Şöyle bir göz atılması gereken sonraki konu, yerel
kullanıcılardan gelen saldırılara karşı sistem
güvenliğiniz konusu. Kullanıcıların yerel olduğunu
söyledik mi? Evet!
Sistem saldırganlarının root hesabına giden yollarındaki
ilk şeylerden bir tanesi yerel bir kullanıcı hesabına erişim
elde etmektir. Bu saldırganlar, gevşek bir yerel güvenlik ile,
kötü ayarlı bir yerel servis veya çeşitli böceklerden
yararlanarak, normal kullanıcı erişimlerini root erişimine
terfi ettirir. Eğer yerel güvenliğinizin sıkı olduğundan
emin olursanız, saldırganın üzerinden atlaması gereken
başka bir çit daha oluşturmuş olursunuz.
(Ç.N.: İngilizce bug (böcek) kelimesi, bilgisayar dünyasında,
yazılımların, yazarları tarafından önceden tahmin
edemedikleri, çalışma zamanında, yani çalışırken
ortaya çıkan hataları kastetmek için kullanılır.
Bununla ilgili anlatılan bir hikaye, bilgisayarların henüz bir
oda büyüklüğünde olduğu zamanlarda, bir böceğin
bilgisayarın içine girerek kısa devreye sebep olduğu, böylelikle
o anda çalışmakta olan yazılımın görevini
yerine getirememesine yol açtığı şeklindedir. Bu olay,
ilk yazılım böceği olarak anılır. Genelde böcek
kelimesi, yazılımların çalışırken, çoğunlukla
beklemedikleri veya kontrol etmedikleri bir girdi karşısında
ne yapacaklarını bilememeleri, yahut da kendilerine işletim sistemi
tarafından yasaklanmış olan bazı şeyler yapmaya kalkmaları
yüzünden göçmesi ile sonuçlanan yazılım hataları
için kullanılır. Bu yazılım hataları, önemli
bir oranda denetimin yazılım dışına çıkmasına
ve işletim sistemine devredilmesine yol açar. Bunu bilen bir saldırganın,
yazılımın bıraktığı yerde, işletim sistemi
henüz devreye girmemişken, denetimi devralarak kendi yararına
olan yazılım kodu parçacıklarını sistem üzerinde
çalıştırmasına olanak sağlar. Bu yüzden daha
önce bahsedilen, yazılım sürümlerinin güncel tutulması
özellikle önem kazanmaktadır. Çünkü bir yazılımın
bulunmuş böcekleri, bir sonraki sürüm çıkmadan
önce temizlenir. Hatta bazı güncellemeler, yazılımın
sadece böceklerden temizlenmiş olması için yayımlanan
güncellemelerdir.)
Yerel kullanıcılar, gerçekten söyledikleri kişi oldukları
durumda bile sistem üzerinde fazlaca kargaşa yaratabilir (Ç.N.:
Bizzat hesabın meşru sahibi tarafından zarar verilmek istenebilir).
Tanımadığınız insanlara, veya iletişim bilgilerine
sahip olmadığınız birine hesap açmak, gerçekten
çok kötü bir fikirdir.
4.1 Yeni Hesap Açma
Kullanıcı hesaplarının, kullanıcıların yapması
zorunlu işler için asgari gereklerini karşılayacak şekilde
açıldığından emin olmalısınız. Eğer
(10 yaşındaki) oğlunuza bir hesap açarsanız, erişiminin
bir kelime işlemci ya da çizim programıyla sınırlı
olmasını, ve kendisinin olmayan veriyi silme yetkisinin olmamasını
isteyebilirsiniz.
Diğer kullanıcıların Linux makinenize meşru bir erişim
sağlamasına izin verirken esas olarak alınabilecek bazı
kurallar:
Onlara, gereksinim duydukları en az yetkiyi verin.
Ne zaman ve nereden sisteme giriş yaptıklarına, ya da yapmaları
gerektiğine dikkat edin.
Kullanılmayan hesapların kapandığından emin olun.
Bütün bilgisayar ve ağlarda aynı kullanıcı isminin
kullanılması, hesabın bakımını kolaylaştırması,
ve günlük verisinin daha kolay çözümlenmesi açısından
tavsiye edilir.
Grup kullanıcı kimliklerinin yaratılması mutlak surette
yasaklanmalıdır. Kullanıcı hesapları sorumluluk mekanizması
da sağlar, ve bu birden fazla kişinin kullandığı grup
hesaplarıyla mümkün değildir.
Güvenlik ihlallerinde kullanılan bir çok yerel kullanıcı
hesabı, aylardır hata yıllardır kullanılmayanlardır.
Kimse onları kullanmadığı için, ideal bir saldırı
aracıdırlar.
4.2 Root Güvenliği
Makinenizdeki, peşinden en fazla koşulan hesap root (üstün
kullanıcı) hesabıdır. Bu hesap bütün makine üzerinde
yetki sağlamasının yanı sıra, ağdaki diğer
makineler üzerinde de yetki sağlıyor durumda olması mümkündür.
Unutmayın ki root hesabını, sadece özel işler için
ve çok kısa süreliğine kullanmalısınız, geri
kalan zamanlarda normal kullanıcı olarak işlerinizi yürütmelisiniz.
Root kullanıcısı olarak sisteme giriş yaptığınızda,
yaptığınız küçük hatalar dahi sorunlara yol
açabilir. Root hesabıyla ne kadar az zaman harcarsanız, o kadar
güvende olursunuz.
Makinenizi root olarak karıştırmaktan uzak durmanızı
sağlayacak bir kaç numara:
Karmaşık bir komut kullanırken, komutu ilk önce yıkıcı
olmayan başka bir şekilde kullanmayı deneyin... Özellikle
komutun geniş çaplı kullanımında... Örneğin
rm foo*.bak yapmak istiyorsanız, önce ls foo*.bak komutunu kullanarak,
silmek üzere olduğunuz dosyaların, silmeyi düşündüğünüz
dosyalar olduğundan emin olun. Bu tür tehlikeli komutların kullanımında,
komutlar yerine echo kullanmak da zaman zaman işe yarayabilir.
Kullanıcılarınıza, rm komutunun, dosyaları silmeden
önce onay almasını sağlayacak, varsayılan bir takma
ismini olusturun. (Ç.N.: Bir çok Linux sistemde bunu alias rm=rm -i
komutuyla, örneğin sistem genelindeki başlangıç dosyalarının
(/etc/profile gibi) içinde gerçekleştirebilirsiniz.)
Sadece belirli, tek bir işi yapmanız gerektiği zamanlarda root
olun. Eğer kendinizi bir şeyin nasıl yapıldığını
tahmin etmeye çalışırken bulursanız, normal kullanıcı
hesabınıza geri dönüp, root tarafından neyin yapılacağından
emin olmadan önce root kullanıcısına dönmeyin.
Root için komut yolu tanımı çok önemli. Komut yolu
(yani PATH çevre değişkeni), girdiğiniz herhangi bir komut
ya da programın hangi dizinlerde aranacağını belirtir. Root
kullanıcısı için komut yolunu olabildiğince sınırlandırmaya
çalışın, ve asla . dizinini eklemeyin (geçerli dizin
anlamına gelir, Ç.N.: tek bir nokta olan geçerli dizin, o anda
içinde bulunduğunuz dizindir). Ek olarak, komut yolunuzda, yazılabilen
dizinler bulundurmayın, çünkü bu saldırganların
bu dizinler içine, bir sonraki sefer kullandığınızda
root erişim izniyle çalışacak olan yeni çalıştırılabilir
dosyalar koyabilmesi anlamına gelir.
Asla rlogin/rsh/rexec araçlarını (r-araçları olarak
adlandırılırlar) root olarak kullanmayın. Çünkü
bunlar, çok çeşitli saldırılara açık komutlardır,
dolayısıyla root olarak çalıştırıldıklarında
çok daha tehlikeli hale gelirler. Asla root için .rhosts dosyası
yaratmayın. (Ç.N.: Bu dosya başka bilgisayarlardan çoğunlukla
parolasız bağlantı için kullanılır. Sadece yaratmamamakla
kalmayıp, özellikle root için böyle bir dosyanın olmadığından
emin olun. Bir çok saldırı, root´un ev dizinine, içinde
+ + satırı bulunan bir .rhosts dosyası kullanılması
ile sonuçlanır ki, bu makinenize her hangi bir bilgisayardan herhangi
bir kullanıcının parola girmeden root olarak bağlanabileceği
anlamına gelir).
/etc/securetty dosyası, root olarak giriş yapılabilecek terminalleri
belirtir. Bu dosyanın varsayılan ayarları (Red Hat Linux´ta)
yerel sanal konsollardır (Ç.N.: /dev/tty1´den /dev/tty6´ya
kadar). Bu dosyaya herhangi bir şey eklerken çok tedbirli olun. Root
olmanız gerektiğinde uzaktan normal bir kullanıcı hesabına
(ssh veya diğer şifrelenmiş bir yolla) giriş yapıp
su komutuyla olabilirsiniz. Dolayısıyla doğrudan root olarak
giriş yapabilmeye gereksiniminiz yoktur.
Root´u kullanırken daima yavaş ve temkinli davranın. Davranışlarınız
bir çok şeyi etkileyebilir. Tuşlara dokunmadan önce düşünün!
Eğer birine (umarız güvenli biridir), mutlak surette root hesabını
kullanması için izin vermeniz gerekiyorsa, yardımcı olabilecek
bir kaç araç var. sudo, kullanıcıların, parolalarını
kullanarak sınırlı sayıda komutu root olarak çalıştırmalarına
izin verir. Bu, örneğin, bir kullanıcının, ayrılabilir
medyanın (Ç.N.: Örneğin CDROM) bağlanması veya
çıkarılması işini, için root´un diğer
yetkilerini kullanamadan yapabilmesi anlamına gelebilir. sudo aynı
zamanda, başarılı ve başarısız sudo denemelerinin
bir günlüğünü tutar, bu şekilde kimin ne yapmak
için bu komutu kullandığını izlemeniz mümkün
hale gelir. Bu sebeple sudo, birden fazla kişinin root erişimi olduğu
yerlerde bile iyi bir iş yapar, çünkü değişikliklerin
takip edilmesinde yardım etmiş olur.
sudo belirli kullanıcılara belirli yetkiler vermekte yararlı
olmasına rağmen, bazı eksiklikleri vardır. Sadece sınırlı
bir takım işlerde kullanılmak zorundadır, örneğin
bir sunucuyu yeniden başlatmak, veya yeni kullanıcılar eklemek
gibi. sudo ile çalıştırılan, ve kabuğa çıkmaya
izin veren her program, sisteme root erişimi sağlamış olur.
Buna örnek olarak bir çok editör gösterilebilir. Ayrıca,
/bin/cat kadar zararsız bir program bile, dosyaların üzerine
yazmakta, ve root erişimi sağlamakta kullanılabilir. sudo programını,
yapılan işten kimin sorumlu olduğunun izlenilmesi için kullanılan
bir programmış gibi düşünün, ve hem root kullanıcısının
yerine geçmesini hem de güvenli olmasını beklemeyin
5. Dosyalar ve Dosyasistemi Güvenliği
Sistemlerinizi ağa bağlı hale getirmeden önce yapılacak
bir kaç dakikalık hazırlık ve planlama, sistemlerinizin
ve üzerlerinde saklanan verinin korunmasında yardımcı olabilir.
Kullanıcıların, SUID/SGID programları ev dizinlerinden çalıştırmalarına
izin vermek için herhangi bir sebep olmamalıdır. /etc/fstab dosyasında,
root´tan başkalarının da yazma izninin olduğu disk
bölümleri için nosuid seçeneğini kullanın. Ayrıca,
kullanıcıların ev dizinlerinin bulunduğu bölümlerde,
ve /var dizininde, program çalıştırılmasını
ve karakter veya blok cihazların yaratılmasını engellemek
için (ne de olsa hiçbir zaman böyle bir şey gerekmeyecektir)
nodev ve noexec seçeneklerini kullanabilirsiniz.
NFS kullanarak dosyasistemlerini dışarı açıyorsanız,
/etc/exports dosyasında en fazla sınırlandırma sağlayan
seçenekleri kullandığınızdan emin olun. Bu, genel karakter
kullanılmaması, root kullanıcısına yazma izninin verilmemesi,
ve mümkün olduğu yerlerde salt-okunur şekilde dışa
açılması anlamına geliyor.
Kullanıcılarınızın dosya yaratma umask´ini mümkün
olduğu kadar sınırlı tutun. Bkz. umask ayarları.
Eğer, NFS gibi bir ağ dosyasistemini kullanarak dosyasistemlerini
bağlıyorsanız, /etc/exports dosyasında uygun sınırlama
ayarlarının yaptığınızdan emin olun. Tipik olarak,
nodev, nosuid, ve belki de noexec gerekli olanlardır.
Dosyasistemlerinin sınırları belirleyin, varsayılan unlimited
(Ç.N.: sınırsız) ayarına izin vermeyin. Kullanıcı
bazındaki sınırları, kaynak-limitleri PAM modülünü
kullanarak, ve /etc/pam.d/limits.conf dosyasındaki ayarlar aracılığı
ile yapabilirsiniz. Örneğin, users grubu için sınırlar
şu şekilde olabilir:
@users hard core 0
@users hard nproc 50
@users hard rss 5000
Burda söylenen, core dosyalarının yasaklanması, işlem
sayısının 50 ile sınırlanması, ve bellek kullanımının
5M ile sınırlandırılmasıdır.
/var/log/wtmp ve /var/run/utmp dosyaları sisteminizdeki tüm kullanıcıların
sisteme giriş bilgilerini içerir. Bu dosyaların bütünlükleri
korunmalıdır, çünkü bir kullanıcının
(ya da bir saldırganın) ne zaman ve nereden giriş yaptığını
belirlemede kullanılabilirler. Bu dosyaların erişim izinleri,
normal işlevlerini gerçekleştirmelerine engel olmayan 644 olmalıdır.
Korunması gereken bir dosyanın kazara silinmesi veya üzerine
yazılmasını önlemek için değişmez biti kullanılabilir.
Bu ayrıca, dosyaya bir simgesel bağ yaratılmasını da
engelleyecektir (bu tür simgesel bağlar, /etc/passwd veya /etc/shadow
dosyaların silinmesi gibi saldırılarda temel oluşturmuştur).
Değişmez biti ile ilgili daha fazla bilgi için chattr (1) man
sayfasına bakın.
Sisteminizdeki SUID ve SGID dosyaları, potansiyel bir güvenlik riski
oluşturur ve yakından izlenmelidir. Bu programlar, onları çalıştıran
kullanıcıya özel yetkiler verdiği için, güvensiz
programların kurulu olmadığından emin olmak gereklidir.
Korsanların gözde bir numarası da SUID-root programlarından
yararlanarak, bir sonraki girişlerinde arkakapı olarak kullanmak üzere
bir SUID programı yerleştirmektir. Bu şekilde asıl delik
kapatılsa bile yeni arkakapı sayesinde sisteme giriş yapabilirler.
Sisteminizdeki bütün SUID/SGID programları bularak ne olduklarını
izleyin. Böylelikle, bir değişiklik olduğunda, ki bu değişiklikler
potansiyel bir saldırganın göstergesi olabilir, haberiniz olmuş
olur. Sisteminizdeki bütün SUID/SGID programları bulmak için
aşağıdaki komutu kullanabilirsiniz:
root# find / -type f ( -perm -04000 -o -perm -02000 )
Debian dağıtımı, hangi SUID programlarının bulunduğunu
belirlemek için her gece bir iş çalıştırır.
Daha sonra bunu bir önceki gece ile karşılaştırır.
Bu günlük için /var/log/setuid* dosyalarına bakabilirsiniz.
Şüpheli bir programdaki SUID ve SGID erişim izinlerini chmod
ile kaldırabilir, daha sonra mutlak şekilde gerektiğini hissederseniz
tekrar yerine koyabilirsiniz.
Herkes tarafından yazılabilir dosyalar, özellikle sistem dosyaları,
bir korsan sisteminize erişir ve üzerlerinde değişiklik
yaparsa bir güvenlik deliği haline gelebilir. Ayrıca herkes tarafından
yazılabilir dizinler de tehlikelidir, çünkü bir korsanın
istediği gibi dosya ekleme ve silmesine izin verir. Sisteminizdeki herkes
tarafından yazılabilen dosyaları bulmak için, aşağıdaki
komutu kullanın:
root# find / -perm -2 ! -type l -ls
ve bu dosyaların neden yazılabilir olduklarını bildiğinizden
emin olun. Normal işlevler sırasında, herkes tarafından
yazılabilir bir takım dosyalar bulunur, bunlar arasında /dev
dizinindekiler ve simgesel bağlar da vardır. Bu nedenle yukarıdaki
find komutunda simgesel bağları dışarıda bırakan
! -type l seçeneğini kullandık.
Sahipsiz dosyalar da bir saldırganın sisteminize eriştiğinin
bir göstergesi olabilir. Sahibi olmayan veya hiçbir gruba ait olmayan
dosyaları aşağıdaki komut ile bulabilirsiniz:
root# find / -nouser -o -nogroup -print
.rhosts dosyalarına sisteminiz üzerinde izin vermemelisiniz, dolayısıyla
sistem üzerindeki bu dosyaların bulunması düzenli yönetim
görevlerinizin bir parçası olmalı. Unutmayın, bir korsan
bütün ağınıza erişebilmek için sadece bir
güvensiz hesaba gereksinim duyar. Aşağıdaki komutla sistem
üzerindeki tüm .rhosts dosyalarını bulabilirsiniz:
root# find /home -name .rhosts -print
Son olarak, herhangi bir sistem dosyası üzerindeki erişim izinlerini
değiştirmeden önce, ne yaptığınızı anladığınızdan
emin olun. Sadece bazı işlerin daha kolay olduğunu düşündüğünüz
için bir dosyanın erişim izinlerini değiştirmeyin.
Daima değiştirmeden önce neden o dosyanın o izinlere sahip
olduğunu belirleyin.
5.1 Umask Ayarları
umask komutu, sistem üzerinde varsayılan dosya yaratma kipini belirlemek
amacıyla kullanılabilir. İstenen dosya kipinin sekizli sayı
düzeninde tümleyicisidir. Eğer dosyalar, erişim ayarlarına
bakmaksızın yaratılırsa, kullanıcı dikkatsizce,
okuma veya yazma izni olmaması gereken birine bu izinleri verebilir. Tipik
umask ayarları, 022, 027, ve 077 (en fazla sınırlama budur) ayarlarıdır.
Normal olarak, umask /etc/profile dosyasında belirlenir, dolayısıyla
bütün kullanıcılar için geçerlidir. Dosya yaratma
maskesi 777´den istenen değerin çıkarılmasıyla
elde edilebilir. Diğer bir deyişle, umask ayarı 777 olduğu
zaman, yeni yaratılan bir dosya kimse için okuma, yazma ve çalıştırma
izinlerini bulundurmayacaktır. 666 gibi bir maske, yeni yaratılan
dosyaların 111 (Ç.N.: Herkes için sadece çalıştırma)
izninde olmasını sağlayacaktır. Örneğin, aşağıdaki
gibi bir satır olabilir:
# Kullanıcının varsayılan umask değerini belirle
umask 033
Root´un umask değeri 077 olmalıdır; bu, root´tan başka
herkesi okuma, yazma ve çalıştırma izinlerinden, açık
bir şekilde chmod ile izin verilene kadar yoksun bırakır. Yukarıdaki
örnekte, yeni yaratılan dizinlerin izinleri, 777 - 033 = 744 olacaktır.
Yeni yaratılan dosyaların ise bu maske ile erişim izinleri 644
olur.
Eğer Red Hat kullanıyorsanız, ve onların kullanıcı
ve grup ID yaratma düzenlerine bağlı kalıyorsanız,
umask için gereken sadece 002 değeridir. Bunun sebebi, Red Hat´te
varsayılan ayarın her kullanıcı için ayrı bir
grup olmasıdır. (Ç.N.: Red Hat dağıtımında,
yeni bir kullanıcı açtığınız zaman, grubunu
belirtmediğiniz sürece, kullanıcı ismiyle aynı yeni
bir grup açılır ve kullanıcı bu grupta yer alır.)
5.2 Dosya İzinleri
Sistem dosyalarınızın, kullanıcılar tarafından,
ve sistem dosyalarının bakımından sorumlu olmayan kişiler
tarafından açılmadığını garanti altına
almak önemlidir.
Unix, dosya ve dizinlerdeki erişim denetiminde üç ayrı özelliğe
göre sağlar: sahip, grup, ve diğer. Bir dosyanın her zaman
bir sahibi ve grubu vardır, geriye kalan herkes diğer özelliğine
sahiptir.
Unix izinlerini kısaca açıklayacak olursak:
Sahiplik - Hangi kullanıcı(lar) ve grup(lar), dosyanın (veya
dizin/üst dizinin) izin haklarını denetim altında tutuyor?
İzinler - Kimi erişim tiplerine müsade etmek için 1 veya
0 olabilen bitler. (Ç.N.: bit, binary digit´in kısaltması
olup, ikili rakam anlamına gelir. İkili sayı düzeninde zaten
iki rakam vardır, 1 ve 0). Dosyaların izinleri, dizinlerinkinden farklı
anlamlar taşır.
Okuma:
Dosyanın içeriğini görebilme
Dizinde hangi dosyaların bulunduğunu görebilme
Yazma:
Bir dosya üzerinde değişiklik veya ekleme yapabilme
Bir dizindeki dosyaları silebilme veya taşıyabilme
Çalıştırma:
İkili yapıdaki bir programı veya kabuk betiğini çalıştırma
(Ç.N.: Betikler, ikili dosya türünde olmayıp, bildiğimiz
okunabilir metin dosyalarıdır. Diğer metin dosyalarından
farkları çalıştırılabilme özellikleridir.
Bu özellikleri, betiklerin ikili dosya tipleri, yani programlar tarafından
yorumlanması şeklindedir. Örneğin bir kabuk betiği
bash programı tarafından, bir perl betiği perl programı
(veya modülü) tarafından, ve bir php betiği ise php programı
(veya modülü) tarafından okunarak, içindeki komutlar yerine
getirilir)
Bir dizinde arama yapabilme, okuma izinleri ile birlikte (Ç.N.: Bir dizin
için çalıştırma bitinin durumu, o dizine cd veya chdir
komutlarıyla girilip girilemeyeceğini de belirler)
Metin Sakla Niteliği: (Dizinler için)
Yapışkan bit de dizinlere ve dosyalara uygulandığında
farklı anlamlar taşır. Eğer bir dizinin yapışkan
biti 1 ise, bir kullanıcı o dizinde yeni bir dosya oluşturabilir,
fakat dizindeki diğer dosyaları, kendine ait olmadığı
veya açık bir şekilde izin verilmediği sürece silemez.
Bu bit, /tmp gibi herkesin yazabileceği, ama diğer hiçbir kullanıcının
başkalarının dosyalarını silmemesinin sağlanması
gereken dizinler için tasarlanmıştır. Uzun dizin listesinde
yapışkan bit t olarak görünür (Ç.N.: Bir başka
örnek, dosya göndermenize izin verilen ftp sunucularıdır.
Burda aynı dizine herkes dosya aktarımı yapabilir, ama bir kullanıcının
koyduğu dosyayı diğer bir kullanıcı silemez.)
SUID Niteliği: (Dosyalar için)
Bu, dosyayı kullanıcı-kimliği-belirle izinleriyle ilgilidir.
Eğer sahip izinleri bölümünde but bit 1 ise, ve dosya çalıştırılabilir
bir dosya ise, çalışan işlemler sistem kaynaklarına,
işlemi başlatan kişinin değil, dosya sahibinin kimliğinde
erişim sağlar. Bu, bir çok tampon taşması açıklarının
da sebebidir. (Ç.N.: Normalde Unix sistemlerde bir bir programı veya
kabuk betiğini çalıştırarak bir işlem başlattığınızda,
o işlemin kullanıcı kimliği ve izinleri, başlatan kişininkiyle
aynıdır. Söz konusu dosyanın sahip izinleri bölümünde
SETUID (Set User ID) biti 1 ise, bu, dosya sahibinin kullanıcı kimliğinin,
işlemin etkin kullanıcı kimliği haline getirilmesini sağlar,
ve işlem o dosya sahibinin erişim izinleri ile çalışır.
Bunun pratik olarak anlamı şudur: Bir dosyanın sahibi root ise,
ve SETUID biti 1 ise, o dosya çalıştırıldığında,
çalıştıran kişi işlemin çalışması
boyunca root olur, işlem bittiğinde eski kullanıcı kimliğine
(gerçek kullanıcı kimliği) geri döndürülür.
Tampon taşmaları, programın göçmesine ve yarım
kalmasına sebep olan böceklerdir. Program henüz bitmemiş
olduğu için çalıştıran kullanıcı hala
root erişim iznindedir. Bu noktada bir kabuk çalıştırılabilirse
bu kişi pratik anlamda root´un yapabileceği herşeyi yapabilir
anlamına gelir.)
SGID Niteliği: (Dosyalar için)
Bu bit grup izinlerinde 1 ise, dosyanın grup-kimliği-belirle durumunu
denetler. Bu kullanıcı-kimliği-belirle biti ile aynı şekilde
çalışır, fakat bu kez grup kimliği etkilenir. Bu bitin
etkili olabilmesi için dosyanın çalıştırılabilir
olması şarttır (Ç.N.: SGID - set group id, grup kimliğini
belirle)
SGID Niteliği: (Dizinler için)
Eğer bir dizinin bu bitini 1 yaparsanız (chmod g+s dizin ile), bu
dizinde yaratılan dosyaların grupları, bu dizinin grubu ile aynı
olacaktır.
Siz - Dosyanın sahibi
Grup - Ait olduğunuz grup
Diğer - Sizin ve grubunuzun diğer üyelerinin dışında
kalan herkes.
Dosya Örneği:
-rw-r--r-- 1 kevin users 114 Aug 28 1997 .zlogin
1. bit - dizin mi? (hayır)
2. bit - sahibi okuyabilir mu? (evet, kevin tarafından)
3. bit - sahibi yazailiror mu? (evet, kevin tarafından)
4. bit - sahibi çalıştırabiliyor mu? (hayır)
5. bit - grup üyeleri okuyabilir mu? (evet, users tarafından)
6. bit - grup üyeleri yazabiliyor mu? (hayır)
7. bit - grup üyeleri çalıştırabiliyor mu? (hayır)
8. bit - diğerleri okuyabiliyor mu? (evet, herkes tarafından)
9. bit - diğerleri yazabiliyor mu? (hayır)
10. bit - diğerleri çalıştırabiliyor mu? (hayır)
Aşağıdaki satırlar, dosyalar için açıklanan
erişim izinlerinin uygulanabilmesi için verilmesi gereken en az izinlerin
örnekleridir. Herhangi birine burdakilerden daha fazla izin vermek isteyebilirsiniz,
fakat bunların en azları açıklanmaktadır:
-r-------- Dosya sahibinin dosyayı okumasına izin verir.
--w------- Dosya sahibinin dosyayı değiştirmesine veya silmesine
izin verir.
(Dosyanın içinde bulunduğu dizine yazma hakkı olan herkes,
dosyanın
üzerine yazabilir, dolayısıyla dosyayı silebilir)
---x------ Dosyanın sahibi programları çalıştırabilir.
Kabuk betiklerini çalıştıramaz,
çünkü onlar için okuma izni de olmalıdır.
---s------ Etkin kullanıcı kimliğini dosya sahibinin kullacı
kimliği haline getirir.
--------s- Etkin grup kimliğini dosyanın grup kimliği haline
getirir.
-rw------T Son değiştirilme zamanı güncellenmez. Genelde
takas dosyaları için
kullanılır.
---t------ Etkisi yoktur. (Önceleri yapışkan bit olarak kullanılırdı)
Dizin Örneği:
drwxr-xr-x 3 kevin users 512 Sep 19 13:47 .public_html/
1. bit - dizin mi? (evet, bir sürü dosya içeriyor)
2. bit - sahibi okuyabilir mu? (evet, kevin tarafından)
3. bit - sahibi yazailiror mu? (evet, kevin tarafından)
4. bit - sahibi çalıştırabiliyor mu? (evet, kevin tarafından)
5. bit - grup üyeleri okuyabilir mu? (evet, users tarafından)
6. bit - grup üyeleri yazabiliyor mu? (hayır)
7. bit - grup üyeleri çalıştırabiliyor mu? (evet, users
tarafından)
8. bit - diğerleri okuyabiliyor mu? (evet, herkes tarafından)
9. bit - diğerleri yazabiliyor mu? (hayır)
10. bit - diğerleri çalıştırabiliyor mu? (evet, herkes
tarafından)
Aşağıdaki satırlar, dosyalar için açıklanan
erişim izinlerinin uygulanabilmesi için verilmesi gereken en az izinlerin
örnekleridir. Herhangi birine burdakilerden daha fazla izin vermek isteyebilirsiniz,
fakat bunların en azları açıklanmaktadır:
dr-------- Dizin içeriği listelenebilir, fakat dosya nitelikleri okunamaz.
d--x------ Dizine girilebilir, ve tam çalıştırma yollarında
kullanılabilir
(Ç.N.: Dizin içindeki dosyalar listelenmediği için, çalıştırmak
istediğiniz
dosyanın ismini de bilmenizi gerektirir, ve dizinle birlikte tam yolunu
yazdığınız takdir çalıştırmanız
mümkündür).
dr-x------ Dosya nitelikleri sahip tarafından okunabilir.
d-wx------ Dosyalar, dizinin içine girilmeksizin yaratılabilir/silinebilir.
d------x-t Dosyaların yazma hakkı olan diğerlerince silinmesini
engeller. /tmp dizininde
kullanılır.
d---s--s-- Bir etkisi yoktur.
Sistem yapılanış dosyaları (genelde /etc içinde), genelde
640 kipindedir (-rw-r-----), ve sahipleri root´tur. Sitenizin güvenlik
gereksinimlerine bağlı olarak, bunun üzerinde değişiklik
yapmak isteyebilirsiniz. Asla herhangi bir sistem dosyasını grup veya
herkes tarafından yazılabilir durumda bırakmayın. Bazı
yapılanış dosyaları, /etc/shadow da buna dahildir, sadece
root tarafından okunabilir durumda olmalı. /etc içindeki bazı
dizinler de en azından diğer kullanıcılar tarafından
erişebilir olmamalı.
SUID Kabuk Betikleri
SUID kabuk betikleri, ciddi bir güvenlik riskidir, ve bu sebeple çekirdek
tarafından hoş karşılanmazlar. Bir kabuk betiğinin
ne kadar güvenli olduğunu düşünürseniz düşünün,
bir korsan ondan yararlanarak bir root kabuğuna erişebilir.
5.3 Bütünlük Denetimi
Yerel (ve ağ) saldırılarını ortaya çıkarmanın
çok iyi bir yolu da bir bütünlük denetleyici, örneğin
Tripwire, Aide veya Osiris gibi bir program çalıştırmaktır.
Bu bütünlük denetleyiciler, bütün önemli ikili
dosyalarınızın üzerinde bir sağlama toplamı hesaplar,
ve dosyalar iyi durumda olduklarındaki toplamlarla karşılaştırır.
Sonuç olarak, dosyalardaki değişiklikler farkedilebilir.
Bu tür programları bir diskete kurmak, ve disketin yazma korumasını
kapatmak iyi bir fikirdir. Bu yolla saldırganlar bütünlük
denetleyicisinin kendisini veya veritabanını kurcalayamazlar. Bir
kere bunun gibi bir düzeneğiniz olduktan sonra, bu düzeneği
normal yönetim görevleriniz arasında kullanmak, ve değişen
bir şeyler olup olmadığını görmek de iyi bir fikirdir.
Hatta, crontab´a denetleyicinizin her gece disketten çalışması
için bir girdi ekleyebilir, ve sabaha sonuçlarını gözden
geçirebilirsiniz. Aşağıdaki gibi bir şey size her sabah
5:15´te bir raporu mektup olarak yollar:
# set mailto
MAILTO=kevin
# run Tripwire
15 05 * * * root /usr/local/adm/tcheck/tripwire
Bütünlük denetleyicileri, aksi takdirde farkedilmesi zor olan
saldırganları ortaya çıkarmak konusunda bir nimettir. Ortalama
bir sistemde çok fazla dosya değiştiği için, hangisinin
bir korsan tarafından, hanginizin kendiniz tarafından değiştirildiği
konusunda dikkatli olmak zorundasınız.
Tripwire´ın açık kaynak sürümünü, ücretsiz
olarak http://www.tripwire.org/ bulabilirsiniz. Kitapçıklar ve destek
ise satın alınabilir.
Aide, http://www.cs.tut.fi/~rammer/aide.html adresinde,
Osiris ise http://www.shmoo.com/osiris/ adresinde
bulunabilir.
5.4 Truva Atları
Truva Atlarının ismi Homeros´un İlyada destanındaki
ünlü numaradan gelmektedir. Bunun arkasındaki fikir, bir korsanın,
kulağa çok hoş gelen bir program veya ikili dosya dağıtıp,
diğer insanların dosyayı indirmesi ve root olarak çalıştırmasını
teşvik etmesidir. Çalıştırılan program, sistem
güvenliğini dikkat çekmeden bozar. İnsanlar indirdikleri
ve çalıştırdıkları dosyanın tek bir şey
yaptığını (ve bunu çok iyi yapıyor da olabilir)
düşünürler, ama program bir taraftan güvenliğe
de zarar vermek ile meşguldür.
Makinenize hangi programları kurduğunuza dikkat edin. Red Hat, RPM
dosyaları için, programın gerçeğini kurduğunuzu
doğrulayabilmeniz amacıyla, MD5 sağlama toplamları ve PGP
imzaları sağlar. Diğer dağıtımlar da benzer yöntemler
kullanır. Asla bilmediğiniz, kaynak kodu elinizde bulunmayan bir ikili
dosyayı, root olarak çalıştırmayın! Çok az
saldırgan kaynak kodlarını halka açık hale getirir.
Karmaşık olabilir, fakat bir programın kaynak kodunu gerçek
dağıtım sitesinden aldığınıza emin olun.
Eğer program root olarak çalışacaksa, güvendiğiniz
birinin kaynak koduna bakmasını ve doğrulamasını sağlayın
6. Parola Güvenliği ve Şifreleme
Bugün en önemli güvenlik özelliklerinden biri parolalardır.
Hem sizin hem de tüm kullanıcılarınız için, güvenli,
tahmin edilemeyen parolalara sahip olmak önemli bir konudur. Yakın
zamanlı Linux dağıtımlarının çoğu, kolay
tahmin edilebilir bir parola belirlemenizi engelleyen passwd programları
ile birlikte gelir. passwd programınızın güncel ve bu özelliklere
sahip olduğundan emin olun.
Şifrelemenin derin anlamda tartışılması bu belgenin
konusu ötesindedir, ama bir giriş yapılabilir. Şifreleme
gerçekten yararlıdır, hatta bu zaman ve çağda gereklidir
de. Şifrelemenin bir çok yöntemi vardır ve her biri kendi
özellikler kümesini birlikte getirir.
Bir çok Unix (ve Linux bir istisna değil), parolalarınızı
şifrelemek için çoğunlukla tek yönlü, DES (Data
Encryption Standard - Veri Şifreleme Standardı) adında bir algoritma
kullanır. Şifrelenmiş parola (tipik olarak) /etc/passwd veya
(daha az sıklıkla) /etc/shadow dosyasının içinde tutulur.
Sisteme giriş yapmaya kalktığınızda, girmiş olduğunuz
parola tekrar şifrelenir, ve parola dosyalarının içindeki
ile karşılaştırılır. Eğer uyarsa, o zaman
aynı parola olmalı demektir, ve erişime izin verilir. DES aslında
iki yönlü bir şifreleme algoritmasıdır (doğru
anahtar olduğunda, bir mesajı şifreleyebilir veya şifreli
bir mesajın şifresini çözebilirsiniz). Bununla beraber,
DES´in Unixler üzerindeki değişik biçimi tek yönlüdür.
Bunun anlamı, /etc/passwd (veya /etc/shadow) dosyasının içindeki
şifrelenmiş parolaya bakarak, şifreleme algoritmasını
tersine çevirmek yoluyla parolayı bulmak mümkün olmamalıdır.
Crack veya John the Ripper (Bkz. Crack) programlarında olduğu gibi
kaba kuvvet saldırıları, parolanızı yeterince rastgele
değilse bulabilir. PAM modülleri (aşağıda), parolalarınız
ile birlikte başka bir şifreleme algoritmasının kullanılmasına
izin verir (MD5 vb.). Crack programını kendi lehinizde de kullanabilirsiniz.
Kendi parola veritabanınızı, güvensiz parolalara karşı
Crack programını çalıştırarak düzenli olarak
denetlemeyi düşünün. Güvensiz parolaya sahip kullanıcıyla
iletişim kurarak, parolasını değiştirmesini isteyebilirsiniz.
İyi bir şifrenin nasıl seçildiği hakkında bilgi
almak için http://consult.cern.ch/writeup/security/security_3.html for
adresine gidebilirsiniz.
6.1 PGP ve Açık Anahtarlı Şifreliyazım
Açık anahtar şifreliyazım, örneğin PGP´de
kullanılan gibi, bir anahtarı şifreleme, diğer bir anahtarı
da şifre çözme için kullanır. Geleneksel şifreleme
tekniklerinde, şifreleme ve şifre çözme için aynı
anahtar kullanılır. Bu anahtarın, her iki tarafta da bulunması,
dolayısıyla bir şekilde bir tarafdan diğer tarafa güvenli
şekilde aktarılmış olması gerekir.
Şifreleme anahtarının güvenli aktarımını
kolaylaştırmak için, açık anahtarlı şifreleme
iki ayrı anahtar kullanır: bir açık anahtar ve bir de özel
anahtar. Herkesin açık anahtarı diğerlerine şifreleme
yapabilmesi amacıyla açıktır, ama herkes özel anahtarını,
doğru açık anahtarla yapılmış şifreyi açabilmek
için diğerlerinden gizli tutar.
Hem açık anahtarın hem de gizli anahtar şifreliyazımın
bazı avantajları vardır. İkisi arasındaki farklar hakkında
bilgi edinmek için the RSA Cryptography FAQ (RSA Şifreliyazım
SSS) belgesine göz atabilirsiniz.
PGP (Pretty Good Privacy, Oldukça İyi (Kişisel) Gizlilik) Linux´ta
iyi desteklenir. 2.6.2 ve 5.0 sürümlerinin iyi çalıştığı
biliniyor. İyi bir PGP tanıtımı ve nasıl kullanıldığı
ile ilgili bilgiyi PGP SSS içermektedir: http://www.pgp.com/service/export/faq/55faq.cgi
Ülkeniz için uygun sürümü kullandığınızdan
emin olun. ABD Hükümetinin dışsatım sınırlamalarından
dolayı, güçlü şifrelemenin elektronik yollarla ülke
dışına aktarılması yasaktır.
ABD dışsatım denetimleri, artık ITAR tarafından değil,
EAR (Export Administration Regulations - Dışsatım Yönetim
Düzenlemeleri) tarafından idare edilmektedir.
Ayrıca, Linux üzerinde PGP yapılandırmasını adım
adım anlatan bir rehber http://mercury.chem.pitt.edu/~angel/LinuxFocus/English/November1997/article7.html.
adresinde bulunmaktadır. Bu rehber PGP´nin uluslararası sürümleri
için yazılmıştır, ama ABD sürümü için
de uyarlanabilir. Bunun yanısıra Linux´un son sürümleri
için bir yamaya ihtiyacınız olabilir. Bu yamaya ftp://metalab.unc.edu/pub/Linux/apps/crypto
adresinden ulaşabilirsiniz.
PGP´nin ücretsiz ve açık kaynak şekliyle yeniden hayata
geçirme amacını taşıyan bir proje var. GnuPG, PGP´nin
yerini alacak tamamlanmış ve ücretsiz bir yazılım.
IDEA veya RSA´yı kullanmadığı için sınırlandırma
olmaksızın kullanılabilir. GnuPG aşağı yukarı
OpenPGP ile uyumlu. Daha fazla bilgi için GNU Gizlilik Nöbetçisi
ana sayfasına bakabilirsiniz: http://www.gnupg.org/.
Şifreliyazım ile ilgili daha fazla bilgi RSA şifreliyazım
SSS´ında bulunabilir: http://www.rsa.com/rsalabs/newfaq/. Burda, Diffie-Hellman,
Açık-Anahtarlı Şifreliyazım, Sayısal Sertifika
vb. konular hakkında bilgi bulabilirsiniz.
6.2 SSL, S-HTTP, HTTPS ve S/MIME
Kullanıcılar sık sık çeşitli güvenlik ve
şifreleme protokolleri arasındakı farkları, ve nasıl
kullanıldıklarını sorar. Bu bir şifreleme belgesi olmamakla
birlikte her bir protokolün ne olduğunu ve daha fazla bilginin nerde
bulunabileceğini açıklamak iyi bir fikir olabilir.
SSL: - SSL, veya Secure Sockets Layer (Güvenli Soket Katmanı), Netscape
tarafından İnternet üzerinde güvenlik sağlamak amacıyla
geliştirilen bir şifreleme yöntemidir. SSL veri aktarım
katmanında işlev görür, güvenli bir şifreli veri
kanalı oluşturduğu için bir çok veri tipini şifreleyebilir.
Bu en yaygın olarak, Communicator güvenli bir WWW sitesine bağlandığı,
ve güvenli bir belgeyi görüntülemek istediğinde görülür.
SSL, Netscape Communications şirketinin diğer veri şifrelemelerinin
olduğu kadar, Communicator´ın da güvenli iletişim temellerini
oluşturur. Daha fazla bilgi için http://www.consensus.com/security/ssl-talk-faq.html
adresine bakabilirsiniz. Netscape´in güvenlikle ilgili hayata geçirdiği
diğer örnekler, ve bu protokoller için iyi bir başlangıç
noktası da http://home.netscape.com/info/security-doc.html adresinde bulunabilir.
S-HTTP: - S-HTTP, İnternet üzerinde güvenlik servislerini sağlayan
bir diğer protokoldür. Tasarlanma amacı gizlilik, kimlik doğrulama,
bütünlük, ve inkar edememe (kendisinden başkası olduğunu
söyleyememe) olan S-HTTP, aynı zamanda birden çok anahtar-yönetimi
mekanizmasını ve şifreleme algoritmasını, taraflar
arasındaki aktarımda yer alan seçenek kararlaştırılması
yoluyla destekler. S-HTTP, kendisini hayata geçirmiş olan belirli
yazılımlarla sınırlıdır, ve her bir mesajı
ayrı ayrı şifreler (RSA Şifreliyazım SSS, Sayfa 138)
S/MIME: - S/MIME, veya Güvenli Çokamaçlı İnternet Mektup
Uzantısı (Secure Multipurpose Internet Mail Extension), elektronik
mektup ve İnternet üzerindeki diğer mesajları şifrelemek
için kullanılan bir şifremele standardıdır. RSA tarafından
geliştirilen açık bir standarttır, dolayısıyla
bir gün Linux üzerinde görme olasılığımız
yüksektir. S/MIME ile ilgili daha fazla bilgi http://home.netscape.com/assist/security/smime/overview.html
adresinde bulunabilir.
6.3 Linux IP Güvenliği´nin (IPSec) Hayata Geçirilmesi
CIPE ve diğer veri şifreleme biçimlerinin yanında, IPSEC´in
de Linux için bir kaç hayata geçirilme örneği vardır.
IPSEC, IP ağ düzeyinde şifreliyazımsal-güvenli iletişimler
yaratmak, ve kimlik doğrulama, bütünlük, erişim denetimi
ve gizlilik sağlayabilmek amacıyla IETF tarafından gösterilen
bir çabadır. IPSEC ve İnternet taslağı üzerinde
daha fazla bilgiye http://www.ietf.org/html.charters/ipsec-charter.html. adresinden
ulaşabilir, ayrıca anahtar yönetimini içeren diğer
protokollere, ve bir IPSEC mektuplaşma (haberleşme) listesi ve arşivlerine
ulaşabilirsiniz.
Arizona Üniversitesi´nde geliştirilen, Linux için x-çekirdek
(x-kernel) uygulamasi, x-çekirdek adı verilen ağ protokollerinin
hayata geçirilmesi için nesne tabanlı bir iskelet kullanır.
Bununla ilgili bilgi http://www.cs.arizona.edu/xkernel/hpcc-blue/linux.html
adresinde bulunabilir. En basit anlatımla, x-çekirdek, mesajların
çekirdek düzeyinde aktarılması yöntemidir, ki bu hayata
geçirilmesini kolaylaştırır.
IPSEC´in ücretsiz bir diğer uygulaması da Linux FreeS/WAN
IPSEC´tir. WWW sayfalarında belirtildiğine göre,
Bu servisler, güvenmediğiniz ağların içinde güvenli
tüneller oluşturmanızı sağlar. Güvenilmeyen ağdan
geçen herşey IPSEC ağ geçidi tarafından şifrelenir
ve diğer uçtaki ağ geçidinde şifresi çözülür.
Sonuç bir Sanal Özel Ağ, yani VPN´dir (Virtual Private Network).
Bu, bir takım farklı sitelerdeki güvensiz İnternet ile birbirine
bağlı bulununan makineler içerdiği halde, etkin anlamda
özel bir ağdır.
Bilgisayarınıza indirmek isterseniz, http://www.xs4all.nl/~freeswan/,
adresinden ulaşabilirsiniz. Bu belge yazıldığı sırada
(Ç.N.: İngilizcesi yazıldığı sırada) sürüm
1.0 henüz çıkmıştı.
Diğer şifreleme biçimleri gibi, bu da dışsatım
sınırlamaları nedeniyle çekirdek ile birlikte dağıtılmıyor.
6.4 ssh (Güvenli Kabuk) and stelnet
ssh ve stelnet, uzak sistemlere giriş yapabilmenizi, ve şifreli bir
bağlantı kurabilmenizi sağlayan programlar grubudur.
openssh, ise rlogin, rsh ve rcp´nin yerine geçen güvenli bir
programlar grubudur. Kullanıcıların kimliğini doğrulamak
için ve iki bilgisayar arasındaki iletişimi şifrelemek için
açık anahtarlı şifreliyazım tekniğini kullanır.
Uzaktaki bir bilgisayara güvenli şekilde giriş yapmak veya bilgisayarlar
arasında veri kopyalama yapmak, ama bu sırada gelebilecek ortadaki-adam
(oturum kaçırma) ve DNS taklit saldırılarını engellemek
amacıyla kullanılabilir. Bağlantılarınız arasındaki
verilerı sıkıştırır, ve bilgisayarlar arasındaki
X11 iletişimini güvenli hale getirir.
Şu anda bir çok ssh uygulaması mevcut. Data Fellows tarafından
hayata geçirilen özgün ticari sürümü http://www.datafellows.com/
adresinde bulunabilir.
Mükemmel Openssh uygulamasında, Data Fellows ssh´sinin önceki
sürümlerinden biri taban oluşturmuş, ve patentli veya tescilli
herhangi bir parça bulunmaması için tamamen yeniden bir çalışma
yapılmıştır. BSD lisansı altında ücretsiz
olarak dağıtılmaktadır: http://www.openssh.com/.
ssh´yi sıfırdan yeniden yazmak amacıyla, psst... adıyla
başlatılan bir açık kaynak proje daha mevcut. Daha fazla
bilgi için: http://www.net.lut.ac.uk/psst/
ssh´yi Windows iş istasyonunuzdan Linux ssh sunucunuza bağlanmak
amacıyla da kullanabilirsiniz. Ücretsiz olarak dağıtılan
bir çok Windows istemcisi de mevcut, bunlardan birine http://guardian.htu.tuwien.ac.at/therapy/ssh/
adresinden ulaşabilirsiniz. Data Fellows´un ticari bir uygulamasına
ise aşağıdaki adresten ulaşılabiliyor olmalı:
http://www.datafellows.com/.
SSLeay, Netscape´in Güvenli Soket Katmanı protokol uygulamasının,
Eric Young tarafından yazılan ücretsiz bir sürümü.
Güvenli telnet gibi bazı uygulamalar, Apache için bir modül,
bir takım veritabanları, ve DES, IDEA, ve Blowfish algoritmaları
SSLeay´in içinde bulunabilir.
Bu kütüphaneyi kullanarak, telnet bağlantısı üzerinde
şifreleme yapan güvenli bir telnet uygulaması yaratıldı.
SSH´nin tersine, stelnet SSL´yi, Netscape tarafından geliştirilen
Güvenli Soket Katmanı´nı kullanıyor. Güvenli telnet
ve Güvenli FTP hakkında bilgiyi SSLeay SSS´ından başlayarak
bulabilirsiniz: http://www.psy.uq.oz.au/~ftp/Crypto/.
Bir diğer güvenli telnet/ftp uygulaması ise SRP. WWW sayfalarından:
SRP projesi, dünya çapında ücretsiz kullanım için
güvenli İnternet yazılımı geliştiriyor. Tamamen
güvenli bir Telnet ve FTP dağıtımından başlayarak,
ağ üzerindeki zayıf kimlik doğrulama sistemlerini değiştirmeyi,
bunu yaparken de güvenlik uğruna kullanıcı-dostluğunu
kurban etmemeyi amaçlıyoruz. Güvenlik, varsayılan olmalı,
bir seçenek değil!
Daha fazla bilgi için: http://srp.stanford.edu/srp.
6.5 PAM - Takılabilir Kimlik Doğrulama Modülleri
Red Hat Linux dağıtımlarının yeni sürümleri,
PAM adı verilen birleşmiş bir kimlik doğrulama tasarımı
ile birlikte geliyor. PAM, kimlik doğrulama yöntem ve gereksinimlerinizi
çalışma kesilmeksizin değiştirmenize izin veriyor,
ve ikililerinizin yeniden derlenmesine gerek bırakmaksızın bütün
yerel kimlik doğrulama yöntemlerinizi çevreliyor. PAM yapılandırması,
bu belgenin konusu dışında, bununla birlikte daha fazla bilgi
için PAM sitesini şöyle bir gözden geçirmeyi ihmal
etmeyin: http://www.kernel.org/pub/linux/libs/pam/index.html.
PAM ile yapabileceklerinizden sadece bir kaçı:
Parolalarınız için DES´ten başka bir şifreleme
kullanma (Böylelikle kaba kuvvet saldırılarını daha
da zorlaştırma)
Tüm kullanıcılarınızın üzerinde, kaynak sınırlandırmaları
koyabilme, böylelikle servis-reddi saldırılarını engelleme
(işlem sayısı, bellek miktarı vb.)
Çalışma kesilmeksizin gölge parolaya geçiş olanağı
(aşağıya bakın)
Belirli kullanıcıların, sadece belirli zamanlarda ve belirli
yerlerden giriş yapmalarına izin verme
Sisteminizi bir kaç saat içinde kurduktan ve yapılandırdıktan
sonra, bir çok saldırıyı gerçekleşmeden durdurabilirsiniz.
Örneğin, kullanıcıların ev dizinlerindeki .rhosts dosyalarının
kullanımını engellemek için, sistem genelinde /etc/pam.d/rlogin
dosyasına aşağıdaki satırları ekleyerek PAM´i
kullanabilirsiniz:
#
# Kullanıcılar için rsh/rlogin/rexec kullanımını
yasakla
#
login auth required pam_rhosts_auth.so no_rhosts
--------------------------------------------------------------------------------
6.6 Şifreliyazımsal IP Sarma (CIPE)
Bu yazılımın birincil amacı (gizlice dinleme, trafik çözümlemesi
ve araya sahte mesaj sokmaya karşı), İnternet gibi güvensiz
paket ağı boyunca oluşturulan alt ağ bağlantılarını
güvenli hale getirmede bir kolaylık sağlamaktır.
CIPE veriyi ağ düzeyinde şifreler. Bilgisayarlar arasında
ağ üzerinde seyahat eden paketler şifrelenir. Şifreleme
motoru, paketleri alan ve gönderen sürücüye yakın bir
yerdedir.
Bu, verileri soket düzeyinde bağlantılara göre şifreleyen
SSH´den farklıdır. Farklı bilgisayarda çalışan
programlar arası mantıksal bağlantılar şifrelenir.
CIPE, Sanal Özel Ağ yaratmak amacıyla tünellemede kullanılabilir.
Düşük-düzey şifrelemenin, uygulama yazılımında
değişiklik yapmaksızın VPN´de bağlı iki ağ
arasında şeffaf şekilde çalıştırılabilme
getirisi vardır.
CIPE belgesinden özet:
IPSEC standartları, (diğer şeyler arasında) şifrelenmiş
VPN´ler oluşturmak için kullanılabilecek protokoller kümesini
tanımlar. Bununla birlikte, IPSEC, bir çok seçeneği olan
ağır ve karışık bir protokol kümesidr, protokolün
bütün olarak hayata geçirilebildiği durumlar nadirdir ve
bazı konular (anahtar idaresi gibi) tam olarak çözülmemiş
durumdadır. CIPE, değiştirgelenebilen bir çok şeyin
(kullanılan asıl şifreleme algoritmasının seçimi
gibi) kurulum zamanındaki sabit bir seçim olduğu daha basit bir
yaklaşım kullanır. Bu esnekliği kısıtlar, ama
daha basit (ve dolayısıyla daha etkili, böcek ayıklamasını
kolaylaştıran) bir uygulama olanağı sağlar.
Daha fazla bilgi http://www.inka.de/~bigred/devel/cipe.html adresinde bulunabilir.
Diğer şifreleme biçimleri gibi, dışsatım kısıtlamaları
yüzünden çekirdek ile birlikte dağıtılmamaktadır.
6.7 Kerberos
Kerberos, MIT´teki (Massachusetts Teknoloji Enstitüsü) Athena
Projesi tarafından geliştirilen bir kimlik doğrulama sistemidir.
Kullanıcı sisteme giriş yaptığında, Kerberos kullanıcının
kimliğini doğrular (bir parola kullanarak), ve kullanıcıya
ağa dağılmış diğer sunucular ve bilgisayarlara
kimliğini kanıtlamak için bir yol sağlar.
İşte bu kimlik doğrulama rlogin gibi programlar tarafından
kullanılır (.rhosts dosyası yerine), ve kullanıcıya
diğer bilgisayarlara parolasız girebilmesi için izin verilir.
Bu kimlik doğrulama yöntemi posta sistemi tarafından da mektubun
doğru kişiye dağıtıldığından emin olmak,
ve gönderen kişinin iddia ettiği kişi olduğunu garanti
altına almak amacıyla kullanılabilir.
Kerberos ve birlikte gelen diğer programlar, kullanıcıların
başka birini taklit yoluyla sistemi yanıltmasını engeller.
Ne yazık ki, Kerberos´u kurmak kökten değişiklik ister,
bir çok standard programın yenileriyle değiştirilmesini
gerektirir.
Kerberos hakkında daha fazla bilgi almak için The Kerberos FAQ (SSS)´a,
kodu almak içinse http://nii.isi.edu/info/kerberos/ adresine bakabilirsiniz..
[Kaynak: Stein, Jennifer G., Clifford Neuman, and Jeffrey L. Schiller. Kerberos:
An Authentication Service for Open Network Systems (Kerberos: Açık
Ağ Sistemleri için Bir Kimlik Doğrulama Servisi USENIX Konferans
Tutanakları, Dallas, Texas, Winter 1998.]
Kerberos, bilgisayarınızın güvenliğini iyileştirmede
ilk adımınız olmamalı. Oldukça kapsamlı olduğu
gibi, örneğin SSH kadar yaygın olarak da kullanılmamaktadır.
6.8 Gölge Parolalar
Gölge parolalar, şifrelenmiş parola bilgilerinizi normal kullanıcılardan
gizli tutmanın bir yoludur. Hem Red Hat hem de Debian Linux dağıtımlarının
yeni sürümleri, gölge parolaları var sayılan yapılandırmada
kullanıyor, fakat diğer sistemlerde, şifrelenmiş parolalar,
herkesin okuyabileceği şekilde /etc/passwd dosyasında saklanıyor.
Herhangi biri bunlar üzerinde parola-tahmin programları kullanarak
ne olduklarını bulmaya çalışabilir. Gölge parolalar
ise tam tersine /etc/shadow dosyasında saklanır, ve sadece yetkili
kullanıcılar okuyabilir. Gölge parolalar, kullanılabilmek
için, parola bilgisine erişime gereksinim duyan bütün yararlı
programlar tarafından destekleniyor olmalıdır. PAM (yukarıda)
de bir gölge modülünün takılmasına izin verir,
ve çalıştırabilir dosyaların yeniden derlenmesini gerektirmez.
Daha fazla bilgi için Shadow-Password HOWTO (Gölge-Parola NASIL) dosyasına
başvurabilirsiniz: http://metalab.unc.edu/LDP/HOWTO/Shadow-Password-HOWTO.html
. Yalnız oldukça eski olabilir ve PAM´ı destekleyen dağıtımlar
için gerek yoktur.
6.9 Crack ve John the Ripper
Herhangi bir nedenle passwd programı tahmini-zor parolalar seçmeye
zorlayamıyorsa, bir parola-kırıcı program çalıştırmak,
ve kullanıcılarınızn parolalarının güvenli
olduğundan emin olmak isteyebilirsiniz.
Parola kıran programlar basit bir düşünceye dayanarak çalışır:
Sözlükteki her sözcüğü, ve sözcüklerden
türeyen ifadeleri dener. Önce bunları şifreler, daha sonra
sistemdeki şifrelenmiş parola ile karşılaştırır.
Eğer birbirini tutarsa, parolayı bulmuş olurlar.
En dikkate değer ikisi Crack ve John the Ripper olmak üzere ( http://www.false.com/security/john/index.html)
ortalarda dolaşan bir kaç program mevcuttur. Bu programlar çok
fazla işlemci zamanı alırlar, fakat önce kendiniz çalıştırarak
ve zayıf parolası olan kullanıcıları farkederek herhangi
bir saldırganın bunları kullanarak sisteme girip giremeyeceğini
öğrenebilirsiniz. Dikkat edilmesi gereken bir nokta, bir saldırganın
bu programları kullanabilmesi için, önce başka bir delik
kullanarak /etc/passwd dosyasını okumuş olması gerekir ve
bu tür delikler düşündüğünüzden daha
yaygındır.
Güvenlik, en güvensiz bilgisayar kadar güçlü olduğundan,
belirtilmelidir ki, eğer ağınızda Windows makineler varsa
L0phtCrack programına da bir göz atmak isteyebilirsiniz. L0phtCrack
Windows için bir parola kırma uygulamasıdır: http://www.l0pht.com/
6.10 CFS - Şifreliyazımsal Dosya Sistemi ve TCFS - Şeffaf Şifreliyazımsal
Dosya Sistemi
CFS bütün dizin ağaçlarını şifrelemenin,
ve kullanıcıların bu dizinlerde şifreli dosyalar saklayabilmesini
sağlamanın bir yoludur. Yerel makinede çalışan bir
NFS sunucusundan yararlanır. RPM dosyalarını, http://www.zedz.net/redhat/
adresinden, ve nasıl çalıştığı hakkında
daha fazla bilgiyi ise ftp://ftp.research.att.com/dist/mab/ adresinden bulabilirsiniz.
TCFS, dosya sistemine daha fazla bütünlük katarak CFS´in
geliştirilmiş halidir, böylece dosya sisteminin şifrelenmiş
olduğu kullanıcılara şeffaftır. Daha fazla bilgi: http://edu-gw.dia.unisa.it/tcfs/.
Ayrıca tüm dosya sistemleri üzerinde de kullanılabilir.
Dizin ağaçları üzerinde de çalışılabilir.
6.11 X11, SVGA ve Görüntü Güvenliği
X11
Saldırganların parolalarınızı yazarken çalmasını,
ekranda okuduğunuz belge ve bilgileri okumasını, hatta root erişimi
sağlama için bir delik kullanmasını engellemek amacıyla,
çizgesel görüntünüzü güvenli hale getirmeniz
önem taşır. Ağ üzerinde uzak X uygulamaları çalıştırmak
da, koklayıcıların uzak sistemle olan tüm etkileşiminizi
görmeleri açısından, tehlike dolu olabilir.
X bir takım erişim-denetim mekanizmalarına sahiptir. Bunların
en basiti bilgisayar bazında olandır. Görüntünüze
erişmesine izin verdiğiniz bilgisayarlar için xhost programını
kullanırsınız. Bu kesinlikle çok güvenli değildir,
çünkü biri makinenize erişim sağlarsa, xhost + saldırganın
makinesi yaparak rahatlıkla girebilir. Ayrıca, güvensiz bir makineden
erişime izin verirseniz, oradaki herhangi biri görüntünüzü
bozabilir.
Giriş yapmak için xdm (X Display Manager, X Görüntü
Yöneticisi) kullanırken, çok daha iyi bir erişim yönteminiz
vardır: MIT-MAGIC-COOKIE-1. 128 bitlik bir kurabiye üretilir ve .Xauthority
dosyanızda saklanır. Eğer uzak bir makineye görüntü
erişim izni vermek isterseniz, xauth komutunu ve .Xauthority dosyanızdaki
bilgiyi bunu sağlamak için kullanabilirsiniz. Remote-X-Apps mini-howto
(Uzak-X-Uygulamaları Mini-NASIL) belgesine bir göz atabilirsiniz:
http://metalab.unc.edu/LDP/HOWTO/mini/Remote-X-Apps.html.
Güvenli X bağlatıları için ssh (yukarıda bkz.
ssh) da kullanabilirsiniz. Bunun son kullanıcıya şeffaf olması
avantajı vardır, ve ağda şifrelenmemiş hiç bir
veri akışının olmadığı anlamına gelir.
X güvenliği ile ilgili daha fazla bilgi için Xsecurity man sayfasına
bir göz atın. En güvenilir yol, konsola giriş yapmak için
xdm, üzerinde X programları çalıştırmak istediğiniz
uzak sitelere gitmek içinse ssh kullanmaktır.
SVGA
SVGAlib programları, Linux makinenizin video donanımına erişmek
için tipik olarak SUID-root´tur. Bu onları çok tehlikeli
yapar. Eğer göçerlerse, kullanılır bir konsol almak
için tipik olarak makinenizi yeniden başlatmak zorunda kalırsınız.
SVGA programlarınızın düzgün olduğundan, en azından
bir şekilde güvenilir olduğundan emin olun. Daha da iyisi, hiç
çalıştırmayın.
GGI (Genel Çizgesel Arabirim Projesi)
Linux GGI projesi, Linux´ta video arabirimlerinden kaynaklanan bir takım
problemleri çözmeyi deneyen bir projedir. CGI, bir parça video
kodunu Linux çekirdeğine taşır, sonra video sistemine erişimi
denetler. Bu, çekirdeğinizin iyi bir durumunun herhangi bir zamanda
tekrar çağrılabileceği anlamına gelir. Verdikleri güvenli
anahtar sayesinde, konsolunuzda çalışan bir Truva atı login
programının olmadığından emin olabilirsiniz. http://synergy.caltech.edu/~ggi/
7. Çekirdek Güvenliği
Bu bölümde güvenlikle ilgili çekirdek yapılandırma
seçeneklerini açıklayacak, ne işe yaradıklarını
ve nasıl kullanıldıklarını anlatacağız.
Çekirdek, bilgisayarınızın ağını denetim
altında tuttuğu için, çok güvenli olması ve bozulmaması
önemli. En yeni ağ saldırılarını engellemek için,
çekirdek sürümünüzü güncel tutmaya çalışmalısınız.
Çekirdeklerinizi ftp://ftp.kernel.org/ adresinden, veya dağıtıcınızdan
bulabilirsiniz.
Ana Linux çekirdeğine, birleştirilmiş bir şifre yaması
sağlayan uluslararası bir grup var. Bu yama, dışsatım
kısıtlamaları yüzünden ana çekirdeğe dahil
edilemeyen şeyler ve bazı şifreliyazımsal alt sistemler
için destek sağlıyor. Daha fazla bilgi için: http://www.kerneli.org/
7.1 2.0 Çekirdek Derleme Seçenekleri
2.0.x çekirdekleri için izleyen seçenekler geçerli. Bu seçenekleri
çekirdek yapılandırma işlemi sırasında görürsünüz.
Burdaki yorumların çoğu ./linux/Documentation/Configure.help
belgesinden, aynı belge çekirdeğin make config aşamasında
Help (Yardım) kısmında da kullanılıyor.
Ağ Ateşduvarları (CONFIG_FIREWALL)
Bu seçenek, eğer Linux makinenizde ateşduvarı kullanacaksanız,
veya maskeleme yapacaksanız açık olmalı. Eğer sıradan
bir istemci makine olacaksa, kapata da bilirsiniz.
IP: yönlendirme/ağ geçidi (CONFIG_IP_FORWARD)
IP yönlendirmesini açarsanız, Linux kutunuz bir yöneltici
haline gelir. Eğer makineniz ağ üzerinde ise, bir ağdan
diğerine veri yönlendiriyor olabilirsiniz, belki de bunun olmasını
engelleyen bir ateşduvarını devre dışı bırakarak.
Normal çevirmeli ağ kullanıcıları bunu kapatmak isteyecektir,
diğer kullanıcılar ise bunun güvenlik yan etkileri üzerinde
düşünmelidir. Ateşduvarı görevi yapacak makineler
bu seçeneğin açık olmasını, ve ateşduvarı
yazılımıyla uyum içinde kullanılmasını gerektirir.
IP yönlendirmeyi şu komutu kullanarak dinamik şekilde açabilir:
root# echo 1 /proc/sys/net/ipv4/ip_forward
şu komutu kullanarak da kapatabilirsiniz:
root# echo 0 /proc/sys/net/ipv4/ip_forward
/proc dizini içindeki dosyaların sanal dosyalar olduğunu ve gösterilen
boyutun dosyadan alınabilecek veri miktarını yansıtmadığını
aklınızdan çıkarmayın.
IP: syn kurabiyeleri (CONFIG_SYN_COOKIES)
SYN Saldırısı, makinenizdeki tüm kaynakları tüketen
bir servis reddi (DoS) saldırısıdır, sistemi yeniden başlatmak
zorunda kalırsınız. Normal olarak bu seçeneği açmamanızı
gerektirecek bir sebep düşünemiyoruz. 2.2.x çekirdek serisinde
bu yapılandırma seçeneği syn kurabiyelerini açmaya
izin verir, fakat onları açmaz. Açmak için aşağıdaki
komutu kullanmalısınız:
root# echo 1 /proc/sys/net/ipv4/tcp_syncookies
IP: Ateşduvarı (CONFIG_IP_FIREWALL)
Makinenizi bir ateşduvarı olarak yapılandıracaksanız,
veya maskeleme yapacaksanız, veya PPP çevirmeli ağ arabirimini
kullanarak çevirmeli ağ iş istasyonunuza birinin girmesine engel
olmak istiyorsanız bu seçeneği açmanız gerekir.
IP: Ateşduvarı paket günlüğü (CONFIG_IP_FIREWALL_VERBOSE)
Bu seçenek ateşduvarınızın paketler hakkında aldığı
gönderici, alıcı, port gibi bilgileri verir.
IP: Kaynaktan yönlendirilen çerçeveyi düşür (CONFIG_IP_NOSR)
Bu seçenek etkinleştirilmelidir. Kaynaktan yönlendirilen çerçeveler,
gidecekleri yeri paketin içinde bulundurur. Bu, paketin içinden geçtiği
yöneltici tarafından incelenmemesi, ve sadece yönlendirmesi anlamına
gelir. Bu, potansiyel açıklardan yararlanmak isteyen verinin sisteminize
girebilmesine olanak tanıyabilir.
IP: Maskeleme (CONFIG_IP_MASQUERADE) Linux´unuzun ateşduvarı
rolünü üstlendiği yerel ağınızdaki bilgisayarlardan
biri dışarı bir şey göndermek isterse, Linux´unuz
kendini o bilgisayar olarak maskeleyebilir, yani trafiği istenen hedefe
göndererek, kendisinden geliyormuş gibi görünmesini sağlayabilir.
Daha fazla bilgi için http://www.indyramp.com/masq adresine bakın.
IP: ICMP Maskeleme (CONFIG_IP_MASQUERADE_ICMP) Bu seçenek, sadece TCP ve
UDP trafiğinin maskelenmesi anlamına gelen bir önceki seçeneğe
ICMP maskelemesini de ekler.
IP: şeffaf vekil desteği (CONFIG_IP_TRANSPARENT_PROXY) Bu, Linux ateşduvarınızın,
yerel ağdan çıkan ve uzaktaki bir bilgisayara gidecek olan tüm
trafiği, şeffaf vekil sunucu adı verilen yerel bir sunucuya yönlendirebilir.
Bu, yerel kullanıcıların uzak uç ile konuştuklarını
sanmalarına yol açar, halbuki yerel vekile bağlanmış
durumdadırlar. Daha fazla bilgi için http://www.indyramp.com/masq
adresindeki IP Maskeleme NASIL belgesine göz atın.
IP: daima parçala (CONFIG_IP_ALWAYS_DEFRAG)
Genellikle bu seçenek kapalı durumdadır, fakat bir ateşduvarı
veya maskeleyen bir bilgisayar oluşturuyorsanız, etkin hale getirmek
isteyeceksiniz. Veri bir bilgisayardan diğerine giderken, her zaman tek
bir paket halinde değil, bir kaç parçaya ayrılarak gönderilir.
Burdaki sorun birinin kalan paketlere orda olması beklenmeyen bazı
bilgileri sokmasıdır. Bu seçenek ayrıca, gözyaşı
saldırısına karşı yama uygulanmamış içerdeki
bir bilgisayara yapılan bu saldırıyı da engelleyebilir.
Paket İmzaları (CONFIG_NCPFS_PACKET_SIGNING)
Bu, 2.2.x çekirdek dizisinde yer alan ve daha güçlü güvenlik
için NCP paketlerinin imzalanmasını sağlayan bir seçenektir.
Olağan durumlarda kapalı bırakabilirsiniz, ama gereksinim duyarsanız
orda duruyor.
IP: Ateşduvarı paket ağbağlantısı cihazı
(CONFIG_IP_FIREWALL_NETLINK)
Bu, bir paketin meşruluk durumuna bakarak kabul edilip edilmeyeceğini
belirlemek amacıyla, kullanıcı uzayında çalışan
herhangi bir programındaki paketlerin ilk 128 baytını inceleyebilmenizi
sağlayan etkileyi bir seçenektir.
7.2 2.2 Çekirdek Derleme Seçenekleri
2.2.x çekirdekleri için, seçeneklerin çoğu aynı,
fakat yeni bir kaç seçenek daha var. Buradaki açıklamaların
çoğu, çekirdeği derlerkenki make config aşamasında
kullanılan Yardım bölümünün referans aldığı
./linux/Documentation/Configure.help belgesiyle aynıdır
(Ç.N.: Çekirdek kaynak dosyaları genelde /usr/src/linux altında
bulunur, make config komutu da bu dizine girdikten sonra verilir. Bahsedilen
dosya da make config komutunun verildiği dizine göre genelde ./Documentation/Configure.help
altındadır)
Gereken seçeneklerin bir listesi için 2.0 açıklamalarına
başvurun. 2.2 çekirdekteki en anlamlı değişiklir IP
ateşduvarı kodudur. Artık ateşduvarı oluşturmak
için, 2.0 çekirdeğindeki ipfwadm programının yerine
ipchains programı kullanılıyor.
(Ç.N.: 2.4 çekirdek sürümünden itibaren artık
bu iki programın yerine iptables kullanılmaktadır).
Soket Süzümü (CONFIG_FILTER)
Çoğu insan için bu seçeneğe hayır demek güvenlidir.
Bu seçenek, tüm soketlere kullanıcı uzayında bir süzgeci
bağlamanızı, ve bu yolla paketlerin geçişine izin verilip
verilmeyeceğini belirlemenizi sağlar. Çok özel bir gereksinim
duyuyor olmadıkça ve böyle bir süzgeç programlayabilir
bilgiye sahip olmadıkça hayır demelisiniz. Ayrıca bu belgenin
yazılışı sırasında (Ç.N.: Özgün
İngilizce belgenin) TCP dışındaki tüm protokoller destekleniyordu.
Port Yönlendirme
Port Yönlendirme, ateşduvarındaki belirli portlarda, dışarı
giden veya içeri gelen paketlerde bazı yönlendirmelerin yapılabilmesini
sağlar. Bu, örneğin bir WWW sunucusunu ateşduvarının
veya maskeleme bilgisisayarının arkasında çalıştıracağınız
halde o WWW sunucusunun dış dünyadan ulaşılabilir durumda
olması gerektiği durumlarda yararlıdır. Bir dış
istemci ateşduvarının 80. portuna bir istek yollar, ateşduvarı
bu isteği WWW sunucusuna yönlendirir, WWW sunucusu istekle ilgilenir
ve sonuçları ateşduvarının üstünden tekrar
özgün istemciye gönderir. İstemci ateşduvarının
kendisinin WWW sunucusu olarak çalıştığını
düşünür. Bu, eğer ateşduvarının arkasında
bir WWW sunucu çiftliği bulunduruyorsanız, yük dengelemede
de kullanılabilir. Bu özellik hakkında daha fazla bilgiyi http://www.monmouth.demon.co.uk/ipsubs/portforwarding.html
adresinden bulabilirsiniz. Genel bilgi için ftp://ftp.compsoc.net/users/steve/ipportfw/linux21/
adresine göz atın.
Soket Süzümü (CONFIG_FILTER)
Bu seçeneği kullanarak, kullanıcı uzayındaki programları
tüm soketlere bir süzgeç ekleyebilir, dolayısıyla çekirdeğe
belirli tipteki verinin soket içinden geçip geçemeyeceğini
bildirebilir. Linux soket süzümü şimdilik TCP dışındaki
tüm soket tiplerinde çalışıyor. Daha fazla bilgi için
./linux/Documentation/networking/filter.txt adresine göz atın.
IP: Maskeleme
2.2 çekirdek maskeleme geliştirilmiş durumda. Özel protokollerin
maskelenmesi için ek destek sağlıyor vb. Daha fazla bilgi için
IP Chains NASIL belgesine göz atın.
7.3 Çekirdek Cihazları
Linux üzerinde güvenlik konusunda yardımcı olabilecek bir
kaç blok ve karakter cihazlar mevcuttur.
Çekirdek tarafından /dev/random ve /dev/urandom cihazları, rastgele
veri sağlama amacını taşır.
Hem /dev/random hem de /dev/urandom, PGP anahtarlarının üretilmesinde,
ssh bağlantılarında, ve rastgele sayıların gerektiği
diğer uygulamalarda kullanılmak için yeteri kadar güvenli
olmalıdır. Verilen herhangi bu kaynaklardan çıkan herhangi
bir sayı dizisi için saldırganlar bir sonraki sayıyı
tahmin edememeli. Bu kaynaklardan elde edilen verinin kelimenin tam anlamıyla
rastgele olması için çok fazla çaba ortaya konmuştur.
Bu iki cihaz arasındaki tek fark, /dev/random cihazının elindeki
rastgele baytların tükenmesi, ve yenileri toplanması için
beklemek zorunda oluşunuzdur. Yani kullanıcı tarafından
üretilen entropinin sisteme girmesi için beklemesi durumunda uzun
bir süre çalışması durabilir. Dolayısıyla
/dev/random´ı kullanırken dikkatli olmak zorundasınız
(Belki de yapılacak en iyi şey bu cihazı hassas anahtarlama bilgisini
üretirken kullanmak, ve kullanıcıya Tamam, yeterli denilene kadar
klavyesindeki tuşlara rastgele basmasını söylemektir)
/dev/random yüksek kalitede entropi sağlar, kesmeler arasındaki
farklı zamanları ölçme vb. şeylerden elde edilir. Yeterli
bitte rastgele veri var olana kadar çalışması durur.
/dev/urandom benzeri bir cihazdır, fakat depolanmış entropi azalmaya
başladığında, olan kadarının, güçlü
bir şifreliyazımsal hash değerini döndürür. Bu,
rastgele veri kadar güvenli olmasa da çoğu uygulama için
yeterli derecede güvenlidir.
Bu cihazlardan okuma yapmak için aşağıdaki gibi bir şey
kullanabilirsiniz:
root# head -c 6 /dev/urandom | mimencode
Bu, konsola sekiz rastgele karakter yazar, örneğin parola üretimi
için kullanılabilir. mimencode programını metamail paketi
içinde bulabilirsiniz.
Algoritmanın açıklaması için /usr/src/linux/drivers/char/random.c´ye
bi göz atın.
Bu konuda bana yardımcı olan, Theodore Y. Ts´o, Jon Lewis, ve
Linux çekirdek grubundan diğerlerine teşekkürler.
