Debian tabanlı dağıtımlarda sistemde kurulu paketlerle ilgili sorgulama işlemleri dpkg üzerinden yapılabilmektedir.

Sistemde kurulu tüm paketleri listelemek için -l paramtresi kullanılabilir:

# dpkg -l

Çıktı şuna benzer olacaktır:

ii  0trace                                0.01-3                             amd64        A traceroute tool that can run within an existing TCP connection.
ii  acccheck                              0.2.1-1kali3                       amd64        Password dictionary attack tool for SMB
ii  accountsservice                       0.6.21-8                           amd64        query and manipulate user account information

Kurulu bir paketle ilgili detaylı bilgi almak için ise -s paramtresi kullanılabilmektedir:

# dpkg -s hping3
Package: hping3
Status: install ok installed
Priority: extra
Section: net
Installed-Size: 249
Maintainer: Guillaume Delacour <[email protected]>
Architecture: amd64
Version: 3.a2.ds2-6kali3
Depends: libc6 (>= 2.7), libpcap0.8 (>= 0.9.8), tcl8.4 (>= 8.4.16)
Description: Active Network Smashing Tool
 hping3 is a network tool able to send custom ICMP/UDP/TCP packets and
 to display target replies like ping does with ICMP replies. It handles
 fragmentation and arbitrary packet body and size, and can be used to
 transfer files under supported protocols. Using hping3, you can test
 firewall rules, perform (spoofed) port scanning, test network
 performance using different protocols, do path MTU discovery, perform
 traceroute-like actions under different protocols, fingerprint remote
 operating systems, audit TCP/IP stacks, etc.  hping3 is scriptable
 using the Tcl language.
Homepage: http://www.hping.org/

İlgili pakete ait sistem dosyalarını listelemek için ise -L parametresi kullanılabilmektedir:

# dpkg -L hping3
/.
/usr
/usr/sbin
/usr/sbin/hping3
/usr/share
/usr/share/doc
/usr/share/doc/hping3
/usr/share/doc/hping3/SPOOFED_SCAN.txt.gz
/usr/share/doc/hping3/changelog.gz
/usr/share/doc/hping3/BUGS
/usr/share/doc/hping3/MORE-FUN-WITH-IPID
/usr/share/doc/hping3/API.txt.gz
/usr/share/doc/hping3/README
...

Bir .deb paketinin içeriğini görüntülemek için ise -c parametresi kullanılmaktadır.

# dpkg -c rsync_3.1.0-3_amd64.deb
drwxr-xr-x root/root         0 2014-04-16 10:38 ./
drwxr-xr-x root/root         0 2014-04-16 10:38 ./lib/
drwxr-xr-x root/root         0 2014-04-16 10:38 ./lib/systemd/
drwxr-xr-x root/root         0 2014-04-16 10:38 ./lib/systemd/system/
-rw-r--r-- root/root       188 2013-09-30 10:54 ./lib/systemd/system/rsync.service
drwxr-xr-x root/root         0 2014-04-16 10:38 ./usr/
drwxr-xr-x root/root         0 2014-04-16 10:38 ./usr/bin/
-rwxr-xr-x root/root    390704 2014-04-16 10:38 ./usr/bin/rsync
drwxr-xr-x root/root         0 2014-04-16 10:38 ./usr/share/
drwxr-xr-x root/root         0 2014-04-16 10:38 ./usr/share/man/
drwxr-xr-x root/root         0 2014-04-16 10:38 ./usr/share/man/man5/
-rw-r--r-- root/root     15833 2014-04-16 10:38 ./usr/share/man/man5/rsyncd.conf.5.gz
drwxr-xr-x root/root         0 2014-04-16 10:38 ./usr/share/man/man1/
-rw-r--r-- root/root     56207 2014-04-16 10:38 ./usr/share/man/man1/rsync.1.gz
drwxr-xr-x root/root         0 2014-04-16 10:38 ./usr/share/doc/
...

dpkg ile ilgili daha fazla bilgi için ayrıca dpkg’nin sayfasına gözatmanızı tavsiye ederim.

Unbound, güvenlik önplanda tutularak geliştirilen bir DNS sunucusudur. validating (DNSSec), recursive ve caching modları bulunan bu DNS daemon’ı ile kendi alan adlarınızına ait dns kayıtlarını barındırmak üzere authoritative DNS sunucusu kurabileceğiniz gibi üzerinde alan adı barındırmadan sadece çözümleme yapan recursive bir DNS sunucusu da kurabilirsiniz.

Ben bu yazıda unbound kullanarak hızlıca bir recursive DNS kurulum ve yapılandırmasının nasıl gerçekleştirilebileceğini anlatacağım.

Yazinin devami icin tiklayin.

Linux Malware Detect (LMD), Linux sistemlerde rastlanabilen kötücül yazılımları tespit etmek amacı ile kullanılan açık kaynak kodlu bir malware scanner uygulmasıdır. Özellikle paylaşımlı hosting sunucularında sık rastlanan malware problemlerini gidermek amacı ile geliştirilen ve bu anlamda CPanel isimli hosting paneli sisteminde de öntanımlı olarak gelen LMD öntanımlı modda günlük olarak sistemi tarayıp, bulunan malware’ler için sistem yöneticisine email ile bilgilendirme yapmakta (ve ayarlanırsa bu dosyaları karantinaya almaktadır). Ayrıca, değişen dosya/dizinleri real-time monitor etmek gibi farklı bir modu daha bulunmaktadır.

LMD, ClamAV gibi klasik antivirus yazılımları ya da rootkit tespit uygulamalarından farklı olarak sadece bilinen malware’lerin tanımlı olduğu imza databaseleri kullanmanın yanı sıra analiz için aşağıda belirtilen farklı veri kaynaklarını da kullanmaktadır:

Yazinin devami icin tiklayin.

Linux Akademi bünyesinde, 24 – 27 Haziran 2014 tarihleri arasında 4 gün sürecek Linux Ağ ve Sistem Güvenliği Eğitimi sınıfı açıyoruz. BGA İstanbul ofisinde düzenlenecek ve eğitmen olarak katılacağım bu eğitimin içeriği LPIC-2 Exam 201 ile birebir uyumlu ve temel Linux kullanımı konusunda fikir sahibi ve fakat sistem yöneticisi olarak bu konuda kendini geliştirmek isteyen kişiler için güzel bir eğitim olacak.

Eğitim içeriği, ve diğer tüm detaylara http://www.linuxakademi.com.tr/linux-ag-ve-sistem-yoneticiligi-uzmanlik-egitimi-lpi-uyumlu/ adresinden erişebilirsiniz.

auditd,  *nix sistemlerde özellikle güvenlik ile ilgili olayların derinlemesine incelenmesi ve raporlanması için kullanılan ve RedHat tarafından geliştirilen çok gelişmiş bir denetleme mekanizmasıdır. auditd ile herhangi bir dosya bütünlük kontrolü aracının yaptığına benzer şekilde sistem dosyalarında meydana gelen değişiklikler takip edilebildiği gibi kernel seviyesinde çalışmasından mütevellit daha derinlere inilerek herhangi bir sistem çağrısının neden olduğu değişiklikler de takip edilerek detaylı olarak loglanabilmektedir.

Bu anlamda Linux ya da Unix sistemlerde olup bitenle ilgili detaylı analiz yapılması gereken noktalarda auditd oldukça işe yaramaktadır. Zira, hangi dosyanın ne zaman kim tarafından değiştirildiğinden, belirli sistem çağrılarının sistemde meydana getirdiği değişiklikleri detaylı olarak analiz edilebilmesi, “sızılmış” bir sisteme hangi yollar ile girildiği ve sistemde ne gibi değişiklikler yapıldığı, arka kapı bırakılıp bırakılmadığının tespiti gibi konuların aydınlatılması açısından oldukça faydalı bir durumdur.

Yazının devamında, auditd ile ilgili detaylı bilgi bulabilir, kurulumu ve yapılandırması ile ilgili notlara erişebilirsiniz… Yazinin devami icin tiklayin.

Bu makaleyi, Linux Akademi blog’unda Ossec (HIDS ) Kurulumu ve Yapılandırması ismi ile yayınlamıştım; şimdi Syslogs üzerinden de yayınlıyorum.

Özellikle dağıtık yapılarda, sunucu güvenliği konusunda süreklilik sağlamak en önemli noktalardan birisidir. Zira, tüm sistemlerin bir şekilde izlenmesi ve olası anormalliklerin hemen tespit edilip müdahale edilmesi proaktif sistem yönetiminin başlıca kurallarından birisidir. Bu noktada network trafiğini izleyerek saldırı tespiti yapmanın yanı sıra her bir sunucu/cihaz üzerinde de bir HIDS (host-based intrusion detection) uygulaması kullanarak log monitoring, dosya bütünlük kontrolü ve rootkit tespiti gibi genel işlemler gerçekleştirilmelidir.

İşte bu yazıda, bahsedilen bu ihtiyacı karşılamak üzere OSSEC isimli HIDS uygulamasından bahsedip, server/client mimarisi ile kurulumunu ve yapılandırmasını anlatacağım.

Yazinin devami icin tiklayin.

Linux Akademi, *nix sistemler ve açık kaynak kod teknolojilerle ilgili olarak eğitim ve danışmanlık hizmetleri sunmak üzere Bilgi Güvenliği Akademisi’nin (BGA) bir yan kolu olarak faliyetlerine başladı. Sektördeki yetişmiş Linux sistem yöneticisi açığını kapamaya yardımcı olmak üzere RHCE ve LPI içerikli sistem yöneticisi eğitimlerine ağırlık verecek Linux Akademi, kamu kurumlarına ve özel şirketlere Açık Kaynak Kodlu anahtar teslim çözümler sunarak stabil ve toplam sahip olma maliyetleri makul altyapılar oluşturma konusunda faliyette bulunacak.

İçerisinde benim de bulunduğum, deneyimli bir kadrodan oluşan Linux Akademi, “Staj Okulu” ile de kendisini geliştirmek isteyen üniversite öğrencilerine de deneyim kazanmalarına yardımcı olarak, blog adresinde periyodik olarak yayınlanan teknik makaleler üzerinden de konu ile ilgilenen herkese yardımcı olarak kamu yararına çalışmalarda bulunacak.

Linux Akademi ile ilgili daha detaylı bilgi için http://www.linuxakademi.com.tr/ adresini kullanabilir ya da [email protected] adresine bir email gönderebilirsiniz.

Özgür Yazılım ve Linux Günleri 2014 kapsamında yaptığım konuşmaya ait sunum dosyasına aşağıdaki linkten ulaşabilirsiniz. Aslında bu dosyayı daha önceden paylaşmıştım ama ilgili postu silivermişim. Bu nedenle yeniden ekleyeyim dedim.

Puppet ile Linux Sistem Yönetimi Otomasyonu

Etkinliğe katılan ve seminer hakkında güzel yorumları ile katkı veren herkese tekrar teşekkürler.