilgisayar) image: resim intrude: izinsiz girmek intruder: izinsiz giren (kii). intrusion: izinsiz giri link: ba symbolic link: simgesel ba log: gnlk, gnlk tutmak, gnln tutmak. login: (sisteme) giri mail: mektup e-mail (electronic mail): elektronik mektup, e-mektup mail transfer agent: posta datm arac mailbox: posta kutusu mailing list: mektup listesi (haberleme listesi veya elektronik liste olarak da
kullanlr)
mail server: posta sunucusu malicous: kt niyetli man-in-the-middle attack: ortadaki adam saldrs
masquerading: maskeleme mount: (sabit disk blmn bir dizine) balama, balanma node: u netlink: abalants parameter: deitirge parameterize: deitirgelemek partition: sabit disk blm password: parola shadow password: glge parola policy: politika router: yneltici script: betik (inde komutlarn toplu halde bulunduu, altrlabilir olduu halde ikili
yapda deil de metin yapsnda olan dosya)
server: sunucu (makine veya program) sniff: koklamak sniffer: koklayc spam: reklam (Tam olarak "spam mail", nternet'te ounlukla reklam, ounlukla da
ticari reklam amacyla, istek yaplmad halde gnderilen mektuplar anlamnda kullanlr)
spoof: taklit etmek, taklit spoofing: taklit etme site: site (Belgede hem bir bilgisayar, rnein WWW, FTP sitesi gibi, hem de bir
irketin WWW, FTP, NEWS gibi sunucularnn hepsini birden, yani tm bilgisayarlar topluluunu ifade etmek iin kullanlm)
smurf: irin (Aslnda anlam irin deil, fakat smurf szc Trkiye'deki ismi "irinler"
olan "Smurfs" isimli izgi filmden geliyor, smurf szc ngilizce'de de bu izgi filmden nce kullanlan bir anlama sahip deil)
sticky bit: yapkan bit swap: takas text: metin trojan horse: truva at vulnerability: (saldrlara kar) korunmasz olmak, saldrya ak olmak
Ksaltma Karlklar
Belge iinde ekleri olabildiince Trke okunularna eklemeye altm. Yaygn ngilizce okunularn ve anlamlarn ise aada bulabilirsiniz.
BIOS: (bayos) - Basic Input/Output System - Temel Girdi/kt Sistemi CIPE: (sayp) - Cryptographic IP Encapsulation - ifreli IP Sarma DOS: (dos) - Disc Operating System - Disk letim Sistemi DoS: (dos) - Denial of Service - Servis Reddi DDoS: (di dos) - Distributed Denial of Service - (Birden ok bilgisayara) Yaylm Servis
Reddi
FTP: (ef ti pi) - File Transfer Protocol - Dosya Aktarm Protokol IP: (ay pi) - Internet Protocol - nternet Protokol IPSec: (ay pi sek) - IP Security - IP Gvenlii man: (men) - Manual - El Kitab, Kitapk (Unix benzeri iletim sistemlerinin yardm
sistemi)
NIS: (nis) - Network Information System - A Bilgi Sistemi NFS: (en ef es) - Network File System - A Dosya Sistemi PAM: (pem) - Pluggable Authentication Modules - Taklabilir Kimlik Dorulama Modlleri PGP: (pi ci pi) - Pretty Good Privacy - Olduka yi (Kiisel) Gizlilik SSL: (es es el) - Secure Sockets Layer - Gvenli Soket Katman ssh: (es es eyc, ama Trke'de es es a) - Secure Shell - Gvenli Kabuk CFS: (si ef es) - Cyrptographic File System - ifreli Dosya Sistemi TCFS: (ti si ef es) - Transparent Cyrptographic File System - effaf ifreli Dosya Sistemi SATAN: (seytn)- Security Administrator's Tool for Analyzing Networks - (eytan) - A
zmlemesi in Yneticinin Gvenlik Arac
VPN: (vi pi en) - Virtual Private Network - Sanal zel A WWW: (bunun telafuzu ok uzuuun bi tartma :), Trke'de ounlukla" ve ve ve"
eklinde, Amerikan ngilizce'sinde ok hzl ve yutarak bir "dabyu dabyu dabyu" :) ) World Wide Web - Dnya apnda rmcek A
Web: (Cem Ylmaz'n mukawwa deyiindeki "w" gibi :), web) - Web (Ksaltma deil) rmcek A
[1]
(eviri konusundaki eletirilerinizi, eklemek istediklerinizi, ya da yanl eviriler konusudaki nerilerinizi tufank (at) gmail.com adresine gnderebilirsiniz. Konu ksmna "Guvenlik NASIL" yazn ki, benim reklam szgecime de yakalanmayasnz :). Cevap alma konusunda da ltfen sabrl olun :) )
[2]
[3]
cracker = atlatan, atrtadan, argoda sistemleri "kran" kii, "korsan", ayn zamanda bildiimiz kraker anlamna da gelir. Trke'de kanmca buna en iyi karlk gelen ifade "Bilgisayar Korsan" olsa gerek. Hacker ise, ngilizce gnlk konumada bilgisayar teknolojisinin gelimesinden nce ok yaygn olarak kullanlmayan bir szck. Bilgisayar teknolojosinin yaygnlamas ile birlikte, argoda "Bilgisayar ile ilgili btn konular en ince ayrntsna kadar renmeye almaktan derin bir zevk duyan kii" anlamnda kullanlmaya baland. Yine kanmca Hacker'a en iyi karlk gelen ifade "Bilgisayar Kurdu". Cracker"lar kendilerinin kraker olarak anlmasndan holanmam olacak ki bir sre sonra cracker ve hacker szckleri ayn anlam ifade edecek ekilde kullanlmaya baland. Daha dorusu hacker szc cracker iin kullanlmaya baland. Bilgisayar dnyasndaki terimlerle resmi olmayan ekilde anlatacak olursak: Hacker her eyi bilen, cracker ise sisteme (izinsiz) girendir. Bir sisteme izinsiz girebilmek, yani o sistemi "krabilmek" iin o sistemin btn teknik ayrntlarn bilmek gerekmez. Ak kapnn, ya da zayflklarn nerde olduunu bilmek yeterlidir. Bununla birlikte, bir sistemin btn teknik ayrntlarn biliyorsanz, muhtemelen zayf noktalarn da bilirsiniz, bu yzden en iyi "cracker"lar genelde "hacker"lardan kar. "Lamer" (lame = topal, aksak) ise, zayf noktann bile neresi olduunu anlamadan sisteme girmeye alan kiiye denir :).
[4]
Eer X Windows'u startx komutuyla balattysanz, muhtemelen bunu yapmadan nce sisteme metin konsollarndan birini (ayarlar deitirmediyseniz 6 tane) kullanarak girmisiniz demektir. startx komutu, X Windows'u ounlukla 7. konsolda aar, fakat giri yaptnz konsol kapanmaz. Gelen herhangi birisi <Control>-<Alt> ile birlikte Fonksiyon tularndan birini kullanarak (<Control>-<Alt>-<F1>'den <Control>-<Alt>-<F12>'ye kadar) dier metin konsollara, ve startx ile X Windows'u balattnz konsola gei yapabilir. Bu konsolda <Ctrl>-<C> veya <Ctrl>-<Z> tu kombinasyonunu kullanarak X Windows'u tmden kapatp daha nce giri yapm olduunuz konsolun kabuuna eriim salayabilir. Bunu nlemek iin, xdm, kdm, veya gdm kullanabilirsiniz. Giri yaptktan sonra startx komutunu deil,
xdm; exit
komutunu yazarak X Windows'u balatabilir, daha sonra xdm giri ekranndan giri yapabilirsiniz. Veya bilgisayarnzn daha alta xdm'i yklemesini salayabilirsiniz. Bunun iin /etc/inittab dosyasyla ilgili bilgi aratrmasnda bulunmanz gerekebilir. xdm komutunu kullanmak ounlukla o sistemde root olmay, ve dier baz ayarlar yapm olmay gerektirebilir. Bunun iin Linux datmnzla birlikte gelen belgelere, man sayfalarna, veya Linux-NASIL belgelerine gz atabilirsiniz.
[5]
ngilizce bug (bcek) kelimesi, bilgisayar dnyasnda, yazlmlarn, yazarlar tarafndan nceden tahmin edemedikleri, "alma zamannda", yani "alrken" ortaya kan hatalar kastetmek iin kullanlr. Bununla ilgili anlatlan bir hikaye, bilgisayarlarn henz bir oda byklnde olduu zamanlarda, bir bcein bilgisayarn iine girerek ksa devreye sebep olduu, bylelikle o anda almakta olan "yazlm"n grevini yerine getirememesine yol at eklindedir. Bu olay, ilk "yazlm bcei" olarak anlr. Genelde "bcek" kelimesi, yazlmlarn alrken, ounlukla beklemedikleri veya kontrol etmedikleri bir girdi karsnda ne yapacaklarn bilememeleri, yahut da kendilerine
iletim sistemi tarafndan yasaklanm olan baz eyler yapmaya kalkmalar yznden "gmesi" ile sonulanan "yazlm hatalar" iin kullanlr. Bu yazlm hatalar, nemli bir oranda denetimin yazlm dna kmasna ve iletim sistemine devredilmesine yol aar. Bunu bilen bir saldrgann, yazlmn brakt yerde, iletim sistemi henz devreye girmemiken, denetimi devralarak kendi yararna olan yazlm kodu paracklarn sistem zerinde altrmasna olanak salar. Bu yzden daha nce bahsedilen, yazlm srmlerinin gncel tutulmas zellikle nem kazanmaktadr. nk bir yazlmn bulunmu bcekleri, bir sonraki srm kmadan nce temizlenir. Hatta baz gncellemeler, yazlmn sadece bceklerden temizlenmi olmas iin yaynlanan gncellemelerdir.
[7]
Bir ok Linux sistemde bunu alias rm="rm -i" komutuyla, rnein sistem genelindeki balang dosyalarnn (/etc/profile gibi) iinde gerekletirebilirsiniz.
[8]
tek bir nokta olan geerli dizin, o anda iinde bulunduunuz dizindir.
[9]
Bu dosya baka bilgisayarlardan ounlukla parolasz balant iin kullanlr. Sadece oluturmamakla kalmayp, zellikle root iin byle bir dosyann olmadndan emin olun. Bir ok saldr, root'un ev dizinine, iinde + + satr bulunan bir .rhosts dosya oluturulmas ile sonulanr, ki bu makinenize her hangi bir bilgisayardan herhangi bir kullancnn parola girmeden root olarak balanabilecei anlamna gelir.
[10]
snrsz
[11]
bit, binary digit (ikili say dzenindeki rakam) ifadesinin ksaltmasdr. kili say dzeninde iki rakam vardr, 1 ve 0.
[12]
Red Hat datmnda, yeni bir kullanc atnz zaman, grubunu belirtmediiniz srece, kullanc ismiyle ayn yeni bir grup alr ve kullanc bu grupta yer alr.
[13]
[14]
Betikler, ikili dosya trnde olmayp, bildiimiz okunabilir metin dosyalardr. Dier metin dosyalarndan farklar altrlabilme zellikleridir. Bu zellikleri, betiklerin ikili dosya tipleri, yani programlar tarafndan yorumlanmas eklindedir. rnein bash kabuu iin yazlm bir kabuk betii bash program tarafndan, bir perl betii perl program (veya modl) tarafndan, ve bir php betii ise php program (veya modl) tarafndan okunarak, iindeki komutlar yerine getirilir.
[15]
girilemeyeceini de belirler.
[16]
Bir baka rnek, dosya gndermenize izin verilen ftp sunuculardr. Burda ayn dizine herkes dosya aktarm yapabilir, ama bir kullancnn koyduu dosyay dier bir kullanc silemez.
[17]
Normalde Unix sistemlerde bir bir program veya kabuk betiini altrarak bir ilem balattnzda, o ilemin kullanc kimlii ve izinleri, balatan kiininkiyle ayndr. Sz konusu dosyann sahip izinleri blmnde SETUID (Set User ID) biti 1 ise, bu, dosya sahibinin kullanc kimliinin, ilemin etkin kullanc kimlii haline getirilmesini salar, ve ilem o dosya sahibinin eriim izinleri ile alr. Bunun pratik olarak anlam udur: Bir dosyann sahibi root ise, ve SETUID biti 1 ise, o dosya altrldnda, altran kii ilemin almas boyunca root olur, ilem bittiinde eski kullanc kimliine (gerek kullanc kimlii) geri dndrlr. Tampon tamalar, programn "gmesine" ve yarm kalmasna sebep olan bceklerdir. Program henz bitmemi olduu iin altran kullanc hala root eriim iznindedir. Bu noktada bir kabuk altrlabilirse bu kii pratik anlamda root'un yapabilecei hereyi yapabilir anlamna gelir.
[18]
[19]
Dizin iindeki dosyalar listelenmez, ama dosyann ismini biliyorsanz, ve dosyann izinleri uygunsa dizinle birlikte dosyann tam yolunu yazdnz takdirde dosyaya erimeniz mmkndr.
[20]
[21]
ekirdek kaynak dosyalar genelde /usr/src/linux altnda bulunur, make config komutu da bu dizine girdikten sonra verilir. Bahsedilen dosya da make config komutunun verildii dizine gre genelde ./Documentation/ altndadr.
[22]
2.4 ekirdek srmnden itibaren artk bu iki programn yerine iptables kullanlmaktadr.
[23]
NO-USER: KULLANICI-YOK
[24]
[25]
[26]
iptables
[27]
Krldnz Nasl Anlarsnz, Sonrasnda Ne Yaparsnz? bu konudaki bir baka Trke belge, ve dier gvenlikle ilgili belgeler ile birlikte http://www.ulakbim.gov.tr/dokumanlar/guvenlik/sunumlar.uhtml adresinde duruyor.
[28]
Kitaplar ngilizce olduu iin, ulamak istemeniz durumunda ngilizce referanslarn bulunmas daha iyi olacaktr. Bu yzden referans bilgilerini evirmeden brakmann daha iyi olabileceini dnyorum
[29]
Bu eviride kullanlan ngilizce szckler iin nerdiim Trke karlklar Szck Karlklar blmnde bulabilirsiniz. En azndan bir gz attnzdan emin olun :)
[30]
Bilgisayar, saldrgana servis vermekle o kadar meguldr ki meru kullanclara servis vermeyi reddeder
[31]
Temel olarak, balant yapmaya altnz bilgisayara, IP bilgilerinizi yanl iletmek olarak zetlenebilir
[32]
Yani veriyi gnderen kiinin veriyi gnderdiini daha sonra inkar edememesi