Sunucu Sistemlerde Yapilmasi Gereken Guvenlik Onlemleri

[teknick]

Merhaba sunucu bir sistemim bulunmakta
Uzerinde kurulu olan sunucular;

LAMP (Apache/Mysql/Php) Server
Postfix Mail Server
SSH Server
ProFTPD Server

Sistemim bu olmasina karsin uzerinde guvenlikle ilgili hicbirsey kurulu degil...
Sunucu guvenligini saglamak icin nereden? nasil? neler yaparak baslamaliyim?

Antivirus Konulu basligi okudum ve benim sistemimde mail kullanicilari benden baska olmayacagi icin anti-virusu pek gerekli gormedim?
yinede degerli dusuncelerinizi merakla bekliyorum...

Tesekkurler...

[Ertan ERBEK]

Linux sisteminde bulunan kullanıcı sistemi sayesinde oldukca güvenlidir. Sunucuya uzak erişimlerde root kullanıcısı ile ulaşımı kapatarak bu işe başlıyabilirsin. Bu güveliğe karşın sunucunda kurulu olan sistemler saldırya uğruyabilir özellikle ssh üzerinde kullanıcı şifresi çözmeye yarayan programlar ile kullanıcı şifreleri çözülmeye çalışlabilir. Bu gibi durumlar için iptables ve iptables eklentisi olan state komutlarını incelemeni öneirim.

Kurduğun sunucularda olabildiğince sanal kullanıcılar bulundur ( sunucularını ldap ve mysql gibi sistemlere bağla ) ve kabuga bağlı kullanıcılardan işine yaramyanları kaldır. İşine yarayıp sistem üzerinde tuttuğun fakat oturum açmamasına ihtiyaç olmayan kullanıcıların kabuklarını değiştir yada /bin/false olarak ekleme yap.

google de linux server güvenlik diye bir arama yapabilirsin mesala.

[teknick]

özellikle ssh üzerinde kullanıcı şifresi çözmeye yarayan programlar ile kullanıcı şifreleri çözülmeye çalışlabilir.

rootu kapatmak mantikli geliyor ama bi taraftan da dusunuyorum sistemden herhangibir kullaniciyi elde eden birisi bu programlarli shh ile iceriden calistirip root sifresini daha kolay alamaz mi?
sonucta "su root" yaparak root a geciyoruz bunu da deneye deneye ayni sekilde root sifresini elde etmesi mumkun olmaz mi?

[Ertan ERBEK]

Linux üzerinde çok kullanıcı olsada aslında iki gurup vardır bunlar root ve diğerleri şeklinde ayrılırlar. Root dışında sisteme bir şeyler kurmak o kadarda kolay değil.

ssh için izin verilecek kullanıcı birçok şeyden izole edilip sistemdeki izinlerden mahrum bırakılarak sadece su komutunu kullanabilir hale getirilebilir.

İşin aslı güvenlik istiyorsanız ilk yapmanız gereken sudo komutunu sistemden kaldırmak.

[teknick]

sudo yu /user/bin/ dizininden direk chmod 0 sudo seklinde yaparak kaldırmamı mı tavsiye edersiniz?
birde sudoedit var tabi?

[Ertan ERBEK]

 Abartı olmaz ise.

aptitude remove sudo && aptitude purge sudo && dpkg -r sudo

Sonuncusuna pek gerek yok ama her ihtimale karşı

Ardından sunucuna ssh için /etc/ssh/sshd.conf dosyasında root girişini iptal et. İçeri giren kullanıcılar root hakları için illaki su komutunu kullansın. Mümkünse internetten /etc/securty kısmını bir araştırın

[teknick]

gordugum kadarı ıle sudo yu tamamen sistemden kaldırıyoruz bu kod ile?
Peki chmod ile erişimini engellersem ne farki olacak?
sonucta root olamayan erişimini değiştiremeyecek ve kullanamayacak?
e zaten root ise sudo ya ihtiyacı yok demektir?

[Ertan ERBEK]

 Evet hakılısın, ama disk üzerinde verilen kullanıcı haklarındansa verilmeyen haklara güvenmek daha doğru değil mi ?

[teknick]

evet haklisin...
bende oyle yapmaya karar verdim...

Birde Apache uzerinde yani web sunucusu uzerinde klasor iceriklerinin goruntulenmesini kapatmak istiyorum...
ancak bazi yerlerde .htaccess ile kapatilmasi onerilirken bazilari bunun apache2.conf dan indexin kapatilmasini oneriyor...
Siz hangisnini onerirsiniz?

birde bununla alakali olarak...
bendeki .htaccess dosyasinin icerigi

Kod Seç Genişlet

<Files image.php>
allow from all
</Files>
deny from all
seklinde...

burada image.php ye erisim verirken diger tum dosyalarin disaridan erisimi engellenmistir...
bunu .conf dosyasindan yapmanin bir yolu yok sanirim?
mantiksiz bir soru oldu herhalde? kusura bakmayin...

[Ertan ERBEK]

Kod Seç Genişlet

<VirtualHost *:80>
        ServerAdmin webmaster@localhost

        DocumentRoot /var/www/
        <Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>
        <Directory /var/www/>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                Order allow,deny
                allow from deny
        </Directory>

        ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
        <Directory "/usr/lib/cgi-bin">
                AllowOverride None
                Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
        </Directory>

        ErrorLog /var/log/apache2/error.log

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn

        CustomLog /var/log/apache2/access.log combined

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>


Kod Seç Genişlet

/etc/apache2/sites-available

default sitesinin özellikleri, ben direk buradan kapatıyorum.

[teknick]

Verdiginiz bilgiler benim icin altin degerinde ve cok isime yariyor...
Cok tesekkur ederim Ertanbey...