Re: Pro2000 bir sunucu ve Linux uyumluluğu
Merhaba,
> Merhaba;
>
> Benzer bir donanıma Sarge ile problemsiz kurulum yapılabileceğini
> öğrenmem beni rahatlattı. Woody ile problem yaşayacağımı tahmin
> ediyordum. Şu an zaten evdeki sistemimde Sarge kullanıyorum. "Sarge mı?
> Woody mi?" sorusunun aklıma takılmasının tek nedeni güvenlik
> güncellemeleriydi. Ancak ilk mesajımda da belirttiğim gibi Sarge
> kurmanın daha uygun olacağını düşünüyordum. Ama yine de bir listeye
> sorup fikrinizi almak istedim.
Cogu durumda Woody kurup yapilandirmak Sarge kurmaktan daha
zahmetli olsa da bu donanim ile Woody kurulumunda da ciddi sorunlar
yasayacaginizi pek zannetmiyorum. En azindan unofficial Woody cdleri
sizin icin cozum olabilir.
Sargenin gittikce olgunlastigi dogru ancak Woody'ninde gittikce
guvenli hale geldigini unutmamak lazim :) Woody icin security
destegi surdugu muddetce Woody en saglam ve kararli surumlerden
birisi olarak kalacaktir.
Aslinda sunucularda Sarge mi tercih etmeli yoksa Woody mi tercih
etmeli meselesinde ince bir ayirim var. Zaman zaman gerek bu listede
gerekse belgelerde bu konuya aciklik getirmeye calisiyoruz. Ancak
yine dikkat edilmesi gereken hususlara veya tam acikliga kavusmamis
konulara elimden geldigince deginmek istiyorum.
Sayet *kritik* oneme sahip bir sunucu kuracaksaniz, tercihiniz ilk
once kesinlikle Woody'den yana olmali. Ancak Woody'nin artik eski
kalmasi bir takim donanim uyumsuzluklari ile basa cikmanizi
gerektirebilir.Bu sorunlarida en azindan unofficial Woody netinstall
cdleri ile asmayi deneyebilirsiniz.
Unofficial Woody cdleri, gelisen donanim ihtiyaclarina gore genelde
resmi olan imajlara gore daha fazla bileseni icerecek sekilde
duzenlenmistir. Unofficial Woody cdleri ile kurulumdan itibaren
Ext3 destegine sahip olabilir, SATA veya SCSI kontrol kartina sahip
bir cok donanimda sorunsuz kurulum yapabilirsiniz. Cok istisnai
donanimlar haricindeki bir cok donanima unofficial Woody cdleri
cozum olabilir.
Kuracaginiz sunucu, cok kritik degilse ornegin ofis icerisinde bir
takim islevleri yerine getirmek amaci ile kurulacaksa bu noktada
belki tercihinizi Sarge'den yana kullanabilirsiniz.
Ancak hem kritik oneme sahip bir sunucu olacak hemden uzerinde
100'lerde domaini barindirip hosting yapacaksaniz yukarida da
ifade etmeye calistigim gibi Woody kullanmaniz geceleri daha
rahat uyumaniza vesile olur.
Woody icin unofficial netinst cdsi olarak asagidaki adresten
ulasabileceginiz imajlari deneyebilirsiniz. Bunlarin ozelliklerine
bakip sizin icin en uygun imaji tercih edebilirsiniz. Ne tur
donanimlara uygunluk saglanmaya calisildigi soz konusu imajlarin
herbirisinin sitelerinde belirtilmis olmali.
http://www.debian.org/CD/netinst/
Bana gore http://people.debian.org/~blade/boot-floppies/cvs/
adresindeki Woody netinst cdsi cogu donanimda basarili olanlardan
birisi.
Bununla beraber *kritik* isleve sahip sunucu kurulumununda,
kurulumun ilk adimindan son adimina kadar dikkat edilmesi gereken
bir takim hususlar var. Bu hususlarin neler oldugunu
"Debian ile Maksimum Guvenlik Yontemleri" gibi bir belgede bilgim
olcusunde detaylari ile ele almak istiyorum. Ancak yinede hatirima
gelen kismi ile cok genel olarak ifade etmeye calisayim.
- Disk bolumlemesini uygun sekilde yapin. /boot, /var, /usr,
/tmp, /home gibi dizinlerin farkli disk bolumlerine baglayin.
Tercihinize gore /var/log, /var/mail ve /var/www gibi dizinleri
de farkli disk bolumlerine baglayabilirsiniz.
- X-Window kurmamaya ozen gosterin. Sadece sunucu amacli calisacak
bir makinede gerekli oldugunu dusunmuyorum.
- /etc/fstab icerisinden bu bolumlerin opsiyonlarini en uygun hale
getirin. Ornegin /tmp icin "nosuid", "nodev" gibi ilgili bolumun
guvenligini arttirici parametreleri aktif edin. Bu islemi Sarge'de
kurulum sirasinda da yapabilirsiniz.
- Ext3 gibi ReiserFS kullanin. Bu sizin aliskanliginiza veya
tercihinize gore farklilik gosterebildigi gibi kullanacaginiz
sistemin yapisina gore en uygun dosya sistemini secmeniz gerekir.
- Kullanicilar icin Kota uygulamasini devreye gecirin. Bu gerek mail
gerekse ev dizini icin olabilir.
- Sistemdeki gereksiz tum servisleri kapatin.
- Sayet Sarge kurmussaniz /etc/apt/sources.list dosyanizdaki "testing"
ifadelerini "sarge" olarak degistirin. Zira Sarge kararli surum olacak
ilan edildiginde dikkatinizden kacan bir guncelleme sonucu sisteminizi
kararsiz hale getirmeyi engellemis olursunuz. Sarge kararli surum olarak
ilan edildiginde de yine Sarge depolarini kullanmaya devam edersiniz ve
sisteminiz *kararli* depoyu takip eder.
- Telnet gibi guvensiz servisler yerine SSH gibi guvenli servisleri
tercih edin.
- SSH ve FTP uzerinden direkt olarak root girisine izin vermeyin.
Bunlari iptal edin. Bunun yerine once normal bir kullanici olarak
sisteme giris yapip daha sonra "su -" ile root yetkilerini
devralabilirsiniz.
- Ozellikle FTP gibi servislerde guvenli yazilimlar tercih edin
(vsftpd gibi). Root girisini ve gerekmedikce anonim girisi iptal edin.
Ayrica kullanicilarin ftp ile giris yaptiklarinda sadece kendi
dizinlerinde kalabilmesini saglayin. Farkli kullanicilarin dizinlerine
gecis yapabilmelerine izin vermeyin.
- Mumkunse her servisin guvenli olanini tercih edin. Mesela pop3s,
imaps smtps gibi. Kullanicilarinizi da bu tur servisleri kullanmalari
yonunde onerilerde bulunun, yol gosterin.
- Mail sunucunuzda relay iznine dikkat edin. Mail sunucularda, mail
gonderirken kimlik dogrulamasi icin Smtp-auth gibi yontemler
kullanmayi tercih edin.
- Kullanicilarin sifrelerini basit ve kisa secmelerini onleyecek
ayarlari yapin.
- /etc/security/limits.conf dosyasindaki degerleri oynayarak
sisteminiz icin en uygun ve guvenli yapilandirmayi saglayin.
- /root, /home gibi dizinlerin haklarini kontrol edin. Sistemdeki
diger kullanicilar bu dizinlere gecip, dosyalari listeleyemesin. Veya
A kullanicisi B kullanicisinin dizinin icerigini hic bir sekilde
goremesin.
- Sistemdeki suid bitine sahip dosyalari kontrol edin. Gerekmedikce
suid bitli programlar kullanmayin yada izinlerinin en uygun sekilde
olduguna emin olun.
- Sistemdeki Apache, Mysql diger onemli hizmetlerin guvenligini de
kontrol edin.
- Sisteme Snort gibi saldiri tespit sistemleri kurabilir, bu tur
yazilimlarin loglarini takip edebilirsiniz.
- Sistem loglarini es zamanli olarak uzaktaki farkli bir makineye de
aktarabilirsiniz. Boylece sisteminize sizip, kurcalayan birisinin daha
sonrada loglari silip iz birakmadan cikip gitmesini engellemis
olursunuz. En azindan loglari takip edip ona gore onlem alirsiniz.
Ancak boyle bir duruma ugrasmis olan makineyi yeniden kurmak en
mantikli cozum olacagini unutmayin.
- Kullandiginiz onyukleyici yoneticisine sifre koyarak sistemin
makine basindan "single" modda acilabilmesine engel olun. Makineye
"single" modda erisim yetkiside sizin kontrolunuzde olsun.
- Cekirdege GrSecurity, Openwall gibi yamalari uygulayarak guvenligini
arttirabilir, cesitli saldiri yontemlerine karsida onlem alabilirsiniz.
- /etc/apt/sources.list dosyanizda guvenlik deposunun yer almasina
dikkat ediniz.
- Belirli araliklarla sisteminizi guncellemeyi ihmal etmeyin.
Bu maddeler daha da arttirip, ayrintililastirilabilir. Guvenligi bir
zincirin halkalari gibi dusunup, bir zincirinde en zayif haklasi kadar
guclu oldugunu hatirinizdan cikarmadan *kritik* sunucularda her turlu
guvenlik onleminin uzerinden hassasiyetle durun.
Bu baglamda da *kritik* sunucularda stable surum kullanmanin nedenli
onemli oldugunu unutmayin. Zorunlu kalmadikca test surumunu *kritik*
sunucularda tercih etmemeye ozen gosterin.
--
Saygilarimla,
Serdar Aytekin
Reply to: