19 Şubat 2016 Cuma

Linux Güvenlik NASIL?

Linux Güvenlik NASIL
Çeviren: Tufan Karadere
<tufank (at) gmail.com>
Yazan: Kevin Fenzi
tummy.com, ltd.
<kevin-securityhowto (at) tummy.com>
Yazan: Dave Wreski
linuxsecurity.com
<dave (at) linuxsecurity.com>
v2.4, 26 Ocak 2004
Gelişim
Bu çevirinin sürüm bilgileri:
Sürüm 2.4.1
9 Ekim 2006
Tufan Karadere <tufank (at) gmail.com>
Gelişim
Özgün belgenin sürüm bilgileri:
Sürüm 2.4
26 Ocak 2004
Kevin Fenzi <kevin-securityhowto (at) tummy.com>
Dave Wreski <dave (at) linuxsecurity.com>
Özet
Bu belgede, Linux sistem yöneticilerinin yüzyüze geldiği güvenlik konularına genel bir bakış açısı, genel
güvenlik felsefesi ile birlikte Linux sisteminizi daha güvenli hale getirebilmeniz için örnekler, ve güvenlik
ile ilgili program ve bilgilere daha kolay erişebilmeniz için referanslar bulunmaktadır. Geliştirme, yapıcı
eleştiri, ekleme veya düzeltmelerinizi, ve geribildiriminizi her iki yazara da konu kısmında "Security
HOWTO" yazan bir e-mektup ile (İngilizce olarak) iletebilirsiniz. [1]

Linux Sunucu Güvenliği

Linux Sunucu Güvenliği

Linux, kararlı çekirdeği, ağ yazılımlarının çeşitliliği ve kalitesi, performans/maliyet eğrisindeki konumu nedeni ile günümüzün en çok tercih edilen ağ işletim sistemlerinden olmuştur. Dışarıdan ve içeriden gelebilecek tehlikelere karşı gerekli önlemler alınmış bir Linux kurulu makine yıllarca hiç sorun çıkartmadan çalışabilmesine rağmen, her zaman için bunun aksi de mümkündür. Güvenlik ile ilgilenen herkesin bileceği gibi kesinlikle güvenli denilecek bir sistem tasarlanması mümkün değildir.

Güvenli bir işletim sistemi
Güvenlik, ciddiyet isteyen bir iştir. Tasarımına ilk aşamada yani, sunucunun kurulumundan önce başlanması gereklidir. Bilgisayarın ne amaçlı kullanılacağı bir çizelge üzerinde belirlenmeli ve temel işlevi dışında hiçbir yazılımın makine üzerinde bulunmasına izin verilmemelidir. Unutmamalıyız ki, hatasız bir program yoktur. Makine üzerinde ne kadar az program bulunursa, hatalardan etkilenme riskimiz de aynı derecede azalır.

Eğer sunucumuz üzerinde çok önemli bilgi bulunduruyorsak RAID kontrol kartları bulunması kaçınılmazdır. Ayrıca yazılımın her ihtimale karşı düzenli olarak yedeklenmesi ve yedeklenmenin de mümkünse ayrı bir optik veya manyetik medya üzerine yapılması tercih edilmelidir.

Firewalld

Firewalld nedir?
Firewalld, önceki sürümlerde kullandığımız, script tabanlı çalışan Iptables’ın tahtını ele alan, RHEL 7 ve türevlerinde kullanılmaya başlanan yeni nesil bir firewall uygulamasıdır. Firewalld, kendisiyle birlikte getirmiş olduğu yeni güvenlik kurallarını, varolan bağlantıları kesme gereksinimi duymadan aktif hale getirme imkanı sunmaktadır. Ağ arayüzlerini birazdan bahsedeceğimiz bölgeler (zone) ile ilişkilendirerek, farklı güvenlik seviyesindeki bu bölgeler için tanımlamalar oluşturmakta ve sistem yöneticisine bu yönde bir esneklik sağlamaktadır.
Firewalld’nin yönetimi, firewalld servisi tarafından sağlanmaktadır. Bazı kaynaklarda bunun için “daemon” veya “process” tanımlaması yapıldığı da görülmektedir. Tabi ki aralarında çok keskin farklar olmamasından ve çalışma prensibinden ötürü, servis denilmesinde bir sakınca olmadığı kanaatindeyim. Iptables, bir daemon kullanmak yerine, script mantığıyla çalışıyordu ve yeni tanımlanan kuralların, sistemi yeniden başlattıktan sonra dahi kalıcı olarak aktif olması için bir yeniden başlatma işlemi gerekiyordu. Çünkü her eklenen yeni kural, geçici olarak bellekte tutulmaktaydı. Yazının başında da belirttiğimiz gibi, Firewalld bu noktada dinamik bir şekilde hareket edebilmekte ve bağlantıyı koparma zorunluluğunun önüne geçerek, yeni kuralların anında aktif edilmesi imkanını bizlere sunmaktadır. Uptime mantığıyla düşündüğümüzde, bunun yüksek sayıda sunucuların barındığı bir ortam için nimet olduğunu söylemek yanlış olmaz sanıyorum.
Firewalld ayarları, /etc/firewalld/ dizini altında bulunur ve yapılan değişikliklere göre, bu ayar dosyaları otomatik olarak veya el ile güncellenebilir.
9
Iptables aracında, grafik arayüzü olarak system-config-firewall uygulaması bulunuyordu. Buradan komut bazlı yapabildiğimiz işlemleri, bu arayüzden yapabiliyorduk. Firewalld’de ise, birçok işlemi yapabildiğimizfirewall-cmd komutunu kullanabilmekle birlikte, grafiksel bir arayüz isteniyorsa firewall-config aracı ile de aynı işlemler yapılabilmektedir.

Ubuntu'da güvenlik duvarı kullanımı

İptables, Linux dağıtımları tarafından varsayılan olarak kurulu gelen güvenlik duvarı birimidir. Linux makinelerde gelen ve giden trafiği yönetmek ve analiz etmek için kullanılır.  Fakat iptables konsol modunda çalıştığı için Linux’e aşına olmayanlar için oldukça karışıktır.  Bu karışıklığı azaltmak ve  güvenlik duvarı (firewall) kullanımını kolaylaştırmak için bir güvenlik duvarı aracı olan UFW (Uncomplicated Firewall)‘i kullanabilirsiniz.

Zaten isminden de anlaşılabileceği gibi UFW, uncomplicated Firewall karışık olmayan veya komplike olmayan güvenlik  duvarı aracını hem konsoldan hem de grafik ara yüzü aracı ile port işlemlerini yapalım.