[Çözüldü] Ubuntu Güvenlik ve Yetki Sorunu

[berkayaslan]

Birbiri ile alakalı 2 sorum var. Biri sanırım zamanla değişmiştir bu yüzden olmuyordur. Ancak buna bağlı öteki sorun bence GNU/Linux için önemli bir güvenlik sorunudur.

"Kim Korkar Linux'tan" adlı kitabı özenle okuyorum. Öğrendiklerimi deniyorum. Kitapta dizinlere "Sitcky bit özelliği kazandırarak söz konusu dizin içerisindeki dosyaların kendi yetki kalıplarına göre işlem görmesini saylağabidiğimiz yazıyor.

Yani örnekle /home/deneme/Resimler/ dizinindeki resim1 dosyasının yetkileri rwxr--r-- olsun. Eğer ki Resimler dizininin dizin yetkileri rwxrw-r-- ise aynı bilgisayarı ancak farklı oturumları kullandığımız iş arkadaşım aynı sistemdeki kendi oturumundan bu dizine ulaşıp "resim1" dosyasını silebiliyor, değiştirebiliyor. Bunu önlemek için ben /home/deneme/Resimler/ klasörüne Sticky bit özelliği ekleyebilirim.

Kod Seç Genişlet


sudo chmod +t  /home/deneme/Resimler/


Bu komutu uyguladıktan sonra:

Kod Seç Genişlet

$ ls -l /home/deneme/Resimler/

komutu ile konrot ediyorum resimler klasörünün izinleri söyle:    rwxrw-r-t  yani komut başarılı !  Tüm bunlardan sonra diğer örnek verdiğim iş arkadşımın oturumundan sisteme giriş yapıyorum. /home/deneme/Resimler/ dizinindeki resim1 dosyası ile her türlü oynama yapabiliyorum. İşin garip yani bilgisayarda yüklü ayrı bir GNU/LİNUX sistemi bile dizine girdiğinde oynama yapabiliyor.

Artık sticky biti kullanılmıyor mu? Eğer hayır ise bu sorun nasıl çözülür?

-----------------------------------------------------------------------------------------------------------------------------------------------

Asıl güvenlik sorunu burada.

Aynı örnek üzerinden gidiyorum. (yani resim1)


Bilgisayarımda Ubuntu 10.13 kurulu olduğunu varsayalım. Harici hard diskimdede Pardus Gnome 2013  x32 (ya da herhangi bir şey. Bende gerçekte bu olduğu için yazıyorum)  sistemi kurulu diyelim.
Ubuntu sisteminde kayıtlı ve ubuntu üzerinden yetkileri düzenlenmiş /home/deneme/Resimler/ dizinindeki resim1 dosyasına gayet tabi harici diskimden çalıştıracağım Pardus ile /media...... klasöründen ulaşabilirim. Pardus işletim sistemim açıkken terminali açıp şu kodları yazıyorum:

Kod Seç Genişlet


su -
Passord:_____
chmod 777 /media/harici hard diskin adı ne ise/home/deneme/resimler/resim1


evet bu kodu yazdım ve sadece harici hard disk root parolam ile başka işletim sisteminin dosyasının izinlerini değiştirdim. Gayette değişti.

Bu bir sorun değil midir? Kötü niyetli biri benim bilgisayarımın hiçbir şifresini bilmezken getirdiği taşınbilir bellek ile  benim dosyalarımın ve dizinlerimi görecek kopyalayabilecek ve silecek. Daha kötüsü (yapılabilir mi bilemem) bu işlem internet üzerinden yapılabilecek. İnternet üzerinden yapılamasa bile bu çok basitce her dosyaya erişim durumu var.. Bunun çözümü var mıdır? Yoksa linux o kadar güvenli midir?

----------------------------------------------------------------------------

Anlaşılabilir olması açısından konuları biraz uzattım ama hala anlaşılamayacak kısımlar var gibi duruyor. konuyu takip edeceğim Teşekkür ederim.

[ersinkandemir]

Bu tip fiziksel erişimler için diski şifreleyen çözümler var. Hatta birkaç sürümdür Ubuntu kurulumu esnasında size şifrelemek isteyip istemediğinizi soruyor. 
Şurada kurulumdan sonra nasıl yapılabileceği de anlatılmış:
http://www.howtogeek.com/116032/how-to-encrypt-your-home-folder-after-installing-ubuntu/

[berkayaslan]

Peki her her dağıtımda kullanılabilir mi?  Bilginiz var mı?

[berkayaslan]

Birde 1. Sorun hakkında fikriniz var mı?

[ersinkandemir]

1. sorunuz hakkında fikrim yok. Her dağıtımda kullanılan uygulamalar var. Mesela: www.truecrypt.org

[berkayaslan]

Bunun için teşekkür ederim.  Ben diğer sorunum üzerinde uğraşıyorum ama bakalım..  İlla ki yardım gerek

[cagriemer]

Arkadasiniz 754 ya da 744 ile izinlenmis dizinlerdeki dosyalari, eger sudo kullanamiyorsa, silemez. Bir dosyayi silmek icin yazma (w, 2) izninizin olmasi gerekir. (O dosya uzerinde ve o dosyanin tutuldugu dizinde) 764 izinliyken (rwxrw-r--) silebiliyorsa sizinle ayni kullanici grubunda demektir. Eger Ubuntu'nun belgelendirmesine bakarsaniz yeni olusturulan kullanicilarin aksi belirtilmedikce 755 izinli ev dizinleri ile olustulacaklarindan bahseder. Bu da tum kullanicilar diger kullanicilarin ev dizininde gezinebilir ve okuma islemi yapabilir demek. Eger bu varsayilan davranis hosunuza gitmiyorsa ya da sizin ihtiyaclariniza uygun degilse /etc/adduser.conf dosyasindaki DIR_MODE=0755 satirindaki sayisal degeri 0750 yaparak ontanimli degeri degistirebilirsiniz. Boylece sadece siz ve sizin kullanici grubunuza dahil olanlar sizin ev dizininizde gezinip dosyalarinizi okuyabilirler. Varolan kullanicilarin izinlerini duzeltmek icin de chmod komutunu suna benzer sekilde kullanabilirsiniz.

Kod Seç Genişlet

sudo chmod 750 /home/kullanici_bir
sudo chmod 750 /home/kullanici_iki

Ikinci sorunuza ise yanit verilmis. Eger fiziksel erisim bir sorun ise dosya sisteminizi sifrelemeyi dusunebilirsiniz.

[arpia]

Kötü niyetli biri benim bilgisayarımın hiçbir şifresini bilmezken getirdiği taşınbilir bellek ile  benim dosyalarımın ve dizinlerimi görecek kopyalayabilecek ve silecek. Daha kötüsü (yapılabilir mi bilemem) bu işlem internet üzerinden yapılabilecek. İnternet üzerinden yapılamasa bile bu çok basitce her dosyaya erişim durumu var.. Bunun çözümü var mıdır? Yoksa linux o kadar güvenli midir?

Gerekli açıklamalar yapılmış ama ayrıca belirtmek isterim ki her hangi bir kişi bilgisayarınızın başına oturduğu zaman, yani fiziksel bir temas halinde bütün işletim sistemlerinin yönetici şifresi değiştirilip kullanılabilir. İnternet üzerinden dediğiniz gibi değil tabii ki durum, sadece fiziksel temas halinde böyle.

[berkayaslan]

Kötü niyetli biri benim bilgisayarımın hiçbir şifresini bilmezken getirdiği taşınbilir bellek ile  benim dosyalarımın ve dizinlerimi görecek kopyalayabilecek ve silecek. Daha kötüsü (yapılabilir mi bilemem) bu işlem internet üzerinden yapılabilecek. İnternet üzerinden yapılamasa bile bu çok basitce her dosyaya erişim durumu var.. Bunun çözümü var mıdır? Yoksa linux o kadar güvenli midir?

Gerekli açıklamalar yapılmış ama ayrıca belirtmek isterim ki her hangi bir kişi bilgisayarınızın başına oturduğu zaman, yani fiziksel bir temas halinde bütün işletim sistemlerinin yönetici şifresi değiştirilip kullanılabilir. İnternet üzerinden dediğiniz gibi değil tabii ki durum, sadece fiziksel temas halinde böyle.

Bilgilendirmeniz için teşekkür ederim.

[berkayaslan]

Arkadasiniz 754 ya da 744 ile izinlenmis dizinlerdeki dosyalari, eger sudo kullanamiyorsa, silemez. Bir dosyayi silmek icin yazma (w, 2) izninizin olmasi gerekir. (O dosya uzerinde ve o dosyanin tutuldugu dizinde) 764 izinliyken (rwxrw-r--) silebiliyorsa sizinle ayni kullanici grubunda demektir. Eger Ubuntu'nun belgelendirmesine bakarsaniz yeni olusturulan kullanicilarin aksi belirtilmedikce 755 izinli ev dizinleri ile olustulacaklarindan bahseder. Bu da tum kullanicilar diger kullanicilarin ev dizininde gezinebilir ve okuma islemi yapabilir demek. Eger bu varsayilan davranis hosunuza gitmiyorsa ya da sizin ihtiyaclariniza uygun degilse /etc/adduser.conf dosyasindaki DIR_MODE=0755 satirindaki sayisal degeri 0750 yaparak ontanimli degeri degistirebilirsiniz. Boylece sadece siz ve sizin kullanici grubunuza dahil olanlar sizin ev dizininizde gezinip dosyalarinizi okuyabilirler. Varolan kullanicilarin izinlerini duzeltmek icin de chmod komutunu suna benzer sekilde kullanabilirsiniz.

Kod Seç Genişlet

sudo chmod 750 /home/kullanici_bir
sudo chmod 750 /home/kullanici_iki

Ikinci sorunuza ise yanit verilmis. Eger fiziksel erisim bir sorun ise dosya sisteminizi sifrelemeyi dusunebilirsiniz.

Varsayılan ev dizininin 755 olduğunu bilmiyordum TEŞEKKÜRLER . Ancak benim sorunum sticky biti hakkında. Sticky bit kullanamıyorum. Resim1 dosyasının yetkileri 777 yani hiçbir sınır yok roottan farkı yok bu dosya için kimsenin. Ama bulunduğu dizin 755 olduğu için başka kullanıcı erişemiyor. Hatta resim1 dosyasını deneme hesabının üzerine yaptım ama yine olmuyor. Resim1 dosyası sadece dizin yetkilerine göre devam ediyor. Sticky bitinin sayesinde bu durumun önüne geçmem gerekirdi ancak sticky bit işe yaramıyor.

[cagriemer]

Sticky bitin davranisi dosyalar uzerinde tanimlanmamistir, dizinler icin kullanilir. Sorununuz nedir tekrar yazar misiniz kisaca? Ben herhalde yanlis anliyorum.

Duzeltme: Afedersiniz, benim hatam. Ne demek istediginizi anladim. Bir de kendim deneyeyim, geribildirim yapacagim.

[cagriemer]

Yani örnekle /home/deneme/Resimler/ dizinindeki resim1 dosyasının yetkileri rwxr--r-- olsun. Eğer ki Resimler dizininin dizin yetkileri rwxrw-r-- ise aynı bilgisayarı ancak farklı oturumları kullandığımız iş arkadaşım aynı sistemdeki kendi oturumundan bu dizine ulaşıp "resim1" dosyasını silebiliyor, değiştirebiliyor.

Kod Seç Genişlet

deneme@sunucu:~$ ll /home/
drwxr-xr-x  3 deneme   deneme   4096 Aug 26 14:16 deneme/
drwx------  5 yonetici yonetici 4096 Aug  9 13:23 yonetici/

deneme@sunucu:~$ ll resim/benisil
-rwxr--r-- 1 deneme deneme 0 Aug 26 14:16 resim/benisil*

deneme@sunucu:~$ chmod 764 resim/

deneme@sunucu:~$ ll
drwxrw-r-- 2 deneme deneme 4096 Aug 26 14:16 resim/

deneme@sunucu:~$ exit
exit
   
yonetici@sunucu:~$ rm /home/deneme/resim/benisil
rm: cannot remove `/home/deneme/resim/benisil': Permission denied

yonetici@sunucu:~$ cd /home/deneme/resim/
-bash: cd: /home/deneme/resim/: Permission denied

yonetici@sunucu:~$ cd /home/deneme/

yonetici@sunucu:/home/deneme$ mkdir izinyok
mkdir: cannot create directory `izinyok': Permission denied


Burada da gozuktugu gibi ayni izinlerle ben bahsettiginiz silme islemini gerceklestiremiyorum. Cunku /home/deneme dizininde yazma yetkim yok. Simdi de stickybit'e bakalim.

Kod Seç Genişlet

yonetici@sunucu:~$ sudo chmod -R 777 /home/deneme/

yonetici@sunucu:~$ sudo su deneme

deneme@sunucu:/home/yonetici$ cd

deneme@sunucu:~$ ll
drwxrwxrwx 2 deneme deneme 4096 Aug 26 14:16 resim/

deneme@sunucu:~$ ll /home/

drwxrwxrwx  3 deneme   deneme   4096 Aug 26 14:16 deneme/
drwx------  5 yonetici yonetici 4096 Aug  9 13:23 yonetici/

deneme@sunucu:~$ chmod +t resim/

deneme@sunucu:~$ ll
drwxrwxrwt 2 deneme deneme 4096 Aug 26 14:16 resim/

deneme@sunucu:~$ exit
exit

yonetici@sunucu:~$ rm /home/deneme/resim/benisil
rm: cannot remove `/home/deneme/resim/benisil': Operation not permitted

yonetici@sunucu:~$ touch /home/deneme/resim/benisil2

yonetici@sunucu:~$ ls -al /home/deneme/resim/
-rwxrwxrwx 1 deneme   deneme      0 Aug 26 14:16 benisil
-rw-rw-r-- 1 yonetici yonetici    0 Aug 26 14:28 benisil2

yonetici@sunucu:~$ sudo chown -R deneme:deneme /home/deneme/

yonetici@sunucu:~$ ls -al /home/deneme/resim/
-rwxrwxrwx 1 deneme deneme    0 Aug 26 14:16 benisil
-rw-rw-r-- 1 deneme deneme    0 Aug 26 14:28 benisil2

yonetici@sunucu:~$ mv /home/deneme/resim/benisil2 /home/deneme/
mv: cannot move `/home/deneme/resim/benisil2' to `/home/deneme/benisil2': Operation not permitted

yonetici@sunucu:~$ sudo chmod -t /home/deneme/resim/

yonetici@sunucu:~$ rm /home/deneme/resim/benisil


Burada da tum dizinler ve dosyalar 777 olmasina ragmen stickybit ayarladigimiz icin silemedik.

[berkayaslan]

Sanırım ben biraz garip anlatıyorum  

Neyse örneğim şunlar üzerine olsun:

*Benim sisteme giriş adım : berkay olsun

*Aynı bilgisayarı kullandığım misal mehmet isimli arkadaşımın sisteme giriş adı : mehmet olsun. 

*Bu bilgisayarda root şifresini sadece ben biliyorum diyelim.  Ve berkay hesabı ve ahmet hesabı aynı grupta olsun.

*misal olarak
"/home/berkay/Belgelerim/"   
  dizininin içinde "dosya1.dos" dosyası var. 

Ben bu dosyanın ahmet kullanıcısı tarafından okunabilmesini ve onun yapabilmesini istiyorum.   Bunun için şu kodları uygularım değil mi?  :

Kod Seç Genişlet


$ su
Password:____

#chmod 760 /home/berkay/Belgelerim/dosya1.dos



Ancak bunu yaptığımda yine ahmet kullanıcısı bu dosyada düzenleme yapamıyor.  Çünkü /home/berkay/Belgelerim dizininin yetki düzeni şöyle "rwxr--r--"  (744).  Bende ahmet kullanıcısının sadece "dosya1.doc" klasöründe düzenleme yapması için Belgelerim dizinine sticky bit uygulamalıyım bunun için şu komutları uyguluyorum:

Kod Seç Genişlet


$ su
Password:____

#chmod +t /home/berkay/Belgelerim


Bu şekilde belgelerim dizininin yetkileri ne olursa olsun dosya1.doc dosyası kendi yetkilerinden değerlendirilecek.  E dosya1.doc "rwxrw-----"  şemasında olduğu için benimle aynı grupta olan ahmet kullanıcısı bu dosya ile oynayabilecek.   

İşte bu olmuyor.  Sticky bitini kullanamıyorum..  İşe yaramıyor.  Yani bilgisayarımın dahili hafızasında pardus kde 2013 var burada sorunsuz ama ubuntuda olmuyor.

[berkayaslan]

Afedersiniz siz yazarken bende yazıyordum bu yüzden oldu   Pardon.

[berkayaslan]

Siz ubuntı gnome kullankorsunuz değil mi?  Birde "ll"  komutu ve "-R"  parametresi ne işe yarıyor..   


Yani sonuç olarak sorun bende   olmazsa yeniden kuracağım.

[cagriemer]

Bu ciktilari 12.04 Ubuntu uzerinde ucbirimden verdim size. Hangi masaustu ortamini hatta hangi dagitimi kullandiginiz bu konu icin onemli degil. Hepsinde ayni davranisi gozlemeniz gerekir. ll komutu ls -al komutuna atanmis bir kisayol. Yani uzun uzun ls -al yazmaktansa ll yazip ayni islemi yaptirabiliyoruz. Bunun ontanimli olarak Ubuntu'da geliyor olmasi lazim. -R ise "recursive" manasina geliyor. Yani bu dizin ve altindaki tum dizin ve dosyalarda soylenilen islemi gerceklestirmek istediginiz belirtiyorsunuz. Sizin kullaniminiz icin su sekilde yapilandirabilirsiniz izinleri. Ev dizininizi ve Belgelerim dizininizi 770 yaparsiniz. Ahmet hesabinin birincil grubunu Berkay olarak degistirirsiniz. Ardindan isterseniz Ahmet silme islemi yapamasin diye Belgelerim dizininize sticky bit atayabilirsiniz. Mehmet sizin dosyalariniza erisemezken, Ahmet erisebilir.

[berkayaslan]

Evet evet çözüldü nautilus nedense yeniden adlandırı falan hafif saydam gösteriyor. Bu yüzden bende denemeden olmadı diyorum. Ama nedense ne yaparsak yapalım ev dizini klasörleri ile oynayamıyoruz. Yani sanırım ... Tam olarak bakmadım çünkü. Birde yeri olmadığı için kısaca sorsam daha iyi olacak:

Ben bir evi ya da bir ofisi, bir linux ile yönetebilir miyim? Şöyle ki:

Evde 6 tane bilgisayar var hepsine aynı Gnu/Linux dağıtımını kurdum diyelim. Ana bilgisayar seçtiğim bir bilgisayar ile tüm bu bilgisayarları yönetebilir miyim? Daha doğrusu her bilgisayarı bir hesap gibi gösterebilir miyim? Gruplar ve izinlerini oluşturabilir miyim? (umarım anlatabildim)

[heartsmagic]

Ev dizinleri ile oynayamıyoruz derken? Senin dile getirdiğin ve @cagriemer'in anlattıklarından eksik olan şey nedir? Başlığın tamamını okuyamadım fakat @cagriemer gelip yorum yapmak istediğinde en azından kafandaki soruyu biraz daha ayrıntılandırmalısın.

Farklı soruları farklı başlıklarda konuşuyoruz, eğer ikinci sorunu da uzun uzun konuşacaksak bence ayrı bir başlık aç. Yok kabaca cevap istiyorum diyorsan tam amacını yaz. Her bilgisayarı bir hesap gibi göstermek derken bir uygulama mı arıyorsun? Nelerini yöneteceksin örneğin o bilgisayarların?Her bilgisayar birbirinin aynısı mı olacak yoksa farklı kişilere farklı işler için mi hizmet verecek?

Her bilgisayardaki sistemi sen kurduğun ve yetkili kullanıcıları sen ayarladığın sürece oturduğun yerden rahatlıkla hepsini yönetebilirsin. Ne yapmak istediğini anlatman lazım bize. Ancak söylediğim gibi o konu da uzayacaksa başka bir başlıkta devam edilsin bence.

[berkayaslan]

Yok  o yukarıdaki bir karışıklıktan oldu aynı zamanlarda mesaj yazdık o yüzden yani aslında çözüldü. (etikette koydum) uyarı için sağolun  bencede başka konu açsam daha iyi olur. Teşekkürler..

[heartsmagic]

Etiket için teşekkürler, bu konuyu kapatalım o halde. Diğer başlık içinse söylediğim gibi yapmak istediğin şeyi ayrıntılarıyla anlatırsan daha güzel öneriler alırsın.