389 Directory Server (LDAP) Kurulum ve Yapılandırması
Linux ve açık kaynak kod teknolojiler barındıran altyapılar için, merkezi kimlik denetimi işleri için bir ldap dizin servisi ihtiyacı olduğu zaman OpenLDAP dahil kullanılabilecek bir kaç alternatif var. Multi Master replikasyon desteği, yüksek performans, LDAPv3 uyumluluğu gibi güzel özellikleri ve kullanışlı bir arayüze sahip olmasından dolayı “389 Directory Server” alternatifler arasında iyi bir tercih olmaktadır. RHEL tarafından geliştirilmekte olan 389-DS hemen her tür operasyonu da online olarak gerçekleştirebilmesinden mütevellit, üretim ortamları için de çok uygun bir directory serverdır.
Bu yazıda, tüm özelliklerine http://directory.fedoraproject.org/docs/389ds/FAQ/features.html adresinden erişelebilecek olan 389 Directory Server’ın, CentOS 6.6 sürümü üzerinde nasıl kurulacağı; temel ve genel güvenlik ayarlarının yapılarak nasıl servisin nasıl devreye alınabileceğine değineceğim. Yazının sonraki bölümlerinde ise Master & Slave replication ve SSSD üzerinden SSH servisinin ve SUDO entegrasyonlarından bahsedeceğim.
Locust – Açık Kaynak Kod Load Test Uygulaması
Locust, web uygulamaları üzerinde detaylı olarak stress test yapabilmeye olanak sağlayan açık kaynak kodlu çok güzel bir yazılım. Temel olarak yük testinin yapılacağı web uygulaması için hangi sayfalarda kaç kişinin gezeceğini, hangi sayfalardan hangi sayfalara geçileceği, toplam dolaşım süresinin ne olacağı vs. gibi detaylı senaryonuzu bir python scripti şeklinde tarif edip, locust’a bu senaryoyu simule etmesini söylüyorsunuz.
Aşağıdaki gibi güzel ve anlaşılır bir web arabirimi olan Locust aynı anda milyonlarca anlık ziyaretiçiyi belirlediğiniz eşik değerlerine göre web uygulamanıza dolduruyor ve arayüz üzerinden uygulamanızın kullanıcı isteklerine verdiği cevapların stabilitesini ölçüp sınırlarınızı tespit edebiliyorsunuz.
Unbound ile Güvenli Recursive DNS Kurulumu
Unbound, güvenlik önplanda tutularak geliştirilen bir DNS sunucusudur. validating (DNSSec), recursive ve caching modları bulunan bu DNS daemon’ı ile kendi alan adlarınızına ait dns kayıtlarını barındırmak üzere authoritative DNS sunucusu kurabileceğiniz gibi üzerinde alan adı barındırmadan sadece çözümleme yapan recursive bir DNS sunucusu da kurabilirsiniz.
Ben bu yazıda unbound kullanarak hızlıca bir recursive DNS kurulum ve yapılandırmasının nasıl gerçekleştirilebileceğini anlatacağım.
Linux Audit – Derinlemesine Sistem Denetimi
auditd, *nix sistemlerde özellikle güvenlik ile ilgili olayların derinlemesine incelenmesi ve raporlanması için kullanılan ve RedHat tarafından geliştirilen çok gelişmiş bir denetleme mekanizmasıdır. auditd ile herhangi bir dosya bütünlük kontrolü aracının yaptığına benzer şekilde sistem dosyalarında meydana gelen değişiklikler takip edilebildiği gibi kernel seviyesinde çalışmasından mütevellit daha derinlere inilerek herhangi bir sistem çağrısının neden olduğu değişiklikler de takip edilerek detaylı olarak loglanabilmektedir.
Bu anlamda Linux ya da Unix sistemlerde olup bitenle ilgili detaylı analiz yapılması gereken noktalarda auditd oldukça işe yaramaktadır. Zira, hangi dosyanın ne zaman kim tarafından değiştirildiğinden, belirli sistem çağrılarının sistemde meydana getirdiği değişiklikleri detaylı olarak analiz edilebilmesi, “sızılmış” bir sisteme hangi yollar ile girildiği ve sistemde ne gibi değişiklikler yapıldığı, arka kapı bırakılıp bırakılmadığının tespiti gibi konuların aydınlatılması açısından oldukça faydalı bir durumdur.
Yazının devamında, auditd ile ilgili detaylı bilgi bulabilir, kurulumu ve yapılandırması ile ilgili notlara erişebilirsiniz… Yazinin devami icin tiklayin.
OSSEC (HIDS) Kurulumu ve Yapılandırması
Bu makaleyi, Linux Akademi blog’unda Ossec (HIDS ) Kurulumu ve Yapılandırması ismi ile yayınlamıştım; şimdi Syslogs üzerinden de yayınlıyorum.
Özellikle dağıtık yapılarda, sunucu güvenliği konusunda süreklilik sağlamak en önemli noktalardan birisidir. Zira, tüm sistemlerin bir şekilde izlenmesi ve olası anormalliklerin hemen tespit edilip müdahale edilmesi proaktif sistem yönetiminin başlıca kurallarından birisidir. Bu noktada network trafiğini izleyerek saldırı tespiti yapmanın yanı sıra her bir sunucu/cihaz üzerinde de bir HIDS (host-based intrusion detection) uygulaması kullanarak log monitoring, dosya bütünlük kontrolü ve rootkit tespiti gibi genel işlemler gerçekleştirilmelidir.
İşte bu yazıda, bahsedilen bu ihtiyacı karşılamak üzere OSSEC isimli HIDS uygulamasından bahsedip, server/client mimarisi ile kurulumunu ve yapılandırmasını anlatacağım.
FreeBSD 9.1 – bootonly.iso ile Network Üzerinden Kurulum
FreeBSD 9.1’in bootonly ISO’su yaklaşık 140 MB ebatında olduğu için hızlıca CD’den çalışan bir FreeBSD sistem elde etmek için full kuruluma göre epey ideal.
Aynı zamanda sistemi boot ettikten sonra network üzerinden (ftp vs.) tam kurulum da yapabiliyorsunuz. Normal kurulumdan tek farkı sistem için gerekli dosyaları media yerine internetten almak olduğundan, hem minimal kurulumlar için hem de uzun uzadıya cd ya da dvd imajları ile uğraşmak zorunda kalmadığınız için pratik bir yol. Bu yüzden FreeBSD kurmam icap ettiğinde hep bootonly iso’su üzerinden kurulum yapıyorum. Sizin de benzer bir ihtiyacınız varsa aşağıdaki yönergeleri izleyerek kurulumu gerçekleştirebilirsiniz.
Php5 (PHP-FPM) + MySQL destekli Nginx Kurulumu
Amazon AWS üzerinde bir ec2 micro instance’ım var. Bu sunucu sadece 615 MB memory’e sahip olduğu için üzerinde koşan uygulamalara ram’i damlalıkla vermek icap ediyor. Böyle durumlarda oldukça lightweight olmasından ötürü Nginx kullanmak mantıklı bir seçim olabilir. Nginx özellikle static content serve etmek konusunda oldukça başarılı ve reverse proxy olarak da yaygın olarak kullanılıyor. Ayrıca, php konusunda da php-fpm üzerinden epey iyi iş çıkarıyor.
Sonuç olarak kaynaksızlıktan kırılan zavallı bir sunucunuz varsa nginx kullanmayı deneyebilirsiniz. Aşağıda centos 6.4 üzerinde php ve mysql destekli bir nginx kurulumunun nasıl yapılabileceğini bulabilirsiniz.
CentOS üzerinde Git Server + Gitweb Kurulumu
Uzun zamandır yazdığım scriptleri vs. muhafaza etmek için git kullanıyorum. Git, hem hafif hem de kullanışlı olması açısından development ile alakası yönetimsel scriptler yazmaktan öteye gitmeye sistem adminleri için de ideal.
Kodlarınızı, bitbucket vs. gibi private git repository hizmeti veren online servisler üzerinde depolayabileceğiniz gibi benim yaptığım gibi mütevazi bir vps üzerinde kendi git sunucunuzu çalıştırabilirsiniz. Bu yazıda CentOS 6.4 üzerinde git sunucu kurulumu ve git depolarına http üzerinden erişim sağlamak üzere gitweb kurulumu ve apache entegrasyonundan bahsedeceğim.