|
|
| 6. Parola Güvenliği ve Şifreleme |
|---|
| Önceki | Linux Güvenlik NASIL | Sonraki |
|---|
|
|
6. Parola Güvenliği ve Şifreleme -
Bugün en önemli güvenlik özelliklerinden biri parolalardır. Hem sizin hem
de tüm kullanıcılarınız için, güvenli, tahmin edilemeyen parolalara sahip
olmak önemli bir konudur. Yakın zamanlı Linux dağıtımlarının çoğu, kolay
tahmin edilebilir bir parola belirlemenizi engelleyen passwd
programları ile birlikte gelir. passwd programınızın
güncel ve bu özelliklere sahip olduğundan emin olun.
-
Şifrelemenin derinlemesine tartışılması bu belgenin konusu ötesindedir,
ama bir giriş yapılabilir. Şifreleme gerçekten yararlıdır, hatta bu zaman
ve çağda gereklidir de. Şifrelemenin bir çok yöntemi vardır ve her biri
kendi özellikler kümesini birlikte getirir.
-
Bir çok Unix (ve Linux bir istisna değil), parolalarınızı şifrelemek için
çoğunlukla tek yönlü, DES (Data Encryption Standard - Veri Şifreleme
Standardı) adında bir algoritma kullanır. Şifrelenmiş parola (tipik
olarak) /etc/passwd veya (daha az sıklıkla)
/etc/shadow dosyasının içinde tutulur. Sisteme giriş
yapmaya kalktığınızda, girmiş olduğunuz parola tekrar şifrelenir, ve
parola dosyalarının içindeki ile karşılaştırılır. Eğer uyarsa, o zaman
aynı parola olmalı demektir, ve erişime izin verilir. DES aslında iki
yönlü bir şifreleme algoritmasıdır (doğru anahtar olduğunda, bir mesajı
şifreleyebilir veya şifreli bir mesajın şifresini çözebilirsiniz).
Bununla beraber, DES'in Unixler üzerindeki değişik biçimi tek yönlüdür.
Bunun anlamı, /etc/passwd (veya /etc/shadow)
dosyasının içindeki şifrelenmiş parolaya bakarak, şifreleme algoritmasını
tersine çevirmek yoluyla parolayı bulmak mümkün olmamalıdır.
-
"Crack" veya "John the Ripper" (Bkz. "Crack" ve "John the Ripper"
programlarında olduğu gibi kaba kuvvet saldırıları, parolanızı
yeterince rastgele değilse bulabilir. PAM modülleri (aşağıda),
parolalarınız ile birlikte başka bir şifreleme algoritmasının
kullanılmasına izin verir (MD5 vb.). Crack programını kendi lehinizde de
kullanabilirsiniz. Kendi parola veritabanınızı, güvensiz parolalara karşı
Crack programını çalıştırarak düzenli olarak denetlemeyi düşünün.
Güvensiz parolaya sahip kullanıcıyla iletişim kurarak, parolasını
değiştirmesini isteyebilirsiniz.
-
İyi bir şifrenin nasıl seçildiği hakkında bilgi almak için
http://consult.cern.ch/writeup/security/security_3.html adresine
gidebilirsiniz.
6.1. PGP ve Açık Anahtarlı Şifreliyazım -
Açık anahtarlı şifreliyazım, örneğin PGP'de kullanılan gibi, bir anahtarı
şifreleme, diğer bir anahtarı da şifre çözme için kullanır. Geleneksel
şifreleme tekniklerinde, şifreleme ve şifre çözme için aynı anahtar
kullanılır. Bu anahtarın, her iki tarafta da bulunması, dolayısıyla bir
şekilde bir tarafdan diğer tarafa güvenli şekilde aktarılmış olması
gerekir.
-
Şifreleme anahtarının güvenli aktarımını kolaylaştırmak için, açık
anahtarlı şifreleme iki ayrı anahtar kullanır: bir açık anahtar ve
bir de özel anahtar. Herkesin açık anahtarı diğerlerine şifreleme
yapabilmesi amacıyla "açık"tır, ama herkes özel anahtarını, doğru
açık anahtarla yapılmış şifreyi açabilmek için diğerlerinden gizli
tutar.
-
Hem açık anahtarın hem de gizli anahtar şifreliyazımın bazı avantajları
vardır. İkisi arasındaki farklar hakkında bilgi edinmek için the
the RSA Cryptography FAQ (RSA
Şifreliyazım SSS) belgesine göz atabilirsiniz.
-
PGP (Pretty Good Privacy, Oldukça İyi -Kişisel- Gizlilik) Linux'ta iyi
desteklenir. 2.6.2 ve 5.0 sürümlerinin iyi çalıştığı biliniyor. İyi bir
PGP tanıtımı ve nasıl kullanıldığı ile ilgili bilgiyi PGP SSS içermektedir:
http://www.pgp.com/service/export/faq/55faq.cgi
-
Ülkeniz için uygun sürümü kullandığınızdan emin olun. ABD Hükümetinin
dışsatım sınırlamalarından dolayı, güçlü şifrelemenin elektronik
yollarla ülke dışına aktarılması yasaktır.
-
ABD dışsatım denetimleri, artık ITAR tarafından değil, EAR (Export
Administration Regulations - Dışsatım Yönetim Düzenlemeleri) tarafından
idare edilmektedir.
-
Ayrıca, Linux üzerinde PGP yapılandırmasını adım adım anlatan bir rehber
http://mercury.chem.pitt.edu/~angel/LinuxFocus/English/November1997/article7.html
adresinde bulunmaktadır. Bu rehber PGP'nin uluslararası sürümleri için
yazılmıştır, ama ABD sürümü için de uyarlanabilir. Bunun yanısıra
Linux'un son sürümleri için bir yamaya ihtiyacınız olabilir. Bu yamaya
ftp://metalab.unc.edu/pub/Linux/apps/crypto adresinden
ulaşabilirsiniz.
-
PGP'nin ücretsiz ve açık kaynak şekliyle yeniden hayata geçirme amacını
taşıyan bir proje var. GnuPG, PGP'nin yerini alacak tamamlanmış ve
ücretsiz bir yazılım. IDEA veya RSA'yı kullanmadığı için sınırlandırma
olmaksızın kullanılabilir. GnuPG aşağı yukarı OpenPGP ile uyumlu.
Daha fazla bilgi için GNU Gizlilik Nöbetçisi ana sayfasına bakabilirsiniz:
http://www.gnupg.org/.
-
Şifreliyazım ile ilgili daha fazla bilgi RSA şifreliyazım SSS'ında
bulunabilir:
http://www.rsa.com/rsalabs/newfaq/. Burda, "Diffie-Hellman",
"Açık-Anahtarlı Şifreliyazım", "Sayısal Sertifika" vb. konular
hakkında bilgi bulabilirsiniz.
6.2. SSL, S-HTTP, HTTPS ve S/MIME -
Kullanıcılar sık sık çeşitli güvenlik ve şifreleme protokolleri
arasındakı farkları, ve nasıl kullanıldıklarını sorar. Bu bir
şifreleme belgesi olmamakla birlikte her bir protokolün ne
olduğunu ve daha fazla bilginin nerde bulunabileceğini
açıklamak iyi bir fikir olabilir.
-
SSL: - SSL, veya Secure Sockets
Layer (Güvenli Soket Katmanı), Netscape tarafından İnternet
üzerinde güvenlik sağlamak amacıyla geliştirilen bir şifreleme
yöntemidir. SSL veri aktarım katmanında işlev görür, güvenli bir
şifreli veri kanalı oluşturduğu için bir çok veri tipini
şifreleyebilir. Bu en yaygın olarak, Communicator güvenli bir
WWW sitesine bağlandığı, ve güvenli bir belgeyi görüntülemek
istediğinde görülür. SSL, Netscape Communications şirketinin
diğer veri şifrelemelerinin olduğu kadar, Communicator'ın da
güvenli iletişim temellerini oluşturur. Daha fazla bilgi için
http://www.consensus.com/security/ssl-talk-faq.html
adresine bakabilirsiniz. Netscape'in güvenlikle ilgili hayata
geçirdiği diğer örnekler, ve bu protokoller için iyi bir
başlangıç noktası da
http://home.netscape.com/info/security-doc.html
adresinde bulunabilir.
-
S-HTTP: - S-HTTP, İnternet
üzerinde güvenlik servislerini sağlayan bir diğer protokoldür.
Tasarlanma amacı gizlilik, kimlik doğrulama, bütünlük, ve inkar
edememe (kendisinden başkası olduğunu söyleyememe) olan S-HTTP,
aynı zamanda birden çok anahtar-yönetimi mekanizmasını ve
şifreleme algoritmasını, taraflar arasındaki aktarımda yer alan
seçenek kararlaştırılması yoluyla destekler. S-HTTP, kendisini
hayata geçirmiş olan belirli yazılımlarla sınırlıdır, ve her bir
mesajı ayrı ayrı şifreler (RSA Şifreliyazım SSS, Sayfa 138)
-
S/MIME: - S/MIME, veya Güvenli
Çokamaçlı İnternet Mektup Uzantısı (Secure Multipurpose Internet
Mail Extension), elektronik mektup ve İnternet üzerindeki diğer
mesajları şifrelemek için kullanılan bir şifremele standardıdır.
RSA tarafından geliştirilen açık bir standarttır, dolayısıyla bir
gün Linux üzerinde görme olasılığımız yüksektir. S/MIME ile ilgili
daha fazla bilgi
http://home.netscape.com/assist/security/smime/overview.html
adresinde bulunabilir.
6.3. Linux IP Güvenliği'nin (IPSec) Hayata Geçirilmesi -
CIPE ve diğer veri şifreleme biçimlerinin yanında, IPSEC'in de Linux
için bir kaç hayata geçirilme örneği vardır. IPSEC, IP ağ düzeyinde
şifreliyazımsal-güvenli iletişimler yaratmak, ve kimlik doğrulama,
bütünlük, erişim denetimi ve gizlilik sağlayabilmek amacıyla IETF
tarafından gösterilen bir çabadır. IPSEC ve İnternet taslağı üzerinde
daha fazla bilgiye
http://www.ietf.org/html.charters/ipsec-charter.html adresinden
ulaşabilir, ayrıca anahtar yönetimini içeren diğer protokollere, ve bir
IPSEC mektuplaşma (haberleşme) listesi ve arşivlerine ulaşabilirsiniz.
-
Arizona Üniversitesi'nde geliştirilen, Linux için x-çekirdek (x-kernel)
uygulaması, x-çekirdek adı verilen ağ protokollerinin hayata geçirilmesi
için nesne tabanlı bir iskelet kullanır. Bununla ilgili bilgi
http://www.cs.arizona.edu/xkernel/hpcc-blue/linux.html adresinde
bulunabilir. En basit anlatımla, x-çekirdek, mesajların çekirdek
düzeyinde aktarılması yöntemidir, ki bu hayata geçirilmesini
kolaylaştırır.
-
IPSEC'in ücretsiz bir diğer uygulaması da Linux FreeS/WAN IPSEC'tir.
WWW sayfalarında belirtildiğine göre,
"Bu servisler, güvenmediğiniz ağların içinde güvenli tüneller
oluşturmanızı sağlar. Güvenilmeyen ağdan geçen herşey IPSEC ağ
geçidi tarafından şifrelenir ve diğer uçtaki ağ geçidinde şifresi
çözülür.
Sonuç bir Sanal Özel Ağ, yani VPN'dir (Virtual Private Network).
Bu, bir takım farklı sitelerdeki güvensiz İnternet ile birbirine
bağlı bulununan makineler içerdiği halde, etkin anlamda özel bir
ağdır."
|
|
-
Bilgisayarınıza indirmek isterseniz,
http://www.xs4all.nl/~freeswan/,
adresinden ulaşabilirsiniz. Bu belge yazıldığı sırada
[20] sürüm 1.0 henüz
çıkmıştı.
-
Diğer şifreleme biçimleri gibi, bu da dışsatım sınırlamaları nedeniyle
çekirdek ile birlikte dağıtılmıyor.
6.4.
ssh (Güvenli Kabuk) and stelnet
-
ssh ve stelnet uzak sistemlere
giriş yapabilmenizi, ve şifreli bir bağlantı kurabilmenizi sağlayan
programlar grubudur.
-
openssh ise rlogin,
rsh ve rcp'nin yerine geçen
güvenli bir programlar grubudur. Kullanıcıların kimliğini doğrulamak
için ve iki bilgisayar arasındaki iletişimi şifrelemek için açık
anahtarlı şifreliyazım tekniğini kullanır. Uzaktaki bir bilgisayara
güvenli şekilde giriş yapmak veya bilgisayarlar arasında veri kopyalama
yapmak, ama bu sırada gelebilecek ortadaki-adam (oturum kaçırma) ve
DNS taklit saldırılarını engellemek amacıyla kullanılabilir.
Bağlantılarınız arasındaki verilerı sıkıştırır, ve bilgisayarlar
arasındaki X11 iletişimini güvenli hale getirir.
-
Şu anda bir çok ssh uygulaması mevcut. Data Fellows
tarafından hayata geçirilen özgün ticari sürümü http://www.datafellows.com
adresinde bulunabilir.
-
Mükemmel Openssh uygulamasında, Data Fellows ssh'sinin önceki
sürümlerinden biri taban oluşturmuş, ve patentli veya tescilli herhangi
bir parça bulunmaması için tamamen yeniden bir çalışma yapılmıştır.
BSD lisansı altında ücretsiz olarak dağıtılmaktadır: http://www.openssh.com.
-
ssh'yi sıfırdan yeniden yazmak amacıyla, "psst..." adıyla başlatılan
bir açık kaynak kodlu bir proje daha mevcut. Daha fazla bilgi için:
http://www.net.lut.ac.uk/psst/
-
ssh'yi Windows iş istasyonunuzdan Linux
ssh sunucunuza bağlanmak amacıyla da kullanabilirsiniz.
Ücretsiz olarak dağıtılan bir çok Windows istemcisi de mevcut, bunlardan
birine
http://guardian.htu.tuwien.ac.at/therapy/ssh/ adresinden
ulaşabilirsiniz. Data Fellows'un ticari bir uygulamasına ise
aşağıdaki adresten ulaşılabiliyor olmalı: http://www.datafellows.com.
-
SSLeay, Netscape'in Güvenli Soket Katmanı protokol uygulamasının, Eric
Young tarafından yazılan ücretsiz bir sürümü. Güvenli telnet gibi bazı
uygulamalar, Apache için bir modül, bir takım veritabanları, ve DES,
IDEA, ve Blowfish algoritmaları SSLeay'in içinde bulunabilir.
-
Bu kütüphaneyi kullanarak, telnet bağlantısı üzerinde şifreleme yapan
güvenli bir telnet uygulaması oluşturuldu. SSH'nin tersine, stelnet
SSL'yi, Netscape tarafından geliştirilen Güvenli Soket Katmanı'nı
kullanıyor. Güvenli telnet ve Güvenli FTP hakkında bilgiyi SSLeay
SSS'ından başlayarak bulabilirsiniz:
http://www.psy.uq.oz.au/~ftp/Crypto/.
-
Bir diğer güvenli telnet/ftp uygulaması ise SRP. WWW sayfalarından:
-
"SRP projesi, dünya çapında ücretsiz kullanım için güvenli İnternet
yazılımı geliştiriyor. Tamamen güvenli bir Telnet ve FTP dağıtımından
başlayarak, ağ üzerindeki zayıf kimlik doğrulama sistemlerini
değiştirmeyi, bunu yaparken de güvenlik uğruna kullanıcı-dostluğunu
kurban etmemeyi amaçlıyoruz.
Güvenlik, öntanımlı olmalı, bir seçenek değil!"
|
|
-
Daha fazla bilgi için:
http://www-cs-students.stanford.edu/~tjw/srp/
6.5. PAM - Takılabilir Kimlik Doğrulama Modülleri -
Red Hat Linux dağıtımlarının yeni sürümleri, "PAM" adı verilen birleşmiş
bir kimlik doğrulama tasarımı ile birlikte geliyor. PAM, kimlik
doğrulama yöntem ve gereksinimlerinizi çalışma kesilmeksizin
değiştirmenize izin veriyor, ve ikililerinizin yeniden derlenmesine
gerek bırakmaksızın bütün yerel kimlik doğrulama yöntemlerinizi
çevreliyor. PAM yapılandırması, bu belgenin konusu dışında, bununla
birlikte daha fazla bilgi için PAM sitesini şöyle bir gözden geçirmeyi
ihmal etmeyin:
http://www.kernel.org/pub/linux/libs/pam/index.html.
-
PAM ile yapabileceklerinizden sadece bir kaçı:
-
-
Parolalarınız için DES'ten başka bir şifreleme kullanma
(Böylelikle kaba kuvvet saldırılarını daha da zorlaştırma)
-
Tüm kullanıcılarınızın üzerinde, kaynak sınırlandırmaları
koyabilme, böylelikle servis-reddi saldırılarını engelleme
(işlem sayısı, bellek miktarı vb.)
-
Çalışma kesilmeksizin gölge parolaya geçiş olanağı (aşağıya bakın)
-
Belirli kullanıcıların, sadece belirli zamanlarda ve belirli
yerlerden giriş yapmalarına izin verme
-
Sisteminizi bir kaç saat içinde kurduktan ve yapılandırdıktan sonra, bir
çok saldırıyı gerçekleşmeden durdurabilirsiniz. Örneğin, kullanıcıların
ev dizinlerindeki .rhosts dosyalarının kullanımını
engellemek için, sistem genelinde /etc/pam.d/rlogin
dosyasına aşağıdaki satırları ekleyerek PAM'i kullanabilirsiniz:
#
# Kullanıcılar için rsh/rlogin/rexec kullanımını yasakla
#
login auth required pam_rhosts_auth.so no_rhosts
|
|
6.6. Şifreliyazımsal IP Sarma (CIPE) -
Bu yazılımın birincil amacı (gizlice dinleme, trafik çözümlemesi ve
araya sahte mesaj sokmaya karşı), İnternet gibi güvensiz paket ağı
boyunca oluşturulan alt ağ bağlantılarını güvenli hale getirmede bir
kolaylık sağlamaktır.
-
CIPE veriyi ağ düzeyinde şifreler. Bilgisayarlar arasında ağ üzerinde
seyahat eden paketler şifrelenir. Şifreleme motoru, paketleri alan ve
gönderen sürücüye yakın bir yerdedir.
-
Bu, verileri soket düzeyinde bağlantılara göre şifreleyen SSH'den farklıdır.
Farklı bilgisayarda çalışan programlar arası mantıksal bağlantılar şifrelenir.
-
CIPE, Sanal Özel Ağ yaratmak amacıyla tünellemede kullanılabilir.
Düşük-düzey şifrelemenin, uygulama yazılımında değişiklik yapmaksızın
VPN'de bağlı iki ağ arasında şeffaf şekilde çalıştırılabilme getirisi
vardır.
-
CIPE belgesinden özet:
-
IPSEC standartları, (diğer şeyler arasında) şifrelenmiş VPN'ler
oluşturmak için kullanılabilecek protokoller kümesini tanımlar.
Bununla birlikte, IPSEC, bir çok seçeneği olan ağır ve karışık
bir protokol kümesidr, protokolün bütün olarak hayata geçirilebildiği
durumlar nadirdir ve bazı konular (anahtar idaresi gibi) tam olarak
çözülmemiş durumdadır. CIPE, değiştirgelenebilen bir çok şeyin
(kullanılan asıl şifreleme algoritmasının seçimi gibi) kurulum
zamanındaki sabit bir seçim olduğu daha basit bir yaklaşım kullanır.
Bu esnekliği kısıtlar, ama daha basit (ve dolayısıyla daha etkili,
böcek ayıklamasını kolaylaştıran) bir uygulama olanağı sağlar.
|
|
-
Daha fazla bilgi
http://www.inka.de/~bigred/devel/cipe.html
adresinde bulunabilir.
-
Diğer şifreleme biçimleri gibi, dışsatım kısıtlamaları yüzünden çekirdek
ile birlikte dağıtılmamaktadır.
-
Kerberos, MIT'teki (Massachusetts Teknoloji Enstitüsü) Athena Projesi
tarafından geliştirilen bir kimlik doğrulama sistemidir. Kullanıcı
sisteme giriş yaptığında, Kerberos kullanıcının kimliğini doğrular
(bir parola kullanarak), ve kullanıcıya ağa dağılmış diğer sunucular
ve bilgisayarlara kimliğini kanıtlamak için bir yol sağlar.
-
İşte bu kimlik doğrulama rlogin gibi programlar
tarafından kullanılır (.rhosts dosyası yerine), ve
kullanıcıya diğer bilgisayarlara parolasız girebilmesi için izin verilir.
Bu kimlik doğrulama yöntemi posta sistemi tarafından da mektubun doğru
kişiye dağıtıldığından emin olmak, ve gönderen kişinin iddia ettiği
kişi olduğunu garanti altına almak amacıyla kullanılabilir.
-
Kerberos ve birlikte gelen diğer programlar, kullanıcıların başka birini
"taklit" yoluyla sistemi yanıltmasını engeller. Ne yazık ki, Kerberos'u
kurmak kökten değişiklik ister, bir çok standard programın yenileriyle
değiştirilmesini gerektirir.
-
Kerberos hakkında daha fazla bilgi almak için
the kerberos FAQ (SSS)'a, kodu almak içinse http://nii.isi.edu/info/kerberos/
adresine bakabilirsiniz.
-
[Kaynak: Stein, Jennifer G., Clifford Neuman, and Jeffrey L. Schiller.
"Kerberos: An Authentication Service for Open Network Systems
(Kerberos: Açık Ağ Sistemleri için Bir Kimlik Doğrulama Servisi")
USENIX Konferans Tutanakları, Dallas, Texas, Winter 1998.]
-
Kerberos, bilgisayarınızın güvenliğini iyileştirmede ilk adımınız
olmamalı. Oldukça kapsamlı olduğu gibi, örneğin SSH kadar yaygın
olarak da kullanılmamaktadır.
-
Gölge parolalar, şifrelenmiş parola bilgilerinizi normal kullanıcılardan
gizli tutmanın bir yoludur. Hem Red Hat hem de Debian Linux dağıtımlarının
yeni sürümleri, gölge parolaları var sayılan yapılandırmada kullanıyor,
fakat diğer sistemlerde, şifrelenmiş parolalar, herkesin okuyabileceği
şekilde /etc/passwd dosyasında saklanıyor. Herhangi
biri bunlar üzerinde parola-tahmin programları kullanarak ne olduklarını
bulmaya çalışabilir. Gölge parolalar ise tam tersine
/etc/shadow dosyasında saklanır, ve sadece yetkili
kullanıcılar okuyabilir. Gölge parolalar, kullanılabilmek için, parola
bilgisine erişime gereksinim duyan bütün yararlı programlar tarafından
destekleniyor olmalıdır. PAM (yukarıda) de bir gölge modülünün
takılmasına izin verir, ve çalıştırabilir dosyaların yeniden derlenmesini
gerektirmez. Daha fazla bilgi için Shadow-Password HOWTO (Gölge-Parola NASIL)
dosyasına başvurabilirsiniz:
http://metalab.unc.edu/LDP/HOWTO/Shadow-Password-HOWTO.html.
Yalnız oldukça eski olabilir ve PAM'ı zaten destekleyen dağıtımlar için
gerek yoktur.
6.9. "Crack" ve "John the Ripper" -
Herhangi bir nedenle passwd programı tahmini-zor
parolalar seçmeye zorlayamıyorsa, bir parola-kırıcı program çalıştırmak,
ve kullanıcılarınızn parolalarının güvenli olduğundan emin olmak
isteyebilirsiniz.
-
Parola kıran programlar basit bir düşünceye dayanarak çalışır:
Sözlükteki her sözcüğü, ve sözcüklerden türeyen ifadeleri dener.
Önce bunları şifreler, daha sonra sistemdeki şifrelenmiş parola ile
karşılaştırır. Eğer birbirini tutarsa, parolayı bulmuş olurlar.
-
En dikkate değer ikisi "Crack" ve "John the Ripper" olmak üzere
(
http://www.openwall.com/john/) ortalarda dolaşan bir kaç program
mevcuttur. Bu programlar çok fazla işlemci zamanı alırlar, fakat önce
kendiniz çalıştırarak ve zayıf parolası olan kullanıcıları farkederek
herhangi bir saldırganın bunları kullanarak sisteme girip giremeyeceğini
öğrenebilirsiniz. Dikkat edilmesi gereken bir nokta, bir saldırganın bu
programları kullanabilmesi için, önce başka bir delik kullanarak
/etc/passwd dosyasını okumuş olması gerekir ve bu tür
delikler düşündüğünüzden daha yaygındır.
-
Güvenlik, en güvensiz bilgisayar kadar güçlü olduğundan, belirtilmelidir
ki, eğer ağınızda Windows makineler varsa L0phtCrack programına da bir göz
atmak isteyebilirsiniz. L0phtCrack Windows için bir parola kırma
uygulamasıdır: http://www.l0pht.com
6.10. CFS - Şifreliyazımsal Dosya Sistemi ve TCFS - Şeffaf Şifreliyazımsal
Dosya Sistemi -
CFS bütün dizin ağaçlarını şifrelemenin, ve kullanıcıların bu dizinlerde
şifreli dosyalar saklayabilmesini sağlamanın bir yoludur. Yerel makinede
çalışan bir NFS sunucusundan yararlanır. RPM dosyalarını, http://www.zedz.net/redhat/
adresinden, ve nasıl çalıştığı hakkında daha fazla bilgiyi ise
ftp://ftp.research.att.com/dist/mab/ adresinden bulabilirsiniz.
-
TCFS, dosya sistemine daha fazla bütünlük katarak CFS'in geliştirilmiş
halidir, böylece dosya sisteminin şifrelenmiş olduğu kullanıcılara
şeffaf olur. Daha fazla bilgi: http://www.tcfs.it/.
-
Ayrıca tüm dosya sistemleri üzerinde de kullanılabilir. Dizin ağaçları
üzerinde de çalışılabilir.
6.11. X11, SVGA ve Görüntü Güvenliği -
Saldırganların parolalarınızı yazarken çalmasını, ekranda okuduğunuz
belge ve bilgileri okumasını, hatta root erişimi sağlama için bir delik
kullanmasını engellemek amacıyla, çizgesel görüntünüzü güvenli hale
getirmeniz önem taşır. Ağ üzerinde uzak X uygulamaları çalıştırmak da,
koklayıcıların uzak sistemle olan tüm etkileşiminizi görmeleri açısından,
tehlike dolu olabilir.
-
X bir takım erişim-denetim mekanizmalarına sahiptir. Bunların en basiti
bilgisayar bazında olandır. Görüntünüze erişmesine izin verdiğiniz
bilgisayarlar için xhost programını kullanırsınız.
Bu kesinlikle çok güvenli değildir, çünkü biri makinenize erişim
sağlarsa, xhost + saldırganın makinesi yaparak
rahatlıkla girebilir. Ayrıca, güvensiz bir makineden erişime izin
verirseniz, oradaki herhangi biri görüntünüzü bozabilir.
-
Giriş yapmak için xdm (X Display Manager, X Görüntü
Yöneticisi) kullanırken, çok daha iyi bir erişim yönteminiz vardır:
MIT-MAGIC-COOKIE-1. 128 bitlik bir kurabiye üretilir ve
.Xauthority dosyanızda saklanır. Eğer uzak bir
makineye görüntü erişim izni vermek isterseniz, xauth
komutunu ve .Xauthority dosyanızdaki bilgiyi bunu
sağlamak için kullanabilirsiniz. Remote-X-Apps mini-howto
(Uzak-X-Uygulamaları Mini-NASIL) belgesine bir göz atabilirsiniz:
http://metalab.unc.edu/LDP/HOWTO/mini/Remote-X-Apps.html.
-
Güvenli X bağlatıları için ssh (bkz.
ssh (Güvenli Kabuk) and stelnet
) da kullanabilirsiniz. Bunun
son kullanıcıya şeffaf olması avantajı vardır, ve ağda şifrelenmemiş
hiç bir veri akışının olmadığı anlamına gelir.
-
Ayrıca, X sunucunuzu '-nolisten tcp' seçeneği ile çalıştırarak,
uzaktan erişimi tamamen kapatabilirsiniz. Bu, sunucunuza tcp soketleri
üzerinden herhangi bir ağ bağlantısına engel olacaktır.
-
X güvenliği ile ilgili daha fazla bilgi için Xsecurity
man sayfasına bir göz atın. En güvenilir yol, konsola giriş yapmak için
xdm, üzerinde X programları çalıştırmak istediğiniz
uzak sitelere gitmek içinse ssh kullanmaktır.
-
SVGAlib programları, Linux makinenizin video donanımına erişmek için
tipik olarak SUID-root'tur. Bu onları çok tehlikeli yapar. Eğer
göçerlerse, kullanılır bir konsol almak için tipik olarak makinenizi
yeniden başlatmak zorunda kalırsınız. SVGA programlarınızın düzgün
olduğundan, en azından bir şekilde güvenilir olduğundan emin olun.
Daha da iyisi, hiç çalıştırmayın.
6.11.3. GGI (Genel Çizgesel Arabirim Projesi) -
Linux GGI projesi, Linux'ta video arabirimlerinden kaynaklanan bir
takım problemleri çözmeyi deneyen bir projedir. CGI, bir parça video
kodunu Linux çekirdeğine taşır, sonra video sistemine erişimi
denetler. Bu, çekirdeğinizin iyi bir durumunun herhangi bir zamanda
tekrar çağrılabileceği anlamına gelir. Verdikleri güvenli anahtar
sayesinde, konsolunuzda çalışan bir Truva atı login
programının olmadığından emin olabilirsiniz. http://synergy.caltech.edu/~ggi/
|
