Re: Pro2000 bir sunucu ve Linux uyumluluğu

To: debian-user-turkish@lists.debian.org
Subject: Re: Pro2000 bir sunucu ve Linux uyumluluğu
From: Yaşar ŞENTÜRK <yasar@dijitaltek.com>
Date: Mon, 18 Apr 2005 00:06:10 +0300
Message-id: <[🔎] 200504180006.11443.yasar@dijitaltek.com>
In-reply-to: <[🔎] 1216.81.213.157.129.1113677131.squirrel@mail.debian-tr.net>
References: <[🔎] 1216.81.213.157.129.1113677131.squirrel@mail.debian-tr.net>
Merhabalar;

Bana vermiş olduğunuz makale niteliğindeki cevabınız ve önerileriniz için çok 
teşekkür ederim. "Woody mi? Sarge mı?" sorusunun yanında güvenlik konusunda 
vermiş olduğunuz tavsiyeleriniz benim için çok faydalı oldu.

Woody' nin Sarge' dan daha güvenli olduğunun farkındayım. Ancak Sarge' ın da 
diğer birçok dağıtımın stable sürümü kadar sağlam olduğunu düşünüyorum. 
Sarge' ın artık eskisi gibi "ham" bir sürüm olmadığını düşündüğüm ve ileride 
stable olduğu zaman paket güncellemesiyle uğraşmanın sıkıntı vereceği, sunucu 
üzerinde kesintiye neden olmasından endişe ettiğim için Sarge' ı 
düşünüyordum. Tavsiyenize uyup woody' nin unofficial cd' lerinden edinerek 
kurulum yapacağım. Ancak donanımsal problemler ile karşılaşırsam sanırım 
sarge kurulumu yapmam gerekecek.

İlgilenen ve fikirlerini paylaşan herkese teşekkür ederim.

Cts 16 Nis 2005 21:45 tarihinde, Serdar Aytekin şunları yazmıştı: 
> Merhaba,
>
> > Merhaba;
> >
> > Benzer bir donanıma Sarge ile problemsiz kurulum yapılabileceğini
> > öğrenmem beni rahatlattı. Woody ile problem yaşayacağımı tahmin
> > ediyordum. Şu an zaten evdeki sistemimde Sarge kullanıyorum. "Sarge mı?
> > Woody mi?" sorusunun aklıma takılmasının tek nedeni güvenlik
> > güncellemeleriydi. Ancak ilk mesajımda da belirttiğim gibi Sarge
> > kurmanın daha uygun olacağını düşünüyordum. Ama yine de bir listeye
> > sorup fikrinizi almak istedim.
>
> Cogu durumda Woody kurup yapilandirmak Sarge kurmaktan daha
> zahmetli olsa da bu donanim ile Woody kurulumunda da ciddi sorunlar
> yasayacaginizi pek zannetmiyorum. En azindan unofficial Woody cdleri
> sizin icin cozum olabilir.
>
> Sargenin gittikce olgunlastigi dogru ancak Woody'ninde gittikce
> guvenli hale geldigini unutmamak lazim :) Woody icin security
> destegi surdugu muddetce Woody en saglam ve kararli surumlerden
> birisi olarak kalacaktir.
>
> Aslinda sunucularda Sarge mi tercih etmeli yoksa Woody mi tercih
> etmeli meselesinde ince bir ayirim var. Zaman zaman gerek bu listede
> gerekse belgelerde bu konuya aciklik getirmeye calisiyoruz. Ancak
> yine dikkat edilmesi gereken hususlara veya tam acikliga kavusmamis
> konulara elimden geldigince deginmek istiyorum.
>
> Sayet *kritik* oneme sahip bir sunucu kuracaksaniz, tercihiniz ilk
> once kesinlikle Woody'den yana olmali. Ancak Woody'nin artik eski
> kalmasi bir takim donanim uyumsuzluklari ile basa cikmanizi
> gerektirebilir.Bu sorunlarida en azindan unofficial Woody netinstall
> cdleri ile asmayi deneyebilirsiniz.
>
> Unofficial Woody cdleri, gelisen donanim ihtiyaclarina gore genelde
> resmi olan imajlara gore daha fazla bileseni icerecek sekilde
> duzenlenmistir. Unofficial Woody cdleri ile kurulumdan itibaren
> Ext3 destegine sahip olabilir, SATA veya SCSI kontrol kartina sahip
> bir cok donanimda sorunsuz kurulum yapabilirsiniz. Cok istisnai
> donanimlar haricindeki bir cok donanima unofficial Woody cdleri
> cozum olabilir.
>
> Kuracaginiz sunucu, cok kritik degilse ornegin ofis icerisinde bir
> takim islevleri yerine getirmek amaci ile kurulacaksa bu noktada
> belki tercihinizi Sarge'den yana kullanabilirsiniz.
>
> Ancak hem kritik oneme sahip bir sunucu olacak hemden uzerinde
> 100'lerde domaini barindirip hosting yapacaksaniz yukarida da
> ifade etmeye calistigim gibi Woody kullanmaniz geceleri daha
> rahat uyumaniza vesile olur.
>
> Woody icin unofficial netinst cdsi olarak asagidaki adresten
> ulasabileceginiz imajlari deneyebilirsiniz. Bunlarin ozelliklerine
> bakip sizin icin en uygun imaji tercih edebilirsiniz. Ne tur
> donanimlara uygunluk saglanmaya calisildigi soz konusu imajlarin
> herbirisinin sitelerinde belirtilmis olmali.
>
> http://www.debian.org/CD/netinst/
>
> Bana gore http://people.debian.org/~blade/boot-floppies/cvs/
> adresindeki Woody netinst cdsi cogu donanimda basarili olanlardan
> birisi.
>
> Bununla beraber *kritik* isleve sahip sunucu kurulumununda,
> kurulumun ilk adimindan son adimina kadar dikkat edilmesi gereken
> bir takim hususlar var. Bu hususlarin neler oldugunu
> "Debian ile Maksimum Guvenlik Yontemleri" gibi bir belgede bilgim
> olcusunde detaylari ile ele almak istiyorum. Ancak yinede hatirima
> gelen kismi ile cok genel olarak ifade etmeye calisayim.
>
> - Disk bolumlemesini uygun sekilde yapin. /boot, /var, /usr,
> /tmp, /home gibi dizinlerin farkli disk bolumlerine baglayin.
> Tercihinize gore /var/log, /var/mail ve /var/www gibi dizinleri
> de farkli disk bolumlerine baglayabilirsiniz.
>
> - X-Window kurmamaya ozen gosterin. Sadece sunucu amacli calisacak
> bir makinede gerekli oldugunu dusunmuyorum.
>
> - /etc/fstab icerisinden bu bolumlerin opsiyonlarini en uygun hale
> getirin. Ornegin /tmp icin "nosuid", "nodev" gibi ilgili bolumun
> guvenligini arttirici parametreleri aktif edin. Bu islemi Sarge'de
> kurulum sirasinda da yapabilirsiniz.
>
> - Ext3 gibi ReiserFS kullanin. Bu sizin aliskanliginiza veya
> tercihinize gore farklilik gosterebildigi gibi kullanacaginiz
> sistemin yapisina gore en uygun dosya sistemini secmeniz gerekir.
>
> - Kullanicilar icin Kota uygulamasini devreye gecirin. Bu gerek mail
> gerekse ev dizini icin olabilir.
>
> - Sistemdeki gereksiz tum servisleri kapatin.
>
> - Sayet Sarge kurmussaniz /etc/apt/sources.list dosyanizdaki "testing"
> ifadelerini "sarge" olarak degistirin. Zira Sarge kararli surum olacak
> ilan edildiginde dikkatinizden kacan bir guncelleme sonucu sisteminizi
> kararsiz hale getirmeyi engellemis olursunuz. Sarge kararli surum olarak
> ilan edildiginde de yine Sarge depolarini kullanmaya devam edersiniz ve
> sisteminiz *kararli* depoyu takip eder.
>
> - Telnet gibi guvensiz servisler yerine SSH gibi guvenli servisleri
> tercih edin.
>
> - SSH ve FTP uzerinden direkt olarak root girisine izin vermeyin.
> Bunlari  iptal edin. Bunun yerine once normal bir kullanici olarak
> sisteme giris yapip daha sonra "su -" ile root yetkilerini
> devralabilirsiniz.
>
> - Ozellikle FTP gibi servislerde guvenli yazilimlar tercih edin
> (vsftpd gibi). Root girisini ve gerekmedikce anonim girisi iptal edin.
> Ayrica kullanicilarin ftp ile giris yaptiklarinda sadece kendi
> dizinlerinde kalabilmesini saglayin. Farkli kullanicilarin dizinlerine
> gecis yapabilmelerine izin vermeyin.
>
> - Mumkunse her servisin guvenli olanini tercih edin. Mesela pop3s,
> imaps smtps gibi. Kullanicilarinizi da bu tur servisleri kullanmalari
> yonunde onerilerde bulunun, yol gosterin.
>
> - Mail sunucunuzda relay iznine dikkat edin. Mail sunucularda, mail
> gonderirken kimlik dogrulamasi icin Smtp-auth gibi yontemler
> kullanmayi tercih edin.
>
> - Kullanicilarin sifrelerini basit ve kisa secmelerini onleyecek
> ayarlari yapin.
>
> - /etc/security/limits.conf dosyasindaki degerleri oynayarak
> sisteminiz icin en uygun ve guvenli yapilandirmayi saglayin.
>
> - /root, /home gibi dizinlerin haklarini kontrol edin. Sistemdeki
> diger kullanicilar bu dizinlere gecip, dosyalari listeleyemesin. Veya
> A kullanicisi B kullanicisinin dizinin icerigini hic bir sekilde
> goremesin.
>
> - Sistemdeki suid bitine sahip dosyalari kontrol edin. Gerekmedikce
> suid bitli programlar kullanmayin yada izinlerinin en uygun sekilde
> olduguna emin olun.
>
> - Sistemdeki Apache, Mysql diger onemli hizmetlerin guvenligini de
> kontrol edin.
>
> - Sisteme Snort gibi saldiri tespit sistemleri kurabilir, bu tur
> yazilimlarin loglarini takip edebilirsiniz.
>
> - Sistem loglarini es zamanli olarak uzaktaki farkli bir makineye de
> aktarabilirsiniz. Boylece sisteminize sizip, kurcalayan birisinin daha
> sonrada loglari silip iz birakmadan cikip gitmesini engellemis
> olursunuz. En azindan loglari takip edip ona gore onlem alirsiniz.
> Ancak boyle bir duruma ugrasmis olan makineyi yeniden kurmak en
> mantikli cozum olacagini unutmayin.
>
> - Kullandiginiz onyukleyici yoneticisine sifre koyarak sistemin
> makine basindan "single" modda acilabilmesine engel olun. Makineye
> "single" modda erisim yetkiside sizin kontrolunuzde olsun.
>
> - Cekirdege GrSecurity, Openwall gibi yamalari uygulayarak guvenligini
> arttirabilir, cesitli saldiri yontemlerine karsida onlem alabilirsiniz.
>
> - /etc/apt/sources.list dosyanizda guvenlik deposunun yer almasina
> dikkat ediniz.
>
> - Belirli araliklarla sisteminizi guncellemeyi ihmal etmeyin.
>
> Bu maddeler daha da arttirip, ayrintililastirilabilir. Guvenligi bir
> zincirin halkalari gibi dusunup, bir zincirinde en zayif haklasi kadar
> guclu oldugunu hatirinizdan cikarmadan *kritik* sunucularda her turlu
> guvenlik onleminin uzerinden hassasiyetle durun.
>
> Bu baglamda da *kritik* sunucularda stable surum kullanmanin nedenli
> onemli oldugunu unutmayin. Zorunlu kalmadikca test surumunu *kritik*
> sunucularda tercih etmemeye ozen gosterin.
>
> --
> Saygilarimla,
> Serdar Aytekin

-- 
Yaşar ŞENTÜRK
http://www.dijitaltek.com/yasar
http://yasarix.blogspot.com
Reply to:
References:
- Re: Pro2000 bir sunucu ve Linux uyumluluğu
  - From: "Serdar Aytekin" <serdar@debian-tr.net>
Prev by Date: Re: Beagle..ve umutsuzluk..
Next by Date: Re: Beagle..ve umutsuzluk..
Previous by thread: Re: Pro2000 bir sunucu ve Linux uyumluluğu
Next by thread: Re: Re:
Index(es):
- Date
- Thread