1.4 Copyright Information - Telif Hakkı Bilgisi
Linux HOWTO (NASIL) belgeleri, bu telif hakkı bilgisi birlikte bulunduğu
sürece, kısmen veya tamamen, çoğaltılabilir ve dağıtılabilir.
Ticari amaçlı dağıtımlara da izin verilir ve teşvik
edilir; bununla birlikte, böyle bir ticari dağıtım gerçekleşirse,
yazarlar bundan haberdar edilmelidir.
Herhangi bir Linux HOWTO (NASIL) belgesini içine alan çeviriler, HOWTO
(NASIL) belgesi türevleri, veya bir araya getirme çalışmaları
bu Telif Hakkı kapsamı altında yapılmalıdır. Bu
şu anlama geliyor: Bir NASIL belgesinden türeyen bir çalışma
üretip, bu yeni çalışmaya ek kısıtlamalar getiremezsiniz.
Bazı şartlar altında bu kurallara istisnalara izin verilebilir,
lütfen aşağıda adresi bulunan Linux HOWTO (NASIL) Koordinatörü
ile iletişime geçin.
Sorularınız varsa, lütfen adresi aşağıda bulunan
Linux HOWTO (NASIL) Koordinatörü Tim Bynum ile iletişime geçin:
[email protected]
______________________________________________________________
Bu belge Linux sisteminizi daha güvenli hale getirebilmek için yaygın
olarak kullanılan yazılımları ve bazı yordamları
açıklamaya çalışacak. Başlamadan önce, öncelikle
bazı temel kavramları tartışmak, ve bir güvenlik altyapısı
oluşturmak, bu açıdan önemli.
2.1 Neden Güvenliğe Gereksinim Duyuyoruz?
Sürekli değişmekte olan küresel iletişim, pahalı
olmayan İnternet bağlantıları, ve hızlı adımlarla
ilerleyen yazılım gelişimi dünyasında, güvenlik
gitgide daha fazla konu haline geliyor. Şu anda güvenlik temel bir
gereksinim, çünkü küresel bilişim doğal bir güvensizlik
içinde. Örneğin, veriniz A noktasından B noktasina İnternet
üzerinde giderken, yolu boyunca bir dizi başka noktalardan geçebilir,
ve bu şekilde diğer kullanıcılara, gönderdiğiniz
verinin yolunu kesilebilmek, hatta veriyi değiştiribilmek için
fırsatlar verebilir. Hatta sisteminizdeki diğer kullanıcılar,
kötü niyetle, sizin isteğiniz dışında verinizi
başka bir şekle sokabilir. Korsan da denilen bazı saldırganlar
sisteminize izinsiz erişim sağlayabilir, ileri düzey bilgileri
kullanarak sizmişsiniz gibi davranabilir, sizden bilgi çalabilir,
hatta kendi kaynaklarınıza erişiminizi engelleyebillir . Eğer
Bilgisayar Kurdu ile Bilgisayar Korsanı arasındaki farkı merak
ediyorsanız, Eric Raymond tarafından hazırlanan Nasıl Bilgisayar
Kurdu Olunur belgesini aşağıdaki adreste bulabilirsiniz:
http://www.netaxs.com/~esr/faqs/hacker-howto.html.
(Ç.N.: cracker = çatlatan, çatırtadan, argoda sistemleri
kıran kişi, korsan, aynı zamanda bildiğimiz kraker anlamına
da gelir. Türkçe´de kanımca buna en iyi karşılık
gelen ifade Bilgisayar Korsanı olsa gerek. Hacker ise, İngilizce günlük
konuşmada bilgisayar teknolojisinin gelişmesinden önce çok
yaygın olarak kullanılmayan bir sözcük. Bilgisayar teknolojosinin
yaygınlaşması ile birlikte, argoda Bilgisayar ile ilgili bütün
konuları en ince ayrıntısına kadar öğrenmeye çalışmaktan
derin bir zevk duyan kişi anlamında kullanılmaya başlandı.
Yine kanımca Hacker´a en iyi karşılık gelen ifade Bilgisayar
Kurdu. Crackerlar kendilerinin kraker olarak anılmasından hoşlanmamış
olacak ki bir süre sonra cracker ve hacker sözcükleri aynı
anlamı ifade edecek şekilde kullanılmaya başlandı.
Daha doğrusu hacker sözcüğü cracker için kullanılmaya
başlandı. Bilgisayar dünyasındaki terimlerle resmi olmayan
şekilde anlatacak olursak: Hacker her şeyi bilen, cracker ise sisteme
(izinsiz) girendir. Bir sisteme izinsiz girebilmek, yani o sistemi kırabilmek
için o sistemin bütün teknik ayrıntılarını
bilmek gerekmez. Açık kapının, ya da zayıflıkların
nerde olduğunu bilmek yeterlidir. Bununla birlikte, bir sistemin bütün
teknik ayrıntılarını biliyorsanız, muhtemelen zayıf
noktalarını da bilirsiniz, bu yüzden en iyi crackerlar genelde
hackerlardan çıkar. Lamer (lame = topal, aksak) ise, zayıf noktanın
bile neresi olduğunu anlamadan sisteme girmeye çalışan kişiye
denir :) ).
2.2 Güvenli, Ne kadar Güvenli?
Öncelikle, hiçbir bilgisayar sisteminin tamamen güvenli olamayacağını
aklınızdan çıkarmayın. Bütün yapabileceğiniz,
sisteminizi bozmaya çalışan birinin, bu işini gitgide daha
zor bir hale getirmek olacaktır. Ortalama bir ev Linux kullanıcısı
için korsanları uzak tutmak fazla bir şey gerektirmez. Bununla
birlikte, daha Büyük-Ölçek Linux kullanıcıları
(bankalar, telekomunikasyon şirketleri vb) için yapılması
gereken çok çalışma vardır.
Değerlendirilmesi gereken bir diğer etken de, güvenlik önemleriniz
arttıkça, bu güvenlik önlemlerinin kendisi sistemi kullanılmaz
hale getirebilmektedir. Bu noktada dengeleri sağlayacak kararlar vermelisiniz,
öyleki sisteminiz kullanılabilirliğini yitirmeden amaçlarınıza
uygun bir güvenlik içinde olmalı. Örneğin, sisteminize
telefon yoluyla bağlanmak isteyen herkese modem tarafından geri-arama
yapılması gibi bir güvenlik önleminiz olabilir. Bu daha
güvenli olmakla birlikte evinde bulunmayan bir kişinin sisteme giriş
yapmasını zorlaştırır. Ayrıca Linux sisteminizin
ağ veya İnternet bağlantısı olmayak şekilde de
ayarlayabilirsiniz, fakat bu da sistemin yararlı kullanımını
sınırlandırmak olacaktır.
Eğer orta büyüklükte veya büyük bir siteyseniz,
bir güvenlik politikası oluşturmalı, ve bu politika sitenizin
ne kadar güvenliğe gereksinimi olduğunu belirtiyor olmalıdır.
Bu politikaya uygun olarak alınan önlemlerin ve yordamların uygulandığından
emin olmak için bir izleme yordamı da olmalıdır. Yaygın
olarak bilinen bir güvenlik politikası örneğini http://www.faqs.org/rfcs/rfc2196.html
adresinde bulabilirsiniz. Bu belge yakın zamanda güncellendi, ve şirketinizin
oluşturulacak güvenlik politikası için gerçekten bir
iskelet görevi görecek bilgiler içeriyor.
2.3 Neyi Korumaya Çalışıyorsunuz?
Sisteminizi güvenli hale getirmeden önce, korunmanız gereken
tehditin düzeyine, hangi tehlikeleri dikkate almamak gerektiğine,
ve sonuç olarak sisteminizin saldırıya ne kadar açık
olduğuna karar vermelisiniz. Koruduğunuz şeyin ne olduğunu,
neden korumakta olduğunuzu, değerinin ne olduğunu, ve verinizin
ve diğer değerlilerinizin sorumluğunun kime ait olduğunu
belirlemek amacıyla sisteminizi çözümlemelisiniz.
Risk, bilgisayarınıza erişmeye çalışan bir saldırganın,
bunu başarma olasılığıdır. Bir saldırgan,
dosyaları okuyabilir veya değiştirebilir, veya zarara yol açacak
programlar çalıştırabilir mi? Önemli verileri silebilir
mi? Unutmayın: Sizin hesabınıza, veya sisteminize erişim
sağlamış biri, sizin kişiliğinize bürünebilir.
Ek olarak, bir sistemde güvensiz bir hesap bulundurmak bütün
ağın güvenliğinin bozulmasıyla sonuçlanabilir.
Eğer bir kullanıcıya .rhosts dosyasını kullanarak giriş
yapma, veya tftp gibi güvensiz bir servisi çalıştırma
izni verirseniz, bir saldırganın kapıdan içeri bir adım
atması riskini göze almış oluyorsunuz. Saldırgan bir
kez sizin veya bir başkasının sisteminde bir kullanıcı
hesabı sahibi olduktan sonra, bu hesabı diğer bir hesaba, veya
diğer bir sisteme erişim kazanmak için kullanabilir.
Tehdit, tipik olarak ağınıza veya bilgisayarınıza izinsiz
erişim sağlamak için güdülenmiş birinden gelir.
Sisteminize erişim için kimlere güveneceğinize, ve ne gibi
tehditler ortaya çıkaracaklarına karar vermelisiniz.
Çeşitli saldırgan tipleri vardır, ve bunların değişik
niteliklerini akıldan çıkarmamak, sistemlerinizin güvenliğini
sağlamakta yararlı olur:
Meraklı - Bu tip saldırgan genelde ne çeşit bir sisteminiz
ve veriniz olduğunu keşfetmek ile ilgilenir.
Kötü Niyetli - Bu tip saldırgan, sisteminizi çalışmaz
hale getirmek, www sayfanızın görünüşünü
bozmak, ya da yolaçtığı zararı karşılayabilmeniz
için sizi zaman ve para harcamaya zorlamak amacıyla ortalarda dolaşır.
Büyük-Ölçek Saldırganı - Bu tip saldırgan,
sisteminizi kullanarak tanınıp sevilme ve ün (infamy) kazanma
peşindedir. Büyük ölçekli sisteminizi kullanarak, yeteneklerinin
reklamını yapmaya çalışır.
Rekabet - Bu tip saldırgan, sisteminizde hangi verilerin bulunduğu
ile ilgilenir. Kendisine, parasal veya diğer yollarla yararlı olabilecek
bir şeye sahip olduğunuzu düşünen biri olabilir.
Ödünç Alanlar - Bu tip saldırgan, sisteminize dükkan
açmak ve kaynaklarını kendi amaçları için kullanmakla
ilgilenir. Çoğunlukla sohbet veya IRC servisleri, porno siteleri,
hatta DNS servisleri bile çalıştırabilirler.
Zıp Zıp Kurbağa - Bu tip saldırgan, sisteminizle ilgilenir
çünkü sisteminizden diğer sistemlere atlamak istemektedir.
Eğer sisteminiz diğer sistemlere iyi bir bağlantı sağlıyorsa,
veya içerdeki diğer bilgisayarlara bir ağ geçidi niteliğindeyse,
bu tip saldırganların sistem güvenliğinizi bozmaya çalıştıklarını
görebilirsiniz.
Zayıflık, bilgisayarınızın diğer ağlardan
ne kadar iyi korunmakta olduğunu, ve birinin izinsiz erişim sağlaması
potansiyelini tanımlar.
Biri sisteminize girerse tehlikede olan nedir? Elbette, çevirmeli ağ
ile PPP bağlantısı sağlayan bir ev kullanıcısı
ile makinelerını İnternete bağlayan bir şirketin, veya
diğer büyük bir ağın ilgilendikleri farklı olacaktır.
Kaybolan herhangi bir veriyi yerine koymak/yeniden yaratmak için ne kadar
zaman gerekirdi? İşin başında yapılan bir yatırım
için harcanan zaman, daha sonra kaybolan veriyi yeniden yaratmak için
harcanan zamandan on kat daha az olabilir. Yedekleme stratejinizi gözden
geçirdiniz mi? Son zamanlarda verilerinizi doğruladınız
mı?
2.4 Bir Güvenlik Politikası Geliştirmek
Sisteminiz için kullanıcılarınızın kolayca anlayıp
izleyebileceği basit, ve genel bir politika yaratın. Bu politika verinizi
koruduğu gibi, kullanıcılarınızın özel hayatlarını
da korumalı. Eklenmesi düşünülebilecek bazı şeyler:
Kim sisteme erişime sahip (Arkadaşım hesabımı kullanabilir
mi?), kim sistem üzerinde yazılım kurma iznine sahip, veri kime
ait, felaketten sonra toparlanma, ve sistemin uygun kullanımı.
Genel olarak kabul edilmiş bir güvenlik politikası
İzin verilmemiş herşey yasaklanmıştır
ifadesi ile başlar. Bu, herhangi bir servis için bir kullanıcının
erişimi onaylanmadığı sürece, o kullanıcı
erişim onaylanana kadar o servisi kullanmıyor olmalı anlamına
gelir. Politikaların kullanıcı hesapları üzerinde işlediğinden
emin olun. Örneğin Bu erişim hakları probleminin nerden
kaynaklandığını bulamıyorum, neyse, root olarak halledeyim
demek, çok bariz güvenlik deliklerine olduğu kadar, henüz
hiç keşfedilmemiş olanlarına da yol açabilir.
rfc1244, kendi ağ güvenlik politikanızı nasıl oluşturabileceğinizi
açıklayan,
rfc1281 ise her adımı ayrıntılı olarak anlatılmış
örnek bir güvenlik politikasını içeren
birer RFC (Request For Comment - Yorum İçin İstek) belgesidir.
Son olarak, gerçek hayatta güvenlik politikaları nasıl oluyor
görmek isterseniz, COAST politika arşivine bir göz atmak isteyebilirsiniz:
ftp://coast.cs.purdue.edu/pub/doc/policy
2.5 Sitenizi Güvenli Hale Getirmenin Yolları
Bu belge, uğrunda çok çalıştığınız
değerli şeylerinizi güvenli hale getirebilmeniz için gereken
çeşitli yolları tartışacak. Bu değerli şeyler
yerel makineniz, veriniz, kullanıcılarınız, ağınız,
hatta kendi saygınlığınız olabilir. Kullanıcılarınızın
sahip olduğu veriyi bir saldırgan silerse saygınlığınız
ne olur? Ya şirketinizin, önündeki üç aylık süredeki
proje planlarını yayımlarsa? Bir ağ kurulumu planlıyorsanız,
herhangi bir makineyi ağa dahil etmeden önce dikkate almanız
gereken bir çok etken vardır.
Tek bir PPP hesabınız dahi olsa, ya da sadece küçük
bir siteniz, bu saldırganların sizin sisteminizle ilgilenmeyecekleri
anlamına gelmez. Tek hedefler, büyük, büyük ölçekli
siteler değildir -- Bir çok saldırgan basitçe, büyüklüğü
farketmeden olabildiğince çok sitenin açıklarından
yararlanmak ister. Ek olarak, sizin sitenizdeki bir güvenlik deliğini,
bağlı olduğnuz diğer sitelere erişim kazanmak amacıyla
kullanabilirler.
Saldırganların elinde çok zaman vardır, sisteminizi nasıl
anlaşılmaz bir hale getirdiğinizi, ya da ne derece gözden
sakladığınızı öğrenmek için tahmin yolunu
değil, basitçe tek tek bütün olasılısıkları
deneme yolunu seçerler. Bir saldırganın sisteminizle ilgileniyor
oluşunun bir takım başka nedenleri de vardır, bunları
daha sonra tartışacağız.
Bilgisayar Güvenliği
Belki de sistem yöneticilerinin en çok yoğunlaştığı
güvenlik alanlarından biri bilgisayar bazında güvenliktir.
Bu, tipik olarak, kendi bilgisayarınızın güvenli olduğundan
emin olmanız, ve ağınızdaki bütün herkesin de
emin olduğunu ümit etmenizdir. İyi parolaların seçilmesi,
bilgisayarınızın yerel ağ servislerinin güvenli hale
getirilmesi, hesap kayıtlarının iyi korunması, ve güvenlik
açıkları olduğu bilinen yazılımın güncellenmesi,
yerel güvenlik yöneticisinin sorumlu olduğu işler arasındadır.
Bunu yapmak mutlak şekilde gereklidir, fakat ağınızdaki
bilgisayar sayısı arttıkça, gerçekten yıldırıcı
bir iş haline dönüşebilir.
Yerel Ağ Güvenliği
Ağ güvenliği, en az bilgisayarların güvenliği
kadar gerekli olan bir kavramdır. Aynı ağ üzerindeki yüzlerce,
binlerce, hatta daha fazla bilgisayarla, güvenliğinizi her birinin
tek tek güvenli oluşu üzerine kuramazsınız. Ağınızı
sadece izin verilen kullanıcıların kullandığını
garanti altına almak, ateşduvarları oluşturmak, güçlü
bir şifreleme kullanmak, ve ağınızda yaramaz (yani güvensiz)
makineler bulunmadığından emin olmak, güvenlik yöneticisinin
görevlerinin bir parçasıdır.
Bu belgede sitenizi daha güvenli bir hale getirmek için kullanılan
teknikleri tartışacağız, ve bir saldırganın korumaya
çalıştıklarınıza erişim sağlamasını
engellemek için gereken yollardan bazılarını göstermeye
çalışacağız.
Karmaşıklaştırma Yoluyla Güvenlik
Tartışılması gereken güvenlik tiplerinden biri karmaşıklaştırma
yoluyla güvenliktir. Bunun anlamı, örneğin, güvenlik
açıkları bulunan bir servisin standart olmayan bir port (kapı)
a taşınmasıdır, saldırganların bu şekilde
servisin nerde olduğunu farketmeyerek bu açıktan yararlanamayacağı
umulur. Diğerlerinin ise servisin nerde olduğunu bilmeleri, dolayısıyla
yararlanabilmeleri gerekir. Sitenizin küçük, veya göreli
olarak daha küçük ölçekli oluşu, saldırganların
sahip olduklarınızla ilgilenmeyeceği anlamına gelmez. Önüzümüzdeki
bölümlerde tartıştıklarımız arasında
neyi korumakta olduğunuz da bulunacak.
2.6 Bu Belgenin Düzeni
Bu belge, bir takım bölümlere ayrılmıştır.
Bu bölümlerde kapsamı geniş olan güvenlik konuları
yer almaktır. İlkin, Fiziksel Güvenlik, makinenizi fiziksel bir
zarar görmekten nasıl korumanız gerektiğini kapsıyor.
İkinci olarak, Yerel Güvenlik, sisteminizin yerel kullanıcılar
tarafından karıştırılmasının nasıl engelleneceğini
açıklıyor. Üçüncüsü, Dosyalar ve Dosyasistemi
Güvenliği, dosyasistemlerinizi ve dosyalar üzerindeki erişim
haklarının nasıl düzenlenmesi gerektiğini açıklıyor.
Sonraki bölüm, Parola Güvenliği ve Şifreleme, makinenizi
ve ağınızı daha iyi bir şekilde güvenli hale getirmek
için şifrelemenin nasıl kullanıldığını
tartışıyor. Çekirdek Güvenliği bölümünde
ise daha güvenli bir sistem için farkında olmanız gereken
çekirdek seçenekleri anlatılıyor. Ağ Güvenliği,
Linux sisteminizi ağ saldırılarına karşı nasıl
güvenli hale getirebileceğiniz hakkında bilgi içeriyor.
Güvenlik Hazırlığı, makine(ları)nızı,
ağa bağlı hale getirmeden önce nasıl hazırlamanız
gerektiğini anlatıyor. Sonraki bölüm, Güvenlik Bozukluğu
Sırasında veya Sonrasında Neler Yapılabilir, sistemizi bozmaya
çalışma eylemi o an devam etmekte ise, veya böyle bir eylemin
yakın zamanda gerçekleştiğini öğrendiğinizde
neler yapabileceğiniz konusunu tartışıyor. Güvenlikle
İlgili Kaynaklar, bölümünde bazı güvenlik ile
ilgili bilgilere erişim sağlanabilecek başlıca kaynaklarının
neler olduğu sıralanıyor. Soru ve cevap bölümü,
Sıkça Sorulan Sorular, sık sık sorulan bazı soruların
cevaplarını içeriyor, ve son olarak Sonuç bölümü
yer alıyor.
Bu belgeyi okurken farkında olunması gereken iki ana konu:
Sisteminizden haberdar olun. /var/log/messages gibi sistem kayıtlarınızı
düzenli olarak gözden geçirin ve gözünüz daima
sisteminizin üzerinde olsun.
Sisteminizi güncel tutun, yazılımlarınızın en
son sürümlerini kurun, ve kullandığınız yazılımla
ilgili güvenlik uyarılarını takip ederek gereken güncellemeleri
zamanında yapın. Sadece bunu yapmak bile sisteminizi kayda değer
şekilde daha güvenli hale getirecektir.
3. Fiziksel Güvenlik
Güvenliğin dikkate almanız gereken ilk katmanı bilgisayar
sistemlerinizin fiziksel güvenliğidir. Makinenize kimler doğrudan
erişim sağlayabiliyor? Sağlamalılar mı? Makinenizi
kurcalamalarını engelleyebiliyor musunuz? Engellemeli misiniz?
Sisteminizde ne kadar fiziksel güvenliğe gereksinimiz olduğu,
durumunuza ve/veya bütçenize bağlıdır.
Eğer bir ev kullanıcı iseniz, büyük olasılıkla
çok fazla gereksiniminiz yoktur (tabii ki makinenizi çocuklardan veya
rahatsız edici akrabalarınızdan korumanız gerektiğini
düşünebilirsiniz). Eğer bir laboratuvardaysanız, ciddi
anlamda daha fazlasına ihtiyacınız vardır, ama kullanıcıların
da aynı zamanda işlerini makineler üzerinde yapabilmesi gerekir.
İzleyen bölümler bu konuda yardım etmeye çalışacak.
Eğer bir ofisteyseniz, makinenizi mesai saatleri dışınd,
veya makinenizin başında değilken daha güvenli hale getirmeye
ihtiyacınız olabilir veya olmayabilir de. Bazı şirketlerde,
konsolun güvensiz bir durumda bırakmak işten çıkarılma
sebebi olabilir.
Kilitler, (elektrikli) teller, kilitli dolaplar, ve kamerayla izleme gibi apaçık
fiziksel güvenlik yöntemlerinin hepsi iyi fikir olmakla birlikte bu
belgenin konusu ötesindedir. :)
3.1 Bilgisayar Kilitleri
Yeni PC´lerin çoğunda bir kilitleme özelliği bulunur.
Genellikle bu, kasanın önünde yer alan ve beraberinde gelen anahtar
kullanılarak açılıp kapanabilir bir kilittir. Kasa kilitleri
PC´nizin çalınmasını, ya da kasanın açılarak
donanımınıza doğrudan bir müdahele edilmesini veya
parçaların çalınmasını engeller. Bazı durumlarda
bilgisayarınızın kapatılıp, disket veya başka
donanım ile yeniden açılmasının engellenmesini de sağlayabilirler.
Bu kasa kilitleri, ana karttaki desteğe, ve kasanın nasıl yapıldığına
göre değişik şeyler de yapabilir. Bazı PC´lerde
bu kilitler öylesine yapılmıştır ki kasayı açmak
için kırmanız gerekir. Diğer bazı PC´lerde ise,
yeni bir klavye ya da fare takmanıza izin vermezler. Bununla ilgili bilgiyi
kasanızın veya ana kartınızın kullanım rehberinde
bulabilirsiniz. Kilitler genelde düşük kalitelidir ve uygun bir
maymuncukla kolayca açılabilirler, ama buna rağmen bazı
durumlarda gerçekten etkili bir koruma yöntemi olabilirler.
Bazı makinelerin (SPARClar ve Mac´ler dikkate değer), arka taraflarında
içinden bir telin geçebileceği iki tane delik vardır. İçinden
bir tel geçirdiğinizde, saldırganlar kasayı açabilmek
için teli kesmek veya kasayı kırmak zorunda kalırlar. Bir
asma kilit veya bir şifreli kilit takmak bile makinenizin çalınmasında
oldukça caydırıcı olabilir.
3.2 BIOS Güvenliği
BIOS, x86 tabanlı donanımızı yönlendiren ve ayarlarını
yapan en düşük düzeydeki yazılımdır. LILO
ve diğer Linux sistem yükleme yöntemleri, Linux makinenizin nasıl
açılacağına karar vermek için BIOS´a erişir.
Linux´un çalıştığı diğer donanımlarda
da benzer bir yazılım bulunur (Mac´lerde OpenFirmware ve yeni
Sun´larda Sun boot PROM´u gibi). BIOS´unuzu kullanarak saldırganların
bilgisayarınızı kapatıp açmasını, ve Linux
sisteminizi yönlendirmesini engelleyebilirsiniz.
Bir çok BIOS bir parola ayarı yapmanıza izin verir. Bu o kadar
da çok güvenlik sağlamaz (BIOS sıfırlanabilir, veya
kasa açılarak çıkarılabilir), ama iyi bir caydırıcı
etken olabilir (yani zaman alacak ve kurcalamanın izleri kalacaktır).
Benzer şekilde, s/Linux (SPARC(tm) işlemcili makineler için Linux)
sisteminizde, açılış parolası için EEPROM´unuzu
kullanabilirsiniz. Bu saldırganları yavaşlatacaktır.
Çoğu x86 BIOS´ları, diğer bazı iyi güvenlik
ayarları bulundurur. BIOS kitapçığınıza bakabilir,
veya bir sonraki açılışta BIOS´a girerek ne tür
ayarlar olduğunu gözden geçirebilirsiniz. Örneğin,
bazı BIOS´lar disket sürücülerden sistem yüklenmesine
izin vermez, bazıları da BIOS´un bazı özelliklerinin
kullanılması için bir parola gerektirir.
Not: Makineniz sunucu görevi yapıyorsa, ve bir açılış
parolası koyduysanız, makineniz başında kimse olmadığı
zaman açılmayacaktır. Örneğin bir elektrik kesilmesi
durumunda makinenin açılması için başına giderek
parolayı girmeniz gerekecek ;(
3.3 Sistem Yükleyici Güvenliği
Çeşitli Linux sistem yükleyicileri de bir parola belirlenmesine
izin verebilir. Örneğin, LILO´da password ve restricted ayarları
vardır, password açılış (sistem yükleme) sırasında
bir parola ister, restricted ise sadece LILO satırında bir seçenek
(single gibi) belirtirseniz parola ister.
lilo.conf´un man (yardım) sayfasından:
password=parola
Her resim (çekirdek resmi) için ayarlanabilir olan `password=...´
seçeneği (aşağıya bakın) bütün resimler
için geçerlidir.
restricted
Her resim (çekirdek resmi) için ayarlanabilir olan `restricted´
seçeneği (aşağıya bakın) bütün resimler
için geçerlidir.
password=parola
Resmi bir parola ile koru.
restricted
Sadece komut satırında seçenekler belirtilirse (örneğin
single)
bir parola girilmesini gerektirir.
Parolaları belirlerken bir gün onları hatırlamanız
gerekeceğini aklınızdan çıkarmayın :). Ayrıca
bu parolaların kararlı bir saldırganı sadece yavaşlatacağını
da unutmayın. Parolalar birinin sistemi disketle açıp sabit disk
bölümünüzü bağlamasını engellemez. Eğer
açılış bağlamında bir güvenlik uyguluyorsanız,
o zaman BIOS´tan disketten açılışı da engelleyip,
BIOS´u da bir parola ile koruyabilirsiniz.
Eğer farklı bir sistem yükleyici hakkında herhangi biri
güvenlikle ilgili bilgiye sahipse duymaktan memnun oluruz (grub, silo,
milo, linload, vb).
Not: Makineniz sunucu görevi yapıyorsa, ve bir açılış
parolası koyduysanız, makineniz başında kimse olmadığı
zaman açılmayacaktır. Örneğin bir elektrik kesilmesi
durumunda makinenin açılması için başına giderek
parolayı girmeniz gerekecek ;(
3.4 xlock ve vlock
Eğer zaman zaman makinenizin başından uzaklaşıyorsanız,
konsolu kilityebilmek, böylece hiçkimsenin çalışmanızı
kurcalayamamasını, veya bakamamasını sağlamak hoş
olur. İki program bu iş için var: xlock ve vlock.
xlock, bir X görüntü kilidi. X´i destekleyen tüm Linux
dağıtımlarında muhtemelen bulunuyordur. Tüm seçenekler
hakkında bilgi almak için man (yardım) sayfasına bir göz
atmanız gerekebilir, ama genellikle xlock´u konsolunuzdaki herhangi
bir xterm´den çalıştırabilirsiniz. xlock bir kere çalıştı
mı görüntüyü kitler ve kilidin kalkması için
parolanızı girmenizi gerektirir.
vlock, Linux´unuzdaki bazı veya tüm sanal konsolları kilitleyebilmenizi
sağlayan küçük bir programdır. O anda çalışmakta
olduğunuz konsolu ya da tüm konsolları kilitleyebilirsiniz. Eğer
sadece bir tanesini kilitlerseniz, diğerleri geldiğinde konsolu kullanabilir,
fakat o an çalışmakta olduğunuz (ve kilitlediğiniz)
konsola erişim sağlayamazlar. vlock RedHat ile birlikte geliyor, fakat
sizin dağıtımınızla birlikte gelmeyebilir.
Elbette konsolu kilitlemek, çalışmanızı kurcalamak
isteyen birini engeller, fakat makinenizi yeniden başlatmalarını
veya bir şekilde çalışmanızı bozmalarını
engellemez. Ayrıca makinenize ağdaki başka bir makinenin erişimini
ve yol açacağı problemlere de engel olamaz.
Daha önemlisi, birinin X Windows sisteminden tamamen çıkıp,
normal bir sanal konsol giriş satırına ulaşmasını,
ya da X11´in başlatıldığı sanal konsola gidip
askıya almasını ve haklarınıza sahip olmasını
da engelleyemez. Bu sebeple, sadece xdm kontrolü altında kullanmayı
düşünmelisiniz.
(Ç.N.: Eğer X Windows´u startx komutuyla başlattıysanız,
muhtemelen bunu yapmadan önce sisteme (ayarları değiştirmediyseniz)
6 yazı (text) sanal konsoldan birini kullanarak girmişsiniz demektir.
startx komutu, X Windows´u çoğunlukla 7. konsolda açar,
fakat giriş yaptığınız konsol kapanmaz. Gelen herhangi
birisi Control-Alt ile birlikte Fonksiyon tuşlarından birini kullanarak
(Ctrl-Alt-F1´den Ctrl-Alt-F12´ye kadar) diğer metin konsollara,
ve startx ile X Windows´u başlattığınız konsola
geçiş yapabilir. Bu konsolda Ctrl-C veya Ctrl-Z tuş kombinasyonunu
kullanarak X Windows´u tümden kapatarak daha önce giriş
yapmış olduğunuz konsolun kabuğuna erişim sağlayabilir.
Bunu önlemek için, xdm, kdm, veya gdm kullanabilirsiniz. Giriş
yaptıktan sonra startx komutunu değil,
xdm ; exit
komutunu aynı satıra yazarak X Windows´u başlatabilir, daha
sonra xdm giriş ekranından giriş yapabilirsiniz. Veya bilgisayarınızın
daha açılışta xdm´i yüklemesini sağlayabilirsiniz.
Bunun için /etc/inittab dosyasıyla ilgili bilgi araştırmasında
bulunmanız gerekebilir. xdm komutunu kullanmak çoğunlukla o sistemde
root olmayı, ve diğer bazı ayarları yapmış olmayı
gerektirebilir. Bunun için Linux dağıtımınızla
birlikte gelen belgelere, man sayfalarına, veya Linux-NASIL belgelerine
göz atabilirsiniz.)
3.5 Fiziksel Güvenlik Bozukluklarını Belirleme
Dikkat edilmesi gereken ilk nokta bilgisayarınızın ne zaman yeniden
başlatıldığıdır. Linux sağlam ve kararlı
bir işletim sistemi olduğu için, makinenizi yeniden başlatmanızın
gerektirdiği nadir durumlar, sizin gerçekleştirdiğiniz işletim
sistemi güncellemeleri, veya donanım değişikliği gibi
durumlardır. Eğer makineniz böyle bir şey yapmadığınız
halde kapanıp açılmışsa, bu, makinenizin güvenliğinin
bir saldırgan tarafından bozulduğunun bir işareti olabilir.
Bilgisayarın bulunduğu alanda ve kasada kurcalama işaretleri
arayın. Bir çok saldırgan varlıklarının izlerini
günlüklerden siler, bütün günlükleri incelemek
ve herhangi bir uygunsuzluk olup olmadığını gözden
geçirmek, iyi bir fikirdir.
İyir bir fikir olan bir başka şey de, günlük verisini
güvenli bir yerde saklamaktır, örneğin, iyi korunmuş
bir ağınızdaki bu işe adanmış bir günlük
sunucusunda. Makinenin güvenliği bir kere bozuldu mu, günlük
verisi çok az yarar sağlar, çünkü saldırgan tarafından
değiştirilmiş olması muhtemeldir.
syslog sunucu programı (daemon), günlükleri merkezi bir syslog
sunucusuna göndermek üzere yapılandırılabilir, ama
bu bilgi çoğunlukla şifresiz gönderilir, bu da veri aktarılırken
bir saldırgan tarafından görülmesine izin vermek anlamına
gelir. Bu, ağınız ve herkese açık olmasını
düşünmediğiniz konular hakkındaki bilgilerin ortaya
çıkmasına yol açabilir. Gönderilen veriyi şifreleyen
syslog sunucu programları da vardır.
Bilmeniz gereken bir diğer durum, sahte syslog mesajları hazırlamanın
kolay olduğudur - bunun için yayımlanan bir program vardır.
Hatta syslog, ağdan gelen ve gerçek kökenini göstermeden
yerel bilgisayardan geldiğini iddia eden günlük satırlarını
bile kabul eder.
Günlüklerinizde denetim altında tutmanız gereken bazı
şeyler:
Kısa veya tamamlanmamış günlükler
Tarih ve zamanları garip olan günlükler
Yanlış erişim hakları veya sahiplikleri olan günlükler
Bilgisayarın veya servislerin yeniden başlatılma kayıtları
Kayıp günlükler
su kullanımı kayıtları veya sisteme garip yerlerden yapılan
girişler.
Sistem günlük verisini, bu belgede daha sonra tartışacağız
