Syslogs

Nix sistemerde kullanılan SUID ve SGID özelliği, bir kullanıcının, bir programı kendisine tanınmış haklardan daha fazla izne sahip olarak çalıştırması gerektiği durumlarda kullanılmaktadır. Suid ve sgid oldukça kullanışlı birer dosya yetki özelliği olmasına rağmen güvenlik açısından dikkat edilmesi gereken bir husustur. Zira, suid biti aktif edilmiş dosyalar suistimal edilerek ve zafiyete neden olabilirler.

İşte bu nedenle, sistemdeki SUID ve SGID dosyaların taranması ve listelenmesi rutin bir güvenlik önlemi konuyla ilgili biraz detay vermek istedim. Yazının devamında SUID/SGID bit’lerinin ne olduğu ve sistemde bu bitlere sahip dosyaların nasıl saptanabileceği ile ilgili bilgiler bulabilirsiniz.

Yazinin devami icin tiklayin.

Herhangi bir istemci üzerinden erişemediğiniz bir mysql sunucusunda komut satırından yeni bir kullanıcı açmak için aşağıdaki örnekleri takip edebilirsiniz. Bu işlem, temel ve basittir ancak  rutin olmamasından ötürü girilmesi gereken komutların syntax’ları zamanla unutulabilir (En azından kendi adıma durum böyle). Eğer siz de benimle aynı dertten muzdaripseniz aşağıdaki örneklerin faydasını görebilirsiniz.

Yazinin devami icin tiklayin.

Sistemde bulunan bir dizinin yapısını, tüm alt dizinleri de kapsayacak şekilde -ve dizin içeriğindeki dosyaları almadan- kopyalamak için find komutundan yararlanılabilir. Örnek olarak /usr/share dizininin yapısı, tüm alt dizinleri ile birlikte başka bir yere aşağıdaki şekilde kopyalanabilir.

# mkdir /dizin/yapisinin/kopyalanacagi/alan
# cd /usr/share
# find * -type d -exec mkdir /dizin/yapisinin/kopyalanacagi/alan/\{\} \;

Gördüğünüz gibi, find komutu ile /usr/share dizini altındaki dizinler aranıyor ve bunlar belirttiğimiz diğer dizinin altında mkdir ile oluşturuluyor. Böylece, share dizininin boş bir kopyası, tüm dosyalardan arındırılmış şekilde oluşturulmuş oluyor.

Vmware Server 2.0 üzerinde çalışan bir sanal makinayı, VMware ESX 4 ortamına aktardıktan sonra, sanal sunucu “Failed to open disk scsi0:x : Unsupported and/or invalid disk type” gibi bir hata vererek boot olmayabilir. Bu durumun nedeni, hata da da söylendiği gibi sanal disk tipinin, esx ortamı için uyumsuz olmasından kaynaklanıyor ve sorunu gidermek için ilgili sanal diskin export edilerek uyumlu hale getirilmesi gerekiyor. Aynı durumla siz de karşılaştıysanız, aşağıdaki adımları uygulayarak convert işlemini gerçekleştirebilirsiniz.

Yazinin devami icin tiklayin.

Son zamanlarda spam maillerde belirli bir oranda artış gözlemleniyor. Hal böyle olunca ben de, sorumlusu olduğum e-posta altyapısına ait trafiği raporlayıp durumu rakamlara dökeyim dedim. Verilerin toplandığı yapı günlük olarak ortalama 500.000 adet istenmeyen e-posta alıyor. Spam mailler ile mücadele için sorbs ve spamcop’a ait kara listeleri ve filtreleme için spamassassin ile qsheff uygulamaları kullanılıyor. İlginizi çekerse yazının devamında bahsi geçen bu sistemden derlenen, ülke bazında kimler, ne kadar spam mail gönderiyor, ne kadarı karalistelere takılıyor, ne kadarı SPAM olarak işaretlenmesine rağmen posta kutularına erişiyor, spam trafiğinin saatlere göre dağılımı gibi bir takım istatistiki veriye erişebilirsiniz.

Yazinin devami icin tiklayin.

Nix sistemlerde izinleri 777 olarak set edilmiş, yani herkesin yazıp çizebileceği (world writable) tüm dosya ve dizinleri saptamak için aşağıdaki find komutu kullanılabilir.

# find / \( -perm -o+rwx -o -perm -g+rwx -perm -o+rwx \) | xargs ls -l

Detaylar için find’in man sayfasindan yararlanilabilir.

http://unixhelp.ed.ac.uk/CGI/man-cgi?find
http://linux.die.net/man/1/find

*nix sistemlerde belli bir zaman aralığında değiştirilmiş (modify edilmiş) dosyaları bulmak için find komutunun mmin ve mtime gibi parametrelerinden yararlanılabilir. Özellikle sızıldığından şüphe ettiğiniz bir sistemi incelerken, hangi dosyaların değiştirilmiş olduğunu saptamak olayların nasıl geliştiğini anlamak için önemli bir nokta olacaktır.

Aşağıda, find mtime ve mmin ile değiştirilmiş dosyaların saptanmasına ait bir kaç örnek bulabilirsiniz.

Yazinin devami icin tiklayin.