Linux'te Güvenlik ve Önlemleri

By_AzRaiL · 27-05-2006, 15:12

Güvenilir sistem yapılan saldırılara maksimum seviyede karşı koya bilecek bir sistemdir. Bir sistemin güvenilir olması için sistemde saldırganlara yardımcı olabilecek açıklar ve zayıflıklar minimuma indirilmelidir. Bunun için sistem zamanında güncellenmeli,kullanılmayan servisler ,portlar kapatılmalı, sistemin temel görevi olmayan tüm programlar kaldırılmalıdır. Aşağıdaki metinde tüm bunların nasıl yapılacağı ele alınmıştır. Metin 2 kısımdan oluşmaktadır

a)Sistemi güvenilir yapmak için gereken güncellemeler

Bu bölümda kernelin yeni versiyonlarının ve update'lerin ne işe yaradıkları ve nasıl yüklenecekleri anlatılmıştır.

b)Gereksiz programların, portların, servislerin kaldırılması

Bu bölümde portların , gereksiz servislerin neden tehlikeli olabilecegi ve nasıl kaldırılacağı anlatılmıştır.

Güncelleme
Bu bölümde RedHat Linux için güncellemenin nasıl yapılacağı anlatılmıştır.

RedHat

Linux'un her versiyonunun bir sürü update'i ve kernelinin de sürekli yeni versiyonları çıkar. Bunların çıkmasının nedeni, Bir önceki versiyondaki açıkları kapatmak, sistemi daha güvenli ve saglıklı yapmaktır. Bunların sürekli takip edilmesi ve sistemin güncel tutulması gerekmektedir. Bunları yapmazsanız sisteminizde çoğu Linux kullanıcısı tarafından bilinen açıklar kapatılmamış olur ve bu da sisteminize yapılabilecek saldırıların daha fazla zarar vermesine yol açar. Sistemin güncellenmesini iki alt başlık altında inceleyeceğiz.

a) Kernelin yeni versiyonunun indirilmesi ve derlenmesi.

b) Update'lerin geçilmesi.

Kernelin Yeni Versiyonun Indirilmesi Ve Derlenmesi

NOT: Kernelin derlenmesi fazla zor değil. Fakat daha önce hiç derlemediyseniz, dikkatli olmanızda ve daha önce bu işi yapmış olan birisini yanınızda bulundurmanızda fayda vardır.

İlk yapmanız gereken iş kernelin en son versiyonunun indirilmesidir.

[Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] sayfasına gidiniz ve kernelin en son stable versiyonunu /tmp dizinine indiriniz.
Daha sonra [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] /linux/ adresinden indirdiginiz
kernelle ayni versiyonda olan patch'i indiriniz. Daha sonra asagidaki komutlari sırası ile çalıştırınız.

[root@server /root]# cp /tmp/linux-2.x.tar.gz /usr/src

[root@server /root]# cp /tmp/patch-2x.gz /usr/src

[root@server /root]# cd /usr/src

[root@server /root]# gzip -cd linux-2.x.tar.gz | tar xvf -

[root@server /root]# gzip -cd path-2x.gz | patch -p0

Yukarıdaki komutlar vasıtası ile indirdiğiniz paketler /usr/src dizinine kopyalanır,
açılır ve kernel'e patch uyğulanir.

Bunları yaptıktan sonra aşağıdaki komutları da çalıştırınız

[root@server /root]# cd /usr/src/linux-2x

[root@server /root]# make mrproper

Sıra kernelin configurasyonunu belirlemektedir. Bunun için make config komutunu çalıştırmanız lazım.

[root@server /root]# cd /usr/src/linux-2x

[root@server /root]# make config

make config komutuna alternatif olarak make menuconfig ve make xconfg komutlarını da çalıştıra bilirsiniz. make xconfig komtunu çalıştıra bilmeniz için startx'de olmaniz lazim. make config komutunu çalıştırdıktan sonra karşınıza bir sürü soru çıkacak. Kernelin neyi destekleyip, neyi desteklememesi gerektiğini burdan belirlemeniz lazim. Sorulara cevap verirken size gerekmeyen hiç bir pakete "Y" dememeye dikkat edin. Bu hem sizin kernel'in boyutunu küçültücektir, (Böylece kernel daha hızlı çalışacak ve daha az RAM kullanacaktır), hem de sisteminizin daha güvenli olmasını sağlayacaktır

Daha sonra make dep ve make clean komutlarını çalıştırınız

[root@server /root]# cd /usr/src/linux-2x

[root@server /root]# make dep

[root@server /root]# make clean

Bunlar bittikten sonra make zImage komutunu çalıştırınız

[root@server /root]# cd /usr/src/linux-2x

[root@server /root]# make zImage

Daha sonra modulleri desteklemek için make modules ve make modules_install komutlarını çalıştırınız.

[root@server /root]# cd /usr/src/linux-2x

[root@server /root]# make modules

[root@server /root]# make modules_install

Yeni kerneliniz hazırdır, /usr/src/linux/arch/i386/boot/ dizini altındakı zImage

dosyasıdır yeni kerneliniz. Bunu /boot dizinine ve ya floppy'den boot ediyorsaniz floppy'ye kopyalayınız. Daha sonra /etc/lilo.conf dosyasındaki

image=/boot/vmlinuz-2x

satırını değiştiriniz ve vmlinuz-2x yerine /boot/ dizinine kopyaladığınız dosyanın

adını yazınız. /sbin/lilo komutunu çalıştırınız ve artık yeni kernel hazırdır. Makinenizi reboot ede bilirsiniz.

NOT: Daha fazla bilgi için /usr/src/linux/ dizini altındakı README dosyasına bakabilirsiniz.

Update'lerin Geçilmesi

Update'ler kernel'in güncellenmesinden daha önemlidir. Çünki her update çok önemli bir açığı kapatır. İlk yapmanız gereken iş updatelerin indirilmesidir. Bunun için

[Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] adresine gitmeniz lazım. Bu sayfadan size gereken tüm update'lerin rpm paketlerini indiriniz. Bir paketin size gerekip-gerekmediğini oğrenmek için rpm -q komutunu paket adını parametre olarak verip çalıştırmanız lazım. Örneğin emacs paketinin sizde var olup-olmadığını oğrenmek istiyorsanız aşağıdaki komutu çalıştırınız.

[root@server /root]# rpm -q emacs

Eğer çıktı aşağıdaki gibiyse bu paket sizde var ve bunun update'ini indirmeniz lazım.

[root@server /root]# rpm -q emacs

emacs-20.5-7

[root@server /root]#

Çıktı bu şekilde değilde aşağıdaki gibiyse bu paket sizde zaten yok ve olmayan bir paketin update'ini indirmenize gerek yok

[root@server /root]# rpm -q x

package x is not installed

[root@server /root]#

Update'leri indirdikten sonra teker-teker geçilmesi lazım. Örnek paketin adı

package-x.y.rpm ise bu paketin update'ini geçmek için update'lerin oldugu dizine geçerek aşağıdakı komutu çalıştırmanız lazım:

[root@server /root]# rpm -Uvh package-x.y.rpm

Bu komutu indirdiğiniz tüm paketler için çalıştırdıktan sonra iş bitmiştir.

Sisteminiz artık günceldir.

27-05-2006, 15:12	#1 (permalink)
By_AzRaiL Üyelik tarihi: May 2006 Nerden: .::ZIKIMIN KÖKÜNDEN::. Mesajlar: 7.029 Rep Gücü: 201 Rep Puanı : 5156 Rep Derecesi :	Linux'te Güvenlik ve Önlemleri Güvenilir sistem yapılan saldırılara maksimum seviyede karşı koya bilecek bir sistemdir. Bir sistemin güvenilir olması için sistemde saldırganlara yardımcı olabilecek açıklar ve zayıflıklar minimuma indirilmelidir. Bunun için sistem zamanında güncellenmeli,kullanılmayan servisler ,portlar kapatılmalı, sistemin temel görevi olmayan tüm programlar kaldırılmalıdır. Aşağıdaki metinde tüm bunların nasıl yapılacağı ele alınmıştır. Metin 2 kısımdan oluşmaktadır a)Sistemi güvenilir yapmak için gereken güncellemeler Bu bölümda kernelin yeni versiyonlarının ve update'lerin ne işe yaradıkları ve nasıl yüklenecekleri anlatılmıştır. b)Gereksiz programların, portların, servislerin kaldırılması Bu bölümde portların , gereksiz servislerin neden tehlikeli olabilecegi ve nasıl kaldırılacağı anlatılmıştır. Güncelleme Bu bölümde RedHat Linux için güncellemenin nasıl yapılacağı anlatılmıştır. RedHat Linux'un her versiyonunun bir sürü update'i ve kernelinin de sürekli yeni versiyonları çıkar. Bunların çıkmasının nedeni, Bir önceki versiyondaki açıkları kapatmak, sistemi daha güvenli ve saglıklı yapmaktır. Bunların sürekli takip edilmesi ve sistemin güncel tutulması gerekmektedir. Bunları yapmazsanız sisteminizde çoğu Linux kullanıcısı tarafından bilinen açıklar kapatılmamış olur ve bu da sisteminize yapılabilecek saldırıların daha fazla zarar vermesine yol açar. Sistemin güncellenmesini iki alt başlık altında inceleyeceğiz. a) Kernelin yeni versiyonunun indirilmesi ve derlenmesi. b) Update'lerin geçilmesi. Kernelin Yeni Versiyonun Indirilmesi Ve Derlenmesi NOT: Kernelin derlenmesi fazla zor değil. Fakat daha önce hiç derlemediyseniz, dikkatli olmanızda ve daha önce bu işi yapmış olan birisini yanınızda bulundurmanızda fayda vardır. İlk yapmanız gereken iş kernelin en son versiyonunun indirilmesidir. [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] sayfasına gidiniz ve kernelin en son stable versiyonunu /tmp dizinine indiriniz. Daha sonra [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] /linux/ adresinden indirdiginiz kernelle ayni versiyonda olan patch'i indiriniz. Daha sonra asagidaki komutlari sırası ile çalıştırınız. [root@server /root]# cp /tmp/linux-2.x.tar.gz /usr/src [root@server /root]# cp /tmp/patch-2x.gz /usr/src [root@server /root]# cd /usr/src [root@server /root]# gzip -cd linux-2.x.tar.gz \| tar xvf - [root@server /root]# gzip -cd path-2x.gz \| patch -p0 Yukarıdaki komutlar vasıtası ile indirdiğiniz paketler /usr/src dizinine kopyalanır, açılır ve kernel'e patch uyğulanir. Bunları yaptıktan sonra aşağıdaki komutları da çalıştırınız [root@server /root]# cd /usr/src/linux-2x [root@server /root]# make mrproper Sıra kernelin configurasyonunu belirlemektedir. Bunun için make config komutunu çalıştırmanız lazım. [root@server /root]# cd /usr/src/linux-2x [root@server /root]# make config make config komutuna alternatif olarak make menuconfig ve make xconfg komutlarını da çalıştıra bilirsiniz. make xconfig komtunu çalıştıra bilmeniz için startx'de olmaniz lazim. make config komutunu çalıştırdıktan sonra karşınıza bir sürü soru çıkacak. Kernelin neyi destekleyip, neyi desteklememesi gerektiğini burdan belirlemeniz lazim. Sorulara cevap verirken size gerekmeyen hiç bir pakete "Y" dememeye dikkat edin. Bu hem sizin kernel'in boyutunu küçültücektir, (Böylece kernel daha hızlı çalışacak ve daha az RAM kullanacaktır), hem de sisteminizin daha güvenli olmasını sağlayacaktır Daha sonra make dep ve make clean komutlarını çalıştırınız [root@server /root]# cd /usr/src/linux-2x [root@server /root]# make dep [root@server /root]# make clean Bunlar bittikten sonra make zImage komutunu çalıştırınız [root@server /root]# cd /usr/src/linux-2x [root@server /root]# make zImage Daha sonra modulleri desteklemek için make modules ve make modules_install komutlarını çalıştırınız. [root@server /root]# cd /usr/src/linux-2x [root@server /root]# make modules [root@server /root]# make modules_install Yeni kerneliniz hazırdır, /usr/src/linux/arch/i386/boot/ dizini altındakı zImage dosyasıdır yeni kerneliniz. Bunu /boot dizinine ve ya floppy'den boot ediyorsaniz floppy'ye kopyalayınız. Daha sonra /etc/lilo.conf dosyasındaki image=/boot/vmlinuz-2x satırını değiştiriniz ve vmlinuz-2x yerine /boot/ dizinine kopyaladığınız dosyanın adını yazınız. /sbin/lilo komutunu çalıştırınız ve artık yeni kernel hazırdır. Makinenizi reboot ede bilirsiniz. NOT: Daha fazla bilgi için /usr/src/linux/ dizini altındakı README dosyasına bakabilirsiniz. Update'lerin Geçilmesi Update'ler kernel'in güncellenmesinden daha önemlidir. Çünki her update çok önemli bir açığı kapatır. İlk yapmanız gereken iş updatelerin indirilmesidir. Bunun için [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] adresine gitmeniz lazım. Bu sayfadan size gereken tüm update'lerin rpm paketlerini indiriniz. Bir paketin size gerekip-gerekmediğini oğrenmek için rpm -q komutunu paket adını parametre olarak verip çalıştırmanız lazım. Örneğin emacs paketinin sizde var olup-olmadığını oğrenmek istiyorsanız aşağıdaki komutu çalıştırınız. [root@server /root]# rpm -q emacs Eğer çıktı aşağıdaki gibiyse bu paket sizde var ve bunun update'ini indirmeniz lazım. [root@server /root]# rpm -q emacs emacs-20.5-7 [root@server /root]# Çıktı bu şekilde değilde aşağıdaki gibiyse bu paket sizde zaten yok ve olmayan bir paketin update'ini indirmenize gerek yok [root@server /root]# rpm -q x package x is not installed [root@server /root]# Update'leri indirdikten sonra teker-teker geçilmesi lazım. Örnek paketin adı package-x.y.rpm ise bu paketin update'ini geçmek için update'lerin oldugu dizine geçerek aşağıdakı komutu çalıştırmanız lazım: [root@server /root]# rpm -Uvh package-x.y.rpm Bu komutu indirdiğiniz tüm paketler için çalıştırdıktan sonra iş bitmiştir. Sisteminiz artık günceldir.

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder
Stil
Normal Hybrid-Şeklinde gösterime geç Ağaç şeklinde gösterime geç