Linux Güvenlik

[megabros]

Bir işletimi sisteminin güvenliği ona belli başlı koruyucu programları kurup öylece bırakmak değildir. Güvenlik aslında bitmeyen bir süreçtir;bunun anlamı her gün yeni açıklar bulunup onlarla ilgili exploitler ve buna benzer programlar geliştiriliyor ve işte bizim de sistem kaynaklarımızı korumamız açısından bu süreci sürekli canlı tutma gibi bir görevimiz vardır.

Genel itibariyle yeni kurulan bir Linux sistemi aslında çok da güvensiz sayılmaz bu Linux”un kendi sistem işleyişinden gelen bir özelliğidir. Fakat elimizde ne kadar güçlü bir silahımız da olsa onu kullanmayı bilmedikten sonra onun pek de büyük bir değeri kalmaz. Bu açıdan bakıldığında Linux birkaç önemli adımla ayarlandığında çok da güvenli bir hale getirilebilir. Fakat yine belirtmek gerekirse günümüzde %100 güvenli bir sistem bulunmamaktadır;bunun mümkün olması demek İnternet veya ağ bağlantısına sahip olmaması demektir. O zaman bile yine bu sistem için %100 güvenlidir diyemeyiz. İşte bu belgede genel itibariyle bu yüzdeyi yüksek tutmanın yolları üzerinde durulacaktır. Bu belgenin incelenmesi sırasında genel olarak rpm tabanlı Fedora türevi işletim sistemleri üzerinde durulmuştur.

Bir sistemin güvenlik açısından işleyişini incelemek gerekirse;aşağıdaki akış diyagramı bu konuda oldukça açıklayıcı olabilir. Aşağıdaki şekilde de görüldüğü üzere sistem güvenliğinde temiz bir tane ile başlayıp bunu bir süreç haline getirmek gerekir. Çoğu sistem yöneticisi bunun aksini iddia etmez fakat periyodik olarak uygulama kısmını çoğu kimse yapmaz. Çoğu kazaların meydana gelme nedenleri de umursamazlık ve düzenli olarak kontrollerin yapılmamasından ileri gelmektedir.

Aşağıdaki şekilde de görüldüğü üzere sistem güvenliğinde temiz bir tane ile başlayıp bunu bir süreç haline getirmek gerekir. Çoğu sistem yöneticisi bunun aksini iddia etmez fakat periyodik olarak uygulama kısmını çoğu kimse yapmaz. Çoğu kazaların meydana gelme nedenleri de umursamazlık ve düzenli olarak kontrollerin yapılmamasından ileri gelmektedir.

Güvenlik Araçları

İşletim sistemimizi kurduğumuzda güvenlikle alakalı olarak bazı yazılımlara sahiptir fakat bunlar ileri seviyede bizi bazen korumaya yetmeyebilir. Bu kısımda yeni kurulan bir Linux işletim sistemi için gerekli başlıca temel programlar ve işlevleri tanıtılacaktır. Burada açıklanan araçların çoğu açık yazılım projesi olup ücretsiz olarak sitelerinden elde edilebilirler.

Tripwire

Temiz bir sisteme kurulması gereken programların en başında makinemizde sonradan yapılacak değişiklikleri kontrol edecek olanlardır. Bu tip programlar Linux”umuzu daha dış dünyaya bağlanmadan onun bir resmini çeker ve veritabanına bunları ekler. Burada resimden kasıt önemli dosyaların (örnek olarak /bin/su /bin/ls çalıştırılabilir betiklerin )md5 değerlerini alır,çünkü bunlar genelde trojan tarzı programlarla enfekte edilip farklı amaçlarda kullanılanlardır. Burada sözünü ettiğimiz bu tip programların en ünlü örneği tripwiredir. Bu programı kurarken dikkat etmemiz gereken noktalar:

Sistemimizin resmini aldıktan sonra onun veritabanını ve yapılandırma dosyalarını sabit diskimizde tutmamamız son derece önemlidir.ünkü saldırıya uğramış bir sistemde alarm verdiği kısımlar kapatılabilir veya veritabanlarına zarar verilebilir,bu yüzden programın cdrom”dan çalıştırılıyor olması ve veritabanının disket veya ssh üzerinden güvenilir bir başka makinede olmasında fayda vardır.

 

Kısa ve genel kullanımı

Sisteme ilk kurulduğunda ilk önce sistemimiz için gerekli olan anahtarları oluşturmamız gerekir. Bir tanesi yerel(local) ve diğeri de genel olan (site) güvenlik açısında oluşturulmalıdır.

Tripwire yazılımı için gerekli olan yapılandırma dosyaları /etc/tripwire/ dizini altında twcg ve twpoldur. İlk kurulum yapılıp yani tarama yapılmadan önce her ikisi de metin kipindedir ve tarama yapıldıktan sonra da ikilik düzene geçerler. twcg yapılandırma dosyasında veritabanının nerde bulunduğu,çalıştırılabilir dosyaların yerleri gibi bilgiler bulunur.

twpol altında ise dosya sistemimizdeki hangi dosyaların kontrol edileceği yer almaktadır. Buradaki dosyalarda bazıları bizim sistemimizde bulunmayabilir o yüzden onları kontrol ettirip bazılarının başına # koyarak kaldırmalıyız. Bunun nedeni tarama yaptığımız zaman tripwire bu dosyaları bulamayacaktır ve bu yüzden de bunu bir tehdit olarak bize bildirecektir.

İlk tarama yapıldıktan sonra metin kipindeki yapılandırma dosyalarının salt okunur kipte alınmaları önemlidir.

Saygılar..