Home :: International :: Manuals :: Howto :: FAQ :: Man Pages :: Email Login
 
 

 
3. Fiziksel Güvenlik
Önceki Linux Güvenlik NASIL Sonraki

3. Fiziksel Güvenlik

Güvenliğin dikkate almanız gereken ilk katmanı bilgisayar sistemlerinizin fiziksel güvenliğidir. Makinenize kimler doğrudan erişim sağlayabiliyor? Sağlamalılar mı? Makinenizi kurcalamalarını engelleyebiliyor musunuz? Engellemeli misiniz?

Sisteminizde ne kadar fiziksel güvenliğe gereksinimiz olduğu, durumunuza ve/veya bütçenize bağlıdır.

Eğer bir ev kullanıcı iseniz, büyük olasılıkla çok fazla gereksiniminiz yoktur (tabii ki makinenizi çocuklardan veya rahatsız edici akrabalarınızdan korumanız gerektiğini düşünebilirsiniz). Eğer bir laboratuvardaysanız, ciddi anlamda daha fazlasına ihtiyacınız vardır, ama kullanıcıların da aynı zamanda işlerini makineler üzerinde yapabilmesi gerekir. İzleyen bölümler bu konuda yardım etmeye çalışacak. Eğer bir ofisteyseniz, makinenizi mesai saatleri dışında, veya makinenizin başında değilken daha güvenli hale getirmeye ihtiyacınız olabilir veya olmayabilir de. Bazı şirketlerde, konsolun güvensiz bir durumda bırakılması işten çıkarılma sebebi olabilir.

Kilitler, (elektrikli) teller, kilitli dolaplar, ve kamerayla izleme gibi apaçık fiziksel güvenlik yöntemlerinin hepsi iyi fikir olmakla birlikte bu belgenin konusu ötesindedir. :)

3.1. Bilgisayar Kilitleri

Yeni PC'lerin çoğunda bir "kilitleme" özelliği bulunur. Genellikle bu, kasanın önünde yer alan ve beraberinde gelen anahtar kullanılarak açılıp kapanabilir bir kilittir. Kasa kilitleri PC'nizin çalınmasını, ya da kasanın açılarak donanımınıza doğrudan bir müdahele edilmesini veya parçaların çalınmasını engeller. Bazı durumlarda bilgisayarınızın kapatılıp, disket veya başka donanım ile yeniden açılmasının engellenmesini de sağlayabilirler.

Bu kasa kilitleri, ana karttaki desteğe, ve kasanın nasıl yapıldığına göre değişik şeyler de yapabilir. Bazı PC'lerde bu kilitler öylesine yapılmıştır ki kasayı açmak için kırmanız gerekir. Diğer bazı PC'lerde ise, yeni bir klavye ya da fare takmanıza izin vermezler. Bununla ilgili bilgiyi kasanızın veya ana kartınızın kullanım rehberinde bulabilirsiniz. Kilitler genelde düşük kalitelidir ve uygun bir maymuncukla kolayca açılabilirler, ama buna rağmen bazı durumlarda gerçekten etkili bir koruma yöntemi olabilirler.

Bazı makinelerin (SPARClar ve Mac'ler dikkate değer), arka taraflarında içinden bir telin geçebileceği iki tane delik vardır. İçinden bir tel geçirdiğinizde, saldırganlar kasayı açabilmek için teli kesmek veya kasayı kırmak zorunda kalırlar. Bir asma kilit veya bir şifreli kilit takmak bile makinenizin çalınmasında oldukça caydırıcı olabilir.

3.2. BIOS Güvenliği

BIOS, x86 tabanlı donanımızı yönlendiren ve ayarlarını yapan en alt düzeydeki yazılımdır. LILO ve diğer Linux sistem yükleme yöntemleri, Linux makinenizin nasıl açılacağına karar vermek için BIOS'a erişir. Linux'un çalıştığı diğer donanımlarda da benzer bir yazılım bulunur (Mac'lerde OpenFirmware ve yeni Sun'larda Sun boot PROM'u gibi). BIOS'unuzu kullanarak saldırganların bilgisayarınızı kapatıp açmasını, ve Linux sisteminizi yönlendirmesini engelleyebilirsiniz.

Bir çok BIOS bir parola ayarı yapmanıza izin verir. Bu o kadar da çok güvenlik sağlamaz (BIOS sıfırlanabilir, veya kasa açılarak çıkarılabilir), ama iyi bir caydırıcı etken olabilir (yani zaman alacak ve kurcalamanın izleri kalacaktır). Benzer şekilde, s/Linux (SPARC(tm) işlemcili makineler için Linux) sisteminizde, açılış parolası için EEPROM'unuzu kullanabilirsiniz. Bu saldırganları yavaşlatacaktır.

BIOS parolalarına güvenmenin diğer bir riski varsayılan parola sorunudur. Çoğu BIOS üreticisi, insanların parolalarını unuttuklarında bilgisayarlarını açıp pilleri çıkarmasını beklemediği için, BIOS'lara, seçilen paroladan bağımsız bir parola koymuştur. Bu parolalardan yaygın olarak kullanılanlar: 

      j262
      AWARD_SW
      AWARD_PW
      lkwpeter
      Biostar
      AMI
      Award
      bios
      BIOS
      setup
      cmos
      AMI!SW1
      AMI?SW1
      password
      hewittrand
      shift + s y x z

Ben Award BIOS için olan AWARD_PW parolasını denedim ve çalıştı. Bu parolalar üreticilerin WWW sayfalarından ve http://astalavista.box.sk adresinden kolaylıkla ulaşılabilir durumdadır ve böyle olduğu için de BIOS parolasının yeterince bilgili bir saldırgana karşı yeterli bir koruma olduğu düşünülemez.

Çoğu x86 BIOS'u, diğer bazı güvenlik ayarlarına sahiptir. BIOS kitapçığınıza bakabilir, veya bir sonraki açılışta BIOS'a girerek ne tür ayarlar olduğunu gözden geçirebilirsiniz. Örneğin, bazı BIOS'lar disket sürücülerden sistem yüklenmesine izin vermez, bazıları da BIOS'un bazı özelliklerinin kullanılması için bir parola gerektirir.

Not: Makineniz sunucu görevi yapıyorsa, ve bir açılış parolası koyduysanız, makineniz başında kimse olmadığı zaman açılmayacaktır. Örneğin bir elektrik kesilmesi durumunda makinenin açılması için başına giderek parolayı girmeniz gerekecek ;(

3.3. Sistem Yükleyici Güvenliği

Çeşitli Linux sistem yükleyicileri de bir parola belirlenmesine izin verebilir. Örneğin, LILO'da password ve restricted ayarları vardır, password açılış (sistem yükleme) sırasında bir parola ister, restricted ise sadece LILO satırında bir seçenek (single gibi) belirtirseniz parola ister.

lilo.conf'un man (yardım) sayfasından: 

      password=password
              Her imge (çekirdek imgesi) için ayarlanabilir olan `password=...'
              seçeneği (aşağıya bakın) bütün imgeler için geçerlidir.

      restricted
              Her imge (çekirdek imgesi) için ayarlanabilir olan `restricted'
              seçeneği (aşağıya bakın) bütün imgeler için geçerlidir.

      password=password
              İmgeyi bir parola ile korur.

      restricted
              Sadece komut satırında seçenekler belirtilirse (örneğin single)
              bir parola girilmesini gerektirir.

Parolaları belirlerken bir gün onları hatırlamanız gerekeceğini aklınızdan çıkarmayın :). Ayrıca bu parolaların kararlı bir saldırganı sadece yavaşlatacağını da unutmayın. Parolalar birinin sistemi disketle açıp sabit disk bölümünüzü bağlamasını engellemez. Eğer açılış bağlamında bir güvenlik uyguluyorsanız, o zaman BIOS'tan disketten açılışı da engelleyip, BIOS'u da bir parola ile koruyabilirsiniz.

Aklınızdan çıkarmamanız gereken bir diğer konu da /etc/lilo.conf dosyasının erişim izinlerinin "600" olması gerektiğidir. Aksi takdirde diğerleri parolanızı okuyabilir!

Eğer farklı bir sistem yükleyici hakkında herhangi biri güvenlikle ilgili bilgiye sahipse duymaktan memnun oluruz (grub, silo, milo, linload, vb).

Not: Makineniz sunucu görevi yapıyorsa, ve bir açılış parolası koyduysanız, makineniz başında kimse olmadığı zaman açılmayacaktır. Örneğin bir elektrik kesilmesi durumunda makinenin açılması için başına giderek parolayı girmeniz gerekecek ;(

3.4. xlock ve vlock

Eğer zaman zaman makinenizin başından uzaklaşıyorsanız, konsolu "kilitleyebilmek", böylece hiçkimsenin çalışmanızı kurcalayamamasını, veya bakamamasını sağlamak hoş olur. İki program bu iş için var: xlock ve vlock.

xlock bir X görüntü kilidi. X'i destekleyen tüm Linux dağıtımlarında muhtemelen bulunuyordur. Tüm seçenekler hakkında bilgi almak için man (yardım) sayfasına bir göz atmanız gerekebilir, ama genellikle xlock'u konsolunuzdaki herhangi bir xterm'den çalıştırabilirsiniz. xlock bir kere çalıştı mı görüntüyü kitler ve kilidin kalkması için parolanızı girmenizi gerektirir.

vlock Linux'unuzdaki bazı veya tüm sanal konsolları kilitleyebilmenizi sağlayan küçük bir programdır. O anda çalışmakta olduğunuz konsolu ya da tüm konsolları kilitleyebilirsiniz. Eğer sadece bir tanesini kilitlerseniz, diğerleri geldiğinde konsolu kullanabilir, fakat o an çalışmakta olduğunuz (ve kilitlediğiniz) konsola erişim sağlayamazlar. vlock RedHat Linux ile birlikte geliyor, fakat kullandığınız dağıtıma göre değişiklik gösterebilir.

Elbette konsolu kilitlemek, çalışmanızı kurcalamak isteyen birini engeller, fakat makinenizi yeniden başlatmalarını veya bir şekilde çalışmanızı bozmalarını engellemez. Ayrıca makinenize ağdaki başka bir makinenin erişimini ve yol açacağı problemlere de engel olamaz.

Daha önemlisi, birinin X Windows sisteminden tamamen çıkıp, normal bir sanal konsol giriş satırına ulaşmasını, ya da X11'in başlatıldığı sanal konsola [5] gidip askıya almasını ve haklarınıza sahip olmasını da engelleyemez. Bu sebeple, X'i sadece xdm kontrolü altında kullanmayı düşünmeli, veya startx kullanıyorsanız bilgisayarın başından ayrıldığınızda kimsenin bilgisayara ulaşmadığından emin olmalısınız.

3.5. Yerel cihazların güvenliği

Sisteminize eklenmiş bir webcam veya mikrofon varsa, bir saldırganın bu cihazlara erişim sağlaması tehlikesini göz önünde bulundurmalısınız. Kullanımda değilken bu tür cihazların kasadan ayırmak veya fişlerini çekmek bir seçenek olabilir. Bu tür cihazlara erişim sağlayan yazılımı da (kullanımı kitapçıklarını/belgelerini okuyarak) çok iyi tanımalısınız.

3.6. Fiziksel Güvenlik Bozukluklarını Belirleme

Dikkat edilmesi gereken ilk nokta bilgisayarınızın ne zaman yeniden başlatıldığıdır. Linux sağlam ve kararlı bir işletim sistemi olduğu için, makinenizi yeniden başlatmanızın gerektirdiği nadir durumlar, sizin gerçekleştirdiğiniz işletim sistemi güncellemeleri, veya donanım değişikliği gibi durumlardır. Eğer makineniz böyle bir şey yapmadığınız halde kapanıp açılmışsa, bu, makinenizin güvenliğinin bir saldırgan tarafından bozulduğunun bir işareti olabilir.

Bilgisayarın bulunduğu alanda ve kasada kurcalama işaretleri arayın. Bir çok saldırgan varlıklarının izlerini günlüklerden siler, bütün günlükleri incelemek ve herhangi bir uygunsuzluk olup olmadığını gözden geçirmek, iyi bir fikirdir.

İyi bir fikir olan bir başka şey de, günlük verisini güvenli bir yerde saklamaktır, örneğin, iyi korunmuş bir ağınızdaki bu işe adanmış bir günlük sunucusunda. Makinenin güvenliği bir kere bozuldu mu, günlük verisi çok az yarar sağlar, çünkü saldırgan tarafından değiştirilmiş olması muhtemeldir.

Syslog sunucu programı (daemon), günlükleri merkezi bir syslog sunucusuna göndermek üzere yapılandırılabilir, ama bu bilgi çoğunlukla şifresiz gönderilir, bu da veri aktarılırken bir saldırgan tarafından görülmesine izin vermek anlamına gelir. Bu, ağınız ve herkese açık olmasını düşünmediğiniz konular hakkındaki bilgilerin ortaya çıkmasına yol açabilir. Gönderilen veriyi şifreleyen syslog sunucu programları da vardır.

Farkında olmanız gereken bir diğer durum, sahte syslog mesajları hazırlamanın kolay olduğudur - bunun için yayımlanan bir program vardır. Hatta syslog, ağdan gelen ve gerçek kökenini göstermeden yerel bilgisayardan geldiğini iddia eden günlük satırlarını bile kabul eder.

Günlüklerinizde denetim altında tutmanız gereken bazı şeyler:
  • Kısa veya tamamlanmamış günlükler.

  • Tarih ve zamanları garip olan günlükler.

  • Yanlış erişim hakları veya sahiplikleri olan günlükler.

  • Bilgisayarın veya servislerin yeniden başlatılma kaytları.

  • Kayıp günlükler.

  • su kullanımı kayıtları veya sisteme garip yerlerden yapılan girişler

Sistem günlük verisini, bu belgede daha sonra Sistem Hesap Verilerinizi Takip Edin bölümünde tartışacağız.


[5] Ç.N.: Eğer X Windows'u startx komutuyla başlattıysanız, muhtemelen bunu yapmadan önce sisteme metin konsollarından birini (ayarları değiştirmediyseniz 6 tane) kullanarak girmişsiniz demektir. startx komutu, X Windows'u çoğunlukla 7. konsolda açar, fakat giriş yaptığınız konsol kapanmaz. Gelen herhangi birisi Control-Alt ile birlikte Fonksiyon tuşlarından birini kullanarak (Ctrl-Alt-F1'den Ctrl-Alt-F12'ye kadar) diğer metin konsollara, ve startx ile X Windows'u başlattığınız konsola geçiş yapabilir. Bu konsolda Ctrl-C veya Ctrl-Z tuş kombinasyonunu kullanarak X Windows'u tümden kapatıp daha önce giriş yapmış olduğunuz konsolun kabuğuna erişim sağlayabilir. Bunu önlemek için, xdm, kdm, veya gdm kullanabilirsiniz. Giriş yaptıktan sonra startx komutunu değil,

xdm; exit

komutunu yazarak X Windows'u başlatabilir, daha sonra xdm giriş ekranından giriş yapabilirsiniz. Veya bilgisayarınızın daha açılışta xdm'i yüklemesini sağlayabilirsiniz. Bunun için /etc/inittab dosyasıyla ilgili bilgi araştırmasında bulunmanız gerekebilir. xdm komutunu kullanmak çoğunlukla o sistemde root olmayı, ve diğer bazı ayarları yapmış olmayı gerektirebilir. Bunun için Linux dağıtımınızla birlikte gelen belgelere, man sayfalarına, veya Linux-NASIL belgelerine göz atabilirsiniz.

Önceki Üst Ana Başlık Sonraki
2. Genel Bakış Başlangıç 4. Yerel Güvenlik
Bir Linux Kitaplığı Sayfası
 
 
 
 
Google
  Web Linuxinfor   
 

Home :: Copyright :: Privacy :: Credits :: Get a free Linuxinfor Email Account

Document on this page is part of "Linux Güvenlik NASIL". See Index Page for more info about Authorship and Copyright.

1999-2008 Linuxinfor.com. No rights reserved.