389 Directory Server (LDAP) Kurulum ve Yapılandırması

Linux ve açık kaynak kod teknolojiler barındıran altyapılar için, merkezi kimlik denetimi işleri için bir ldap dizin servisi ihtiyacı olduğu zaman OpenLDAP dahil kullanılabilecek bir kaç alternatif var. Multi Master replikasyon desteği, yüksek performans, LDAPv3 uyumluluğu gibi güzel özellikleri ve kullanışlı bir arayüze sahip olmasından dolayı “389 Directory Server” alternatifler arasında iyi bir tercih olmaktadır. RHEL tarafından geliştirilmekte olan 389-DS hemen her tür operasyonu da online olarak gerçekleştirebilmesinden mütevellit, üretim ortamları için de çok uygun bir directory serverdır.

Bu yazıda, tüm özelliklerine http://directory.fedoraproject.org/docs/389ds/FAQ/features.html adresinden erişelebilecek olan 389 Directory Server’ın, CentOS 6.6 sürümü üzerinde nasıl kurulacağı; temel ve genel güvenlik ayarlarının yapılarak nasıl servisin nasıl devreye alınabileceğine değineceğim. Yazının sonraki bölümlerinde ise Master & Slave replication ve SSSD üzerinden SSH servisinin ve SUDO entegrasyonlarından bahsedeceğim.

Yazinin devami icin tiklayin.


Two-Factor Auth Destekli OpenVPN Server Kurulumu

IT altyapılarının güvenilirliğini ve bağlı olarak sürekliliğini sağlamak üzere uygulanması gereken süreç disiplinlerinde kritik data içeren mecralara erişimlerde sıkı güvenlik prosedürleri izlenmesi gerekiyor. Bu anlamda özellikle PCI-DSS ya da ISO 27001 standartlarına tabii olan ya da olmak isteyen firmaların, kendi networklerine “dışarıdan” erişim ihtiyacının bulunması durumunda implemente edecekleri VPN çözümlerinin, bahsi geçen güvenlik standartlarına uygun olması gerekiyor. Örnek olarak PCI-DSS uyumluluğu için kullanılan VPN çözümünde kimlik doğrulama işlemi en az iki aşamalı olarak gerçekleştirilmek durumunda. Bu zorunluluk PCS-DSS V3’de şu şekilde tarif edilmiş durumda:

Implement Strong Access Control Measures 8.3 – Incorporate two-factor authentication for remote network access originating from outside the network by personnel (including users and administrators) and all third parties, (including vendor access for support or maintenance). Note: Two-factor authentication requires that two of the three authentication methods (see Requirement 8.2 for descriptions of authentication methods) be used for authentication. 8.2 Authentication methods – Something you know, such as a password or passphrase – Something you have, such as a token device or smart card – Something you are, such as a biometric.

Bu tanıma göre, networkünüze uzaktan erişim sağlayacak her türlü bağlantı için yapılacak kimlik denetimlerinde madde 8.2’de belirtilen metodlardan en az ikisinin kullanılması gerekiyor. Günümüzde yaygın olarak kullanılan SSL VPN çözümlerinde PKI altyapısı kullanılarak, bir username üzerinden key ibraz etmek sureti ile kimlik denetimi gerçekleştirilip bağlantı kuruluyor. Ancak bu tek yönlü kimlik denetimi, anlaşıldığı üzere yeterli değil. Bu nedenle kullandığınız VPN çözümünün username/ password (ya da key) ibraz etmeye ek olarak token ya da bir biometric denetim mekanizmasını destekliyor olması gerekiyor. Biometric denetim mekanizmalarının oldukça sınırlayıcı ve maliyetli çözümler olduğunu düşünürsek, iki yönlü doğrulama için username + token mekanizmalarını birlikte kullanmak konunun pratik çözümü olacaktır. İşte bu konudan hareketle bu yazıda, bir SSL VPN implementastonu olan OpenVPN ve Google Authenticator kullanılarak two-factor authentication destekleyen bir VPN sunucusu kurulumundan bahsedeceğim. En nihayetinde halihazırda kullandığınız OpenVPN altyapınıza yazıda anlatıldığı şekli ile google authenticator entegrasyonu da yapabilirsiniz.

Yazinin devami icin tiklayin.


CentOS 7.0 Üzerinde Zimbra Server 8.0 Kurulumu

Bir eposta sunucusuna ihtiyaç duyduğunuzda seçebileceğiniz bir çok alternatif bulunuyor; bunlardan en iyilerinden birisi ise gerek kolay yapılandırması ve gerekse görsel olarak güzel bir yönetim arabirimi sunması, ve son kullanıcıya modern ve mobil uyumlu arayüz sunması nedeniyle Zimbra Collaboration Suit’dir. Özellikle alternatif posta sunucularından farklı olarak takvim, dosya paylaşımı, görev listesi, görsel konferans ve sunduğu bir çok yan uygulamayla birlikte firmaların iş yapış şekillerine ve koordinasyonlarına da son derece olumlu katkılar yapan Zimbra’nın GPL lisanslı Open Source sürümü tekbaşına hemen bir çok firmanın temel ihtiyaçlarını fazlasıyla karşılayacak şekilde bir çok özellik barındırıyor.

Yakın zamanda, Telligent Systems tarafından VMWare’den alınan Zimbra’nın Network Edition isimli bazı ek özellikler sunan bir de ücretli sürümü bulunuyor. Ama yukarıda da bahsettiğim gibi genel anlamda Open Source Edition temel ihtiyaçları karşılamak açısından son derece yeterli. Zimbra her ne kadar cloud-based bir e-mail platform çözümü olsa ve bu nedenle aynen Google Apps’de olduğu gibi web üzerinden istemci erişimine yoğunlaşmış olsa da Zimbra Desktop adında bir mail istemcisi de bulunuyor.

Yazinin devami icin tiklayin.


OSSEC (HIDS) Kurulumu ve Yapılandırması

ossec-hidsBu makaleyi, Linux Akademi blog’unda Ossec (HIDS ) Kurulumu ve Yapılandırması ismi ile yayınlamıştım; şimdi Syslogs üzerinden de yayınlıyorum.

Özellikle dağıtık yapılarda, sunucu güvenliği konusunda süreklilik sağlamak en önemli noktalardan birisidir. Zira, tüm sistemlerin bir şekilde izlenmesi ve olası anormalliklerin hemen tespit edilip müdahale edilmesi proaktif sistem yönetiminin başlıca kurallarından birisidir. Bu noktada network trafiğini izleyerek saldırı tespiti yapmanın yanı sıra her bir sunucu/cihaz üzerinde de bir HIDS (host-based intrusion detection) uygulaması kullanarak log monitoring, dosya bütünlük kontrolü ve rootkit tespiti gibi genel işlemler gerçekleştirilmelidir.

İşte bu yazıda, bahsedilen bu ihtiyacı karşılamak üzere OSSEC isimli HIDS uygulamasından bahsedip, server/client mimarisi ile kurulumunu ve yapılandırmasını anlatacağım.

Yazinin devami icin tiklayin.


FreeBSD 9.1 – bootonly.iso ile Network Üzerinden Kurulum

freebsd-logo-fullFreeBSD 9.1’in bootonly ISO’su yaklaşık 140 MB ebatında olduğu için hızlıca CD’den çalışan bir FreeBSD sistem elde etmek için full kuruluma göre epey ideal.

Aynı zamanda sistemi boot ettikten sonra network üzerinden (ftp vs.) tam kurulum da yapabiliyorsunuz. Normal kurulumdan tek farkı sistem için gerekli dosyaları media yerine internetten almak olduğundan, hem minimal kurulumlar için hem de uzun uzadıya cd ya da dvd imajları ile uğraşmak zorunda kalmadığınız için pratik bir yol.  Bu yüzden FreeBSD kurmam icap ettiğinde hep bootonly iso’su üzerinden kurulum yapıyorum. Sizin de benzer bir ihtiyacınız varsa aşağıdaki yönergeleri izleyerek kurulumu gerçekleştirebilirsiniz.

Yazinin devami icin tiklayin.


CentOS üzerinde Git Server + Gitweb Kurulumu

git_logoUzun zamandır yazdığım scriptleri vs. muhafaza etmek için git kullanıyorum. Git, hem hafif hem de kullanışlı olması açısından development ile alakası yönetimsel scriptler yazmaktan öteye gitmeye sistem adminleri için de ideal.

Kodlarınızı, bitbucket vs. gibi private git repository hizmeti veren online servisler üzerinde depolayabileceğiniz gibi benim yaptığım gibi mütevazi bir vps üzerinde kendi git sunucunuzu çalıştırabilirsiniz. Bu yazıda CentOS 6.4 üzerinde git sunucu kurulumu ve git depolarına http üzerinden erişim sağlamak üzere gitweb kurulumu ve apache entegrasyonundan bahsedeceğim.

Yazinin devami icin tiklayin.


qmail Kurulum Scripti – FreeBSD 9.x

FreeBSD 9.x sürümlerinde, user accounting database ile ilgili yapılan bir değişiklik[1] qmail kurulumlarında bir uyumsuzluğa neden oluyor. Bu nedenle FreeBSD 9.x altında qmail kullanabilmek için utmpx ile ilgili qmail patch’ini [2] uygulamanız gerekiyor Bu durum,  daha önce yayınladığım FreeBSD kurulum scriptinin 9 brandında kullanılamamasına neden oluyordu. Bu yüzden ilgili scripti bahsi geçen patch’i de içerecek şekilde yeniden düzenledim.

Scripti aşağıdaki link üzerinden indirebilirsiniz:

http://www.syslogs.org/qmail/scripts/qinstaller.freebsd9.tar.gz

Not: Scripti çalıştırmadan önce README dosyasını okumanızı tavsiye ederim. Bu script qmail-smtp ve qmail-send bileşenlerini içeren temel bir qmail kurulumu gerçekleştirmektedir.

[1] http://www.freebsd.org/releases/9.0R/relnotes.html
[2] http://www.freebsd.org/cgi/cvsweb.cgi/ports/mail/qmail/files/extra-patch-utmpx


qmail Kurulum Scripti – CentOS 6.x

Daha önce, CentOS’lar için hızlıca qmail kurulumu yapmak üzere bir shell script yazmıştım;  ve buradan da yayınlamıştım. Ancak gel zaman git zaman RHEL’in 6 branch’ı çıktı ve  sistemde bazı yapısal değişiklikler olduğu için scripti eski hali ile CentOS 6.x sistemlerde kullanmak mümkün olmamaya başladı. Bu nedenle  6.x uyumlu yeni bir sürümünü  hazırlamam gerekti.

Lazım olursa aşağıdaki adresten indirebilirsiniz.

http://www.syslogs.org/qmail/scripts/qinstaller.cnt6x.tar.gz

Scripti çalıştırmadan önce mutlaka README dosyasını okumanızı tavsiye ederim. Arada sırada sorulduğu için ayrıca belirtmek isterim ki, script temel bileşenlerle (qmail-send ve qmail-smtpd) kurulumu yapıyor. Yani tam teşekküllü bir posta sunucusu kurmak için değil daha çok sadece mail gönderimi yapmak üzere ideal.

Sonraki Sayfa »