Debian Tabanlı Sistemlerde Paket Sorgulama İşlemleri
Debian tabanlı dağıtımlarda sistemde kurulu paketlerle ilgili sorgulama işlemleri dpkg üzerinden yapılabilmektedir.
Sistemde kurulu tüm paketleri listelemek için -l paramtresi kullanılabilir:
# dpkg -l
Çıktı şuna benzer olacaktır:
ii 0trace 0.01-3 amd64 A traceroute tool that can run within an existing TCP connection. ii acccheck 0.2.1-1kali3 amd64 Password dictionary attack tool for SMB ii accountsservice 0.6.21-8 amd64 query and manipulate user account information
Kurulu bir paketle ilgili detaylı bilgi almak için ise -s paramtresi kullanılabilmektedir:
# dpkg -s hping3 Package: hping3 Status: install ok installed Priority: extra Section: net Installed-Size: 249 Maintainer: Guillaume Delacour <[email protected]> Architecture: amd64 Version: 3.a2.ds2-6kali3 Depends: libc6 (>= 2.7), libpcap0.8 (>= 0.9.8), tcl8.4 (>= 8.4.16) Description: Active Network Smashing Tool hping3 is a network tool able to send custom ICMP/UDP/TCP packets and to display target replies like ping does with ICMP replies. It handles fragmentation and arbitrary packet body and size, and can be used to transfer files under supported protocols. Using hping3, you can test firewall rules, perform (spoofed) port scanning, test network performance using different protocols, do path MTU discovery, perform traceroute-like actions under different protocols, fingerprint remote operating systems, audit TCP/IP stacks, etc. hping3 is scriptable using the Tcl language. Homepage: http://www.hping.org/
İlgili pakete ait sistem dosyalarını listelemek için ise -L parametresi kullanılabilmektedir:
# dpkg -L hping3 /. /usr /usr/sbin /usr/sbin/hping3 /usr/share /usr/share/doc /usr/share/doc/hping3 /usr/share/doc/hping3/SPOOFED_SCAN.txt.gz /usr/share/doc/hping3/changelog.gz /usr/share/doc/hping3/BUGS /usr/share/doc/hping3/MORE-FUN-WITH-IPID /usr/share/doc/hping3/API.txt.gz /usr/share/doc/hping3/README ...
Bir .deb paketinin içeriğini görüntülemek için ise -c parametresi kullanılmaktadır.
# dpkg -c rsync_3.1.0-3_amd64.deb drwxr-xr-x root/root 0 2014-04-16 10:38 ./ drwxr-xr-x root/root 0 2014-04-16 10:38 ./lib/ drwxr-xr-x root/root 0 2014-04-16 10:38 ./lib/systemd/ drwxr-xr-x root/root 0 2014-04-16 10:38 ./lib/systemd/system/ -rw-r--r-- root/root 188 2013-09-30 10:54 ./lib/systemd/system/rsync.service drwxr-xr-x root/root 0 2014-04-16 10:38 ./usr/ drwxr-xr-x root/root 0 2014-04-16 10:38 ./usr/bin/ -rwxr-xr-x root/root 390704 2014-04-16 10:38 ./usr/bin/rsync drwxr-xr-x root/root 0 2014-04-16 10:38 ./usr/share/ drwxr-xr-x root/root 0 2014-04-16 10:38 ./usr/share/man/ drwxr-xr-x root/root 0 2014-04-16 10:38 ./usr/share/man/man5/ -rw-r--r-- root/root 15833 2014-04-16 10:38 ./usr/share/man/man5/rsyncd.conf.5.gz drwxr-xr-x root/root 0 2014-04-16 10:38 ./usr/share/man/man1/ -rw-r--r-- root/root 56207 2014-04-16 10:38 ./usr/share/man/man1/rsync.1.gz drwxr-xr-x root/root 0 2014-04-16 10:38 ./usr/share/doc/ ...
dpkg ile ilgili daha fazla bilgi için ayrıca dpkg’nin sayfasına gözatmanızı tavsiye ederim.
Unbound ile Güvenli Recursive DNS Kurulumu
Unbound, güvenlik önplanda tutularak geliştirilen bir DNS sunucusudur. validating (DNSSec), recursive ve caching modları bulunan bu DNS daemon’ı ile kendi alan adlarınızına ait dns kayıtlarını barındırmak üzere authoritative DNS sunucusu kurabileceğiniz gibi üzerinde alan adı barındırmadan sadece çözümleme yapan recursive bir DNS sunucusu da kurabilirsiniz.
Ben bu yazıda unbound kullanarak hızlıca bir recursive DNS kurulum ve yapılandırmasının nasıl gerçekleştirilebileceğini anlatacağım.
Linux Malware Detect (LMD) Kurulumu ve Kullanımı
Linux Malware Detect (LMD), Linux sistemlerde rastlanabilen kötücül yazılımları tespit etmek amacı ile kullanılan açık kaynak kodlu bir malware scanner uygulmasıdır. Özellikle paylaşımlı hosting sunucularında sık rastlanan malware problemlerini gidermek amacı ile geliştirilen ve bu anlamda CPanel isimli hosting paneli sisteminde de öntanımlı olarak gelen LMD öntanımlı modda günlük olarak sistemi tarayıp, bulunan malware’ler için sistem yöneticisine email ile bilgilendirme yapmakta (ve ayarlanırsa bu dosyaları karantinaya almaktadır). Ayrıca, değişen dosya/dizinleri real-time monitor etmek gibi farklı bir modu daha bulunmaktadır.
LMD, ClamAV gibi klasik antivirus yazılımları ya da rootkit tespit uygulamalarından farklı olarak sadece bilinen malware’lerin tanımlı olduğu imza databaseleri kullanmanın yanı sıra analiz için aşağıda belirtilen farklı veri kaynaklarını da kullanmaktadır:
Linux Ağ ve Sistem Yöneticiliği Uzmanlık Eğitimi – 1. Kur (LPI)
Linux Akademi bünyesinde, 24 – 27 Haziran 2014 tarihleri arasında 4 gün sürecek Linux Ağ ve Sistem Güvenliği Eğitimi sınıfı açıyoruz. BGA İstanbul ofisinde düzenlenecek ve eğitmen olarak katılacağım bu eğitimin içeriği LPIC-2 Exam 201 ile birebir uyumlu ve temel Linux kullanımı konusunda fikir sahibi ve fakat sistem yöneticisi olarak bu konuda kendini geliştirmek isteyen kişiler için güzel bir eğitim olacak.
Eğitim içeriği, ve diğer tüm detaylara http://www.linuxakademi.com.tr/linux-ag-ve-sistem-yoneticiligi-uzmanlik-egitimi-lpi-uyumlu/ adresinden erişebilirsiniz.
Linux Audit – Derinlemesine Sistem Denetimi
auditd, *nix sistemlerde özellikle güvenlik ile ilgili olayların derinlemesine incelenmesi ve raporlanması için kullanılan ve RedHat tarafından geliştirilen çok gelişmiş bir denetleme mekanizmasıdır. auditd ile herhangi bir dosya bütünlük kontrolü aracının yaptığına benzer şekilde sistem dosyalarında meydana gelen değişiklikler takip edilebildiği gibi kernel seviyesinde çalışmasından mütevellit daha derinlere inilerek herhangi bir sistem çağrısının neden olduğu değişiklikler de takip edilerek detaylı olarak loglanabilmektedir.
Bu anlamda Linux ya da Unix sistemlerde olup bitenle ilgili detaylı analiz yapılması gereken noktalarda auditd oldukça işe yaramaktadır. Zira, hangi dosyanın ne zaman kim tarafından değiştirildiğinden, belirli sistem çağrılarının sistemde meydana getirdiği değişiklikleri detaylı olarak analiz edilebilmesi, “sızılmış” bir sisteme hangi yollar ile girildiği ve sistemde ne gibi değişiklikler yapıldığı, arka kapı bırakılıp bırakılmadığının tespiti gibi konuların aydınlatılması açısından oldukça faydalı bir durumdur.
Yazının devamında, auditd ile ilgili detaylı bilgi bulabilir, kurulumu ve yapılandırması ile ilgili notlara erişebilirsiniz… Yazinin devami icin tiklayin.
OSSEC (HIDS) Kurulumu ve Yapılandırması
Bu makaleyi, Linux Akademi blog’unda Ossec (HIDS ) Kurulumu ve Yapılandırması ismi ile yayınlamıştım; şimdi Syslogs üzerinden de yayınlıyorum.
Özellikle dağıtık yapılarda, sunucu güvenliği konusunda süreklilik sağlamak en önemli noktalardan birisidir. Zira, tüm sistemlerin bir şekilde izlenmesi ve olası anormalliklerin hemen tespit edilip müdahale edilmesi proaktif sistem yönetiminin başlıca kurallarından birisidir. Bu noktada network trafiğini izleyerek saldırı tespiti yapmanın yanı sıra her bir sunucu/cihaz üzerinde de bir HIDS (host-based intrusion detection) uygulaması kullanarak log monitoring, dosya bütünlük kontrolü ve rootkit tespiti gibi genel işlemler gerçekleştirilmelidir.
İşte bu yazıda, bahsedilen bu ihtiyacı karşılamak üzere OSSEC isimli HIDS uygulamasından bahsedip, server/client mimarisi ile kurulumunu ve yapılandırmasını anlatacağım.
Linux Akademi Çalışma Hayatına Başladı
Linux Akademi, *nix sistemler ve açık kaynak kod teknolojilerle ilgili olarak eğitim ve danışmanlık hizmetleri sunmak üzere Bilgi Güvenliği Akademisi’nin (BGA) bir yan kolu olarak faliyetlerine başladı. Sektördeki yetişmiş Linux sistem yöneticisi açığını kapamaya yardımcı olmak üzere RHCE ve LPI içerikli sistem yöneticisi eğitimlerine ağırlık verecek Linux Akademi, kamu kurumlarına ve özel şirketlere Açık Kaynak Kodlu anahtar teslim çözümler sunarak stabil ve toplam sahip olma maliyetleri makul altyapılar oluşturma konusunda faliyette bulunacak.
İçerisinde benim de bulunduğum, deneyimli bir kadrodan oluşan Linux Akademi, “Staj Okulu” ile de kendisini geliştirmek isteyen üniversite öğrencilerine de deneyim kazanmalarına yardımcı olarak, blog adresinde periyodik olarak yayınlanan teknik makaleler üzerinden de konu ile ilgilenen herkese yardımcı olarak kamu yararına çalışmalarda bulunacak.
Linux Akademi ile ilgili daha detaylı bilgi için http://www.linuxakademi.com.tr/ adresini kullanabilir ya da [email protected] adresine bir email gönderebilirsiniz.
Sunum Dosyası – Puppet ile Linux Sistem Yönetimi Otomasyonu
Özgür Yazılım ve Linux Günleri 2014 kapsamında yaptığım konuşmaya ait sunum dosyasına aşağıdaki linkten ulaşabilirsiniz. Aslında bu dosyayı daha önceden paylaşmıştım ama ilgili postu silivermişim. Bu nedenle yeniden ekleyeyim dedim.
Puppet ile Linux Sistem Yönetimi Otomasyonu
Etkinliğe katılan ve seminer hakkında güzel yorumları ile katkı veren herkese tekrar teşekkürler.