Linux Sunucu Güvenliği Hakkında HerTürlüBilgi

MrSynox

Yönetici
Owner

BIOS Koruması​

Son kullanıcının BIOS’taki güvenlik ayarlarını değiştirmemesi için host’un BIOS’u bir şifre ile korunmalıdır, bu alanın küçük değişikliklerden korunması için gereklidir.

Bir sonraki adımda (USB/CD/DVD) gibi cihazların dışarıdan boot edilmesini kapatmalıyız. Eğer bu ayarı değiştirmezseniz herhangi bir kişi boot edilebilen İşletim sistemi içeren bir USB Bellek ile verilerinize erişebilir.


Hard Disk Şifrelemesi​

GNU/Linux Dağıtımlarının birçoğu kurulumdan önce disklerinizi şifreleme imkanı sunar.

Disk şifrelemesi hırsızlık durumunda çok önemlidir. Çünkü Sabit diski kendi makinesine bağladığında bilgisayarınızı çalan kişi verilerinizi okuyamayacaktır.


Eğer Linux dağıtımınız şifrelemeyi desteklemiyorsa, TrueCrypt gibi yazılımlar kullanabilirsiniz.

Disk Koruması​

Sistemin hasar görmesi durumunda yedeklemelerin birsürü avantajı vardır.
Önemli sunucular için, yedeklemelerin saha dışına taşınması gerekir. Yedeklemelerin yönetiminin çok iyi olması gerekiyor.
Kritik sistemler farklı bölümlere ayrılmış olmalıdır.

  • /
  • /boot
  • /usr
  • /home
  • /tmp
  • /var
  • /opt
Diskleri bu şekilde ayırmak sistem hatalarının oluşması durumunda güvenlik ve performans şansı tanıyacaktır.

Boot Dizinini Kilitleyin​

Boot dizini, linux çekirdeğiyle alakalı önemli dosyalar içeren bir dizindir. Bu yüzden aşağıdaki basit adımlarla bu dizinin salt-okunur izinlere kilitlendiğinden emin olalım.

Öncelikle “Fstab” dosyasını açalım.
/etc/fstab/

15-adimda-sunucu-guvenligi-5.png

Aşağıdaki komutu çalıştırarak düzeltmiş olduğumuz bu dosyanın sahibini ayarlayalım.


# chown root:root /etc/fstab
Şimdi boot ayarlarındaki güvenlik için birkaç izin ayarlayalım.

/etc/grub.conf sahip olduğu grubu ve kullanıcıyı root olarak ayarlayalım.


# chown root:root /etc/grub.conf
Tek kullanıcı modu için yetkilendirme yapmalıyız.


# sed -i "/SINGLE/s/sushell/sulogin/" /etc/sysconfig/init

# sed -i "/PROMPT/s/yes/no/" /etc/sysconfig/init

USB Kullanımını Kapatın​

Nasıl kritik bir sistem üzerinde olduğunuza dayanarak, Linux host üzerinde USB belleklerin kullanımını kapatmak çok önemlidir. USB Bellek kullanımını kapatmanın birden çok yolu vardır. Ancak en popüler olanı üzerinden gidersek;

Kullandığınız metin editörü ile “blacklist.conf” dosyasını açınız.

/etc/modprobe.d/blacklist.conf

Dosya açıldığında en alt satıra aşağıdaki satırı ekleyelim ve kaydedip çıkalım.

blacklist usb_storage

Ardından rc.local dosyasını açalım.

/etc/rc.local

Aşağıdaki 2 satırı ekleyelim.

modprobe -r usb_storage

exit 0

SELinux Etkinleştirin​

Güvenli Geliştirilmiş Linux, erişim kontrolü güvenlik politikasını desteklemek için çekirdek güvenliği mekanizmasıdır. SELinux’un 3 tane yapılandırma modu vardır.

  • Disabled: Turned-off
  • Permissive: Prints warnings
  • Enforcing: Policy is enforced
Herhangi bir metin editörü kullanarak yapılandırma dosyamızı açalım.

/etc/selinux/config

“Policy is enforced” olduğundan emin olalım.

SELINUX=enforcing


İzinler ve Doğrulamalar​

Bir Linux sunucusunda güvenlik açısından daha iyi bir durumda olmak için izinler en önemli ve kritik görevlerden biridir.

“/etc/crontab” ve “/etc/cron.*” dosyaları için aşağıdaki komutları çalıştırarak izinleri ve kullanıcı/grup sahiplerini ayarlayalım.



#chown root:root /etc/crontab

#chmod og-rwx /etc/crontab

#chown root:root /etc/cron.hourly

#chmod og-rwx /etc/cron.hourly

#chown root:root /etc/cron.daily

#chmod og-rwx /etc/cron.daily

#chown root:root /etc/cron.weekly

#chmod og-rwx /etc/cron.weekly

#chown root:root /etc/cron.monthly

#chmod og-rwx /etc/cron.monthly

#chown root:root /etc/cron.d

#chmod og-rwx /etc/cron.d

“root crontab” için “/var/spool/cron”da izinleri ayarlayalım.

#chown root:root <crontabfile>

#chmod og-rwx <crontabfile>


“passwd” dosyasında kullanıcı/grup sahibini ayarlayalım.

#chmod 644 /etc/passwd

#chown root:root /etc/passwd

“group” dosyasında kullanıcı/grup sahibini ayarlayalım.

#chmod 644 /etc/group

#chown root:root /etc/group

“shadow” dosyasında kullanıcı/grup sahibini ayarlayalım.

#chmod 600 /etc/shadow

#chown root:root /etc/shadow


“gshadow” dosyasında kullanıcı/grup sahibini ayarlayalım.

#chmod 600 /etc/gshadow

#chown root:root /etc/gshadow
 
Üst