Sunucu Sistemlerde Yapilmasi Gereken Guvenlik Onlemleri

Başlatan teknick, 15 Haziran 2009 - 19:48:40

« önceki - sonraki »

0 Üyeler ve 1 Ziyaretçi konuyu incelemekte.

teknick

Merhaba sunucu bir sistemim bulunmakta
Uzerinde kurulu olan sunucular;

LAMP (Apache/Mysql/Php) Server
Postfix Mail Server
SSH Server
ProFTPD Server

Sistemim bu olmasina karsin uzerinde guvenlikle ilgili hicbirsey kurulu degil...
Sunucu guvenligini saglamak icin nereden? nasil? neler yaparak baslamaliyim?

Antivirus Konulu basligi okudum ve benim sistemimde mail kullanicilari benden baska olmayacagi icin anti-virusu pek gerekli gormedim?
yinede degerli dusuncelerinizi merakla bekliyorum...

Tesekkurler...
Ubuntuyu Cok Seviyorum...

Ertan ERBEK

Linux sisteminde bulunan kullanıcı sistemi sayesinde oldukca güvenlidir. Sunucuya uzak erişimlerde root kullanıcısı ile ulaşımı kapatarak bu işe başlıyabilirsin. Bu güveliğe karşın sunucunda kurulu olan sistemler saldırya uğruyabilir özellikle ssh üzerinde kullanıcı şifresi çözmeye yarayan programlar ile kullanıcı şifreleri çözülmeye çalışlabilir. Bu gibi durumlar için iptables ve iptables eklentisi olan state komutlarını incelemeni öneirim.

Kurduğun sunucularda olabildiğince sanal kullanıcılar bulundur ( sunucularını ldap ve mysql gibi sistemlere bağla ) ve kabuga bağlı kullanıcılardan işine yaramyanları kaldır. İşine yarayıp sistem üzerinde tuttuğun fakat oturum açmamasına ihtiyaç olmayan kullanıcıların kabuklarını değiştir yada /bin/false olarak ekleme yap.

google de linux server güvenlik diye bir arama yapabilirsin mesala.
Elbet bir gün bende Linux cuyum diyeceğim.

Başkalarının bilmediği bilgi, bilgi değildir. Bilgini paylaşmak için SUDO ya katkılarını bekliyoruz.

teknick

Alıntı Yapözellikle ssh üzerinde kullanıcı şifresi çözmeye yarayan programlar ile kullanıcı şifreleri çözülmeye çalışlabilir.

rootu kapatmak mantikli geliyor ama bi taraftan da dusunuyorum sistemden herhangibir kullaniciyi elde eden birisi bu programlarli shh ile iceriden calistirip root sifresini daha kolay alamaz mi?
sonucta "su root" yaparak root a geciyoruz bunu da deneye deneye ayni sekilde root sifresini elde etmesi mumkun olmaz mi?
Ubuntuyu Cok Seviyorum...

Ertan ERBEK

Linux üzerinde çok kullanıcı olsada aslında iki gurup vardır bunlar root ve diğerleri şeklinde ayrılırlar. Root dışında sisteme bir şeyler kurmak o kadarda kolay değil.

ssh için izin verilecek kullanıcı birçok şeyden izole edilip sistemdeki izinlerden mahrum bırakılarak sadece su komutunu kullanabilir hale getirilebilir.

İşin aslı güvenlik istiyorsanız ilk yapmanız gereken sudo komutunu sistemden kaldırmak.
Elbet bir gün bende Linux cuyum diyeceğim.

Başkalarının bilmediği bilgi, bilgi değildir. Bilgini paylaşmak için SUDO ya katkılarını bekliyoruz.

teknick

sudo yu /user/bin/ dizininden direk chmod 0 sudo seklinde yaparak kaldırmamı mı tavsiye edersiniz?
birde sudoedit var tabi?
Ubuntuyu Cok Seviyorum...

Ertan ERBEK

#5
 Abartı olmaz ise.

aptitude remove sudo && aptitude purge sudo && dpkg -r sudo

Sonuncusuna pek gerek yok ama her ihtimale karşı :)

Ardından sunucuna ssh için /etc/ssh/sshd.conf dosyasında root girişini iptal et. İçeri giren kullanıcılar root hakları için illaki su komutunu kullansın. Mümkünse internetten /etc/securty kısmını bir araştırın
Elbet bir gün bende Linux cuyum diyeceğim.

Başkalarının bilmediği bilgi, bilgi değildir. Bilgini paylaşmak için SUDO ya katkılarını bekliyoruz.

teknick

gordugum kadarı ıle sudo yu tamamen sistemden kaldırıyoruz bu kod ile?
Peki chmod ile erişimini engellersem ne farki olacak?
sonucta root olamayan erişimini değiştiremeyecek ve kullanamayacak?
e zaten root ise sudo ya ihtiyacı yok demektir?
Ubuntuyu Cok Seviyorum...

Ertan ERBEK

 Evet hakılısın, ama disk üzerinde verilen kullanıcı haklarındansa verilmeyen haklara güvenmek daha doğru değil mi ?
Elbet bir gün bende Linux cuyum diyeceğim.

Başkalarının bilmediği bilgi, bilgi değildir. Bilgini paylaşmak için SUDO ya katkılarını bekliyoruz.

teknick

evet haklisin...
bende oyle yapmaya karar verdim...

Birde Apache uzerinde yani web sunucusu uzerinde klasor iceriklerinin goruntulenmesini kapatmak istiyorum...
ancak bazi yerlerde .htaccess ile kapatilmasi onerilirken bazilari bunun apache2.conf dan indexin kapatilmasini oneriyor...
Siz hangisnini onerirsiniz?

birde bununla alakali olarak...
bendeki .htaccess dosyasinin icerigi
<Files image.php>
allow from all
</Files>
deny from all

seklinde...

burada image.php ye erisim verirken diger tum dosyalarin disaridan erisimi engellenmistir...
bunu .conf dosyasindan yapmanin bir yolu yok sanirim?
mantiksiz bir soru oldu herhalde? kusura bakmayin...
Ubuntuyu Cok Seviyorum...

Ertan ERBEK

<VirtualHost *:80>
        ServerAdmin webmaster@localhost

        DocumentRoot /var/www/
        <Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>
        <Directory /var/www/>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                Order allow,deny
                allow from deny
        </Directory>

        ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
        <Directory "/usr/lib/cgi-bin">
                AllowOverride None
                Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
        </Directory>

        ErrorLog /var/log/apache2/error.log

        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn

        CustomLog /var/log/apache2/access.log combined

    Alias /doc/ "/usr/share/doc/"
    <Directory "/usr/share/doc/">
        Options Indexes MultiViews FollowSymLinks
        AllowOverride None
        Order deny,allow
        Deny from all
        Allow from 127.0.0.0/255.0.0.0 ::1/128
    </Directory>

</VirtualHost>


/etc/apache2/sites-available

default sitesinin özellikleri, ben direk buradan kapatıyorum.
Elbet bir gün bende Linux cuyum diyeceğim.

Başkalarının bilmediği bilgi, bilgi değildir. Bilgini paylaşmak için SUDO ya katkılarını bekliyoruz.

teknick

Verdiginiz bilgiler benim icin altin degerinde ve cok isime yariyor...
Cok tesekkur ederim Ertanbey...
Ubuntuyu Cok Seviyorum...