ン輅ndekiler:
Giri?
G?venli?e dogru ad?mlar
ヨzet: Bu makale, sistem y?neticilerinin sistemlerini hackerlara kar?? g?venli hale getirmeye yard?m edebilecek ve Linux sistemlerinin g?venli?ini geli?tirecek 軻?itli yollar? tart??maktad?r.
Internetdeki bilgisayarlar?n g?venli?ini tehlikeye sokacak geni? ?l軻kli sald?r? te?ebb?sleri ola?an hale gelmi?tir. Her ge軻n g?n daha fazla Linux ve FreeBSD sunucular? imapd ve BIND kaynaklar? i輅ndeki arabellek ta?mas?n?n da kar??t???, son zamanlardaki sald?r?lar?n hedefi oldular. Herg?n, BUGTRAQ posta listesinin 20000'e yak?n ?yesi, her ?ekildeki ve boyuttaki a??klar? ortaya d?kmektedirler. (E?er yaln?zca bir g?venlik posta listesine ?ye olacaksan?z, bu o listedir.).
Bu 19305 ?yeden birinin bir for() d?ng?s? yazabilece?ini ve kes yap??t?r mant??? i軻risinde, m?mk?n olan en fazla say?da bilgisayara girmeye te?ebb?s edebilece?ini varsaymak temkinli bir davran?? olacakt?r.
Er ge? bu d?ng? sizin bilgisayar?n?z?n adresini olu?turacakt?r. Haz?rlanmak i輅n bug?nden ba?ka zaman yoktur.
Baz? uzmanlar?n sizi inand?rd?klar? ?eylere ra?men, g?venli bir bilgisayar kurmak ve bak?m?n? sa?lamak 輟k zor bir ?ey de?ildir. Emin sistem y?netimi al??kanl?klar?, genel a? tehditlerinden korunma olarak hizmet ederler. Bu makale, benim genel olarak a?a ba?l? bir RedHat Linux sistemini bi輅mlendirirken ald???m tedbirleri a??klar. Bu makale bilgisayar?n?z?, ba?kalar?n?n tehdit te?kil eden niyetlerinden korumak i輅n anahatlar sunarken, bir eksiksiz ba?vuru kayna?? olmas? niyetlenilmemi?tir.
A?a??da sunulanlar kurulumunuzun, a? yaz?l?m?ndaki bilinen bir a????n bir sonraki kurban? olmas?n? ?nleyecek ad?mlard?r. UYARI: E?er ne yapt???n?zdan emin de?ilseniz, yapmay?n!Baz? ad?mlar sizin a??n?zdan belli bir derecede bilgiye sahip oldu?unuzu varsayar. Alaska,Hawaii & Puerto Rico 'da garanti yoktur. En sonda okunmas? ?nerilen baz? kaynaklar belirtilmi?tir.
G?venli?e Do?ru Ad?mlar
1. Sisteminizden gereksiz b?t?n a? servislerini kald?r?n. Bilgisayar?n?za ba?lan?lacak yol ne kadar azsa, bir hacker'?n bilgisayar?n?za girmek i輅n o kadar az yolu vard?r. /etc/inetd.conf dosyas?ndan ihtiyac?n?z olmayan her?eyi, sat?r?n ba??na # i?areti koyarak etkisiz hale getirin. Sisteminize telnet ile ula?maya ihtiya? yok mu? O halde onu kald?r?n. Ayn? ?ey ftpd, rshd, rexecd, gopher, chargen, echo, pop3d ve friends i輅n de ge軻rlidir. inetd.conf dosyas?n? d?zenledikten sonra "killall -HUP inetd" komutunu 軋l??t?rmay? unutmay?n. Ayr?ca, /etc/rc.d/init.d dizinini ihmal etmeyin. Baz? a? servisleri (BIND, yaz?c? iblisi) bu dizindeki dosyalardan ba?lat?lan ba??ms?z programlard?r.
2. SSH kurun. SSH, art?k antika olan Berkeley r komutlar?n? iptal ederek, onlar?n yerine yerle?ir. http://www.cs.hut.fi/ssh adresindeki anasayfas?nda SSH i輅n ??yle yaz?lm??t?r:
Ssh (Secure Shell)(G?venli Kabuk) a? ?zerinden ba?ka bir bilgisayara giri? yapan, uzak bir bilgisayarda komutlar 軋l??t?ran ve bir bilgisayardan di?erine dosya ta??yan bir programd?r. G?vensiz kanallar ?ze- rinden g?venli haberle?me sa?lar.
Hackerlar?n ilgin? bulaca?? daha bir輟k i?levi vard?r. SSH'y? http://ftp.rge.com/pub/ssh adresinden indirebilirsiniz.
3. Giri? yap?lmayan hesaplar? kapatmak i輅n vipw(1) kullan?n. ?unu s?ylemek gerekir ki, RedHat Linux alt?nda bo? giri? kabu?una sahip olan hesaplar?n kabuk isimlerinin varsay?lan de?eri /bin/sh 'd?r ki bu istemeyece?iniz bir?eydir. Ayr?ca, hi軛ir hesab?n?z?n bo? bir ?ifre alan?na sahip olmamas?na dikkat etmelisiniz. A?a??dakiler, sa?l?kl? bir ?ifre dosyas?n?n sistem k?sm?n?n nas?l olmas? gerekti?ine ?rnektir.
daemon:*:2:2:daemon:/sbin:/bin/sync adm:*:3:4:adm:/var/adm:/bin/sync lp:*:4:7:lp:/var/spool/lpd:/bin/sync sync:*:5:0:sync:/sbin:/bin/sync shutdown:*:6:0:shutdown:/bin:/sync halt:*:7:0:halt:/sbin:/bin:/sync mail:*:8:12:mail:/var/spool/mail:/bin/sync news:*:9:13:news:/var/spool/news:/bin/sync uucp:*:10:14:uucp:/var/spool/uucp:/bin/sync operator:*:11:0:operator:/root:/bin/sync games:*:12:100:games:/usr/games:/bin/sync gopher:*:13:30:gopher:/usr/lib/gopher-data:/bin/sync ftp:*:14:50:FTP User:/home/ftp:/bin/sync nobody:*:99:99:Nobody:/:/bin/sync
4. su ayr?cal???na ihtiya? duymayacak, root taraf?ndan sahiplenilmi? programlardan 's' bitini kald?r?n. Bu, arg?manlar? ilgili dosyalar?n ismi olacak ?ekilde, 'chmod a-s' komutunu kullanarak yap?labilir.
B?yle su programlar? a?a??dakileri i軻rir ama sadece a?a??dakilerle s?n?rl? de?ildir.
Ki?isel olarak etkisiz hale getirmek isteyece?im her program isminin ?n?ne bir * (asteriks) koydum. Unutmay?n ki sisteminizin sa?l?kl? 軋l??abilmesi i輅n baz? suid root programlar?na ihtiya? vard?r. Bu nedenle dikkatli olmak gerekir.
# find / -user root -perm "-u+s" */bin/ping */bin/mount -- yanl?z root dosya sistemlerini mount etmeli. */bin/umount -- ayn?s? /bin/su -- Buna dokunmay?n! /bin/login /sbin/pwdb_chkpwd */sbin/cardctl -- PCMCIA kart? kontrol ara輙ar? */usr/bin/rcp -- Ssh kullan?n */usr/bin/rlogin -- " */usr/bin/rsh -- " */usr/bin/at -- cron kullan?n ya da tamamiyle kapat?n */usr/bin/lpq -- LPRNG kurun */usr/bin/lpr -- " */usr/bin/lprm -- " */usr/bin/mh/inc */usr/bin/mh/msgchk /usr/bin/passwd -- Dokunmay?n! */usr/bin/suidperl -- Her yeni suidperl versiyonunda arabellek ta?mas? var gibi g?z?k?yor. */usr/bin/sperl5.003 -- Ger軻kten gerekliyse kullan?n /usr/bin/procmail -- */usr/bin/chfn */usr/bin/chsh */usr/bin/newgrp */usr/bin/crontab */usr/X11R6/bin/dga -- X11'de de bir輟k arabellek ta?mas? var. */usr/X11R6/bin/xterm -- " */usr/X11R6/bin/XF86_SVGA -- " */usr/sbin/usernetctl /usr/sbin/sendmail */usr/sbin/traceroute -- Bunu kullanmak i輅n root ?ifresini girmeye dayanabilirsiniz.
5. Sendmail'i g?ncelleyin. Kayna??n? ftp://ftp.sendmail.org/pub/sendma il adresinden indirin. Kaynak paketini a??n ve kurulum talimatlar?n? okuyun. Fazladan birka? dakikan?z varsa Smrsh program?n? da kurun (sendmail ile paketlenmi?tir). Bu program bir輟k ki?inin keyf? programlara e-posta gondermek gibi, sendmail ile olan endi?elerini adresler. sendmail.cf dosyas?n?na girin ve 'PrivacyOptions' se軻ne?ini 'goaway' olarak girin:
O PrivacyOptions=goaway
E?er internet e-postas? almay? planlam?yorsan?z, SENDMAIL'I ALI? MODUNDA ヌALI?TIRMAYIN (sendmail -bd)!. Bu durumda, /etc/rc.d/init.d/sendmail.init 'i etkisiz hale getirin ve 'killall -TERM sendmail' komutunu 軋l??t?r?n. Hala d??ar?ya e-posta g?nderebilirsiniz.
6. BIND kullan?yorsan?z g?ncelleyin. En son BIND s?r?m? http://www.isc.org adresinden bulunabilir. Aksi taktirde hepsini etkisiz hale getirin.
7. ヌekirde?i tekrar derleyin. Ben genellikle, benimsenmi? 軻kirde?in boyutunu k?錮ltmek i輅n yapar?m. IPUCU:Bilgisayar?n?z bir firewall de?ilse bile t?m firewalling se軻neklerini a??n .
CONFIG_FIREWALL=y CONFIG_NET_ALIAS=y CONFIG_INET=y # CONFIG_IP_FORWARD se輅li de?ildir # CONFIG_IP_MULTICAST se輅li de?ildir CONFIG_SYN_COOKIES=y CONFIG_RST_COOKIES=y CONFIG_IP_FIREWALL=y CONFIG_IP_FIREWALL_VERBOSE=y # CONFIG_IP_MASQUERADE se輅li de?ildir # CONFIG_IP_TRANSPARENT_PROXY se輅li de?ildir CONFIG_IP_ALWAYS_DEFRAG=y CONFIG_IP_ACCT=y # CONFIG_IP_ROUTER se輅li de?ildir # CONFIG_NET_IPIP se輅li de?ildir CONFIG_IP_ALIAS=m
8. Yamalar uygulay?n. RedHat'in yaz?l?mlar?yla ilgili bilinen t?m sorunlar, Redhat'deki Errata sayfalar?nda bulunabilir. (sizin kulland???n?z s?r?me hangi yamalar?n uygulanmas? gerekti?ini g?rmek i輅n http://www.redhat.com/support/docs/errata.html adresine bak?n.) RedHat, bu sayfalar? g?ncel tutarak 輟k iyi bir i? yapmaktad?r. Bu sayfalarda kurulum talimatlar?yla birlikte, ihtiyac?n?z olan RPM dosyalar?n?n ba?lant?lar? da bulunmaktad?r.
9. tcp_wrappers '? bi輅mlendirin: Tcp_wrappers a? ?zerindeki hangi bilgisayarlar?n sizin bilgisayar?n?zla haberle?ebilece?ini kontrol eden bir y?ntemdir. G?venlik bilgesi Wieste Venema taraf?ndan yaz?lan bu paket, inetd 'den 軋l??t?r?lan (veya k?t?phanesi i輅nden ba?lanm??) programlar?n ?n?nde oturup, bi輅mlendirme dosyalar?na ba?vurarak bir a??n a? hareketini reddeder veya izin verir. ヨrne?in, evinizden bir ISS (Internet Servis Sa?lay?c?s?) vas?tas?yla ftp ve telnet ba?lant?lar?na izin verirken geriye kalan her?eyi reddetmek i輅n, a?a??dakiler /etc/hosts.allow dosyas?na konur.
in.ftpd : .dialup.sizin-iss.com : allow all : all : deny
SSH, sendmail ve di?er paketleri tcp_wrappers deste?iyle yap?land?rabilirsiniz.Daha ayr?nt?l? bilgi i輅n tcpd(1) elyordam sayfas?n? okuyun.
Solar Designer taraf?ndan G?venli Linux yamalar? :
http://www.false.com/security/linux/
replay.com RedHat crypto sayfalar?:
http://www.replay.com/redhat/
Y?renizi k?rararak g?venli?ini geli?tirin:
http://www.alw.nih.gov/Security/Docs/admin-guide-to-cracking.101.html
Slashdot bu-dakikaya-kadar haberleri i輅n iyi bir kaynakt?r:
http://www.slashdot.org
Yaz?l?m g?ncellemelerinde g?ncel kal?n,FreshMeat'i d?zenli olarak ziyaret edin.
http://www.freshmeat.net
Smashing the stack:
http://reality.sgi.com/nate/machines/security/P49-14-Aleph-One
![画像:[Illustration]](/index.cgi/contrast/http://linuxfocus.org/Turkce/July1998/../../common/images/illustration37.gif){kind=link}