Ubuntu 14.04 Şirket içi ağ güvenliği sağlamak hakkında...

[tevfik]

Merhaba,

Juniper arkasında, sadece şirket içinden ulaşılabilen 14.04 desktop'da  lamp server kurulu.
Bu server'daki web sitesinde dışarıdan ulaşılmasında sakınca olmayan bir takım veriler var ..

Herhangi bir firewall uygulaması kullanmıyor...
Neredeyse tüm ayarlar default...
sadece /var/www/html klasörünün izinlerinde değişiklik var. ("www-data" grubuna yazma izni verildi....)

Ancak şöyle bir soru düştü dünya aklına

Bu makine şirket ağına bağlı doğal olarak, erişimi olan yerlerde okuma-yazma yetkisine sahip bir kullanıcısı var.
Bir şekilde sisteme sızmayı başaran kişinin ağa sızamayacağından nasıl emin olabiliriz ?
Saygılarımla

[heartsmagic]

Çok geniş bir konu bu sanki. Hani net bir cevabı da yok bence. Dışarıya bakan hizmet nedir? Diyelim ki açık var ve kullanıcı sisteme bir şekilde düşebildi. Sistemdeki kullanıcıların ağda ne gibi yetkileri var? Ağa sızılması için genellikle kullanılan yol konak sisteme sızılıp, buradaki yetkili kullanıcılarla diğer sistemlere atlama yapılmasıdır hepimizin bildiği üzere. Sistemdeki kullanıcıların ağ tarafında bir yetkisi yoksa en azından o tarafı düşünmeye gerek olmayabilir. Tabi bunun öncesinde ilgili sunucuya sızılması gerekiyor ki, onun için de sunucunun veya kullanılan hizmetin bir açığının olması gerekmekte.

Eğer ağ ortamı cidden çok hayati veriler içeriyorsa ve risk alınmak istenmiyorsa doğrudan sunucunun kendisi yerine sanal bir makine kullanılabilir. Hatta Docker tarzı yöntemlerle sadece bir taşıyıcı da tanımlanabilir. Böylece daha yalıtılmış bir sistem çalıştırılmış olur.