<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//TR">
<HTML>
<HEAD>
<META http-equiv="Content-Type" content="text/html; charset=iso-8859-9">
<META NAME="GENERATOR" CONTENT="lfparser_1.7">
<!-- lfparser can be obtained from http://www.linuxfocus.org/developer/Guido/lfparser.html -->
<META NAME="LFCATEGORY" CONTENT="System Administration">
<TITLE>System Administration : Bastille-Linux</TITLE>
</HEAD>
<BODY bgcolor="#ffffff" text="#000000" alink="#336633" link="#336633" vlink="#336633">
<MAP name="top">
<AREA shape="rect" coords="367,9,418,30" alt="Home" href="../index.shtml">
<AREA shape="rect" coords="423,9,457,30" alt="Map" href="../map.html">
<AREA shape="rect" coords="463,9,508,30" alt="Index" href="../indice.html">
<AREA shape="rect" coords="514,9,558,30" alt="Search" href="../Search/index.shtml">
</MAP>
<MAP name="bottom">
<AREA shape="rect" coords="78,0,163,15" alt="News" href="../News/index.html">
<AREA shape="rect" coords="189,0,284,15" alt="Archives" href="../Archives/index.html">
<AREA shape="rect" coords="319,0,395,15" alt="Links" href="../Links/index.html">
<AREA shape="rect" coords="436,0,523,15" alt="About LF" href="../aboutus.html">
</MAP>
<!-- IMAGE HEADER -->
<CENTER>
<IMG src="../../common/images/Topbar-tr.gif" width="600" height="40" border="0" alt="[Top bar]" ismap usemap="#top" ><BR>
<IMG src="../../common/images/Bottombar-tr.gif" width="600" height="21" border="0" alt="[Bottom bar]" ismap usemap="#bottom">
</CENTER>
<!-- SSI_INFO -->
<!-- The server side include is written such that it will only run unmodified
if perl is in /usr/bin/perl. Please adjust it to your site when needed.
-->
<!-- added by lfdynahead --><TABLE ALIGN="right"><TR><TD><FONT SIZE="-1" FACE="Arial,Helvetica">This article is available in: <A href="../../English/September2000/article166.shtml">English</a> <A href="../../Francais/September2000/article166.shtml">Francais</a> <A href="../../Turkce/September2000/article166.shtml">Turkce</a> <A href="../../Korean/September2000/article166.shtml">Korean</a> </FONT></TD></TR></TABLE>
<!-- SHORT BIO ABOUT THE AUTHOR -->
<TABLE ALIGN=LEFT BORDER=0 CELLSPACING=0 CELLPADDING=5 WIDTH="30%" >
<TR>
<TD><IMG src="../../common/images/Frederic_Raynal.png">
<BR>yazar <A href="mailto:frederic.raynal@inria.fr">Frederic Raynal</A>
<BR><BR>
<I>Yazar hakkında:</I><BR>
Frederic Raynal INRIA 'da
(Institut National de Recherche en Informatique et Automatique).
"computed image tattooing " konusunda bir tez hazırlıyor.Ayrıca,
Bastille-Linux'un gelişiminde görev aldı. </P>
<P><FONT color=#336633>İçerik</FONT>:
<UL>
<LI><A
href="#lfindex0">Giriş</A> <LI><A
href="#lfindex1">Sunum</A> <LI><A
href="#lfindex2">Kurulum</A> <LI><A
href="#lfindex3">Adım adım </A> <LI><A
href="#lfindex4">IPChains</A>
<LI><A
href="#lfindex5">Yama Kurulumu </A>
<LI><A
href="#lfindex6">Dosya izinleri
</A>
<LI><A
href="#lfindex7">Hesap güvenliği
</A>
<LI><A
href="#lfindex8">Boot Güvenliği
</A>
<LI><A
href="#lfindex9">Güvenli Inetd
</A>
<LI><A
href="#lfindex10">Azaltılmış Kullanıcı Aygıtları</A>
<LI><A
href="#lfindex11">MiscPAM Konfigirasyonu
</A>
<LI><A
href="#lfindex12">Logging</A>
<LI><A
href="#lfindex13">Çokyönlü Daemonlar</A>
<LI><A
href="#lfindex14">Sendmail</A>
<LI><A
href="#lfindex15">Sisteme Uzaktan Erişim</A>
<LI><A
href="#lfindex16">DNS</A>
<LI><A
href="#lfindex17">Apache</A>
<LI><A
href="#lfindex18">Yazdırma</A>
<LI><A
href="#lfindex19">FTP</A>
<LI><A
href="#lfindex20">Biraz daha hile ve ipucu</A>
<LI><A
href="#lfindex21">Sonuç</A>
<LI><A
href="#lfindex22">Kaynaklar</A>
<LI><A
href="http://cgi.linuxfocus.org/cgi-bin/lftalkback?anum=166&lang=en">Bu makaleyle ilgigi görüş bildirim
formu</A> </LI></UL>
<P></P></TD></TR></TBODY></TABLE><!-- HEAD OF THE ARTICLE -->
<H2>Bastille-Linux</H2>
<h3> Çeviri : Hasan Serhan Akın </h3>
<IMG alt=[Illustration] height=100 hspace=10
src="../../common/images/illustration166.jpg"
width=100>
<P><FONT color=#336633>Özet</FONT>:
<P>Haziran başlarında piyasaya çıkan, Bastille-Linux'un 1.1 sürümü yeni bir linux dağıtımı değil ancak sisteminizi olası zayıflıklara karşı daha iyi koruyabilecek bir grup betik.
Yazarların yaklaşımı ise oldukça eğitici ve böylelikle bizler bu betiklerileri kurarken pek çok şey öğrenebileceğiz. </P>
<HR noShade SIZE=2>
<BR><!-- BODY OF THE ARTICLE --><A name=lfindex0> </A>
<H3>Giriş</H3>
Güvenlikle söz konusu olunca Linux diğer işletim sistemlerinden çok daha güvenli.Bununla birlikte konu güvenlik olunca her dagıtım bir diğerinden farklı olmakta.Bastille-Linux sisteminizi korumanız için birebir.Öncelikli olarak RedHat için üretildi ancak son sürümleri diğer linux dağıtımlarıyla birlikte de çalışabilmekte.
<P>Bu proje Jon Lasser(ana koordinatör) ve Jay Beale(temel geliştirici) tarafından yönetilmekte. Pek çok diğer geliştirici, yazılım tasarımcısı ve beta sürümlerini test edenler dahi bu işte pay sahibiler.
<P>Her şeyden önce,şunu açıklığa kavuşturalım:Bastille-Linux yeni bir linux dağıtımı değil! Sadece Linux güvenliğini geliştirmek niyetiyle perl ile yazılmış bir grup betik. </P>
<P></P>
<P>Burada bilgisayar güvenliği şu anlamama gelmektedir:Makininize istenmeyen kişilerin girişi nasıl engellenebilir?.Basitille-Linux, Linux dağıtımınızın temel kurulumunu değiştirerek cevabın bir kısmını oluşturmakta. </P>
<P>Her sistem yöneticisinin basit bir görevi, kullanıcı ihtiyaçlarını bilmek ki bu sadece onların istekleri degildir aynı zamanda kullanılmayan programların ağda çalışmasını önlemektir ki böylelikle ağ güvenlik açıklarının oluşumuna mani olunmuş olunur.Bana yol gösterici insanlardan biri demişti ki:En az yaptığın daha iyidir.:)Tabii ki o algoritma karışıklığından bahsediyordu ancak bu ağ yönetimi için de söylenebilir:Çalışan ne kadar çok şey varsa bu o kadar saldırı alanı sağlar.Savunmasızlığı azaltmak için gerçekten ihtiyacınız olan şeyleri kurmalısınız.</P>
<P>Bastille-Linux saldırı olasılıklarını azaltmaya çalışır.Buna ulaşabilmek için yazılım tasarımcıları çok eğitici bir yaklaşıma sahipler:Onlar yapacaklarını adım adım anlatmaktalar.
</P><A name=lfindex1> </A>
<H3>Sunum</H3>Bu yazının yazlırken Bastille-Linux haziran ayının ilk yarısında çıkan 1.1.0 sürümündeydi.
<P>Kullanışşızlığı bir yana , Bastille-Linux son derece eğitici.Kodlar detaylı bir biçimde açıklamalı olarak yazılmış.Burada,geliştiriciler kullanıcıyı eğitmeyi amaçlıyorlar.
Mevcut cevapların sonuçlarını ve soruların içeriğini anlatıyorlar. Bu da Bastille-Linux'u kullanımı kolay yapıyor. </P>
<P>Daha ileri kullanıcılar için<FONT
face="Courier New,Courier">perl</FONT> ile yazılmış kaynak kod son derece net:Her yorum hangi şeyin ne yaptığını açıklamakta </P>
<P>Burada 1.1.0 sürümünün bir kaç özelliği bulunmakta:
<UL>
<LI> Betikler şu an zaten kullanılmış sistemlerde çalışabilmekteler.
<LI><FONT face="Courier New,Courier">undo</FONT> fonksiyonu :
her Bastille-Linux değişiklik dosyası tekrar kurulum için yedeklenir
<LI>İlk olarak, Bastille-Linux RedHat ve Mandrake için çıkarıldı:Artık bu geçerli değil. Şu an betiği çalıştırdığınız dağıtıma göre doğru dosya yolunu sağlayan bir modül var. </LI></UL>Bastille-Linux farklı modüllere sahip. Bunlardan özel amaçları olan ( <FONT face="Courier New,Courier">sendmail</FONT>,
<FONT face="Courier New,Courier">FTP</FONT>, ... gibi yazılımlar veya boot yada karışık daemonlar ) tanesini söyleyelim.
<P>Bu genel modüller şunlar için kullanılır:</P>
<OL>
<LI>Firewall yüklenimi
<LI>Sistem yazılımı yenilenmesi
<LI>SUID-rootda Audit programları
<LI>Yararsız servisleri kısıtlamak veya aktifliğini kaldırmak </LI></OL>Diğer moduller daha özel görünüşlerle ilgilenir. Bazıları kötü configure edilmiş yazılımların(örneğin <FONT
face="Courier New,Courier">sendmail</FONT> veya<FONT
face="Courier New,Courier">FTP</FONT> ) oluşturduğu güvenlik açıklarıyla ilgili, diğer bazıları ise bir kaç servisin konfigurasyonunu daha az keyfi bir yolla değiştirirler(<FONT
face="Courier New,Courier">PAM</FONT>, <FONT
face="Courier New,Courier">syslog</FONT>, ...)
<P>Bazı güvenlik fonksiyonları farklı koruma seviyelerini sunar(bu daha öce söylediğimim fazla ve karışık
programların çalıştırılmasıyla ilgili söylediklerime ters düşüyor ancak birgün başvurmak zorunda kalabilirsiniz)Her servis ve olası güvenlik açığını korumak zorunda değilsiniz.Böylece eğer biri herhangi bir şekilde görevini yapamazsa bir diğeri onun yerine sisteminizi korumaya devam eder.</P><BR>
<BR> <BR><BR>
<CENTER>
<P><IMG height=316
src="../../common/images/article166/image166-1.png"
width=499></CENTER>
<P><BR><A name=lfindex2> </A>
<H3>Kurulum</H3>Bastille-Linux'un önceki sürümü sadece yeni sistemlerde çalışabildi.Bu son sürüm için geçerli değil. Eğer halihazırda kullanılan bir sisteminiz varsa Bastille 'i kullanmak faydasızdır. yeni bir sisteme (yeni kurulmuş) Bastille-Linux'u kurmak için bu tavsiye edilir.Bu yazılımdan ötürü değil güvenlik nedeniyle yapılan bir tavsiyedir.Uyarıldınız,artık önemli kısma; kuruluma geçelim!
<P>Bastille-Linux zipli arşiv dosyası olarak <FONT
face="Courier New,Courier">.tgz</FONT> at <FONT face="Courier New,Courier"><A
href="http://bastille-linux.sourceforge.net/">bastille-linux.sourceforge.net</A></FONT> adresinden temin edilebilir.
Bu arşiv sadece 134 Ko kadar. Download edildikten sonra, bu arşiv dosyayısını açın (<FONT
face="Courier New,Courier">tar xzf Bastille-1.1.0.tgz</FONT>). </P>
<P>Dört betik Bastille-Linux'u yönetir:</P>
<UL>
<LI><FONT face="Courier New,Courier">InteractiveBastille.pl</FONT> :
Bu betik kullanıcıya sistemde ne yapılacağına dair sorular sorar.Sonra verilen cevaplara göre bir
<FONT face="Courier New,Courier">config</FONT> dosyası oluşturur.
<LI><FONT face="Courier New,Courier">AutomatedBastille.pl </FONT>: Bir konfigirasyon betiği yardımıyla firewall kullanımı seçimini önererek varsayılan konfigirasyonu yükler.Bu script daha fazla sürdürülmez.
<LI><FONT face="Courier New,Courier">BackEnd.pl</FONT> : Bu ise sistem değişiklikleri ile ilgilidir.Parametrelerini ilk verdiğiniz cevaplardan alır.
<LI><FONT face="Courier New,Courier">Undo.pl</FONT> : <FONT
face="Courier New,Courier">BackEnd.pl</FONT>'i çalıştırdığınızda birkaç dosya sistemi(<FONT
face="Courier New,Courier">/etc/syslog.conf,/etc/inetd.conf</FONT>, <FONT
face="Courier New,Courier">/etc/hosts.*</FONT>, ...) değiştirilir.Tehlike ihtimaline karşı restore edilebilmeye imkan sağlamak için <FONT
face="Courier New,Courier">/root/Bastille/undo</FONT> dizinine backup dosyalarını yedekler.
</LI></UL>Bastille-Linux'u yüklemek için <I>root</I> olmanız gerekmektedir çünkü betikler konfigürasyon dosyalarını değiştirecektir.Sonra, yükleme amacıyla, ilk olarak <FONT
face="Courier New,Courier">InteractiveBastille.pl</FONT>'yi çalıştırın.
Ardından sorulara cevap verin(biraz daha detaylı).Son olarak <FONT
face="Courier New,Courier">BackEnd.pl</FONT> yi çalıştırın ve bitti! Yapılmış değişiklikler <FONT
face="Courier New,Courier">/root/Bastille/undo</FONT> dizininin altında bulunabilir.
<P>Başlamadan önce birkaç not.
<OL>
<LI>Betiği <FONT
face="Courier New,Courier">/root/Bastille</FONT> dizinin altından çalıştıracağınızı zannediyorsunuz ... İleriki bir versiyonda bu değişebilir ve bu betiği herhangi bir yerden çalıştırabiliyor olabilirsiniz
(Belki bu, yazıyı okurken çoktan yapılmış olabilir )
<LI>İki modül hesap oluşturulmasına olanak sağlar ... tabii shadow passwords'u sisteminize kurduktan sonra. Bu varsayılan kurulum, fakat
<FONT face="Courier New,Courier">/etc/passwd</FONT>'un şifre tutmadığına , <FONT
face="Courier New,Courier">/etc/shadow</FONT> dosyasına erişebilmek için <I>root</I> olamanız gerektiğini ve son dosyanıngerçekten şifreleri tutması gerektiğini kontrol edin !
<LI>Bastille-Linux halen modüller arasındaki bağlantıları gerçekleştirememekte,kernel konfigürasyonunda olduğu gibi (gelecek bir sürümde bu mevcut olacak).Bir modüldeki cevaba ve sonuçlarına dikkat edin.Böylece, IPChains modülünün 2049 nolu portu kapamasını ve çeşitli daemon modülünden aktif daemonlar listesinde <FONT
face="Courier New,Courier">NFS</FONT>'i tutmasını sağlayabilirsiniz (<FONT face="Courier New,Courier">NFS</FONT>
bu portu kullanır). </LI></OL><A name=lfindex3> </A>
<H2>Adım adım </H2>Farklı adımları anlamak için Bastille-Linux tarafından sorulan sorulara bakalım.[] arasındaki harfler varsayılan cevabı göstermektedir.
(N -> No, Y -> Yes). <A name=lfindex4> </A>
<H3>IPChains</H3>Bu modül bir firewall'u konfigüre etmek için kullanılır.Sistem koruması için gerekli olmamasına rağmen ,bu makineden ve makineye ağ trafiğini kontrol imkanı sağlar.Daemonları yeniden konfigüre etseniz dahi ,bu firewall trafiğini kontrol açısından yetersizdir.(Farklı güvenlik seviyelerinin kullanımının faydasız olmadığını hatırlayın)
<P>Bu betik iyi bir yöntemle çalışır. Hesabı iki ağ arayüzüne alır:biri dışarıyla haberleşme diğeri yerel ağla haberleşme.Amaç,makinedeki mevcut servisleri saptamak ve diğerlerini durdurmaktır.Varsayılanı dışarıdan gelen herşeyi reddetmektir.
Sonra,betik bazı servislerin mevcut olmasını sağlayacak kuralları tanımlar.
</P>
<P>Betik TCP,UUDP ve ICMP protokollerini yönetir. Bu betik, izlemek için yada her protokolden sakınmak amacıyla servislerin listelerini sağlar</P><BR> <A name=lfindex5> </A>
<H3>Yama kurulumu</H3>Güncellemeler sistem güvenliği açısından önemlidir.Mesela, geçtiğimiz aylarda
<FONT face="Courier New,Courier">bind</FONT>
ve <FONT face="Courier New,Courier">piranha</FONT>, büyük güvenlik problemleri yaşamıştı. Bu problemler süratle giderildi.Çünkü kaynak kodları açıktı ve birileri hemen yamalar yazmıştı.
<P>Maalesef,bu betik çok iyi çalışmıyor,oldukça karışık çünkü önce kurulmuş paketleri aralarından da güncellenmiş olanlarını saptamanız gerekiyor. Sonra,yamayı indirmeli ve kurmadan önce onu değiştirilip değiştirilmediğini kontrol etmelisiniz.(transer esnasında yada bir hacker tarafından değiştirilmiş olabilir)
Bu sadece kullandığınız dağıtıma bağlı</P>
<P>Şu dakikada, Jay Beale bu adımı elle gerçekleştirmenizi fakat ihmal etmemenizi önermektedir. Bu modülün daha işlevsel sürümü geliştirilme aşamasında ve çok yakında çıkacak </P>
<A name=lfindex6> </A>
<H3>Dosya İzinleri </H3>Bu modül SANS ekibinden bir belgeye dayandırılmıştır.
Amaç, sadece <I>root</I> kullanıcısının (ya da
<I>root</I> grup üyesinin) erişebildiği programları,SUID bit olarak tutulmasına ihtiyacı olanları...vb. saptamaktır.
<UL>
<LI><I>Would you like to set more restrictive permissions on the
administration utilities [N] ?</I> <BR>Bazı programlar herkesin erişebileceği durumda olmamalıdır.Bastille-Linux size programların etkileyici bir listesini sağlar ki bunların hakları 0750 yapılabilir.
<LI>Sonraki SUID bit ile ilgilidir. Bu bit bir programın <I>root</I> haklarına sahip bir kullanıcı tarafından çalıştırılmasına izin verir. ('s' 4, 7 and 10 durumunda)
<UL><FONT face="Courier New,Courier">>>ls -l /bin/ping</FONT>
<BR><FONT face="Courier New,Courier">-rwsr-xr-x 1 root root 17968 Mar 6
15:57 /bin/ping</FONT></UL>Bu bit, kullanımı kolaylaştırırken güvenliği azaltır. Eğer biri bir açığı tesbit ederse, o kişi <I>root</I> olabilecektir. <BR>Bastille-Linux
bu bitin <FONT
face="Courier New,Courier">mount/umount</FONT>, <FONT
face="Courier New,Courier">ping</FONT>, <FONT
face="Courier New,Courier">dump/restore</FONT>, <FONT
face="Courier New,Courier">cardctl</FONT>, ... gibi programlardan kaldırmalarını önerir.Bu liste diğerlerinin içinden <FONT face="Courier New,Courier">ping</FONT> ve <FONT
face="Courier New,Courier">traceroute</FONT> 'u içerirki bu ikisi sunucunun durumunu kontrol eder.Bunların SUID bitlerini kaldırmak pek akıllıca değildir ancak makinenin standart kullanımını engellemez. <BR>Bu SUID-root programlarının listesi içinde <FONT
face="Courier New,Courier">r-komut</FONT> şeklindeki komutları dahi bulabilirsiniz.Bu
<FONT face="Courier New,Courier">rcp</FONT>, <FONT
face="Courier New,Courier">rlogin</FONT> veya <FONT
face="Courier New,Courier">rsh</FONT> gibi programlarla ilgilidir. Bunlar ağa gönderilen verileri şifrelemezler. Dahası bunlar 'authentication'(doğrulama) sayesinde sadece IP adreslerini kullanırlar. Bu yetersizdir (aldatılma olasılığı vardır).</LI></UL><A
name=lfindex7> </A>
<H3>Hesap güvenliği</H3>Hacking kullanıcı hesabı (sistem hesabı)sözü ile başlar. Bir kaç kolay basamak bu işi daha zorlaştırıp davetsiz girişleri saptamaya olanak sağlar.
<UL>
<LI><I>Would you like to set up a second UID 0 account [N] ?</I> <BR>Bu soruya verilecek yes cevabı sisteminizde başka bir <I>root</I> hesabı oluşturur.Bu durumda yeni oluşturduğunuz
<I>root</I> hesabının kullanmak yerine ,orjinal olanını kulanmamalısınız .Bu root şifresinin kırılma olasılığını iki kat arttırır... ancak size <I>root</I> bilgisini kimin kullandığını <FONT face="Courier New,Courier">/var/log</FONT> dosyalarından görme olanığı tanır .
<LI><I>May we take strong steps to disallow the dangerous r-protocols? [Y]</I>
<BR>Yukarıda bahsedildiği gibi<FONT face="Courier New,Courier">r-komutları</FONT> bir makine üzerinde yeni bir hesap almakta güçlü bir vasıtadır: Şifreler açık yazı dosyaları halinde transfer edilirler! <BR>Bastille-Linux <FONT
face="Courier New,Courier">r-komutlarının</FONT> <FONT
face="Courier New,Courier">PAM</FONT> (Pluggable Authentication Modules) ile çalışmasını yasaklar,izinlerin çalıştırılmasını kaldırır,
<FONT
face="Courier New,Courier">tcp_wrapper</FONT> (rlogind, rexecd and rshd)'da bulunan sunucuları durdurur.Bunlar yorum olarak konulmaları gereken <FONT face=Courier,New,Courier>/etc/inetd.conf</FONT>
dosyasından konfigüre edilir. <LI><I>Would you like to enforce password aging? [Y]</I> <BR>Şifreler her 180 günden sonra değiştirilecektir.Şifresi değişmemiş hesapların etkinlikleri durdurulacaktır.
<LI><I>Would you like to create a non-root user account? [N]</I> <BR>
<I>root</I> hesabınızı mümkün olduğunca az kullanın.Gerçekte <FONT face="Courier New,Courier">rm -rf /</FONT> komutunu
<I>root</I> olarak çalıştırmak tam bir felakettir... fakat sıradan bir kullanıcı için bu biraz daha küçük çapta bir felakettir. Sadece
yönetimle ilgili işler <I>root</I> olarak yapılmalıdır.
<LI><I> Would you like to restrict the use of cron to administrative
accounts? [Y]</I> <BR><FONT face="Courier New,Courier">cron</FONT>
işlerin otomatik olarak yapılmasını sağlar.Örneğin, bir yönetici düzenli esaslarda dosyaların bütünlüğünü kontrol için veya <FONT
face="Courier New,Courier">/var/log</FONT>'da dosyaları aramak için bunu kullanabilir.Diğer taraftan,her kullanıcıya çok fazla bir ayrıcalık izni vermeye de yarayabilir.Bastille-Linux
<FONT face="Courier New,Courier">/etc/cron.allow</FONT> isimli, kullanıcıların bu servisi kullanabileceği bilgisini içeren bir dosya oluşturur.</LI></UL><A
name=lfindex8> </A>
<H3>Boot Güvenliği </H3>Bu modüldeki seçenekler makinenin fiziksel güvenliği ile ilgilidir . Bu önceki versiyonun güvenlik açığını doğrulamak içindir.Console'a fiziksel bir ulaşımı olan herkes ayrıcalıklı bir giriş elde edebilir(örneğin, <I>root</I>). <FONT face="Courier New,Courier">LILO</FONT>
'yu <I>single</I> modda, (<FONT face="Courier New,Courier">LILO : linux
single</FONT>) çalıştırmak <I>root</I>;-P 'e ait yeni bir kabuk parçası almaya olanak tanır.
<P>Açıkçası bu yeterli değildir. Bir bilgisayarı fiziksel olarak korumak için, BIOS şifresi konulmalı,makine sadece hard diskden boot edilmeli , kasa başka biri hard diskini takamayacak şekilde kitlenmeli... Bu ,tabii ki,paranoyakça bir davranış ve güzel bir nedeniniz olmadığı sürece bunları yapmanız gereksiz.</P>
<P>Yazılım açısından,bazı kısıtlamalar aşağıda bahsedilen ile mukayese
edildiğinde iyi bir uzlaşı sağlar.
<UL>
<LI><I>Would you like to password-protect the LILO prompt? [N]</I>
<BR>Yes cevabı, rebootlamadan sonra sisteme istenmeyen kişilerin girişini engeller.
<LI><I>Would you like to reduce the LILO delay time to zero? [N]</I> <BR>Bu yol, boot esnasında birilerinin parametre sağlamasını engellemeye yarar.Eğer sisteminizde farklı işletim sistemleri çalışıyorsa,bunu yapmamalısınız.Çünkü sadece varsayılan işletim sistemi çalışacaktır.
<LI><I>Do you ever boot Linux from the hard drive? [Y]</I> <BR>
Eğer önceki sorulardan birine evet cevabı verdiyseniz ve diskinizde LILO kurulu ise buna da LILO değişikliklerinin diske yazılması için yes cevabını verin.
<LI><I>Would you like to write the LILO changes to a boot floppy? [N]</I>
<BR>Eğer bir boot flopy'e sahipseniz,acil durum veya linuxu boot etme yolunun bu olması durumu için değiştirilmeyi onaylayın.
<LI><I>Would you like to disable CTRL-ALT-DELETE rebooting? [N]</I> <BR>Bu birinin makineyi rebootlamasını engellemek içindir.Fakat elektrik bağlantısı korunmadığı sürece faydasızdır:-)
<LI><I>Would you like to password protect single-user mode? [Y]</I> <BR>Daha önceden de gördüğümüz üzere hiçkimsenin makinede
<I>root</I> olmamasını sağlamak güzel bir fikir gibi görünüyor. </LI></UL><A name=lfindex9> </A>
<H3>Güvenli Inetd </H3>Bu modülün amacı fazla servisleri kısıtlanmak ve etkinliğini kaldırmaktır. Hackerlar herhangi bir ayrıcalıklı servisdeki güvenlik açığını kolaylıkla bulabilirler.Bu nedenle,servis ve ayrıcalıklardan her ikisini de kısıtlamalısınız.
<P>Örneğin, RedHat6.0 DNS'deki bir hata uzaktan root olabilmeye olanaktanıyordu.Bahsedilen servisin etkinliğini kaldırmak yada ayrıcalıkları azaltmak bu sıkıntıdan korunmayı sağlıyordu.
</P>
<P>Bazı protokoller,daha önce bahsedilen <FONT
face="Courier New,Courier">r-komutları</FONT> hatta <FONT
face="Courier New,Courier">ftp</FONT> veya <FONT
face="Courier New,Courier">telnet</FONT> gibi protokoller oldukça savunmasız. Başkaları makine hesaplarındaki bilgileri elde edebilme olanağına (Mesela;<FONT face="Courier New,Courier">finger</FONT> veya <FONT
face="Courier New,Courier">identd</FONT>)sahipler.
Bu servislerden bir çoğu, verilen bir servisin dosyalarınin(<FONT
face="Courier New,Courier">/etc/hosts.{allow, deny} </FONT>aracılığı ile) girişini kontrole olanak tanıyan
<FONT
face="Courier New,Courier">tcp_wrapper</FONT> tarafından yönetilir. Sonra, bir kez paketleyici istemcinin servise girişine onay verdiğinde ,iletisimdeki sunucuya istemde bulunur.</P>
<P>Bu kısım hala biraz katı ancak gelecek sürümlerde değiştirilmeli.
<UL>
<LI><I>Would you like to modify inetd.conf and /etc/hosts.allow to optimize
use of Wrappers? [Y]</I> <BR>Bastille-Linux bu iki dosyayı kurar.
İhtiyaçlarınız doğrultusunda daha eksiksiz parametrelerle geçmek açısından bu dosyalara bir göz atmak ilgi çekici olabilir.
<LI><I>Would you like to set sshd to accept connections only from a small list
of IP addresses? [N]</I> <BR><FONT face="Courier New,Courier">sshd</FONT> güvenli bir yöntemle bağlantıyı sağlayan bir daemondır (anahtar değişiklikleri,şifre ve veri kodlamaları ...).Bu <FONT
face="Courier New,Courier">telnet</FONT>, <FONT
face="Courier New,Courier">rlogin</FONT>, <FONT
face="Courier New,Courier">rsh</FONT>, <FONT
face="Courier New,Courier">rcp</FONT> ve <FONT
face="Courier New,Courier">ftp</FONT> ile tam bir yer değişikliği durumunda. <FONT face="Courier New,Courier">ssh</FONT> 'ın BSD lisansı altındakine eşdeğerini söyleyelim: <FONT
face="Courier New,Courier">OpenSSH</FONT>.
<LI><I>Would you like to make "Authorized Use" banners? [Y]</I> <BR>Makinenize bağlanmaya çalılan herkes bu sunucuya bağlanmasına izin verilip verilmediğine dair bir uyarı mesajı alacaktır. Bu mesaj <FONT face="Courier New,Courier">/etc/motd</FONT> dosyasında bulunabilir.</LI></UL>Devam etmeden önce,hatırlamanız gereken ağ sunucu-istemci modeli üzerine kuruludur.
Böylece her servisin sunucu tarafında mı yoksa istemci tarafında mı olunup olunmadığı bilinmelidir.Örneğin web sunucunuzu kapatmak web sayfalarını browserınızda görüntülemenize engel değildir.Çünkü browserınız istemcidir.
<BR> <A name=lfindex10> </A>
<H3>Azaltılmış Kullanıcı Aygıtları</H3>Bu kısa modül bir serverda esasdır. Genellikle bir hacker bir makineye normal bir kullanıcı hesabını kullanarak girer.Sonra makinedeki birkaç programı yeniden derleyerek bu zayıflıkdan faydalanır. Bu modül <I>root</I>.
hariç herkes için C derleyicisinin etkinliğini ortadan kaldırır.<P>Daha sonra,kimse hiçbirşey derlemek zorunda değilse sadece serverın bulunduğu makineden derleyici kaldırılır.<A name=lfindex11> </A>
<H3>MiscPAM konfigürasyonu </H3>Bu modülün amacı servislere yapılacak sakdırı risklerini sınırlandırmaktır.Bu saldırılar sistemin fazla yüklenerek dondurulmasını sağlar.(örneğin,bir bölümü
<FONT face="Courier New,Courier">core</FONT> dosyaları ile doldurmak, ping komutunun çalışamaması, vb ...)
<P>PAM 'ın açılımı "Pluggable Authentification Module" şeklindedir.
Bu, sistem yöneticisinin her uygulama için kullanıcı "authentication"larının çeşitlerini,onların sahip olduğu hakları,kullanabileceği kaynakları...vb seçmesini sağlayan bir kütüphanedir.
<UL>
<LI><I>Would you like to put limits on system resource usage? [Y]</I> <BR>
<FONT face="Courier New,Courier">/etc/security/limits.conf </FONT> dosyası sistem limitlerini içerir. Bastille-Linux onları şu yolla değiştirir:
<UL>
<LI>core dosyaları 0 ile sınırlandırılır;
<LI>Her kullanıcı 150 process çalıştırabilmekle sınırlandırılır ;
<LI>Azami dosya ölçüsü 40Mb ile sınırlandırılır. </LI></UL>
Her değer daha sonra konfigirasyon dosyasından doğrudan değişitirilir.
<LI><I>Should we restrict console access to a small group of user accounts?
[N]</I> <BR>RedHat6.0/6.1 'da konsoldan bağlanan kullanıcılar ,CD-ROM'u mount edebilmek gibi ayrıcalıklara sahipler.
Kullanıcıların bir grubuna konsoldan girişi kısıtlamak mümkündür.Bu soru bu kullanıcılar için böyle bir yöntem uygulayıp uygulamamayı tanımlamaya olanak tanır.</LI></UL><A
name=lfindex12> </A>
<H3>Logging</H3><FONT face="Courier New,Courier">syslog</FONT> bir makinenin işlenip işlenmediğini saptamaya yarayan en önemli servislerden biridir.Bu daemon bazı sistem olaylarını kaydeder.Kaydedilmiş bilgilerin seviyesini değiştirmeyi seçebilirsiniz.
<P>Eğer az sayıda çalışan servisiniz varsa her problem <FONT
face="Courier New,Courier">/var/log</FONT> dosyalarından süratle gösterileceği dikkate değerdir.Diğer taraftan, sisteminizde gereksiz pek çok servis çalışır durumdaysa <FONT
face="Courier New,Courier">/var/log</FONT> dosyaları çok büyük olucak ve yönetilmesi daha zorlaşacaktır
(Bu durumda bu iş için hazırlanmış betikler kullanılabilir).</P>
<P>Bu modül <FONT
face="Courier New,Courier">/etc/syslog.conf</FONT> dosyasına yemi kontroller ekler.
<UL>
<LI><I>Would you like to add additional logging? [Y]</I> <BR>Bastille-Linux çekirdekden gelen mesajlar ve önemli sorunların
(firewall mesajları bu kategorinin bir kısmını oluşturur)kaydı için bir
<FONT face="Courier New,Courier">/var/log/kernel</FONT> dosyası oluşturur.
Bazı bilgiler 2 terminale gönderilir
(TTY 7 and 8). <FONT
face="Courier New,Courier">/var/log/loginlog</FONT> isimli yeni bir dosya sisteme bağlanan kullanıcıları kaydeder.
<LI><I>Do you have a remote logging host? [N]</I> <BR>Eğer mesajlarınızı yollayacağınız başka bir makine yoksa cevabınız hayır olmalı.
<LI><I>Would you like to set up process accounting? [N]</I> <BR>Linux altında, komutkarın ne zaman ve kim tarafından kullanıldığını kayıtlamak mümkündür.Eğer makine aktivitesini konrol etmek faydalıysa bu kayıt çabucak çok büyük bir dosya halini alır.Tabii ki bu çok sistem kaynağı tüketir ve ihtiyacınız olmadıkça bu özelliği etkin halde tutmamak daha iyi olur. </LI></UL><A name=lfindex13> </A>
<H3>Çokyönlü Daemonlar</H3>.Daima küçültmeyle ilgili olarak bu modül boot zamanında gerçekten ihtiyacınız olan sunucuları etkin kılar. Varsayılan olarak hemen her servis faydasızdır ve bu nedenle ekin halde tutulu değildir.Bir servisi <FONT face="Courier New,Courier">chkconfig</FONT> komutu ile tekrar etkin kılabilirsiniz. <BR>
<TABLE border=1 width="70%" NOSAVE>
<TBODY>
<TR>
<TD><B>Servisler </B></TD>
<TD><B>Tanımlama</B></TD></TR>
<TR>
<TD>apmd</TD>
<TD>Laptop batterilerini kontrol için kullanılır.</TD></TR>
<TR>
<TD>NFS and samba</TD>
<TD> Paylaşılımlı dosya sistemlerini yönetmek için kullanılır.Büyük güvenlik açıkları olan heterojen sistemlerde oldukça faydalıdır </TD></TR>
<TR>
<TD>atd</TD>
<TD> <FONT face="Courier New,Courier">atd</FONT> ile yapılan bilen her şey <FONT face="Courier New,Courier">cron.</FONT> ile de yapılabilir.</TD></TR>
<TR>
<TD>PCMCIA servisleri</TD>
<TD>Eğer laptoplarda yaygın ancak workstaionlarda nadir PCMCIA donanımına sahipseniz kullanılır.
</TD></TR>
<TR>
<TD>dhcpd</TD>
<TD>Geçici IP adresi sağlayan sunucu. Bu servis ISS(Internet servis sağlayıcısı) veya yerel ağda kullanılmak üzere sunulur. </TD></TR>
<TR>
<TD>gpm</TD>
<TD> Konsoldayken fareyi yönetmekte kullanılır.Sık sık konsolda çalışmıyorsanız bu servis faydasızdır.</TD></TR>
<TR>
<TD>Haber sunucusu</TD>
<TD> Çok az insan bir haber sunucusuna ihityaç duyar.Genellikle bu ISS 'lerin işidir.</TD></TR>
<TR>
<TD>routed</TD>
<TD>Haber sunucuları içindir.ISS'lerin görevidir:DNS nizi ilgilendirir.
DNS. </TD></TR>
<TR>
<TD>NIS</TD>
<TD>Yerel ağ için çok faydalıdır ancak büyük güvenlik açıklarının başlangıç noktasıdır
!!!</TD></TR>
<TR>
<TD>snmpd</TD>
Ağ yönetimiyle ilgili sunucudur(istatistikler,yönetim,kullanıcılar)
</TD></TR>
<TR>
<TD>sendmail</TD>
<TD>İleti almak veya yollamak için bunu daemon olarak çalıştırmanın gereği yoktur.Üstelik, eğer ISS'den POP veya IMAP yoluyla ileti alıyorsanız,<FONT face="Courier New,Courier">sendmail
</FONT>
yararsızdır ve bu program büyük güvenlik açıkları içerir
...</TD></TR></TBODY></TABLE><BR> <A
name=lfindex14> </A>
<H3>Sendmail</H3>Az önce bahsettiğimiz üzere, <FONT
face="Courier New,Courier">sendmail</FONT> mail yönetiminde kullanılan bir servistir .Tarihi, bir mail sunucusunun yönetmek zorunda olduğu görevlerden ve gerekli ayrıcalıkların (isim kararı,syslog bilgisi,...vb) yapılmasından kaynaklanan güvenlik açıklarıyla doludur.
Zayıflığı bir yana, <FONT
face="Courier New,Courier">sendmail</FONT>
özgül bir kullanıcı hakkında belirlenen bir sunucudan bilgi alınmasını mümkün kılar. Örneğin, <FONT
face="Courier New,Courier">sendmail EXPN</FONT> ve <FONT
face="Courier New,Courier">VRFY</FONT> komutları birinin özgün bir kullanıcı hesabı olup olmadığını bilmeyi sağlar.<P>Daha önce söylediğimiz gibi <FONT face="Courier New,Courier">sendmail</FONT>'in
ileti almak ve yollamak için daemon olarak çalıştırılması gereksizdir.Ev kullanıcıları için <FONT
face="Courier New,Courier">sendmail</FONT> (<FONT face="Courier New,Courier">netscape</FONT> oldukça yarasızdır,çünkü herhangi bir mail istemcisi <FONT
face="Courier New,Courier">rmail</FONT>, <FONT
face="Courier New,Courier">pine</FONT>, <FONT
face="Courier New,Courier">mutt</FONT>, vb...) kullanılır.İleti kabul edebilmek için <FONT face="Courier New,Courier">sendmail</FONT> 'i düzenli bir temel üzerinde mailboxınızı kontrol amacıyla etkin hale
geçirebilirsiniz
. <BR>
<UL>
<LI><I>Do you want to leave sendmail running in daemon mode? [Y]</I> <BR>
Henüz gördük ki pek çok durumda bu faydasız ve tehlikelidir, o halde onu aktif halde kullanmamak daha iyidir.
.
<LI><I>Would you like to run sendmail via cron to process the queue? [N]</I>
<BR>Bunu kullanmakla, <FONT face="Courier New,Courier">sendmail</FONT> her 15 dakikada bir mail sırasını kontrol eder. Bu parametreleri <FONT
face="Courier New,Courier">/etc/sysconfig/sendmail</FONT> dosyasından değiştirebilirsiniz.
<LI><I>Would you like to disable the VRFY and EXPN sendmail commands? [Y]</I>
<BR>Bu komutlar hackerlar ve spamming için faydalı bilgi sağlar.</LI></UL><A name=lfindex15> </A>
<H3>Sisteme Uzaktan Erişim</H3>Uzak bir makineye bağlanabilmek çoğu zaman yararlıdır.Gördük ki <FONT face="Courier New,Courier">r-komutları
</FONT>bunu güvenli olmayan bir yolla yapıyor. Bastille-Linux <FONT
face="Courier New,Courier">ssh</FONT>'ı yüklemenizi önerir.Bu, bağlantı içinden transfer edilen verileri şifreliyen bir yazılımdır.
<P> <I>session key</I> uzunluğu
128 biti aşmayan yazılımalr kulllanabilirsiniz .Önce session key'in . ne olduğunu anlatalım.Bu veriyi şifrelemekte kullanılan bir anahtardır. Bu session key, istemci ve sunucu tarafından adım adım kurulur:anahtar değişim protokolünden ( pek çok durumunda Diffie-Hellman) gelir,kurulumda her üyenin anahtarının bir kısmından bir anahtar içerir.Daha sonra bu session key simetrik bir algoritmaya göre şifrelemekte kullanılır.Böylece, Unix parolalarını şifrelemekte kullanılan DES 56bitlik bir anahtarla simetrik bir algoritmadır.</P>
<P>
128 bitlik anahtar işlerin güvenliği ve rahatlığının garantisi için oldukça yeterlidir:EVET!Bugün dahi DES'in çok da güvenli olmadığı söylenmektedir.En iyi saldırılar pek çok insanın sahip olduğu CPU güç
menzilinin içinde olmaz. Diğer taraftan <I>2k</I> uzunluğundaki bir anahtarın bulunmasının <I>k</I> uzunluğundaki bir anahtardan daha zor olduğuna inanmak bir hatadır.Olayın bir parçası olarak eğer zorluk bir eksponensiyal ise bu anahtar boyutundan daha hızlı büyür. <I>k</I> uzunluğunun bir anahtarı için
<I>2^k</I> ihtimal anahtar mevcuttur (ve aynı şekilde 2k uzunluk için 2^2k).
Sonra anahtar uzunluğunu 2 ile çarpıp, <IMG align=ABSCENTER
height=41 src="../../common/images/article166/image166-2.png"
width=64> olası anahtarları ekleriz.DES(56 bit)'i kırmanın zorluğunu farkettiğinizde 128 bit anahtarları kırılamaz olarak umabilirsiniz. Saldıran olarak baktığınızda ise, bu sınırı artırmak sadece zorluğu imkansız seviyeden daha imkansız seviyeye taşır.
</P>
<P>4 farklı yazılım paketi benzer hizmetleri sağlar:
<LI><FONT face="Courier New,Courier">ssh 1.2.x</FONT> : şifreli bağlantı kurmak için bir istemci-sunucu sistemi.;
<LI><FONT face="Courier New,Courier">ssh 2.x</FONT> : önceki ile aynı ancak daha az zayıflık ve daha çok ihtimal içeriyor ;
<LI><FONT face="Courier New,Courier">OpenSSH</FONT> :önceki ile aynı ancak BSD lisansı altında;
<LI><FONT face="Courier New,Courier">ssf </FONT>: <FONT
face="Courier New,Courier">ssh</FONT>gibi fakat Fransız yasalarınca kabul edilmiş. (Bu şekilde söylenilmeli!)
<OL></OL>
<P>Takip eden modüller hala servisleri ilgilendiriyor.Onlar için politika belirlemek şaşırtıcı görünebilir:Ayrıcalıkları kısıtlamayla başlayın ve sonra onları durdurun.Görünüşün aksine iki ölçüt birbiriyle çelişmiyor.Bu servisler yanlışlıkla veya istenmeyen biri tarafından tekrar etkin hale getirilebilir.O halde onları kısıtlamak daha iyi görünmektedir.<BR> <A name=lfindex16> </A>
<H3>DNS</H3>A DNS (Domain Name Server) bir IP adresini ve bir makineyi ve tam tersini birbirine bağlar.Örneğin, 198.186.203.36 adresi
www.bastille-linux.org adresine karşılık gelir. Bu sunucunun an fonksiyonu BIND'dir.Son zamanlarda, BIND'e karşı bir DoS tipi saldırı tesbit edilmiştir. Sadece küçük bir grup dizine DNS ulaşımı tanımaktan sakınmalısınız.(root dizininizi bir komut yada betiği çalıştırmadan önce varsayılan olan /- ı <FONT
face="Courier New,Courier">chroot</FONT> ile değiştirebilirsiniz.)<P>Şimdi Bastille-Linux davranışını açıklamadan önce biraz teknik detaylar ekleyelim.
Bu daemonı yöneten servis <FONT
face="Courier New,Courier">named</FONT> olarak isimlendirilir. konfigürasyonu
<FONT face="Courier New,Courier">/etc/named.conf</FONT> dosyasından gelir. <BR>
<UL>
<LI><I>Would you like to chroot <FONT face="Courier New,Courier">named</FONT>
and set it to run as a non-root user? [N]</I> <BR>Bunu yaptığınızda, Bastille-Linux
<I>dns</I> isimli kabuğu olmayan ancak kendi dizini <FONT face="Courier New,Courier">/home/dns</FONT> bulunan yeni bir kullanıcı oluşturur. Bu dizinde alışılmış dizinleri (<FONT face="Courier New,Courier">/usr</FONT>, <FONT
face="Courier New,Courier">/etc</FONT>, <FONT
face="Courier New,Courier">/var</FONT>,...vb) ekleyerek klasik bir sistem mimarisi inşaa edersiniz. Sonra daemonın ihtiyacı olan konfigirasyon dosyalarını ve kütüphaneleri kopyalamak zorundasınız. (mesela <FONT face="Courier New,Courier">syslog</FONT> için
- <FONT face="Courier New,Courier">DNS.pm</FONT> betiğini kontrol edin).
Şimdi DNS 'ın kendi çevresi var :)
<LI>Would you like to deactivate named, at least for now? [Y] <BR>Pek çok insan makinesinde isim sunucusu istemez,çünkü ISS'ler bu servisi sağlamaktadır. DNS-HOWTO isim kararı için gizli kurulumu tanımlamaktadır ancak bu bile bir problem kaynağı olabilmektedir.</LI></UL><A name=lfindex17> </A>
<H3>Apache</H3><FONT face="Courier New,Courier">Apache</FONT> internette en çok kullanılan web sunucusu durumundadır. Böyle bir sunucu sadece iki durumda faydalıdır:
<OL>
<LI>bir siteye ev sahipliği yapmak: Bunun için değişmez bir IP adresine sahip olamk gerekmektedir.ISS'ler böyle adreslere sahiptirler ancak istemcileri için bu normalde doğru değildir.
<LI>kendi web sayfalarını kontrol için:bu durumda sunucuyu (<FONT face="Courier New,Courier">/etc/rc.d/init.d/httpd start</FONT>)sadece ihtiyaç duyulduğunda başlatmak zorundasın.
</LI></OL>Bu daemon için konfigürasyon dosyaları <FONT face="Courier New,Courier">/etc/httpd/conf</FONT> dizininin altında bulunabilir.
<UL>
<LI><I>Would you like to deactivate the Apache web server? [Y]</I> <BR>Since
Bu daemona daima ihtiyaç duymadığımızdan ve küçültme ruhu ile onu etkin yapmayalım.
<LI><I>Would you like to bind the web server to listen only to the localhost?
[N]</I> <BR><FONT
face="Courier New,Courier">httpd</FONT> daemonunu özel bir adrese bağlamak mümkündür.Burada,
Bastille-Linux, onu <FONT
face="Courier New,Courier">localhost</FONT> ,127.0.0.1 adresine bağlamayı önerir. Bu bir makinede kendi web sayfalarınızı deneyebileceğiniz bir sunucuya sahip olmaya olanak tanır. <BR>Bu sayfalara şu şekilde ulaşabilirsiniz:
<CENTER><FONT face="Courier New,Courier">http://localhost/</FONT> (veya <FONT
face="Courier New,Courier">http://localhost/raynal</FONT> kendi sayfalarına giriş için )</CENTER><FONT face="Courier New,Courier">Apache</FONT> çalışmak için
<FONT face="Courier New,Courier">loopback</FONT> arayüzünü (<FONT
face="Courier New,Courier">lo</FONT>) kullanır.
<LI><I>Would you like to bind the web server to a particular interface?
[N]</I> <BR>Yes cevabı önceki cevabı iptal eder . Burada web sunucusunu <FONT
face="Courier New,Courier">loopback</FONT> ile kullanmak istediğimizi söyleriz... ve bu soru kendisine bağlı bir IP adresiyle başka bir arayüz (örneğin Ethernet) verilmesini sağlar.
<LI><I>Would you like to deactivate the following of symbolic links? [Y]</I>
<BR>Bunu yapmalısınız. Kısıtlanmış bir alanda DNS'nin çalışmasına gelirsek <FONT face="Courier New,Courier">Apache</FONT> 'nin alanını
(mesela; <FONT face="Courier New,Courier">/home/httpd</FONT>) terketmesine müsade etmemelisiniz. Örneğin, kullnıcılardan biri kendi web sunucusu dizininde roota<FONT
face="Courier New,Courier">/</FONT> bir link var.O zaman herkes tüm dosyalara ulaşabilir... özellikle de <FONT face="Courier New,Courier">passwd</FONT> ve diğerleri gibi konfigürasyon dosyalarına.
<LI><I>Would you like to deactivate server-side includes? [Y]</I> <BR> Jay
Beale'in dediği gibi,eğer birşeyin ne olduğunu bilmiyorsan ona ihtiyacın yok demektir. Şunu söylemek yeterlidir ki bu konfigüre edilebilir eğer ki kullanıcılara sunucu üzerinde herhangi bir programı çalıştırma hakkı tanımışsanız.(Korkarım ki öyle...sistemci arkadaşlardan korkun...ki bu sizin için bir hayal olabilir;-)
<LI><I> Would you like to disable CGI scripts, at least for now? [Y]</I>
<BR>Bir CGI(Common Gateway Interface) betiği yazmak hiç zor değildir ancak dikkatli olmayı gerektirir (Örneğin, sunucuda biriken core dosyalarının tekrar tekrar yükleniminden sakının ).Bu betiklerdeki hatalara dayandırılan bir sistemi işlemek için pek çok yöntem kullanılmıştır.
<LI><I>Would you like to disable indexes? [N]</I> <BR>Apache, <FONT
face="Courier New,Courier">index.html</FONT> dosyası olmayan bir dizindeki tüm dosyaları listeler. Bu sembolik linklerin açtığı problemden daha küçük bir problemdir ancak bir dizinin kolay zarar verilebilecek bilgiler içerip içermeyeceğini düşünününz. </LI></UL>Bir web sunucusu diğerleri gibi makinenizi ziyaret için doğru bir adres olabilir yada zarar vermek için. Bu bazı durumlarda kızdırıcı olabiliyor. Öyle bir banka söyleyelim ki müşterilerin adları,(Belki şifreleri) okunabilir olsun... hemen <A
href="http://www.kitetoa.com/">http://www.kitetoa.com/</A> sitesine gidin ve ziyaret edin, pişman olmayacaksınız
;-) ( Çevirmenin notu: Ne yazık ki, sadece Fransızca!) <BR> <A
name=lfindex18> </A>
<H3>Yazdırma</H3>Sadece bir soru:makinenizden birşeyler yazdırıyor olacak mısınız? Eğer cevap hayır ise, Bastille-Linux <FONT
face="Courier New,Courier">lpd</FONT> daemonlarının ekinliğini kaldırır ve <FONT
face="Courier New,Courier">lpr</FONT> ve <FONT
face="Courier New,Courier">lprm</FONT> 'den SUID bitleri kaldırır. ============= <A
name=lfindex19> </A>
<H3>FTP</H3>Güvenlik açısından bakacak olursak, <FONT
face="Courier New,Courier">FTP</FONT> pek çok sorunun kaynağı olabilir. Örneğin, bir bağlantı kurulurken şifreler açık yazı dosyası şeklinde transfer edilirler.Veri için de aynı şeyler geçerlidir ki eğer veri önemliyse (parasal yada hayati bir veri...) bu tehlikelidir.
<P>Dahası, son zamanlarda <FONT
face="Courier New,Courier">wu-ftpd</FONT> 'da güvenlik açikları tesbit edilmiştir. Eğer bu sunucuyu açık durumda bırakmaya ihtiyacınız varsa, Bastille-Linux bazı özellikleri kısıtlayacaktır.
<P> <FONT face="Courier New,Courier">FTP</FONT> sunucusuna erişimi sağlayan dosya <FONT face="Courier New,Courier">/etc/ftpacces</FONT>'dır.
<UL>
<LI><I>Would you like to disable user privileges on the FTP daemon ? [N]</I>
<BR> FTP sorunlarından biri anonymous bağlantıya imkan tanımasıdır (biliyorsunuz bu kullanıcı şifre olarak bir email adresine sahip... bazen de bir hayalet olarak;-). Diğer bir problem dosya gönderimi (Mesela, sunucuya dosyalar göndermek ve diski doldurmak yada sunucuyu göçertmek için programlar göndermek). Çoğu saldırı bu zayıflıkları kullanır.
Diğer sorun kayıtların şifrelenmemiş olmasından kaynaklanır.
<LI><I>Would you like to disable anonymous download? [N]</I> <BR>Bu sunucuya <FONT
face="Courier New,Courier">anonymous</FONT> olarak bağlanmayı kaldırır.</LI></UL><A
name=lfindex20> </A>
<H3>Biraz daha hile ve ipucu</H3>Daha önce söylediğim gibi, Bastille-Linux büyük bir eğitici alet. Sorular ve yorumlar anlamlı. Sorular net olmadığı zaman doğru cevabı vermek için pek çok kaynak mevcut. Verilen konuyu öğrenmenin en iyi yolu ilgili modülü kullanmak.
<P>Bunu yapmak için soruları içeren dosyayı yedekleyin.Sonra Questions.txt dosyasını açın.Her modül FILE anahtar sözcüğü ile başlar.İhtiyaç duyduklarınızı etkin tutun.
<BLOCKQUOTE><FONT face="Courier New,Courier">/root/Bastille >> cp
Questions.txt Questions.txt-orig</FONT> <BR><FONT
face="Courier New,Courier">/root/Bastille >> emacs Questions.txt
BackEnd.pl &</FONT> <BR><FONT face="Courier New,Courier">/root/Bastille
>> ./InteractiveBastille</FONT></BLOCKQUOTE>
<P></P>
<P>Tabii ki Bastille-Linux ölçüleri sisteminizin güvenliği için yeterli değil:
<OL>
<LI>Hiç bir sistem %100 güvenli değildir;
<LI> Bastille-Linux "işini" tamamlamak için daha çok ölçüt gerekli.
</LI></OL>Bu ölçütler arasında log dosyası çözümleyicisi, port tarayan saptayıcılar (portsentry, snort, snplog, vb ...), <A
href="http://www.openwall.com/">http://www.openwall.com/</A> çekirdek yamaları (çalıştırılamaz stacklar, /tmp ve /proc haklarında kısıtlamalar ...vb) kullanımı düşünülebilir.
<P></P>
<P>Bir sistemi korumak uzun ve zor bir yoldur.Kendinizi güvenlik açıkları konusunda sürekli bilgili tutmalısınız. (Örneğin, securityfocus sitesinden bugtraq gibi mailling grupları aracılığı ile). </P><A name=lfindex21> </A>
<H3>Sonuç</H3>
Bastille-Linux güvenliğe çok iyi bilinen Linux dağıtımlarında yardım etmektedir.
Şöyle diyebilirsiniz: "o zaman niçin bunu kullanayım?"Kesinlikle... fakat RedHat (Mandrake - benzer durumdalar) çok hoş özelliklere sahip. Bu makalenin amacı bir dağıtımın reklamını (yada suçlamasını) yapmak değil.Nede olsa, seçimdeki özgürlük serbest yazılımın gücüdür.Sonuç olarak bu makale pek çok amaca hizmet etti.
Birinici olarak,size heyecandan titreyişleri özlemleyen birileri tarafından ağı yokedilmiş olarak görme korkusunda yaşayan bir sistem yöneticisinin değişmez endişesini göstermekti.Diğer taraftan bu alet size bir Linux sistemin konfigürasyonunu derin olarak inceleme imkanı sağlamakta. Böyle bir bakış açısından, bu sadece yenilere değil aynı zamanda ileri kullanıcılara da Linux konfigürasyonunun gizemini keşfetmek için güzel bir yoldur. .
<P>İki temel ve genel kavram küültme ve derinlikdir. Daha az çalışan servis daha az güvenlik açığı demektir. Her bir servis için çeşitli korumalar bir diğerinden daha iyidir... fakat bu kötü konfigüre edilmiş bir konfigürasyon yüzünden(yada pekçoğunun birleştirilmesi ). sizin aleyhinize olabilir.</P>
<P>Son olarak, gelecek versiyonun BUS (Bastille Unix
Security) olarak isimlendirileceğini ifade edelim. Bu Bastille-Linux ve Msec (Mandrake
Security Project) 'ın akıllı bir karışımı olacak.Daha sonraki Usec (Unix Security
Project) olarak isimlendirilecek.</P><BR> <BR>
<P></P>
<HR>
<A name=lfindex22> </A>
<H3>Kaynaklar</H3>
<UL>
<LI><A
href="http://bastille-linux.sourceforge.net/">http://bastille-linux.sourceforge.net/</A>
: Bastille-Linux resmi sitesi
<LI> <A
href="http://www.securityfocus.com/">http://www.securityfocus.com/</A>
Jay Beale ,Bastille-Linux'un ana yazarı tarafından yapılmış bir site, yazılım ve kurulumu sunulmakta. Bu okuduğunuz makaleyi yazmakta bana çok faydası dokundu ;-)
<LI><A href="http://www.sans.org/">http://www.sans.org/</A> :
SANS grubununsitesi, (Jay Beale onlarla işbirliği yapmakta). Bilgisayar güvenliği hakkında bir doğru bilgi madeni.
<LI><A
href="http://www.securityfocus.com/frames/?content=/vdb/stats.html">http://www.securityfocus.com/frames/?content=/vdb/stats.html</A>:
gene SecurityFocus'dan ,işletim sistemleri ve bugları hakkında ilgi çekici bir çalışma .Öncelikle çok kullanılan işletim sistemleri sonra linux ilgili olanlar gelmekte.
<LI><A href="http://www.kitetoa.com/">http://www.kitetoa.com/</A> : web sunucularını test eden bir site... ve bulunabilecek ilgi çekici şeyler içermekte. Aynı zamanda eğlenceli ve acıklı(sistem yöneticisi için) -Fransızca-
<LI><A href="http://www.ssh.com/">http://www.ssh.com/</A> : <I>secured shell.
ssh</I> resmi sitesi; geliştirmek için, ticari olmayan kullanım veya üniversiteler için serbest olarak dağıtılır.
<LI><A href="http://www.openssh.org/">http://www.openssh.org/</A> :
ssh ile aynıdır... BSD liasnsı altında dağıtılır :) </LI></UL>
<HR>
<BR><!-- hhmts start -->Son güncelleme: 12 Haziran Pazar 16:40:50 CEST 2000<!-- hhmts end --> <A name=talkback> </A>
<H2>Bu makale için görüş bildirme ve destek formu</H2>Her makalenin kendi görüş bildirim sayfası vardır:Bu sayfada bir yorumunuzu iletebilir veya diğer okuyucuların yorumlarına bakabilirsiniz.
<CENTER>
<TABLE border=0 cellPadding=1 cellSpacing=2>
<TBODY>
<TR bgColor=#c2c2c2>
<TD align=middle>
<TABLE border=3 cellPadding=1 cellSpacing=2>
<TBODY>
<TR bgColor=#c2c2c2>
<TD align=middle><A
href="http://cgi.linuxfocus.org/cgi-bin/lftalkback?anum=166&lang=en"><B> görüş bildirim sayfası </B></A> </TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE></CENTER>
<HR noShade SIZE=2>
<!-- ARTICLE FOOT -->
<CENTER>
<TABLE width="95%">
<TBODY>
<TR>
<TD align=middle bgColor=#777777><A
href="../..//common/lfteam.html"><FONT
color=#ffffff>sayfaların kalıcılığı LinuxFocus editör takımı tarafından sağlanmaktadır.</FONT></A>
<BR><FONT color=#ffffff>© Frédéric Raynal <BR>LinuxFocus.org 2000</FONT>
<BR><A
href="http://cgi.linuxfocus.org/cgi-bin/lfcomment?lang=en&article=article166.shtml"
target=_TOP><FONT color=#ffffff>LinuxFocus hakkındaki hata mesajlarını veya yorumlarınızı iletmek için buraya tıklayın.</FONT></A><BR></TD>
<TD bgColor=#777777><!-- TRANSLATION INFO --><FONT size=2>Çeviri bilgisi:</FONT>
<TABLE>
<TBODY>
<TR>
<TD><FONT size=2>fr</FONT></TD>
<TD><FONT size=2>-></FONT></TD>
<TD><FONT size=2>--</FONT></TD>
<TD><FONT size=2><A href="mailto:frederic.raynal@inria.fr"><FONT
color=#ffffff>Frédéric Raynal</FONT></A></FONT></TD></TR>
<TR>
<TD><FONT size=2>fr</FONT></TD>
<TD><FONT size=2>-></FONT></TD>
<TD><FONT size=2>en</FONT></TD>
<TD><FONT size=2><A href="mailto:georges.t@linuxfocus.org"><FONT
color=#ffffff>Georges
Tarbouriech</FONT></A></FONT></TD></TR>
<TR>
<TD><FONT size=2>en</FONT></TD>
<TD><FONT size=2>-></FONT></TD>
<TD><FONT size=2>tr</FONT></TD>
<TD><FONT size=2><A href="mailto:serhanak@saneg.itu.edu.tr"><FONT
color=#ffffff>Hasan Serhan Akın</FONT></A></FONT></TD></TR>
</TABLE></TD>
</TR></TABLE></CENTER>
<P><FONT size=1>2000-08-13, generated by lfparser version
1.7</FONT></P>
</BODY>
</HTML>