FreeBSD sistemlerde her türlü servisi jail sistemler üzerinde çalıştırmayı seviyorum. Bu şekilde bir nevi sanallaştırma yapılmış olduğundan dolayı hem yedekleme gibi yönetimsel faliyetler kolaylaşıyor hem de servisler yalıtılmış ortamda çalıştığından dolayı güvenlik seviyeniz artmış oluyor.

Geçenlerde çok sayıda mail göndermekte kullanılan bir qmail sunucusu çalıştıran bir jail sistem’in disk I/O kapasaitesini nasıl arttırabilirim diye düşünürken, aklıma bu jail’i host sistem üzerinde oluşturacağım bir ramdisk içerisinden çalıştırıp çalıştıramayacağım geldi.

Elbette bir jail’i ramdisk üzerinde çalıştırmak, host sistemin her reboot’undan sonra jail’in uçması anlamına gelir. Ancak veri güvenliği ile ilgili bir sıkıntı yoksa ramdisk  yönetmini kullanmak kazanılan yüksek I/O kapasitesi düşünüldüğünde gayet mantıklı olabilir.

Bir jail sistemi ramdisk üzerinde çalıştırmak için jail’e ait anadizini ramdisk alanına taşımak ve yapılandırma doslayarında yeni path’i belirtmek yeterlidir. Ancak sistemi restart etmeniz durumunda ramdisk silineceği için her sistem restartında jail’in yeniden set edilmesi gerekiyor. Bu işlem için de basit bir rc scripti yeterli oluyor. Yazının devamında, ezjail ile oluşturulan jail sistemlerin yukarıda anlatıldığı şekilde ramdisk üzerinde nasıl up edilebileceği ile ilgili detaylar bulabilirsiniz. Yazinin devami icin tiklayin.

Ramdisk’leri yüksek I/O ihtiyacı olan ve tabii veri güvenliğinin önemli olmadığı örneğin cacheleme gibi işlemler için oldukça sık kullanıyorum. Ram’in bir kısmını disk partisyonu olarak sisteme mount etmek sureti ile elde edilen ramdiskler yüksek disk erişimi isteyen işlemlerde ekonomik ve performanslı bir çözüm olabiliyorlar. Daha önce Linux sistemlerde Ramdisk oluşturulması ve sisteme mount edilmesi ile ilgili bir yazı yayınlamıştım. Şimdi de aynı işlemin FreeBSD sistemlerde nasıl yapılabileceğine değineceğim; ilginizi çekerse göz atmak isteyebilirsiniz…

Yazinin devami icin tiklayin.

Herhangi bir nedenle son sürüme upgrade edemediğiniz (etmek istemediğiniz) eski sürüm bir FreeBSD’de pkg_add kullanarak paket yüklemek istediğiniz zaman aşağıdaki gibi bir hata ile karşılaşabilirsiniz:

Error: Unable to get ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-8.0-release/Latest/xxx.tbz: File unavailable (e.g., file not found, no access)
pkg_add: unable to fetch 'ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-8.0-release/Latest/xxx.tbz' by URL

Bu problemin nedeni eski sürüm FreeBSD’lere ait paketlerin FreeBSD ftp sunucularında sürüm ismi ile bulunmamasıdır.

Yukarıdaki örneğe bakarsanız, FreeBSD 8.0 i386 bir sistem için kurulmak istenen paket ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-8.0-release/Latest/ adresinde aranmaktadır. Oysa ftp sunucusunda 8-0 sürümü için paketler ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-8-stable/Latest/ dizininde bulunmaktadır.

Böyle bir durumda pkg_add aracı ile paket yüklemek için PACKAGESITE değişkenini doğru ftp dizinine bakacak şekilde set etmek gerekmektedir.

Bu işlem setenv komutu ile yapılabilir:

Yazinin devami icin tiklayin.

FTP server olarak pure-ftpd’yi tercih ediyorsanız, sununucuyu Clamav ile birlikte çalışacak şekilde set edebilir ve upload edilen dosyaların taranmasını ve virüs içerenlerin otomatik olarak silinmesini sağlayabilirsiniz.

Özellikle bir çok kişinin bağlanıp dosya uploadı yaptığı ftp sunucuları için gönderilen dosyaların bilinen virüslere karşı taranıp temizlenmesi mantıklı bir yaklaşımdır. Bu nedenle, yazının devamında, bir pure-ftpd sunucusuna clamav entegrasyonunun nasıl yapılabileceğinden bahsedeceğim.

BandwidthD, Network monitoring konusunda favori olarak kullandığım yazılımlardan birisi. Kısaca, belirlenen ağ arayüzünü izler ve trafiğin grafiklerini çıkarırak html formatında IP bazlı raporlar sunar.

BandwidthD konusunda daha önce http://www.syslogs.org/bandwidthd/ adresinde bir yazı yayınlamıştım; kurulum ve yapılandırma ile ilgili bilgi almak için o dökümandan yararlanabilirsiniz. Bu yazıda, BandwidthD’nin birden fazla ağ arayüzü için çalıştırılmasından bahsedeceğim.

Yazinin devami icin tiklayin.

Caching-only dns server olarak tabir edilen dns sunucular, üzerlerinde herhangi bir alan adına ait kayıt tutmaksızın, istemcilerden gelen sorguların cevaplarını ilgili name serverlardan alarak istemciye sunmak ve bu query sonuçlarını -dns kaydının TTL‘i süresince- belleklerinde tutmakla sorumlu sunuculardır. Bu şekilde daha önceden sorgulanarak belleğe alınmış alan adları için tekrar istek gelmesi durumunda, cache dns sunucusu yanıtı belleğinden verecektir. Böylece istemciler için sorgu süreleri ciddi oranda kısalmış olacaktır.  Ayrıca, bant genişliğinden de tasarruf sağlanacaktır.

Örneğin e-marketing için kullanılan -yani yoğun gönderim yapan posta sunucuları- için networkte bir caching only dns server bulundurmak, posta sunucularının gönderimleri daha süratli yapabilmelerine olanak sağlayacaktır. Yazının devamında FreeBSD üzerinde djbdns ile cache only dns server kurulumundan bahsedeceğim.

Yazinin devami icin tiklayin.

Daha önceki bir yazımda, güvenlik testleri için kullanılabilecek Lynis isimli araçtan bahsetmiştim. Bu yazıda da Lynis’e çok benzeyen ama daha derinlemesine sistem denetimi yapan ve detaylı raporlar üreten Yasat (Yet Another Stupid Audit Tool) isimli araçtan biraz bahsetmek istiyorum. Özellikle yeni sunucu kurulumlarında herhangi bir yapılandırma hatasına düşmemek için faydalı olabilir.

Yasat *nix sistemlerin güvenlik yapılandırmaları ile ilgili bir çok denetim yapmak ve detaylı raporlar üretmek üzere yazılmış, şu an alfa sürümü bulunan yeni ve gerçekten oldukça basit bir araçtır. Shell scriptlerden oluşuyor olması ve denetim sırasında sadece sed, grep ve cut’ta ihtiyaç duyması nedeni ile hemen hemen platform bağımsız çalışabilir. Ayrıca, sisteme kurmanıza da gerek bulunmamaktadır. Bu tip bir araç arıyorsanız yazının devamında kullanımı ile detaylı bilgi bulabilirsiniz.

Yazinin devami icin tiklayin.

Portaudit, FreeBSD sistemlerde kurulu bulunan paketlerde rapor edilmiş bir güvenlik açığı bulunup bulunmadığını kontrol eden ve raporlayan oldukça kullanışlı ve küçük bir uygulamadır.  Bu şekilde sisteminizde bulunan paketlerde olası bir açıktan kısa bir sürede haberdar olma şansınız bulunur.

Sistemde bulunan paketler, genel sistem güvenliğinin önemli bir unsuru olduğundan, kullandığınız paketlerin zafiyet durumlarını sürekli olarak gözlem altında tutmanızı tavsiye ederim. Yazının devamında portaudit kurulumu ve kullanımı ile ilgili bilgileri bulabilirsiniz.

Yazinin devami icin tiklayin.