Linux Sunucu Güvenliği Hakkında HerTürlüBilgi
BIOS Koruması
Son kullanıcının BIOS’taki güvenlik ayarlarını değiştirmemesi için host’un BIOS’u bir şifre ile korunmalıdır, bu alanın küçük değişikliklerden korunması için gereklidir.Bir sonraki adımda (USB/CD/DVD) gibi cihazların dışarıdan boot edilmesini kapatmalıyız. Eğer bu ayarı değiştirmezseniz herhangi bir kişi boot edilebilen İşletim sistemi içeren bir USB Bellek ile verilerinize erişebilir.
Hard Disk Şifrelemesi
GNU/Linux Dağıtımlarının birçoğu kurulumdan önce disklerinizi şifreleme imkanı sunar.Disk şifrelemesi hırsızlık durumunda çok önemlidir. Çünkü Sabit diski kendi makinesine bağladığında bilgisayarınızı çalan kişi verilerinizi okuyamayacaktır.
Eğer Linux dağıtımınız şifrelemeyi desteklemiyorsa, TrueCrypt gibi yazılımlar kullanabilirsiniz.
Disk Koruması
Sistemin hasar görmesi durumunda yedeklemelerin birsürü avantajı vardır.Önemli sunucular için, yedeklemelerin saha dışına taşınması gerekir. Yedeklemelerin yönetiminin çok iyi olması gerekiyor.
Kritik sistemler farklı bölümlere ayrılmış olmalıdır.
- /
- /boot
- /usr
- /home
- /tmp
- /var
- /opt
Boot Dizinini Kilitleyin
Boot dizini, linux çekirdeğiyle alakalı önemli dosyalar içeren bir dizindir. Bu yüzden aşağıdaki basit adımlarla bu dizinin salt-okunur izinlere kilitlendiğinden emin olalım.Öncelikle “Fstab” dosyasını açalım.
/etc/fstab/
Aşağıdaki komutu çalıştırarak düzeltmiş olduğumuz bu dosyanın sahibini ayarlayalım.
# chown root:root /etc/fstab
Şimdi boot ayarlarındaki güvenlik için birkaç izin ayarlayalım.
/etc/grub.conf sahip olduğu grubu ve kullanıcıyı root olarak ayarlayalım.
# chown root:root /etc/grub.conf
Tek kullanıcı modu için yetkilendirme yapmalıyız.
# sed -i "/SINGLE/s/sushell/sulogin/" /etc/sysconfig/init
# sed -i "/PROMPT/s/yes/no/" /etc/sysconfig/init
USB Kullanımını Kapatın
Nasıl kritik bir sistem üzerinde olduğunuza dayanarak, Linux host üzerinde USB belleklerin kullanımını kapatmak çok önemlidir. USB Bellek kullanımını kapatmanın birden çok yolu vardır. Ancak en popüler olanı üzerinden gidersek;Kullandığınız metin editörü ile “blacklist.conf” dosyasını açınız.
/etc/modprobe.d/blacklist.conf
Dosya açıldığında en alt satıra aşağıdaki satırı ekleyelim ve kaydedip çıkalım.
blacklist usb_storage
Ardından rc.local dosyasını açalım.
/etc/rc.local
Aşağıdaki 2 satırı ekleyelim.
modprobe -r usb_storage
exit 0
SELinux Etkinleştirin
Güvenli Geliştirilmiş Linux, erişim kontrolü güvenlik politikasını desteklemek için çekirdek güvenliği mekanizmasıdır. SELinux’un 3 tane yapılandırma modu vardır.- Disabled: Turned-off
- Permissive: Prints warnings
- Enforcing: Policy is enforced
/etc/selinux/config
“Policy is enforced” olduğundan emin olalım.
SELINUX=enforcing
İzinler ve Doğrulamalar
Bir Linux sunucusunda güvenlik açısından daha iyi bir durumda olmak için izinler en önemli ve kritik görevlerden biridir.“/etc/crontab” ve “/etc/cron.*” dosyaları için aşağıdaki komutları çalıştırarak izinleri ve kullanıcı/grup sahiplerini ayarlayalım.
#chown root:root /etc/crontab
#chmod og-rwx /etc/crontab
#chown root:root /etc/cron.hourly
#chmod og-rwx /etc/cron.hourly
#chown root:root /etc/cron.daily
#chmod og-rwx /etc/cron.daily
#chown root:root /etc/cron.weekly
#chmod og-rwx /etc/cron.weekly
#chown root:root /etc/cron.monthly
#chmod og-rwx /etc/cron.monthly
#chown root:root /etc/cron.d
#chmod og-rwx /etc/cron.d
“root crontab” için “/var/spool/cron”da izinleri ayarlayalım.
#chown root:root <crontabfile>
#chmod og-rwx <crontabfile>
“passwd” dosyasında kullanıcı/grup sahibini ayarlayalım.
#chmod 644 /etc/passwd
#chown root:root /etc/passwd
“group” dosyasında kullanıcı/grup sahibini ayarlayalım.
#chmod 644 /etc/group
#chown root:root /etc/group
“shadow” dosyasında kullanıcı/grup sahibini ayarlayalım.
#chmod 600 /etc/shadow
#chown root:root /etc/shadow
“gshadow” dosyasında kullanıcı/grup sahibini ayarlayalım.
#chmod 600 /etc/gshadow
#chown root:root /etc/gshadow
Son düzenleme:
