Linux Sunuculurda Alınabilecek Güvenlik Önlemleri

RePLiKa

Kıdemli Üye
24 Haz 2015
2,886
25
Türkiye
RGQJLC.gif



Merhaba arkadaşlar bugün ki kısa konumuz Linux Sunucularda Server Güvenliğini nasıl yaparız, kısaca tanıtmak.​


RGQJLC.gif


1- En güncel sürümde olan işletim sistemini kullanın.​

2- Iptables gibi güvenlik duvarı uygulamalarını kullanın.​
(
iptables, bir sistem yöneticisinin Linux çekirdeğinde olan güvenlik duvarındaki tabloları ve tablolara ait kuralların yapılandırılmasına izin veren, kullanıcı modunda çalışan bir uygulamadır.)​

Kurulumu için ilk olarak firewalld servisini kapatalım.​

Kod:
[CENTER][SIZE="2"][CENTER]systemctl disable firewalld[/CENTER][/SIZE][/CENTER]

Firewalld tekrar başlamaması adına sistem ön yüklemesini de kapatıyoruz.​

Kod:
[CENTER][SIZE="3"]systemctl stop firewalld[/SIZE][/CENTER]

Ve son olarak Firewalld servisini maskeleyelim.​

Kod:
[CENTER]systemctl mask firewalld[/CENTER]


Ve İptables servisini yükleyelim ve aktif edelim.​

Kod:
[CENTER][SIZE="2"]yum install iptables-services -y
/etc/init.d/iptables status[/SIZE][/CENTER]

Script ve bot saldırılarından korunmak için​

Kod:
[CENTER]iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP[/CENTER]

flood saldırıları engellemek için​

Kod:
[CENTER]iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP[/CENTER]

Tabii ki iptables'le ilgili bir çok detay bunu kaynaklardan rahatlıkla araştırabilirsiniz. :)


ufw-firewall-iptables-min.png


3- Belirli Aralıklarla ClamAv gibi programlarla malware taraması yapın.​
(ClamAv, ClamAV, lisanslanmış çoklu platform destekli bir antivirüs yazılımıdır. )​


images


4- sysrq tuşunun kullanılmasına izin vermeyin​
( Linux sisteminin anladığı, farklı düşük seviyeli komutlar gerçekleştirmesine izin veren bir tuştur.)​

prtScn-Ne-i%C5%9Fe-Yarar.jpg

5- Kullanılmayan yazılımları kaldırın.​


6- Sunucunuzu güncel tutun, otomatik güncellemeler aktif kalsın.​


7- Sunucu üzerinde herkese açık dizinlerde chmod 777 izinlerini vermeyin. Sadece okuma izni verecekseniz eğer az sonra o konuya da değineceğim​
.

( Chmod 777
Kullanıcı: okuma,yazma,çalıştırma
Grup: okuma,yazma,çalıştırma
Diğerleri: okuma,yazma,çalıştırma yetkisi verir. diğer modlar için chmodun araştırmanızı öneririm.)​

Öncelikle sunucu üzerinde 777 aktif olan dosyaları buluyoruz.​

Kod:
[CENTER]find* -type f -perm 0777[/CENTER]

777 izinli dosyaların 755(diğerleri için saece okuma çalıştırma) olarak düzenlenmesi.​

Kod:
[CENTER]find . -type d -perm 0777 -exec chmod 0755 {} \;[/CENTER]

777 izinli dosyaların 644(yalnızca okunabilme) ile değiştirilmesi).​

Kod:
[CENTER]find . -type d -perm 0777 -exec chmod 0644 {} \;[/CENTER]



chmod.gif



8- Rhost dosyaları kullanıcıların uzaktan bağlantı yapmalarını sağlayan bir dosya türüdür ve sunucu üzerinde bulundurulması önerilmez. .rhost dosyalarını taratarak silebilirsiniz.​

Kod:
[CENTER]find -type f -name .rhost[/CENTER]

9- Herkes tarafından yazılan dosyaların düzenlenmesi.​

Kod:
[CENTER]find /home/ -perm -2 ! -type l -ls -exec chmod o-w {} \;[/CENTER]

10 - Uygulamaları sandbox olarak çalıştırın​
(Sanbox çalışan programları ayırmak için bir güvenlik mekanizmasıdır. )​


ssSandbox.png


10- Kullanılmıyorsa IPv6 kapatın. IPv4 kullanılmıyorsa onu kapatın.​

11- History Detaylandırın.​

History komutu ile sunucu üzerinde yapılan veya uygulanan geçmişteki komutları görebiliriz, bu verilen içeriği tarih ve saat ekleyerek detaylandırmak için yapmamız gerekenler;​

Kod:
[CENTER]nano /etc/bashrc[/CENTER]

Açılan editor kısmı ile bashrc dosyasına alttaki kodu ekliyoruz​

Kod:
[CENTER]HISTSIZE=1000
##histzie değişkeni ile kaç komut istiyorsak yazabiliriz. 1000 temsili rakamdır.

export HISTTIMEFORMAT="%h/%d - %H:%M:%S "
##HISTTIMEFORMAT Değişkeni ile istediğimiz gibi düzenleme yapabiliriz[/CENTER].


History-i-detayland%C4%B1r%C4%B1n.png



12 -Uzaktan erişim için kullanılan parogramların kalıcı olarak kapatın. ( Teamviewer vb.)​

13 - SSH bağlantısını tek ip üzerinden yaparak sunucu güvenliğini artırın.​


SSH için ip izni​


Kod:
[CENTER]nano /etc/hosts.allow[/CENTER]

nano komutu ile hosts.allow dosyasını açarak aşağıdaki satırları eklemeniz yeterli.​

Kod:
[CENTER]sshd sshd1 sshd2 : xxx.xxx.xxx.xxx : ALLOW
sshd sshd1 sshd2 : 127.0.0.1 : ALLOW
sshd sshd1 sshd2 : ALL : DENY[/CENTER]



Evet arkadaşlar bugünkü konumuz bu kadar :) Farklı konularda görüşmek üzere.​





Rs30xS.png
 
Moderatör tarafında düzenlendi:
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.