15. Türkiye’de İnternet Konferansı’nda Linux Seminerleri

2 Aralık Perşembe D Salonu 16:30-17:15 İnternet Uygulamalarında Özgür Yazılımların Yeri / Mahir B. Aşut

3 Aralık Cuma A Salonu 16:30-18:00 Kripto Yönetmeliği Paneli Yönetici: Özgür Uçkan, Bilgi Ü. Albert Levi, Sabancı Ü. Fatih Özavcı, Linux Kullanıcıları Derneği (LKD) Yaman Akdeniz, Bilgi Ü./Cyber-Law.org Şeref Sağıroğlu, Bilgi Güvenliği Derneği Muzaffer Yıldırım, Bilişim Güvenliği Derneği Yunus Şuayıp Çetin, BTK

4 Aralık Cumartesi C Salonu 10:00-11:30 Pardus Kullanmaya Nasıl Başlayabilirim / Necdet Yücel 12:00-13:00 LKD Kendi İlacını Kullanıyor / Adil Akbaş, Emre Eryılmaz (Wiki, İş Takip Sistemi, Svn, WordPress, Tuxweet, Mailman)

14:00-16:00 Drupal İçerik Yönetim Sistemi / Tugay İltuş Kampüste Etkin Geliştirme Rehberi / Veli Akçakaya, Fatih Günaydın

D Salonu 10:00-11:30 PHP/Zend Çatısına Hızlı Giriş / Eser Sahillioğlu PHP/Zend Çatısı Tabanlı PHP Çatı Tasarımı / Batur Orkun

14:00-16:00 Android’de Yazılım Geliştirme / Ahmet Oğuz Mermerkaya

Yer: İstanbul Teknik Üniversitesi Ayazağa Kampüsü

Sunucu Güvenliği:Dizin izinlerini tarayın

Sisteminizde herkes ve grup tarafından yazılabilir dizinler güvenlik açısından büyük bir risk oluşturur.Bu riski ortadan kaldırmak için sistemimizdeki tüm dizinlerin izinlerini tarayın.

* Sisteminizde herkes ve grup tarafından yazılabilir dizinleri tarayın:

$ find / -type d ( -perm -g+w -o -perm -o+w ) -exec ls -lad {} \;

* Sisteminizde izinleri ayarlanmamış dizinleri tarayın:

$ find / -type d \( -perm -g+w -o -perm -o+w \) \ -not -perm -a+t -exec ls -lad {} \;

Postfix’e zırh giydirin!

Özgür,başarılı ve neredeyse en kolay konfigure edilebilen MTA yazılımı olan "Postfix"i spamlardan korumak için bir kaç yol. "/etc/postfix/main.cf" dosyamızı bir metin editörü ile açıp birkaç konfigurasyon ekleyelim:

# vi /etc/postfix/main.cf
ve aşağıdaki kodları bu dosyaya ekleyelim.

disable_vrfy_command = yes smtpd_delay_reject = yes smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname, reject_invalid_hostname, permit

smtpd_recipient_restrictions = permit_sasl_authenticated, reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_mynetworks, reject_rbl_client list.dsbl.org, reject_rbl_client sbl.spamhaus.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client dul.dnsbl.sorbs.net, permit

Sunucu güvenliği:ssh ile root girişini kapatın!

Eğer halen uzaktaki sunucunuza ssh ile root olarak bağlanıyorsanız hemen kapatın! Sunucuza root ile bağlanıyorsanız büyük risk altındasınız demektir.Çünkü ssh ile root girişine izin vermek büyük bir güvenlik açığıdır.Bu açığı şu şekilde açıklayabiliriz;Sunucunuza brute force bir saldırı olduğunu ve bu saldırıda saldırgan sizin kullanıcı adınızı ve parolanızı tahmin etmeye çalışacaktır.Her linux ya da unix sunucuda bir root kullanıcısı var olduğuna göre,bu root kullanıcısı açık bir hedeftir.Çünkü saldırgan hem kullanıcı adı ve parolayı bulmaya çalışacağına,artık kullanıcı adı için uğraşmasına hiç gerek yoktur.Geriye sadece parolayı tahmin etmek kalıyor.Bahsettiğimiz bu açığı hemen kapatalım ve sunucumuza daha güvenli bir şekilde bağlanalım.

İlk olarak yapmamız gereken ssh'ın ön tanımlı "22" portunu değiştirmek.Çünkü bu portu kullandığınızda saldırganın bu adımı hiç düşünmeden atlamasına olanak tanıyorsunuz.Bunu değiştirmek için kullandığınız bir editör ile " /etc/ssh/sshd_config" dosyasını açın;

# nano /etc/ssh/sshd_config
ve bu dosyada "Port 22 " yazan satırın başında diyez(#) varsa kaldırın ve "22" nci porttan farklı bir port girin.Örnek olarak: "Port 2222" gibi.

Daha sonra aynı dosyada "# Authentication:" bölümünde "#PermitRootLogin yes" yazan satırı bulun ve başındaki diyezi kaldırıp yes yerine no yazın.Bu satırla ssh ile bağlanırken root girişini kapatmış oluyoruz.Örnek satır: " PermitRootLogin no "

Artık bu dosyayı kaydedip kapatın ve kendinize "useradd" ya da "adduser" komutuyla ssh uzaktan bağlantı sağlayacak bir kullanıcı oluşturun,parolanızı belirleyin ve ssh'ı yeniden başlatın.

# /etc/init.d/sshd restart
Bu adımlarla sunucumuzun ssh portunu değiştirip,root girişini kapattık.Artık sunucuya root olarak giriş yapamazsınız.Bu kadar güvenli hayır değil.Bundan daha güvenli bağlanmak için "ssh key" kullanmanız önerilir.

Sunucuya "ssh key " ile bağlanmak için sunucuya bağlantı yapacağımız bilgisayarda bir anahtar oluşturmak lazım.Anahtar oluşturmak için:

$ssh-keygen -b 1024 -t dsa
Bu komutla bir anahtar oluşturup,isterseniz parola belirleyebilirsiniz.Bu komuttan sonra ".ssh" dizininizde bir private bir de public anahtarınız oluşacaktır.Sunucuya bu key ile bağlanmak istiyorsak bir şekilde "id_dsa.pub" adlı dosyayı sunucuya ulaştırmamız lazım.Bunun için ftp,scp vs. yollar kullanılabilir.

Eğer "id_dsa.pub" dosyasını sunucuya ulaştırdıysanız bu anahtara bağlanmak için sunucuda yetki verelim:

$ mkdir ~/.ssh $ chmod 700 ~/.ssh $ cat ~/id_dsa.pub >> ~/.ssh/authorized_keys $ rm ~/id_dsa.pub $ chmod 600 ~/.ssh/authorized_keys
Bu adımlardan sonra sunucumuza bu anahtarla bağlanabiliriz.

NOT:

* Eğer ssh bağlantısını sadece belirli kullanıcılara vermek istiyorsanız, "/etc/ssh/sshd_config" dosyasına "AllowUsers" yazdıktan  bu kullanıcıları ekleyin.Örnek:

AllowUsers ahmet mehmet mustafa kemal

* Eğer belirli kullanıcılarına ssh bağlantısını kapatmak isterseniz, "/etc/ssh/sshd_config" dosyasına "DenyUsers" yazdıktan sonra bu kullanıcıları ekleyin.Örnek:

DenyUsers cuma sercan hamit can

X-Authentication-Warning

SquirrelMail webmail ya da diğer mail client programlarından mail gönderdiğiniz zaman mail header'ınızda aşağıdaki gibi uyarı alıyorsanız;

" X-Authentication-Warning: host.example.com: apache set sender to admin@example.com using -f "

yapmanız gereken "/etc/mail/trusted-users" dosyasına " apache " yi eklemek.

Örnek "trusted-users" dosyası:

# trusted-users - users that can send mail as others without a warning # apache, mailman, majordomo, uucp, are good candidates apache