Unix Isletim Sisteminde Guvenlik
Bilgisayar aglari ve ozellikle Internet, kullanicilara buyuk
olanaklar verirken ciddi guvenlik sorunlarini da beraberinde getirdi.
Aga bagli bir bilgisayarda calisanlarin bu guvenlik sorunlari konusunda
bilgili olmalari zorunlu hale geldi. Ancak guvenlik ile kullanim
kolayliginin cogu zaman birbirleriyle celismesi ve kullanicilarin
secimlerini genellikle kullanim kolayligindan yana kullanmalari guvenlik
onlemlerinin yerlesmesini engelledi. Bu yazi, akademik ortamlarda yaygin
olarak kullanilan Unix isletim sisteminde sistem sorumlularina guvenlik
icin yapabilecekleri konusunda yol gostermek ve kullanicilara
tehlikeleri tanitmak amaciyla hazirlanmistir.
Icindekiler
- Parolalar
- Parolalarin
Sifrelenmesi
- Parola
Secimi
- Tehlikeler
- Onlemler
- Dosya
Guvenligi
- Tehlikeler
- Onlemler
- TCP/IP
Ortaminda Guvenlik
- Tehlikeler
- Onlemler
- Kayit
Tutulmasi
- Guvenlik
Paketleri
- Parola
Guvenligi
- Dosya
Guvenligi
- TCP/IP
Guvenligi
1. Parolalar
Cok-kullanicili isletim sistemlerinde kullanicinin kimliginin
belirlenmesi buyuk onem tasir. Hem sistemi kullanmaya yetkisi olmayan
kisilerin sisteme girmelerinin engellenmesi, hem de sistemdeki
kullanicilarin birbirlerinden ayirdedilebilmeleri icin, her kullaniciya
bir parola verilir ve sisteme giris basta olmak uzere tum kritik
islemlerde kullaniciya parolasi sorulur.
Parolalar, diger kullanici bilgileriyle birlikte, parola dosyasinda
(/etc/passwd) tutulur. Bu dosyadaki her satir, bir
kullanici ile ilgili bilgileri saklar. Bir satirdaki alanlar, sirasiyla,
kullanici adi, parola, kullanici numarasi, grup numarasi, ad, kisisel
dizin ve komut yorumcusudur. Ornek:
uyar:QJ8Dnwg7zfz6c:101:100:H. Turgut Uyar:/home/uyar:/bin/csh
Bazi uygulamalarin parola dosyasinin bazi alanlarina erismeleri
gerektiginden parola dosyasi, sistemdeki butun kullanicilar tarafindan
okunabilecek bir dosya olmalidir. Bu nedenle parolalar bu dosyaya acik
halde degil, sifrelenerek yazilirlar. Ornekteki parola alani, "inettr96"
parolasinin sifrelenmesiyle elde edilmistir.
1.1. Parolalarin Sifrelenmesi
Parolalar, Data Encryption Standard (DES) algoritmasini temel alan
crypt fonksiyonu ile sifrelenir. DES, 64 bitlik bir
giris blogunu, 56 bitlik bir anahtar ile sifreleyip yine 64 bitlik bir
sonuc uretir. crypt ise parolayi anahtar olarak kullanarak sabit bir
giris blogunu sifreler. Giris blogu, uzerinde bazi degisiklikler
yapilmis bir DES algoritmasindan ardarda 25 kere gecirilerek 64 bitlik
bir sonuc elde edilir. Yontemin guvenilirligini artirmak icin, sistem
tarafindan rasgele uretilen, 12 bitlik bir tuz (salt)
sayisi kullanilir. Boylece ayni parolanin 4096 degisik sekilde
sifrelenebilmesi saglanir.
crypt fonksiyonunun giris ve cikislarinin bastirilabilir karakter
katarlari olmasi icin bazi donusturmeler yapilir. 56 bitlik parola
disaridan yaklasik 8 karakter, 12 bitlik tuz da 2 karakter olarak
alinir. Sonuc bilgisi 64 bitlik bir diziden 11 karakterlik bir katara
cevrilir. Bu sonuc, basina tuzun da eklenmesiyle, 13 karakterlik bir
katar olarak parola dosyasina yazilir.
Parola denetimi yapilirken ayni fonksiyondan yararlanilir.
Kullanicinin girdigi parola ile dosyadan okunan tuz fonksiyona verilir
ve cikan sonucun dosyadaki parola alani ile ayni olup olmadigina
bakilir. Ayni ise parolanin dogru oldugu kabul edilir.
1.2. Parola Secimi
Parola yonteminin guvenilirligi, sistemdeki kullanicilarin parola
seciminde gosterdikleri ozene baglidir. Kolay akilda kalacak parolalar,
cogu zaman kolay tahmin edilebilir. Buna karsilik, zor tahmin edilebilen
parolalar da kullanicilarin akillarinda kalmayabileceklerinden bir yere
yazmalarina ve boylece yeni tehlikeler olusturmalarina zemin
hazirlayabilir.
Su tip parolalar kolay tahmin edilebilen parolalar sayilmaktadir:
- Kullanici ile yakinligi olan kisilerinkiler (kendisi, ailesi,
arkadaslari, yakinlari) basta olmak uzere butun erkek ve kadin
isimleri
- Dogum tarihleri
- Kullanici ile ilgili herhangi bir bilgi (kullanici adi, oda
numarasi, telefon numarasi, arabasinin plaka numarasi, sosyal guvenlik
numarasi)
- Yer isimleri
- Bilgisayar terimleri
- Klavyede belli bir duzene gore ardarda gelen harflerden olusan
parolalar (qwerty)
- Anlamli bir sozcuk
- Yalnizca kucuk (ya da yalnizca buyuk) harflerden olusan parolalar
- Yukaridakilerden birinin basina ya da sonuna bir rakam eklenerek
olusturulan parolalar
- Yukaridakilerin ters yazilislari
Iyi bir parola uretmek icin onerilen iki yontem vardir:
- Iki sozcugun aralarina bir rakam ya da noktalama isareti konarak
birlestirilmesi
- Secilen bir cumlenin sozcuklerinin bas harfleri
1.3. Tehlikeler
Parola dosyasina erisimi olmayan bir saldirgan, hedef sectigi bir
kullanicinin parolasini deneyerek bulmak zorundadir. Olasi butun
parolalarin coklugu gozonune alinirsa bu tip bir saldirinin etkisiz
olacagi dusunulebilir. Ancak, cogu sistemde, parolasi bos olan,
kullanici adiyla ayni olan ya da sistem sorumlusunun gecici olarak
verdigi basit parolayi degistirmeyen kullanicilarin sayisi
azimsanamayacak duzeydedir. Bir tek kullanicini bile parolasinin elde
edilmesi sisteme giris icin yeterli oldugundan guvenlik acisindan buyuk
sorunlar yaratabilir.
Saldirgan, parola dosyasinin bir kopyasini alabilirse isi oldukca
kolaylasir. Hem cok daha hizli calisabilir, hem de hedef sistemin
sorumlusunun dikkatini cekmek tehlikesinden kurtulur. Bir saldirganin
parola dosyasini eline gecirmesi birkac sekilde mumkun olabilir:
- Bir kullanicinin parolasini elde ederek sisteme girer ve dosyayi
alir.
- Bazi programlardaki hatalardan yararlanarak sisteme girmeden
dosyayi alir.
- Sistemdeki bir kullanici parola dosyasini saldirgana gonderir.
- Saldirgan, sistemdeki kullanicilardan biridir.
Bir parola dosyasindaki parolalari kirmaya calisan cesitli yazilimlar
bulunmaktadir. Bunlarin en etkililerinden ve en yaygin
kullanilanlarindan biri Crack
isimli programdir.
1.4. Onlemler
Parola guvenliginin en onemli sarti, basta sistem sorumlulari olmak
uzere, butun kullanicilarin iyi parola secmenin onemini kavramalaridir.
Herkes, parolasinin yetkisiz birinin eline gecmesi durumunda kendisi ve
diger kullanicilar acisindan olusan tehlikeleri anlamalidir. Nelerin
kotu parola oldugu ve nasil iyi parola secilebilecegi konusunda
kullanicilar egitilmelidir. Bu kosul gerceklesmedikce asagida sozu gecen
onlemlerin cogu da basarisiz olacaktir.
Parola Seciminin Kullaniciya Birakilmamasi
Parolalar, sistem sorumlusu tarafindan ya da rasgele parola ureten
bir program tarafindan secilerek verilir ve kullanicilara parolalarini
degistirme hakki taninmaz. Bu yontem, iyi parolalar uretmekle birlikte,
kullanicilarin akillarinda tutamayacaklari parolalari bir yere
yazmalarina neden olur. Parola ureten programlar icinde en yaygin
kullanilanlarindan biri mkpasswd
programidir.
Parola Seciminin Kisitlanmasi
Kullanicinin kotu oldugu bilinen bir parola secmesi engellenir. Bunun
icin, verilen parola uzerinde bazi denetlemeler yapan programlar
bulunmaktadir. Sikca onerilenlerden biri anlpasswd
paketidir.
Parola Dosyasinin Sistem Sorumlusu Tarafindan Kirilmasi
Sistem sorumlusu, zaman zaman, parola dosyasini Crack tipi bir
program ile tarayarak zayif parolalari arar. Buldugu zayif parolali
kullanicilarin hesaplarini kilitler.
Parolalarin Gecerlilik Surelerinin Kisitlanmasi
Yeterince sik degistirilmeyen parolalar, kuvvetli de olsalar,
saldirgana aramak icin daha uzun zaman tanidiklarindan tehlike
yaratirlar. Bu nedenle, parolalarin belli bir sure sonunda
gecerliliklerini yitirerek yeni bir parola verilmesi zorunlulugu
getirilebilir. Ancak bu yontem, ancak kullanicilarin iyi niyetiyle
etkili olabilir. Genelde kullanicilar, bu yontemin uygulandigi yerlerde,
birkac parola secerek surekli bunlarin icinde donmek ya da bir sozcugun
sonuna ekledikleri rakami her seferinde artirarak yeni parolalarini
belirlemek egilimindedirler. Boyle yapildigi surece, guvenligin fazla
arttigi soylenemez.
Golge Parolalar
Parola dosyasinin bazi alanlarinin herkes tarafindan okunabilir
olmasi gerekse de, parola alaninin herkes tarafindan okunabilir olmasi
gerekmez. Bu nedenle, sifrelenmis parolalar ancak sistem sorumlusunun
okuyabilecegi bir dosyaya alinabilir. Parola dosyasindaki parola alanina
herhangi bir bilgi yazilirken (kullanici adi, * isareti gibi), golge
dosyasina (/etc/shadow) sifrelenmis parolalar konur.
Shadow
Password Suite isimli program, hem golge parola sistemini getirir
hem de parolalarin gecerlilik surelerinin kisitlanmasini saglar.
2. Dosya Guvenligi
Her dosyanin bir sahibi, bir de grubu vardir. Dosya uzerinde kimin
hangi islemleri yapabilecegine dosyanin sahibi olan kullanici karar
verir. Erisim haklari, dosyanin sahibi, grubu ve digerleri icin ayri
ayri belirtilir. Her biri icin dosyanin okunmasina (read), yazilmasina
(write) ve calistirilmasina (execute) izin verilebilir. Boylece her
dosya icin uc tane ucluden olusan bir erisim haklari listesi elde
edilir. Birinci uclu dosyanin sahibinin, ikinci uclu dosyanin grubunun,
ucuncu uclu digerlerinin haklarini gosterir. Her uclunun birinci alani
okuma, ikinci alani yazma, ucuncu alani calistirma izninin bulunup
bulunmadigini gosterir. Ornekteki ``dene'' dosyasinin sahibi "uyar"
kullanicisi, grubu "users" grubudur. "uyar" kullanicisi dosyayi
okuyabilir, yazabilir ve calistirabilir; "users" grubundaki kullanicilar
okuyabilir ve calistirabilir; diger kullanicilarin ise hicbir hakki
yoktur.
-rwxr-x--- 1 uyar users 4030 Dec 4 15:30 dene
Kataloglar icin de ayni erisim haklari modeli gecerlidir. Bir katalog
uzerindeki okuma izni katalogdaki dosyalarin listesinin alinip
alinamayacagini, yazma izni katalogda yeni bir dosya yaratilip
yaratilamayacagini, calistirma izni de o kataloga gecilip
gecilemeyecegini belirler. Yetkili kullanicinin (root) butun dosyalar ve
kataloglar uzerinde butun islemleri yapma yetkisi vardir.
2.1. Tehlikeler
Dosyanin Izinsiz Olarak Okunmasi
Isletim sisteminde ya da uygulama programlarinda bir hata olmadigi
surece erisim izni olmayanlar dosyayi zaten okuyamayacaklardir. Asil
tehlike, yetkili kullanicinin yetkisini kotuye kullanarak kullanicilarin
kisisel dosyalarini ve mektuplarini okumasidir. Her seye yetkisi olan
bir kullanici, sistemin kararliligini korumak icin gerekli olmakla
birlikte, guvenligi ve ozel bilgilerin gizliligini bir kisinin ahlakina
birakmasi acisindan Unix isletim sisteminin guvenliginin en zayif
noktalarindan biri olarak degerlendirilmektedir.
Dosyanin Yetkisiz Kisilerce Degistirilmesi
Saldirgan, sisteme girince, hem sonraki girislerini kolaylastirmak,
hem de daha rahat calisabilmek icin bazi sistem dosyalarini ya da
programlarini degistirebilir. Ornegin, parola dosyasina bir kayit
ekleyerek kendine yetkili bir kullanici yaratabilir. Kullanicilarin
parolalarini ogrenmek icin login, passwd gibi programlari, sistemde
oldugunun farkedilmesini engellemek icin ps, who gibi programlari,
dosyalarinin listelenmesini engellemek icin ls programini
degistirebilir. Sistem sorumlusunun izinsiz girisi farkederek sistemi
kapatmasi durumuna karsi shutdown programini degistirerek kayit
dosyalarini silebilir ya da daha buyuk zararlar verebilir.
2.2. Onlemler
Parola guvenligi saglandigi surece dosya erisimlerinde fazla bir
guvenlik sorunu olmayacaktir. Bu konuda sistem sorumlusuna dusen,
kullanicilarini erisim haklarini nasil duzenleyecekleri konusunda
bilgilendirmektir.
Dosya Degisikliklerinin Denetimi
Parola dosyasi gibi metin dosyalarinda degisiklik olup olmadigi gozle
inceleme yaparak ya da basit komut satiri programlari kullanarak
aranabilir. Ornegin awk kullanarak, kullanici numarasi 0 olan root
disinda bir kullanici olup olmadigi kolayca bulunabilir.
Calistirilabilir dosyalar gozle kontrol edilemeyeceginden en uygun
yontem, dosya imzalari olusturarak saglam oldugu bilinen imzalarla yeni
hesaplanan imzalari karsilastirmaktir.
Tripwire
paketi, dosyalarda yapilan degisiklikleri farketmekte sistem sorumlusuna
ve kullanicilara yardimci olur.
Sifreleme
Kullanicilar sifreleme yardimiyla dosyalarinin guvenligini daha da
artirabilirler. Bu yontem, hem parolayi ele geciren saldirganlarin, hem
de yetkili kullanicinin dosyayi okumalarini engeller. Ayrica dosya
uzerinde sahibinden baska kimsenin degisiklik yapamamasini da saglar.
Gunumuzde dosya sifrelemekte en yaygin kullanilan program PGP'dir
(Pretty Good Privacy). CFS
(Cryptographic File System) paketi de kullaniciya olabildigince saydam
bir sekilde dosyalari sifreli olarak saklama ve anahtar cumle
kontrolunde olanagi verir.
3. TCP/IP Ortaminda Guvenlik
3.1. Tehlikeler
Paket Dinleyiciler
IP paketleri aga acik halde gonderildiklerinden iletisim fiziksel
olarak tamamiyla guvensizdir. Agdan paketleri alabilen herkes
iceriklerini rahatlikla okuyabilir. Ozellikle, bir ortak yol (bus) ile
gerceklenen aglarda cok belirgin olarak ortaya cikan bu sorun, parolalar
basta olmak uzere pek cok duyarli bilginin kolayca ele gecirilmesine yol
acar.
Adres Sahteciligi
Bir istemci, hizmet almak icin bir sunucuya baglanirken gercege
aykiri bir sayisal ya da sembolik adres bildirebilir. Internet'teki
temel guvenlik sorunlarindan biri, sayisal - sembolik adres donusumleri
icin kullanilan sunucularin yerel sistem sorumlusunun denetimi disinda
olmalari ve cogu protokolun guvenlik kosullarinin saglanabilmesi icin
bunlara gereksinim duymalaridir.
Sunucunun Cokertilmesi
Bir saldirgan, sunucu bir makinayi cokerterek hizmetlerin verilemez
hale gelmesine yol acabilir. Buna su tip aciklar neden olabilir:
- TCP/IP protokol ailesinin tasarimindan kaynaklanan aciklar
- Sunucu sureclerdeki hatalardan kaynaklanan aciklar
- Isletim sistemindeki hatalardan kaynaklanan aciklar
- Hizmetin dogasi geregi verilen olanaklarin kotuye kullanilmasi
Guvenilen Makinalar
rsh, rcp ve rlogin komutlarinin kullanilmasinda parola denetimlerinin
atlanabilmesi icin ya tum kullanicilar icin gecerli sistem dosyasinda
(/etc/hosts.equiv) ya da kullaniciya ozel erisim
dosyasinda (.rhosts) ayarlamalar yapilmalidir. Sistem
dosyasinda yer alan makinalar guvenilen (trusted) makinalar kabul
edilirler ve bu makinalardan baglanan kullanicilarin isimleri yerel
parola dosyasinda varsa parola denetimi yapilmaz. Kisiye ozel dosya ise
ayni islevi kullanici bazinda gorur. Her iki dosyada da makinalarin
simgesel adresleri bulundugundan, bu denetimlerin yaniltilmasi sozkonusu
olabilir. Bu komutlarin kullanildigi aglarda cogu zaman bir makinaya
girilmesi denetimsiz olarak diger makinalara da rahatca gecilebilmesine
yol acar.
3.2. Onlemler
Internet hizmetlerini gerceklestiren programlarin cogu halen uzerinde
gelistirme ve hata ayiklama islemleri suren programlardir. Sistem
sorumlusu, kullandigi programlarin gelisimini izleyerek bilinen hatasi
bulunmayan son surumlerini edinmeli ve calistirmalidir. Ayrica,
Usenet'te guvenlik ile ilgili forumlari izleyerek ve CERT (Computer
Emergency Response Team) onerilerine uyarak guncel olan guvenlik
bosluklarini ogrenmeli ve onlemlerini almalidir.
Gereksiz Sunucularin Kapatilmasi
Yapilabilecek en temel islerden biri, verilmesine gerek olmayan ya da
tasidigi riske degmeyecegi dusunulen hizmetlerin sunucu sureclerini
calistirmamaktir. Sozgelimi, yerel agda hicbir NIS istemci makinasi
bulunmadigi halde bir bilgisayarin NIS sunucu surecini calistiriyor
olmasi gereksiz bir risk icerir. Bazi sistem sorumlulari, kullanici
isimleri ve sistemde kimin calistigi gibi bilgileri disariya aktardigi
icin finger hizmetini tehlikeli bularak kapatirlar. Hizmetin
engellenmesi icin isletim sisteminin acilis dosyalarindan
(/etc/rc.*) ilgili sunuculari calistiran satirlar
kaldirilmalidir. Ust sunucu (superserver - inetd) ile calisan hizmetler
icin konfigurasyon dosyasinda (/etc/inetd.conf) o
hizmet ile ilgili satir kaldirilmalidir.
Sunuculara Erisimin Kisitlanmasi
Bazi durumlarda, hizmeti butunuyle kapatmaktansa, erisimi kosullara
baglamak daha anlamli olabilir. Bu kosullar, hizmetin hangi makinalara,
hangi kullanicilara, hangi saatlerde verilecegi ya da verilmeyecegi
seklinde belirtilebilir. Bu tip kisitlamalar getiren programlarin en
yaygin kullanilanlari tcpwrapper
ve xinetd
paketleridir.
Guvenilen Makinalarin Denetimi
r- komutlarini kullanmak zorunlu degilse, herhangi bir guvenilen
makina tanimlamamak yerinde olur. Zorunluysa, guvenilen makina sayisini
olabildigince az tutmak ve kullaniciya ozel erisim dosyalarina izin
vermemek gerekir, cunku bunlar sistem sorumlusunun denetimi disinda
sisteme giris izni veren dosyalardir. Ayrica, butun guvenilen makinalar
ayni yetkili kullanici tarafindan yonetilmelidir. r-komutlari yerine Secure
Shell paketini kullanmak guvenligi artiracaktir.
Alev Duvarlari (Firewalls)
Guvenligin onem tasidigi yerlerde giderek yayginlasan alev duvari
teknigi, yerel agdaki bilgisayarlarin dis aga dogrudan erisimlerini
kaldirmayi ongorur. Agin yonlendiricisi, agda guvenli calistigi bilinen
yalnizca bir makinanin disariyla baglanti kurmasina izin verir. Diger
bilgisayarlar dis aga cikmak icin bu makinadaki sureclere baglanirlar.
Kukla (proxy) adi verilen bu surecler, yerel agdaki makinalar adina
disari ag ile iletisimde bulunurlar.
Cokca kullanilan alev duvari yontemlerinin birincisinde, hem yerel
aga hem de disariya baglantisi olan makina iki ag arasindaki trafigi
engeller, yani yonlendirme yapmaz. Disaridan gelen paketler uzerinde
cesitli denetimler yaparak istenilen paketleri filtreler. Kukla surecler
duvar makinasinda calisir.
Ikinci yontemde ise bir yonlendirici ile bir kukla sunucusu vardir.
Yonlendirici, yalnizca kukla sunucusuna gelen ya da giden paketlere izin
verir. Gerekli paket filtrelemelerini de yapar. Kukla sunucusunun
gorevi, yine yerel agdaki bilgisayarlarin dis ag ile baglantilarini
gerceklestirmektir.
Alev duvarlarinin guvenligi icin yonlendirici ve kukla sunucusu
makinalarin kesin guvenliklerinin saglanmasi gerekir. Yerel agdaki
kullanicilarin bu makinalarda calismamalari onemli bir unsur olarak
ortaya cikar.
Socks
paketi bir alev duvari arkasindaki bilgisayarlara kukla surecler
yardimiyla dis ag ile hizmet alis-verisinde bulunma olanagi saglar.
4. Kayit Tutulmasi
Guvenligin en onemli parcalarindan biri, sistemin surekli izlenerek,
guvenlige aykiri durumlar olusup olusmadiginin, olustuysa bunlarin
sorumlularinin kimler oldugunun belirlenmesidir. Bunun icin, guvenligi
ilgilendirebilecek her turlu olayin kaydi tutulmalidir. Su tip bilgiler,
guvenlik acisindan deger tasirlar:
- Basarisiz olmus sisteme giris denemeleri
- Basarili olmus sisteme giris denemeleri (hangi kullanicinin, ne
zaman, nereden sisteme girdigi)
- Nerelerden, hangi hizmetler icin baglanti istekleri geldigi
- Hizmetler sirasinda gerceklesen dosya aktarimlari
Unix'de kayit tutulmasi isini syslogd sureci gorur. Hangi tur
mesajlarin hangi dosyaya yazilacagi konfigurasyon dosyasinda
(/etc/syslog.conf) belirtilir. Ag ile ilgili hizmetleri
denetleyen surecler (tcpwrapper, xinetd gibi paketler) kayit dosyalarina
girmesini istedikleri bilgileri syslogd surecine bildirirler.
5. Guvenlik Paketleri
Bu bolumde kisaca tanitilan paketler, Linux isletim sistemi uzerinde
calistigi bilinen paketlerdir. En son versiyonlarinin bulunacagi
sitelere isaretciler verilmistir.
5.1. Parola Guvenligi
Crack
Alec E. Muffett tarafindan gelistirilen Crack, sozluk saldirisi
yontemini kullanan bir parola kirma programidir. Giris olarak verilen
sozluklerdeki sozcukleri parola dosyasindaki tuz bilgileriyle
sifreleyerek parola olarak kullanilip kullanilmadiklarina bakar. Ayrica
sistemin kullanici bilgilerinden de olasi parolalar uretmeye calisir.
Gelismis bir kural tabani yardimiyla, sozluklerdeki sozcukleri yalin
halleriyle denemekle kalmaz, cesitli buyuk - kucuk harf donusumleri,
sozcuge rakam ya da noktalama isareti eklemek, bazi harflerin yerine
baska simgeler kullanmak gibi cokca kullanilan kotu parola tekniklerini
de dener.
ftp://sunsite.unc.edu/pub/linux/system/Admin"
mkpasswd
Don Libes tarafindan gelistirilen expect paketinde yer alan mkpasswd
komutu, parola olarak kullanilabilecek, Ingilizce kurallari icerisinde
okunabilir ama anlamsiz sozcukler uretir. Kullanici adi verilirse
urettigi parolayi sifreleyerek parola dosyasinda kullanicinin alanina
yazar.
http://expect.nist.gov/
anlpasswd
Argonne National Laboratory'de gelistirilen anlpasswd, kullanicilarin
sozluk saldirisi yontemini kullanan parola kiricilar tarafindan
kirilabilecek parolalar secmelerini engellemeye calisir.
ftp://info.mcs.anl.gov/pub/systems
Shadow Password Suite
John F. Hough II tarafindan gelistirilen Shadow Password Suite,
sistemdeki parola guveniligini artirmaya yonelik bir pakettir. Golge
parolalarin yanisira, daha uzun parolalari (16 karakter) desteklemesi ve
parolalarin gecerlilik surelerini kisitlamasi nedeniyle sistem
sorumlularinin cokca kullandigi araclar arasinda yer alir.
ftp://sunsite.unc.edu/pub/linux/system/Admin
5.2. Dosya Guvenligi
Tripwire
Gene H. Kim ve Eugene H. Spafford tarafindan
gelistirilen Tripwire, degistirilen dosyalari farkederek sistem
sorumlusuna bildiren bir pakettir. Once saglam oldugu bilinen dosyalarin
dosya imzalari olusturularak bir yerde saklanir. Sonraki calistirmalarda
imzalar yeniden hesaplanarak eskileriyle karsilastirilir ve farkli
olanlar varsa bildirilir. Duzgun calisma icin ozgun imzalarin iyi
korunmasi, mumkunse, ustune yazilamayan bir ortamda saklanmasi
gerekir.
ftp://coast.cs.purdue.edu/
Pretty Good Privacy
Phil Zimmermann tarafindan gelistirilen PGP, hemen hemen tum yaygin
isletim sistemlerinde calisan bir sifreleme programidir. Hem gizli hem
de acik anahtar kriptografisiyle sifreleme yapabilir. Sifrelemenin
yanisira bir dosya ya da mektubun sayisal olarak imzalanmasini da
saglar. Uzaktaki bir siteden alinan bir programin iceriginin
degistirilmedigini anlamak ya da alinan bir mektubun gercekten iddia
edilen kisiden geldiginden emin olabilmek icin kullanilabilir. Yeni
gelistirilen mektup yazma - gonderme - alma programlarinin cogunda PGP
destegi bulunmaktadir, yani kullanicilar bu programlar yardimiyla
kolayca mektuplarini sifreleyebilir ve imzalayabilirler, ya da aldiklari
mektuplarin gondericisinin kimligini dogrulayabilirler. Tek sorun, karsi
tarafin acik anahtarinin guvenilir bir sekilde elde edilmesidir. Bunun
icin acik PGP anahtarlarini yayinlayan bazi guvenilen siteler
kurulmustur.
ftp://ftp.ox.ac.uk/pub/crypto/pgp
Cryptographic File System
Matt Blaze tarafindan gelistirilen CFS, gizli anahtar sifrelemesi
kullanarak sifreli dosyalar ve kataloglar yaratabilen bir pakettir.
Dosyalarin acilabilmesi icin anahtar cumlenin bilinmesi gerekir.
sifreleme islemlerini bellekte yerlesen bir surec yardimiyla yapar ve
isletim sistemi cekirdeginin yeniden derlenmesini gerektirmez.
ftp://ftp.mathematik.th-darmstadt.de/pub/linux/okir
5.3. TCP/IP Guvenligi
tcpwrapper
Wietse Venema tarafindan gelistirilen tcpwrapper, sunuculara erisimi
baglanti isteginde bulunan makina ve kullaniciya gore kisitlayan ve
baglanti istekleriyle ilgili kayitlar tutan bir pakettir. Iki tane
konfigurasyon dosyasi vardir:
- verilen izinlerin belirtildigi dosya
(/etc/hosts.allow)
- verilmeyen izinlerin belirtildigi dosya
(/etc/hosts.deny)
Genelde yapilan, izin kapama dosyasindan bir hizmeti butun makinalara
kapamak, izin acma dosyasindan da bu hizmetten yararlanabilecek
kullanici, makina ve aglari belirlemektir (ya da tersi).
Bu paket Linux'un Slackware dagitimiyla birlikte gelmektedir.
xinetd
Panagiotis Tsirigotis tarafindan gelistirilen xinetd, standart ust
sunucu surecinin yerini almak uzere hazirlanmis bir pakettir. Istemci
makinanin adresine ve istegin geldigi zamana gore hizmetleri
kisitlayabilir. Baglanti isteklerini kaydedebilir. Yaratilacak sunucu
surec ve yazilacak kayit bilgilerine kisitlama getirerek sunucunun
cokertilmesi riskini azaltir.
ftp://sunsite.unc.edu/pub/linux/system/Network/admin
Secure Shell
Tatu Ylonen tarafindan gelistirilen Secure Shell, r- komutlarinin
islevlerini daha guvenli bir sekilde gormeyi hedefleyen bir pakettir.
Aga gonderilen butun paketleri sifreleyerek ogrenilmelerini ya da
degistirilmelerini engeller.
ftp://ftp.cs.hut.fi/pub/ssh
Socks
David Koblas ve Michelle Koblas tarafindan gelistirilen Socks, kukla
sunucular ve bunlara baglanan istemcilerden olusan bir pakettir. Kukla
sunucular, istegi gerceklestirmeden once istekte bulunan kullanicinin
kimligini dogrularlar. Pakette, ftp, telnet, archie gibi yaygin
kullanilan hizmetlerin kukla sunuculari ile istemcileri yer almaktadir.
Netscape programi da bir Socks sunucusunu kukla sunucu olarak
kullanabilmektedir.
Hazirlayan: H. Turgut Uyar
Duzelteme ve Onerileriniz icin
uyar@cs.itu.edu.tr adresine
gonderirseniz
sevinirm.