![[Top Bar]](../../common/images/Topbar-tr.gif){kind=small}
![[Bottom
Bar]](../../common/images/Bottombar-tr.gif){kind=small}
![[Photo of the
Author]](../../common/images/Michael-J.gif) Michael Jastremski Yazar Hakk�nda: Michael Jastremski yakla��k d�rt y�ld�r Unix hack etmektedir. Sayfas� genellikle http://westphila.net/mike adresinde bulunmaktad�r. Andrew'a �ngilizcesine yard�m etti�i i�in te�ekk�r eder. |
Yayg�n Linux S�r�mlerine G�venlik Eklenimi�eviri: Aret �zdemirci
�zet: Bu makale, sistem y�neticilerinin sistemlerini hackerlara kar�� g�venli hale getirmeye yard�m edebilecek ve Linux sistemlerinin g�venli�ini geli�tirecek �e�itli yollar� tart��maktad�r.
Giri�Internetdeki bilgisayarlar�n g�venli�ini tehlikeye sokacak geni� �l�ekli sald�r� te�ebb�sleri ola�an hale gelmi�tir. Her ge�en g�n daha fazla Linux ve FreeBSD sunucular� imapd ve BIND kaynaklar� i�indeki arabellek ta�mas�n�n da kar��t���, son zamanlardaki sald�r�lar�n hedefi oldular. Herg�n, BUGTRAQ posta listesinin 20000'e yak�n �yesi, her �ekildeki ve boyuttaki a��klar� ortaya d�kmektedirler. (E�er yaln�zca bir g�venlik posta listesine �ye olacaksan�z, bu o listedir.). Bu 19305 �yeden birinin bir for() d�ng�s� yazabilece�ini ve kes yap��t�r mant��� i�erisinde, m�mk�n olan en fazla say�da bilgisayara girmeye te�ebb�s edebilece�ini varsaymak temkinli bir davran�� olacakt�r. Er ge� bu d�ng� sizin bilgisayar�n�z�n adresini olu�turacakt�r. Haz�rlanmak i�in bug�nden ba�ka zaman yoktur. Baz� uzmanlar�n sizi inand�rd�klar� �eylere ra�men, g�venli bir bilgisayar kurmak ve bak�m�n� sa�lamak �ok zor bir �ey de�ildir. Emin sistem y�netimi al��kanl�klar�, genel a� tehditlerinden korunma olarak hizmet ederler. Bu makale, benim genel olarak a�a ba�l� bir RedHat Linux sistemini bi�imlendirirken ald���m tedbirleri a��klar. Bu makale bilgisayar�n�z�, ba�kalar�n�n tehdit te�kil eden niyetlerinden korumak i�in anahatlar sunarken, bir eksiksiz ba�vuru kayna�� olmas� niyetlenilmemi�tir. A�a��da sunulanlar kurulumunuzun, a� yaz�l�m�ndaki bilinen bir a����n bir sonraki kurban� olmas�n� �nleyecek ad�mlard�r. UYARI: E�er ne yapt���n�zdan emin de�ilseniz, yapmay�n!Baz� ad�mlar sizin a��n�zdan belli bir derecede bilgiye sahip oldu�unuzu varsayar. Alaska,Hawaii & Puerto Rico 'da garanti yoktur. En sonda okunmas� �nerilen baz� kaynaklar belirtilmi�tir. G�venli�e Do�ru Ad�mlar 1. Sisteminizden gereksiz b�t�n a� servislerini kald�r�n. Bilgisayar�n�za ba�lan�lacak yol ne kadar azsa, bir hacker'�n bilgisayar�n�za girmek i�in o kadar az yolu vard�r. /etc/inetd.conf dosyas�ndan ihtiyac�n�z olmayan her�eyi, sat�r�n ba��na # i�areti koyarak etkisiz hale getirin. Sisteminize telnet ile ula�maya ihtiya� yok mu? O halde onu kald�r�n. Ayn� �ey ftpd, rshd, rexecd, gopher, chargen, echo, pop3d ve friends i�in de ge�erlidir. inetd.conf dosyas�n� d�zenledikten sonra "killall -HUP inetd" komutunu �al��t�rmay� unutmay�n. Ayr�ca, /etc/rc.d/init.d dizinini ihmal etmeyin. Baz� a� servisleri (BIND, yaz�c� iblisi) bu dizindeki dosyalardan ba�lat�lan ba��ms�z programlard�r. 2. SSH kurun. SSH, art�k antika olan Berkeley r komutlar�n� iptal ederek, onlar�n yerine yerle�ir. http://www.cs.hut.fi/ssh adresindeki anasayfas�nda SSH i�in ��yle yaz�lm��t�r: Ssh (Secure Shell)(G�venli Kabuk) a� �zerinden ba�ka bir bilgisayara giri� yapan, uzak bir bilgisayarda komutlar �al��t�ran ve bir bilgisayardan di�erine dosya ta��yan bir programd�r. G�vensiz kanallar �ze- rinden g�venli haberle�me sa�lar. Hackerlar�n ilgin� bulaca�� daha bir�ok i�levi vard�r. SSH'y� http://ftp.rge.com/pub/ssh adresinden indirebilirsiniz. 3. Giri� yap�lmayan hesaplar� kapatmak i�in vipw(1) kullan�n. �unu s�ylemek gerekir ki, RedHat Linux alt�nda bo� giri� kabu�una sahip olan hesaplar�n kabuk isimlerinin varsay�lan de�eri /bin/sh 'd�r ki bu istemeyece�iniz bir�eydir. Ayr�ca, hi�bir hesab�n�z�n bo� bir �ifre alan�na sahip olmamas�na dikkat etmelisiniz. A�a��dakiler, sa�l�kl� bir �ifre dosyas�n�n sistem k�sm�n�n nas�l olmas� gerekti�ine �rnektir. daemon:*:2:2:daemon:/sbin:/bin/sync adm:*:3:4:adm:/var/adm:/bin/sync lp:*:4:7:lp:/var/spool/lpd:/bin/sync sync:*:5:0:sync:/sbin:/bin/sync shutdown:*:6:0:shutdown:/bin:/sync halt:*:7:0:halt:/sbin:/bin:/sync mail:*:8:12:mail:/var/spool/mail:/bin/sync news:*:9:13:news:/var/spool/news:/bin/sync uucp:*:10:14:uucp:/var/spool/uucp:/bin/sync operator:*:11:0:operator:/root:/bin/sync games:*:12:100:games:/usr/games:/bin/sync gopher:*:13:30:gopher:/usr/lib/gopher-data:/bin/sync ftp:*:14:50:FTP User:/home/ftp:/bin/sync nobody:*:99:99:Nobody:/:/bin/sync 4. su ayr�cal���na ihtiya� duymayacak, root taraf�ndan sahiplenilmi� programlardan 's' bitini kald�r�n. Bu, arg�manlar� ilgili dosyalar�n ismi olacak �ekilde, 'chmod a-s' komutunu kullanarak yap�labilir. B�yle su programlar� a�a��dakileri i�erir ama sadece a�a��dakilerle s�n�rl� de�ildir.
Ki�isel olarak etkisiz hale getirmek isteyece�im her program isminin �n�ne bir * (asteriks) koydum. Unutmay�n ki sisteminizin sa�l�kl� �al��abilmesi i�in baz� suid root programlar�na ihtiya� vard�r. Bu nedenle dikkatli olmak gerekir.
# find / -user root -perm "-u+s"
*/bin/ping
*/bin/mount -- yanl�z root dosya sistemlerini
mount etmeli.
*/bin/umount -- ayn�s�
/bin/su -- Buna dokunmay�n!
/bin/login
/sbin/pwdb_chkpwd
*/sbin/cardctl -- PCMCIA kart� kontrol ara�lar�
*/usr/bin/rcp -- Ssh kullan�n
*/usr/bin/rlogin -- "
*/usr/bin/rsh -- "
*/usr/bin/at -- cron kullan�n ya da tamamiyle kapat�n
*/usr/bin/lpq -- LPRNG kurun
*/usr/bin/lpr -- "
*/usr/bin/lprm -- "
*/usr/bin/mh/inc
*/usr/bin/mh/msgchk
/usr/bin/passwd -- Dokunmay�n!
*/usr/bin/suidperl -- Her yeni suidperl versiyonunda
arabellek ta�mas� var gibi g�z�k�yor.
*/usr/bin/sperl5.003 -- Ger�ekten gerekliyse kullan�n
/usr/bin/procmail --
*/usr/bin/chfn
*/usr/bin/chsh
*/usr/bin/newgrp
*/usr/bin/crontab
*/usr/X11R6/bin/dga -- X11'de de bir�ok arabellek
ta�mas� var.
*/usr/X11R6/bin/xterm -- "
*/usr/X11R6/bin/XF86_SVGA -- "
*/usr/sbin/usernetctl
/usr/sbin/sendmail
*/usr/sbin/traceroute -- Bunu kullanmak i�in root �ifresini
girmeye dayanabilirsiniz.
5. Sendmail'i g�ncelleyin. Kayna��n� ftp://ftp.sendmail.org/pub/sendma il adresinden indirin. Kaynak paketini a��n ve kurulum talimatlar�n� okuyun. Fazladan birka� dakikan�z varsa Smrsh program�n� da kurun (sendmail ile paketlenmi�tir). Bu program bir�ok ki�inin keyf� programlara e-posta gondermek gibi, sendmail ile olan endi�elerini adresler. sendmail.cf dosyas�n�na girin ve 'PrivacyOptions' se�ene�ini 'goaway' olarak girin:
O PrivacyOptions=goaway
E�er internet e-postas� almay� planlam�yorsan�z, SENDMAIL'I ALI� MODUNDA �ALI�TIRMAYIN (sendmail -bd)!. Bu durumda, /etc/rc.d/init.d/sendmail.init 'i etkisiz hale getirin ve 'killall -TERM sendmail' komutunu �al��t�r�n. Hala d��ar�ya e-posta g�nderebilirsiniz. 6. BIND kullan�yorsan�z g�ncelleyin. En son BIND s�r�m� http://www.isc.org adresinden bulunabilir. Aksi taktirde hepsini etkisiz hale getirin. 7. �ekirde�i tekrar derleyin. Ben genellikle, benimsenmi� �ekirde�in boyutunu k���ltmek i�in yapar�m. IPUCU:Bilgisayar�n�z bir firewall de�ilse bile t�m firewalling se�eneklerini a��n .
CONFIG_FIREWALL=y
CONFIG_NET_ALIAS=y
CONFIG_INET=y
# CONFIG_IP_FORWARD se�ili de�ildir
# CONFIG_IP_MULTICAST se�ili de�ildir
CONFIG_SYN_COOKIES=y
CONFIG_RST_COOKIES=y
CONFIG_IP_FIREWALL=y
CONFIG_IP_FIREWALL_VERBOSE=y
# CONFIG_IP_MASQUERADE se�ili de�ildir
# CONFIG_IP_TRANSPARENT_PROXY se�ili de�ildir
CONFIG_IP_ALWAYS_DEFRAG=y
CONFIG_IP_ACCT=y
# CONFIG_IP_ROUTER se�ili de�ildir
# CONFIG_NET_IPIP se�ili de�ildir
CONFIG_IP_ALIAS=m
8. Yamalar uygulay�n. RedHat'in yaz�l�mlar�yla ilgili bilinen t�m sorunlar, Redhat'deki Errata sayfalar�nda bulunabilir. (sizin kulland���n�z s�r�me hangi yamalar�n uygulanmas� gerekti�ini g�rmek i�in http://www.redhat.com/support/docs/errata.html adresine bak�n.) RedHat, bu sayfalar� g�ncel tutarak �ok iyi bir i� yapmaktad�r. Bu sayfalarda kurulum talimatlar�yla birlikte, ihtiyac�n�z olan RPM dosyalar�n�n ba�lant�lar� da bulunmaktad�r. 9. tcp_wrappers '� bi�imlendirin: Tcp_wrappers a� �zerindeki hangi bilgisayarlar�n sizin bilgisayar�n�zla haberle�ebilece�ini kontrol eden bir y�ntemdir. G�venlik bilgesi Wieste Venema taraf�ndan yaz�lan bu paket, inetd 'den �al��t�r�lan (veya k�t�phanesi i�inden ba�lanm��) programlar�n �n�nde oturup, bi�imlendirme dosyalar�na ba�vurarak bir a��n a� hareketini reddeder veya izin verir. �rne�in, evinizden bir ISS (Internet Servis Sa�lay�c�s�) vas�tas�yla ftp ve telnet ba�lant�lar�na izin verirken geriye kalan her�eyi reddetmek i�in, a�a��dakiler /etc/hosts.allow dosyas�na konur.
in.ftpd : .dialup.sizin-iss.com : allow
all : all : deny
SSH, sendmail ve di�er paketleri tcp_wrappers deste�iyle yap�land�rabilirsiniz.Daha ayr�nt�l� bilgi i�in tcpd(1) elyordam sayfas�n� okuyun. Solar Designer taraf�ndan G�venli Linux yamalar� : |
| Bu sanal y�reninin bak�m�
Miguel Angel Sepulveda taraf�ndan yap�lmaktad�r. � Michael Jastremski LinuxFocus 1998 |
![[Illustration]](../../common/images/illustration37.gif)