Aide, *nix tabanlı sistemlerde dosya bütünlüğünü kontrol etmeye ve raporlamaya yarayan küçük ve kullanışlı bir uygulamadır. Bir şekilde sisteminize sızıldığını düşündüğünüz zamanlarda değiştirilen dosyaları saptamak oldukça önemli bir durum olduğundan ileriye dönük bir güvenlik önlemi olarak Aide kullanmak mantıklı bir tutum olabilir.

Bu nedenle, Aide’den biraz bahsetmek ve FreeBSD sistemler için kurulum ve yapılandırma notlarını paylaşmak istiyorum.

Yazinin devami icin tiklayin.

Internet Storm Center (SANS)’ın uyarısına göre, şu sıralar SSH üzerinden root login girişimlerinde artış gözleniyor. İlgili yazıya şu adresten ulaşabilirsiniz: http://isc.sans.org/diary.html?storyid=7213

SSH üzerinden root kullanıcısı için logine izin verdiğiniz, internet üzerinden erişilebilir sunucularınz varsa, bu durumu yeniden gözden geçirmeniz iyi olabilir. FreeBSD sunucularda SSH servisi, root kullanıcısıyla logine default olarak kapalı olsa da hemen tüm Linux dağıtımlarda root login öntanımlı olarak izinlidir. Bu açıdan sunucularınızı kontrol etmenizi ve varsa SSH üzerinden root kullanıcısına verilmiş direk login yetkisini geri almanızı tavsiye ederim.

Daha önce SSH servisinin root logine nasıl kapatılabileceği ile ilgili kısa bir yazı yayınlamıştım; şuradan erişebilirsiniz: http://www.syslogs.org/2009/04/disable-root-login-ssh/

Bir ağda bulunan sunucuların loglarını bir merkezde toplamak oldukça mantıklı bir durumdur. Bu şekilde, tüm sunucularınıza ait logları belli bir düzen içerisinde tutabilir ve ilerisi için derli toplu bir şekilde arşivleyebilirsiniz. Aynı zamanda sunucu loglarını herhangi bir araç ile tek yerden monitor etme şansına da sahip olursunuz.

İşte bu tip avantajlarından dolayı, bu yazımda, rsyslog kullanarak merkezi bir log sunucusunun kurulması ve yapılandırılması, çeşitli sunucu ve network ekipmanlarından rsyslog sunucusuna logların gönderilmesini içeren bir döküman yayınlamak istiyorum.

Yazinin devami icin tiklayin.

Syslog’un gelişmiş versiyonu olan Rsyslog’u FreeBSD sisteminizde kullanmak için kurulumunu kolayca yapabilir ve bir iki yapılandırma işlemi ile syslogd’nin yerine geçmesini sağlayabilirsiniz.

Rsyslog, FreeBSD sistemlere port edilmiş durumdadır. Yani port ağacından kurmak mümkün. İşe başlamadan önce port ağacınızın güncel olduğundan emin olun. Hızlıca güncellemek için şu adresten yararlanabilirsiniz: http://www.syslogs.org/2008/06/using-portsnap/

Rsyslog, port ağacında sysutils/rsyslog3 ismi ile bulunuyor. Sql destekli kurmak isterseniz sysutil dizini altındaki rsyslog3-mysql portunu kullanabilirsiniz. Ancak biz salt rsyslog kuracağımız için rsyslog3 isimli portu kullanacağız.

Yazinin devami icin tiklayin.

Kişisel şifreleri muhafaza etmek amacıyla bir yerlerde yazılı olarak bulundurmak, bildiğiniz gibi pek de güvenli bir yöntem değildir. Zira, içerisinde şifre bilgilerinizin bulunduğu dosya başka birilerinin eline geçerse bu durum pek hoş olmayacaktır. Bu nedenle, kişisel şifrelerin en iyi muhafaza şekli hafızaya kaydetmektir. Böylece kişisel şifreler ancak brute force, ya da kişiyi lastik bir hortumla dövmek sureti ile şifrelerinin söyletilmesine dayalı Rubber-hose Cryptanalysis yöntemi ile elegeçirilebilir. (Bir şaka olarak dillendirilen bu yöntem, 2007 senesinde Türkiye’de gerçek olmuştu.)

İşin şakası bir yana, şifrelerinizi şu ya da bu nedenle bir yere kaydetme ihtiyacı duyuyorsanız, en azından bu şifreleri encrypt etmeniz yararınıza olacaktır. Bildiğiniz gibi net ortamında, bu gibi işler için kullanılabilecek çeşitli password management yazılımları bulmak mümkün. Ben de bu yazılımlardan biri olan Yapet (Yet Another Password Encryption Tool) isimli küçük bir araçtan ve kullanımından bahsetmek istiyorum.

Yazinin devami icin tiklayin.

Geçenlerde tesadüfen SysInfo isimli script set’ine rastladım.  Bu script set’i FreeBSD sisteminize ait en ince bilgileri raporlamak üzere Daniel Gerzo isimli bir üniversite öğrencisi tarafından bitirme tezi olarak yazılmış.

Oldukça kullanışlı olan bu script setini şu adresten indirebiliyorsunuz:  http://people.freebsd.org/~danger/sysinfo/. En son sürüm 1.0.2 olarak görünüyor. Script’in çıktısı epey detaylı, ben VMWare guest olarak kurulu olan bir FreeBSD 7.2’de çalıştırdım.

Çıktısı şu şekilde:

Yazinin devami icin tiklayin.

Bu aralar, Jail sistemlerle oynuyorum, bir önceki yazımda kurulumun nasıl yapılabileceği ile ilgili bir yazı hazırlamıştım. Bildiğiniz gibi Jail sistemler, ana sistem üzerindeki süreçleri birbirlerinden ayırıp güvenli ortamlara hapsetmek için kullanılıyor. Jail’lerin güvenli olmalarının nedeni, oldukça sınırlandırılmış mini sistemler olmaları. Öyle ki, örneğin Jail sistemlerde,  /usr/bin dizini read-only file systemdir. Yani bu dizin altında yazma çizme işlemi yapamazsiniz. Ya da jail sistemlerde ping, traceroute vs. gibi bazı yönetimsel araçlar kullanılamıyor. Aynı şekilde Jail’in sistem saatini düzenlemek için kullanılabilecek date ve ntpdate gibi araçlar da desteklenmiyor.

Kurcaladığım bir Jail’in sistem saatinin host sisteminkinden bir kaç saat geride olduğunu farkedince önce date sonra da ntpdate araçları ile saati düzeltmek istedim, ve bu işin bilinen yöntemlerle yapılamadığını görmüş oldum. Peki bir Jail’in saat’i başka türlü nasıl ayarlanır ?

Cevap şöyle:

Yazinin devami icin tiklayin.

Jail, FreeBSD sistemlerde bulunan, kernel-level bir güvenlik aracıdır.  Temel olarak, sistem üzerindeki süreçleri/servisleri birbirlerinden ayırmak ve servislerden herhangi birinde oluşan güvenlik zafiyetinden diğer servislerin ve sistemin bütününün etkilenmemesini sağlamak için kullanılır. Örneğin bir FreeBSD üzerinde web, dns ve e-mail hizmeti vermek isterseniz, bu servislerin her biri için bir jail oluşturabilir ve örneğin DNS’den kaynaklanan bir zafiyetten diğer servislerin zarar görmemesini sağlayabilirsiniz.

Bu yazıda, FreeBSD 7.2 üzerinde ezjail kullanarak Jail sistemler oluşturmak/yönetmek ve Jail içerisinde, örneğin bir apache  sunucusu çalıştırmanın nasıl yapılabileceğine değinmek istiyorum.

Yazinin devami icin tiklayin.