Gentoo IPv4 ve Native IPv6

Ethernet Arayüzü: eth0

Örnek IPv4 bilgileri: IP adresi: 17x.3x.3x.50 Netmask: 255.255.255.0 Gateway: 17x.3x.3x.1 Broadcast : 17x.3x.3x.255

Örnek IPv6 bilgileri: IP adresi: 2a00:xx80:3x::f50 Netmask: ffff:ffff:ffff:: Gateway: 2a00:xx80:3x::1

Gentoo Linux üzerinde hem IPv4 ve Yalın IPv6 tanımlaması yapalım.Tanımlamaları yapmadan önce sisteminizde "sys-apps/iproute2" paketi yoksa kuralım(ethernet arayüzümüz ile ilgili işlemleri yapmak için iki tane işleyici mevcut: "ifconfig" ve "iproute2"."ifconfig" öntanımlı olarak "sys-apps/net-tools" paketi birlikte gelir.Fakat "iproute2" ifconfig'den daha güçlü ve esnek bir işleyicidir.Öntanımlı olarak gelmez.Bunu kullanmanız tavsiye edilir.) :

# emerge sys-apps/iproute2

Kurulum tamamlandıktan sonra "/etc/conf.d/net" dosyasına network bilgilerimizi girelim:

# vi /etc/conf.d/net

Aşağıdaki gibi bilgileri girelim;

modules="iproute2" config_eth0="17x.3x.3x.50/24 2a00:xx80:3x::f50/64" routes_eth0="default gw 17x.3x.3x.1 default via 2a00:xx80:3x::1 dev eth0"

NOT: Yukardaki gibi "routes_eth0=" satırında ilk gateway birinci satıra,ikinci gateway ikinci satırda olması gerekmektedir.

Network bilgilerini yukardaki gibi girdikten sonra "net.eth0" scriptini yeniden başlatalım.

# /etc/init.d/net.eth0 restart

GNU/Linux eskisi gibi değil!

Geçenlerde "Free Software Magazine"de güzel bir yazı ile karşılaştım.O yazının birebir çevirisi olmasa da bahsettiği konulara bende biraz değinmek istedim. ---------- Günümüzde kullanılmakta olan birçok yazılım var.İnsanlar da hayatlarında bu yazılımlardan birçoğunu kullanıyorlar.Bunları kullanırken yazılımın amaca hizmet etmesi bir yana ,kullanıcılar artık yazılımlarda neredeyse hiçbirşeye dikkat etmiyor.Lisans,güvenlik,kararlılık vs...Onlar için sadece çalışması ve işlerini görmesi yeterli.Hatta sadece çalışması bile yeterli!Bu değişiklik yazılım endüstrisinde de bazı şeyleri değiştirdi.Bu değişmelerden, genel olarak "GNU/Linux" ve "Özgür Yazılımlar" nasıl etkilendi,neleri değişti? gibi sorulara cevap bulmaya çalışalım. Bunlar için kesin ve doğru bilgiler vermek mümkün değil ama Google Trends ile bazı ilginç sonuç alabiliyoruz.

SONUÇLAR: "Google Trends" Google üzerinde yapılan aramaların istatistiğini yıllara göre grafiklerle sunan bir hizmet."Google Trends" üzerinde konumuzla ilgili birkaç arama yapıp istatistikleri karşılaştıralım.

Linux;

İlk olarak "Google" üzerinde son 8 yıl içinde "linux" kelimesinin aranma istatistiğine bakalım:

linux

Yukardaki sonuçlarda görüldüğü gibi "linux" kelimesinin aranma sayısı gün geçtikçe azalmış.En çok arayan ilk beş ülke:Çek Cumhuriyeti,Hindistan,Tayvan,Rusya Federasyonu,Çin.

Ubuntu;

ubuntu

Yukardaki sonuçlarda görüldüğü gibi "ubuntu" kelimesinde 2009 yılının son çeyreğinde zirve yapmış ve düşüşe geçmiş.En çok arayan beş ülke:Rusya Federasyonu,İtalya,Çek Cumhuriyeti,Endonezya,Finlandiya.

Debian;

debian

Debian'da düşüş sürecinde ve en çok arayan beş ülke: Çek Cumhuriyeti,Rusya Federasyonu,Almanya,Macaristan,Avusturya.

Centos;

centos

Centos genel olarak belli bir seviyede.Fakat sürüm çıkış zamanlarında arama istatistikleri tavan yapmış.En çok arayan beş ülke: Ekvator,Japonya,Tayvan,Güney Kore,Hong Kong.

Gentoo;

gentoo

Gentoo, genel olarak ilk çıkışından bu yana düşüş sürecinde.Fakat Daniel Robbins'in Microsoft'a geçmesi aramaların tavanı olmuş.En çok arayan beş ülke: Çek Cumhuriyeti,Rusya Federasyonu,Almanya,Ukrayna,Slovakya.

Fedora;

fedora

Fedora da düşüş sürecinde fakat sürüm çıkış zamanları arama istatistikleri fırlamış.Fedora'yı en çok arayan ilk beş ülke: Tayvan,Hindistan,Hong Kong,Çek Cumhuriyeti,Japonya.

OpenSuse;

opensuse

OpenSuse'de düşüş sürecinde ve sürüm zamanları aramalar artıyor.En çok arama yapan beş ülke: Çek Cumhuriyeti,Rusya Federasyonu,Almanya,Avusturya,Ukrayna.

Linux Mint;

linux mint

Linux Mint ilk çıkışından bu yana hep artış eğiliminde ve belki de en çok arama artışı gösteren GNU/Linux dağıtımı.Rekora elinde bulunduran "Linux Mint" Distrowatch "Page Hit Ranking" sıralamasında birinci sırada.En çok arayan beş ülke: Norveç,Rusya Federasyonu,Endonezya,Çek Cumhuriyeti,Endonezya.

NE İFADE EDİYOR?

Yukardaki "Google Trends"in bize verdiği istatistiklere bakarak "linux" kelimesinin artık daha az arandığını gösteriyor.Bu sonuç bize "artık insanların linux'a ilgisi soğuyor" gibi bir fikir verebilir mi? Belki evet,ama bir başka açıdan insanlar artık "linux"un ne olduğunu öğrendiğini ve aramaya ihtiyaçlarının olmadığını da gösterebilir.Kesin birşey demek zor.Diğer dağıtımlarla ilgili görülen istatistiklerde ise en ilgi çekici rekoru elinde bulunduran "Linux Mint" dağıtımı aynı zaman Distrowatch listesinde de birinci sırada olması bu sonuçlar arasındaki paralelliği düşündürebilir.Fakat kesin olarak diyebiliriz ki yukarda verilen grafikte "linux"un artık unutulmaya başlandığı kanısının çıkartılamayacağı.Ancak dağıtımlar arasında bir karşılaştırma çıkabiliriz.Bunda da "Linux Mint" rekoru elinde bulunduruyor :)

Ülkeler açısından sonuçlara bakacak olursak,durumumuz içler acısı.Genel olarak ilk beş arasına giren "Çek Cumhuriyeti" ve "Rusya Federasyonu" için bu ülkelerin GNU/Linux'e verdiği ağırlıktan bahsedebiliriz.Ardından Almanya,Ukrayna,Hindistan,Avusturya gibi ülkeler ağırlıklarıyla takip ediyorlar.

ACTA Tehdidi

ACTA , özgür yazılımları tehdit ediyor.Dünyanın birçok ülkesinin parlementolarında gizlice kabul edilen "ACTA" anlaşması özgür yazılımlar için büyük tehdit oluşturuyor.

ACTA'nın özgür yazılımları tehditleri;

  • ACTA , özgür yazılımların yaygınlaşmasını kısıtlayacak ve zorlaştıracak.Bilindiği üzere özgür yazılımlar dosya paylaşımı ve Bittorrent gibi P2P teknolojileri ile geniş kitlelere ulaşıyor ve yaygınlaşıyor.Bittorrent gibi geniş bir kitle tarafından yaygın olarak kullanılan bu protokol ACTA anlaşması ile tamamen kısıtlandırılacak ve özgür yazılımların insanlara ulaşması daha pahalı hale gelecek.Özgür yazılımların yaygınlaşması daha da zorlaşacak.

  • Özgür işletim sistemi kullanan kullanıcıların herhangi multimedya içeriğini oynatması zorlaşacak.Kullanıcılar DRM'siz media araçları satın alamayacak ve bu araçlar özgür işletim sistemlerini desteklemeyecek.

  • Özgür medya formatlarını destekleyen taşınabilir medya cihazları, Ipod gibi DRM destekçisi şirketlerin ürünleri karşısında yok olacak.

  • ACTA,insanlar arasında kuşku,şüphe ve her daim gözetlenme kültürünü doğuracak.Özgürlüğü tehdit eden bu kültür insanlardaki yaratıcılığı,çağdaş düşünceyi,üretme heyecanı ve enerjisini yok edecek.

ACTA'ya karşı sessiz olmayıp,Free Software Foundation(FSF) tarafından yayınlanan "ACTA Deklarasyonu"nu imzalayarak destek olmak için buradan .

11 Şubat günü ACTA'ya karşı Avrupa'da ve Dünya'da birçok şehirde sokak eylemleri düzenlendi.Bu sokak eylemlerine imza toplayarak,site karartarak ve banner,logolarla online paltformda da destek verildi.Ülkemizde LKD ve İnternet Teknolojileri Derneği sitelerini bir açıklama ile kapatarak destek oldu.

LKD tarafından yapılan açıklama:

ACTA (The Anti-Counterfeiting Trade Agreement), yani "Ticarette Sahteciliğin Önlenmesi Sözleşmesi", 2007 yılından bu yana başta Müzik ve Film endüstirisinin devleri olmak üzere tüm telif hakkı lobilerinin zorlamasıyla ABD'nin uluslararası platforma taşıdığı bir anlaşmadır.

ACTA internet, dolayısıyla dijital ortamda kullanıcılara ve servis sağlayıcılara ise birçok kısıtlama ve sorumluluk getirmektedir. Tüm kullanıcıları potansiyel "sahteci" yerine koyan anlaşma "bu potansiyele karşı" her türlü önlem ve cezaya uluslararası ölçekte hukuki zemin hazırlamakta. Öte yandan ACTA sadece interneti kısıtlamıyor. Çok temel/gündelik kullanılan jenerik ilaçlar, temel besin üretimi için gerekli tohumlar bile ACTA'nın getireceği düzenlemelerle rahatça dolaşamayacak, yasaklanabilecek.

İnternet kullanıcılarına sahip oldukları dijital donanım, yazılım ya da içerikler için her türlü tedbiri alma yükümlülüğü getirilmektedir. Servis sağlayıcılar için altyapıları üzerinden gerçekleşen ihlalleri ve ihlali gerçekleştiren kullanıcıları ilgili makamlara bildirme zorunluluğu öngörülmektedir. Bu da ancak içerik dahil tüm trafiğimizin gözetlenmesi ve takip edilmesi ile mümkündür. Kullanıcıların kişisel verileri ve özel yaşamlarının gizliliği büyük tehdit altındadır.

2010 yılından gizlice yürütülen müzakereler sonucunda ilk olarak ABD, Japonya, Kanada, Yeni Zelanda, Singapur ve Güney Kore, ACTA anlaşmasını imzalamıştır. Geçtiğimiz Ocak ayında da Avrupa Parlamentosu'nda yapılan gizli oylamay ile 27 Avrupa Birliği ülkesinin 22'si bu anlaşmayı kabul etmiştir.

İnternet temel bir insan hakkıdır. İnternete müdahale, temel hak ve özgürlüklerimize müdahaledir. Kabul edilemez. Bu müdahaleyi bir günlük geçici karartmayla protesto ediyoruz..

İnternet yaşamdır, Sansürlenemez !

Linux Kullanıcı Yönetimi/Denetimi

" Linux Kullanıcı Yönetimi/Denetimi: GNU/Linux üzerindeki kullanıcıların sistem dosyalarına,dizinlere,aygıtlara,çevresel birimlere erişim kontrolleri hakkında bilgi verilecektir."

Akademik Bilişim(AB) 2012 'deki  "Linux Kullanıcı Yönetimi/Denetimi" seminerinin sunum notları :  pdf odp

SELinux'a Giriş

"SELinux'a Giriş: Kullanıcı uygulamalarına ve sistem kaynaklarına zorunlu giriş kontrolleri sunarak, yapmaları gerekli olan işlemleri mümkün olan en az yetki ile gerçekleştirmeleri için sınırlandırma imkanı sağlayan SELinux'un çalışma mantığı ve çeşitli uygulamalar için ayarlanması anlatılacaktır."

Akademik Bilişim(AB) 2012 'deki  "SELinux'a Giriş" seminerinin sunum notları :   pdf odp

İnternet Kararıyor!

ABD Senatosu ve Temsilciler Meclisinde  SOPA (Stop Online Piracy Act) ve PIPA (Protect Intellectual Propert Act) adlı taslaklar oylanacak.İnternet özgürlüğüne ve dolayısıyla insan haklarına bir saldırı olan bu taslakları protesto etmek için global bir eylem düzenliyor.Düzenlecek olan eylemde aralarında Wikipedia'nın da bulunduğu birçok  site,sivil toplum örgütleri bu eyleme katılarak web sayfalarını karartacaklar.Türkiye'de bu eyleme destek veren LKD ( Linux Kullanıcıları Derneği) de tüm web servislerini karartacak.

Ayrıntılı bilgi ve destek vermek için buradan .

DNS bilgilerini kopyalamak

Herhangi bir domain'in dns bilgilerini  ve o domainin subdomain'lerini "AXFR" protokolü ile dns sunucudan çekebiliriz.DNS Sunucu  üzerinde iki tür zone transferi vardır;

  • Full Zone Transfer (AXFR)

  • Incremental Zone Transfer (IXFR)

AXFR , DNS zone' ları arasındaki transferde tüm zone bilgilerinin alınarak güncellemenin gerçekleşmesinde kullanılan ve incremental zone transfer (IXFR) protokolüne göre eski bir protokoldür.(**)

AXFR protokolü hakkında detaylı  bilgi için , "How the AXFR protocol works" - D.J.Bernstein

Şimdi örnek bir domainin bütün bilgilerini ve sahip olduğu subdomainleri dns sunucusundan çekelim;

İlk olarak bilgilerini almak istediğimiz domain'in yetkili "nameserver" bilgilerini alalım: ('dig' komutu man sayfası)

# dig zargan.com NS
; <<>> DiG 9.8.1 <<>> zargan.com NS
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3226
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;zargan.com.            IN    NS

;; ANSWER SECTION:
zargan.com.        3600    IN    NS    ns2.hayatbilgi.net.
zargan.com.        3600    IN    NS    ns1.hayatbilgi.net.

;; Query time: 542 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Jan 12 23:17:03 2012
;; MSG SIZE  rcvd: 78

zargan.com domain adresinin dns sunucuları "ns1.hayatbilgi.net,ns2.hayatbilgi.net" .Şimdi dns sunucularının herhangi birisinden domain bilgilerini çekelim:

# dig @ns1.hayatbilgi.net zargan.com axfr
; <<>> DiG 9.8.1 <<>> @ns1.hayatbilgi.net zargan.com axfr
; (1 server found)
;; global options: +cmd
zargan.com.        3600    IN    SOA    ns1.hayatbilgi.net. hostmaster.hayatbilgi.net. 2009042370 900 600 86400 3600
zargan.com.        3600    IN    A    93.94.250.210
zargan.com.        3600    IN    NS    ns2.hayatbilgi.net.
zargan.com.        3600    IN    NS    ns1.hayatbilgi.net.
zargan.com.        3600    IN    MX    5 alt2.aspmx.l.google.com.
zargan.com.        3600    IN    MX    1 aspmx.l.google.com.
zargan.com.        3600    IN    MX    10 aspmx2.googlemail.com.
zargan.com.        3600    IN    MX    15 mail.zargan.com.
zargan.com.        3600    IN    MX    5 alt1.aspmx.l.google.com.
zargan.com.        3600    IN    MX    10 aspmx3.googlemail.com.
zargan.com.        3600    IN    TXT    "v=spf1 include:aspmx.googlemail.com ~all"
ns2.hayatbilgi.net.    3600    IN    A    93.94.249.3
ns1.hayatbilgi.net.    3600    IN    A    93.94.249.2
admin.zargan.com.    3600    IN    A    93.94.250.12
editor.zargan.com.    3600    IN    A    93.94.250.12
mail.zargan.com.    3600    IN    A    93.94.250.210
test.zargan.com.    3600    IN    A    93.94.250.12
www.zargan.com.        3600    IN    A    93.94.250.210
yeni.zargan.com.    3600    IN    A    93.94.250.12
www.yeni.zargan.com.    3600    IN    CNAME    yeni.zargan.com.
zenith.zargan.com.    3600    IN    A    93.94.250.12
zargan.com.        3600    IN    SOA    ns1.hayatbilgi.net. hostmaster.hayatbilgi.net. 2009042370 900 600 86400 3600
;; Query time: 519 msec
;; SERVER: 93.94.249.2#53(93.94.249.2)
;; WHEN: Thu Jan 12 23:20:51 2012
;; XFR size: 22 records (messages 22, bytes 1361)

Yukardaki çıktıda görüldüğü gibi bu protokol ile domain dns bilgilerini replike edebilirsiniz.

Enterasys Kullanıcı Yönetimi

Enterasys router ve kenar switchler üzerinde kullanıcı yönetimi ve komutlarından kısaca bahsedelim.

1- Sistem kullanıcı bilgilerini:

Sistem üzerindeki kullanıcıları ve bilgilerini görmek için;

C2(su)->show system login Password history size: 0 Password aging       : disabled Username        Access      State admin           super-user  enabled ro              read-only   enabled rw              read-write  enabled

Yukardaki "show system login" komutu ile sistem üzerindeki kullanıcıları ekrana yazdırdık.Çıktı da görüldüğü gibi "admin,ro,rw" adlarıyla üç tane kullanıcı mevcut.Bu kullanıcılar Enterasys sistemlerinde ön tanımlı olarak gelmektedir.

DHCP Snooping - Enterasys

DHCP ( Dynamic Host Configuration Protocol) : basit olarak sistemdeki bilgisayarlara IP adreslerini ve buna ek olarak değişik parametreleri atamak için kullanılan servistir.DHCP’nin temel özelliği sistemi kuran kişilerin tek tek tüm makineleri gezip aynı veya benzer parametreleri defalarca eliyle girmesini engellemek,böylece zaman kazanmak ve sistem yöneticisinin işini kolaylaştırmaktır.(*)

DHCP Snooping : Ağda sahte  DHCP sunucusu kuran ve çalıştıran bir kişi, aynı ağda DHCP isteğinde bulunan istemci cihazlara varsayılan ağ geçidi adresi kendisine ait olan bir DHCP cevabı dönebilir. İstemci bu cevabı aldığı andan itibaren ağ geçidi adresi olarak bu sahte adresi kullanmaya başlar ve yerel ağın dışında bir adresi hedefleyen paketleri ilk olarak atak yapan kişinin makinesine yönlenir. Atakçı bu paketleri gitmeleri gereken doğru adreslere kendi üzerinden gönderirken tüm paketleri izleme olanağına sahip olur. Bu, istemci güvenliğini ve gizliliğini açıkça tehdit eden bir durumdur.  Man-in the-middle ataklarının bir türü olan DHCP Snooping atakları tam olarak bu şekilde gerçekleşir.(**)

Enterasys kenar switchler ve router'lar üzerinde "DHCP Snooping" ataklarını engellemek için aşağıdaki gibi adım adım konfigurasyon yapabiliriz.

1- İlk olarak kenar switch ve router üzerindeki uplink ve gerçek DHCP sunucusunun portlarını "trust" olarak işaretlememiz lazım.Örnek olarak 48 portlu bir switch(Enterasys C2/B2) üzerinde 48.port uplink,47.port gerçek DHCP sunucumuzun bağlı olduğunu farzedelim.

# set dhcpsnooping trust port fe.1.47-48 enable

Yukardaki komutta 47 ve 48.portları trust olarak işaretledik.(Gigabit portlar için fe.1.47-48 yerine ge.1.47-48 yazmalısınız.)

2-Trust portları işaretledikten sonra dhcpsnooping'i global olarak devreye alalım.

# set dhcpsnooping enable

3- Eğer global olarak devreye almayıp,sadece belli ya da belirli vlan'lara açmak istiyorsanız aşağıdaki yapabilirsiniz.

# set dhcpsnooping vlan 1 enable

Yukardaki komutta sadece "vlan 1" için aktif ettik.

# set dhcpsnooping vlan 1-10 enable

Bu komutta da vlan 1 ile 10 arası devreye aldık.

4- Şimdi de untrust portlar için(default olarak tüm portlar zaten untrust'tır.Trust portları dhcpsnooping'i devreye almadan önce işaretlemiştik.) limit koyalım.

# set dhcpsnooping limit fe.1.1-46 none

Bu komutla untrust tüm portlara rate limiti "none" yaparak DHCP paketlerinin rahatça geçebilmesini sağladık.Fakat istersek bu limiti "none" değil de "0-50" arasındaki bir değerle sınırlandırabilirdik.

set dhcpsnooping limit fe.1.1-46 rate 50

Yukardaki gibi limiti " 50" yapabiliriz.Limiti "none" yapmanın avantajı eğer bir portun ucuna hub eklenmiş ve birden fazla host bulunuyorsa bunlar rahatça IP alabilecektir.Fakat "rate" limiti kısıtlı tutarsak hub kullanan host'lardan bazıları IP alamayabilirler.

5- Son olarak dhcpsnooping 'i devreye aldıktan sonra router veya switch üzerinde veritabanında IP ve MAC bilgileri yazılır.Bu bilgileri kontrol edelim:

show dhcpsnooping binding

Total number of bindings:  4

MAC Address       IP Address     VLAN   Interface    Type    Lease (min) -----------------  ---------------  ----  -----------  -------  ----------- 00:01:6C:::     10.1.70.165     1      fe.1.12  DYNAMIC           41 00:11:85:::     10.1.70.220     1      fe.1.12  DYNAMIC           45 00:11:85:::     10.1.70.166     1      fe.1.12  DYNAMIC           51 00:1C:25:::     10.1.70.131     1      fe.1.23  DYNAMIC           48

Yukardaki çıktıda portlar üzerindeki IP ve MAC adresi bilgileri,hangi portlarda olduğunu,vlan'larını,DHCP lease sürelerini görebilirsiniz.

** http://www.agciyiz.net/index.php/guvenlik/dhcp-snooping-ataklari/