|
12.12.18 | #1 |
Unix Isletim Sisteminde Guvenlik
Unix Isletim Sisteminde GuvenlikBilgisayar aglari ve ozellikle Internet, kullanicilara buyuk olanaklar verirken ciddi guvenlik sorunlarini da beraberinde getirdi. Aga bagli bir bilgisayarda calisanlarin bu guvenlik sorunlari konusunda bilgili olmalari zorunlu hale geldi. Ancak guvenlik ile kullanim kolayliginin cogu zaman birbirleriyle celismesi ve kullanicilarin secimlerini genellikle kullanim kolayligindan yana kullanmalari guvenlik onlemlerinin yerlesmesini engelledi. Bu yazi, akademik ortamlarda yaygin olarak kullanilan Unix isletim sisteminde sistem sorumlularina guvenlik icin yapabilecekleri konusunda yol gostermek ve kullanicilara tehlikeleri tanitmak amaciyla hazirlanmistir. 1. Parolalar Cok-kullanicili isletim sistemlerinde kullanicinin kimliginin belirlenmesi buyuk onem tasir. Hem sistemi kullanmaya yetkisi olmayan kisilerin sisteme girmelerinin engellenmesi, hem de sistemdeki kullanicilarin birbirlerinden ayirdedilebilmeleri icin, her kullaniciya bir parola verilir ve sisteme giris basta olmak uzere tum kritik islemlerde kullaniciya parolasi sorulur. Parolalar, diger kullanici bilgileriyle birlikte, parola dosyasinda (/etc/passwd) tutulur. Bu dosyadaki her satir, bir kullanici ile ilgili bilgileri saklar. Bir satirdaki alanlar, sirasiyla, kullanici adi, parola, kullanici numarasi, grup numarasi, ad, kisisel dizin ve komut yorumcusudur. Ornek: uyar:QJ8Dnwg7zfz6c:101:100:H. Turgut Uyar:/home/uyar:/bin/csh Bazi uygulamalarin parola dosyasinin bazi alanlarina erismeleri gerektiginden parola dosyasi, sistemdeki butun kullanicilar tarafindan okunabilecek bir dosya olmalidir. Bu nedenle parolalar bu dosyaya acik halde degil, sifrelenerek yazilirlar. Ornekteki parola alani, "inettr96" parolasinin sifrelenmesiyle elde edilmistir. 1.1. Parolalarin Sifrelenmesi Parolalar, Data Encryption Standard (DES) algoritmasini temel alan crypt fonksiyonu ile sifrelenir. DES, 64 bitlik bir giris blogunu, 56 bitlik bir anahtar ile sifreleyip yine 64 bitlik bir sonuc uretir. crypt ise parolayi anahtar olarak kullanarak sabit bir giris blogunu sifreler. Giris blogu, uzerinde bazi degisiklikler yapilmis bir DES algoritmasindan ardarda 25 kere gecirilerek 64 bitlik bir sonuc elde edilir. Yontemin guvenilirligini artirmak icin, sistem tarafindan rasgele uretilen, 12 bitlik bir tuz (salt) sayisi kullanilir. Boylece ayni parolanin 4096 degisik sekilde sifrelenebilmesi saglanir. crypt fonksiyonunun giris ve cikislarinin bastirilabilir karakter katarlari olmasi icin bazi donusturmeler yapilir. 56 bitlik parola disaridan yaklasik 8 karakter, 12 bitlik tuz da 2 karakter olarak alinir. Sonuc bilgisi 64 bitlik bir diziden 11 karakterlik bir katara cevrilir. Bu sonuc, basina tuzun da eklenmesiyle, 13 karakterlik bir katar olarak parola dosyasina yazilir. Parola denetimi yapilirken ayni fonksiyondan yararlanilir. Kullanicinin girdigi parola ile dosyadan okunan tuz fonksiyona verilir ve cikan sonucun dosyadaki parola alani ile ayni olup olmadigina bakilir. Ayni ise parolanin dogru oldugu kabul edilir. 1.2. Parola Secimi Parola yonteminin guvenilirligi, sistemdeki kullanicilarin parola seciminde gosterdikleri ozene baglidir. Kolay akilda kalacak parolalar, cogu zaman kolay tahmin edilebilir. Buna karsilik, zor tahmin edilebilen parolalar da kullanicilarin akillarinda kalmayabileceklerinden bir yere yazmalarina ve boylece yeni tehlikeler olusturmalarina zemin hazirlayabilir. Su tip parolalar kolay tahmin edilebilen parolalar sayilmaktadir: Kullanici ile yakinligi olan kisilerinkiler (kendisi, ailesi, arkadaslari, yakinlari) basta olmak uzere butun erkek ve kadin isimleri Dogum tarihleri Kullanici ile ilgili herhangi bir bilgi (kullanici adi, oda numarasi, telefon numarasi, arabasinin plaka numarasi, sosyal guvenlik numarasi) Yer isimleri Bilgisayar terimleri Klavyede belli bir duzene gore ardarda gelen harflerden olusan parolalar (qwerty) Anlamli bir sozcuk Yalnizca kucuk (ya da yalnizca buyuk) harflerden olusan parolalar Yukaridakilerden birinin basina ya da sonuna bir rakam eklenerek olusturulan parolalar Yukaridakilerin ters yazilislari Iyi bir parola uretmek icin onerilen iki yontem vardir: Iki sozcugun aralarina bir rakam ya da noktalama isareti konarak birlestirilmesi Secilen bir cumlenin sozcuklerinin bas harfleri 1.3. Tehlikeler Parola dosyasina erisimi olmayan bir saldirgan, hedef sectigi bir kullanicinin parolasini deneyerek bulmak zorundadir. Olasi butun parolalarin coklugu gozonune alinirsa bu tip bir saldirinin etkisiz olacagi dusunulebilir. Ancak, cogu sistemde, parolasi bos olan, kullanici adiyla ayni olan ya da sistem sorumlusunun gecici olarak verdigi basit parolayi degistirmeyen kullanicilarin sayisi azimsanamayacak duzeydedir. Bir tek kullanicini bile parolasinin elde edilmesi sisteme giris icin yeterli oldugundan guvenlik acisindan buyuk sorunlar yaratabilir. Saldirgan, parola dosyasinin bir kopyasini alabilirse isi oldukca kolaylasir. Hem cok daha hizli calisabilir, hem de hedef sistemin sorumlusunun dikkatini cekmek tehlikesinden kurtulur. Bir saldirganin parola dosyasini eline gecirmesi birkac sekilde mumkun olabilir: Bir kullanicinin parolasini elde ederek sisteme girer ve dosyayi alir. Bazi programlardaki hatalardan yararlanarak sisteme girmeden dosyayi alir. Sistemdeki bir kullanici parola dosyasini saldirgana gonderir. Saldirgan, sistemdeki kullanicilardan biridir. Bir parola dosyasindaki parolalari kirmaya calisan cesitli yazilimlar bulunmaktadir. Bunlarin en etkililerinden ve en yaygin kullanilanlarindan biri Crack isimli programdir. 1.4. Onlemler Parola guvenliginin en onemli sarti, basta sistem sorumlulari olmak uzere, butun kullanicilarin iyi parola secmenin onemini kavramalaridir. Herkes, parolasinin yetkisiz birinin eline gecmesi durumunda kendisi ve diger kullanicilar acisindan olusan tehlikeleri anlamalidir. Nelerin kotu parola oldugu ve nasil iyi parola secilebilecegi konusunda kullanicilar egitilmelidir. Bu kosul gerceklesmedikce asagida sozu gecen onlemlerin cogu da basarisiz olacaktir. Parola Seciminin Kullaniciya Birakilmamasi Parolalar, sistem sorumlusu tarafindan ya da rasgele parola ureten bir program tarafindan secilerek verilir ve kullanicilara parolalarini degistirme hakki taninmaz. Bu yontem, iyi parolalar uretmekle birlikte, kullanicilarin akillarinda tutamayacaklari parolalari bir yere yazmalarina neden olur. Parola ureten programlar icinde en yaygin kullanilanlarindan biri mkpasswd programidir. Parola Seciminin Kisitlanmasi Kullanicinin kotu oldugu bilinen bir parola secmesi engellenir. Bunun icin, verilen parola uzerinde bazi denetlemeler yapan programlar bulunmaktadir. Sikca onerilenlerden biri anlpasswd paketidir. Parola Dosyasinin Sistem Sorumlusu Tarafindan Kirilmasi Sistem sorumlusu, zaman zaman, parola dosyasini Crack tipi bir program ile tarayarak zayif parolalari arar. Buldugu zayif parolali kullanicilarin hesaplarini kilitler. Parolalarin Gecerlilik Surelerinin Kisitlanmasi Yeterince sik degistirilmeyen parolalar, kuvvetli de olsalar, saldirgana aramak icin daha uzun zaman tanidiklarindan tehlike yaratirlar. Bu nedenle, parolalarin belli bir sure sonunda gecerliliklerini yitirerek yeni bir parola verilmesi zorunlulugu getirilebilir. Ancak bu yontem, ancak kullanicilarin iyi niyetiyle etkili olabilir. Genelde kullanicilar, bu yontemin uygulandigi yerlerde, birkac parola secerek surekli bunlarin icinde donmek ya da bir sozcugun sonuna ekledikleri rakami her seferinde artirarak yeni parolalarini belirlemek egilimindedirler. Boyle yapildigi surece, guvenligin fazla arttigi soylenemez. Golge Parolalar Parola dosyasinin bazi alanlarinin herkes tarafindan okunabilir olmasi gerekse de, parola alaninin herkes tarafindan okunabilir olmasi gerekmez. Bu nedenle, sifrelenmis parolalar ancak sistem sorumlusunun okuyabilecegi bir dosyaya alinabilir. Parola dosyasindaki parola alanina herhangi bir bilgi yazilirken (kullanici adi, * isareti gibi), golge dosyasina (/etc/shadow) sifrelenmis parolalar konur. Shadow Password Suite isimli program, hem golge parola sistemini getirir hem de parolalarin gecerlilik surelerinin kisitlanmasini saglar. 2. Dosya Guvenligi Her dosyanin bir sahibi, bir de grubu vardir. Dosya uzerinde kimin hangi islemleri yapabilecegine dosyanin sahibi olan kullanici karar verir. Erisim haklari, dosyanin sahibi, grubu ve digerleri icin ayri ayri belirtilir. Her biri icin dosyanin okunmasina (read), yazilmasina (write) ve calistirilmasina (execute) izin verilebilir. Boylece her dosya icin uc tane ucluden olusan bir erisim haklari listesi elde edilir. Birinci uclu dosyanin sahibinin, ikinci uclu dosyanin grubunun, ucuncu uclu digerlerinin haklarini gosterir. Her uclunun birinci alani okuma, ikinci alani yazma, ucuncu alani calistirma izninin bulunup bulunmadigini gosterir. Ornekteki ``dene'' dosyasinin sahibi "uyar" kullanicisi, grubu "users" grubudur. "uyar" kullanicisi dosyayi okuyabilir, yazabilir ve calistirabilir; "users" grubundaki kullanicilar okuyabilir ve calistirabilir; diger kullanicilarin ise hicbir hakki yoktur. -rwxr-x--- 1 uyar users 4030 Dec 4 15:30 dene Kataloglar icin de ayni erisim haklari modeli gecerlidir. Bir katalog uzerindeki okuma izni katalogdaki dosyalarin listesinin alinip alinamayacagini, yazma izni katalogda yeni bir dosya yaratilip yaratilamayacagini, calistirma izni de o kataloga gecilip gecilemeyecegini belirler. Yetkili kullanicinin (root) butun dosyalar ve kataloglar uzerinde butun islemleri yapma yetkisi vardir. 2.1. Tehlikeler Dosyanin Izinsiz Olarak Okunmasi Isletim sisteminde ya da uygulama programlarinda bir hata olmadigi surece erisim izni olmayanlar dosyayi zaten okuyamayacaklardir. Asil tehlike, yetkili kullanicinin yetkisini kotuye kullanarak kullanicilarin kisisel dosyalarini ve mektuplarini okumasidir. Her seye yetkisi olan bir kullanici, sistemin kararliligini korumak icin gerekli olmakla birlikte, guvenligi ve ozel bilgilerin gizliligini bir kisinin ahlakina birakmasi acisindan Unix isletim sisteminin guvenliginin en zayif noktalarindan biri olarak degerlendirilmektedir. Dosyanin Yetkisiz Kisilerce Degistirilmesi Saldirgan, sisteme girince, hem sonraki girislerini kolaylastirmak, hem de daha rahat calisabilmek icin bazi sistem dosyalarini ya da programlarini degistirebilir. Ornegin, parola dosyasina bir kayit ekleyerek kendine yetkili bir kullanici yaratabilir. Kullanicilarin parolalarini ogrenmek icin login, passwd gibi programlari, sistemde oldugunun farkedilmesini engellemek icin ps, who gibi programlari, dosyalarinin listelenmesini engellemek icin ls programini degistirebilir. Sistem sorumlusunun izinsiz girisi farkederek sistemi kapatmasi durumuna karsi shutdown programini degistirerek kayit dosyalarini silebilir ya da daha buyuk zararlar verebilir. 2.2. Onlemler Parola guvenligi saglandigi surece dosya erisimlerinde fazla bir guvenlik sorunu olmayacaktir. Bu konuda sistem sorumlusuna dusen, kullanicilarini erisim haklarini nasil duzenleyecekleri konusunda bilgilendirmektir. Dosya Degisikliklerinin Denetimi Parola dosyasi gibi metin dosyalarinda degisiklik olup olmadigi gozle inceleme yaparak ya da basit komut satiri programlari kullanarak aranabilir. Ornegin awk kullanarak, kullanici numarasi 0 olan root disinda bir kullanici olup olmadigi kolayca bulunabilir. Calistirilabilir dosyalar gozle kontrol edilemeyeceginden en uygun yontem, dosya imzalari olusturarak saglam oldugu bilinen imzalarla yeni hesaplanan imzalari karsilastirmaktir. Tripwire paketi, dosyalarda yapilan degisiklikleri farketmekte sistem sorumlusuna ve kullanicilara yardimci olur. Sifreleme Kullanicilar sifreleme yardimiyla dosyalarinin guvenligini daha da artirabilirler. Bu yontem, hem parolayi ele geciren saldirganlarin, hem de yetkili kullanicinin dosyayi okumalarini engeller. Ayrica dosya uzerinde sahibinden baska kimsenin degisiklik yapamamasini da saglar. Gunumuzde dosya sifrelemekte en yaygin kullanilan program PGP'dir (Pretty Good Privacy). CFS (Cryptographic File System) paketi de kullaniciya olabildigince saydam bir sekilde dosyalari sifreli olarak saklama ve anahtar cumle kontrolunde olanagi verir. 3. TCP/IP Ortaminda Guvenlik 3.1. Tehlikeler Paket Dinleyiciler IP paketleri aga acik halde gonderildiklerinden iletisim fiziksel olarak tamamiyla guvensizdir. Agdan paketleri alabilen herkes iceriklerini rahatlikla okuyabilir. Ozellikle, bir ortak yol (bus) ile gerceklenen aglarda cok belirgin olarak ortaya cikan bu sorun, parolalar basta olmak uzere pek cok duyarli bilginin kolayca ele gecirilmesine yol acar. Adres Sahteciligi Bir istemci, hizmet almak icin bir sunucuya baglanirken gercege aykiri bir sayisal ya da sembolik adres bildirebilir. Internet'teki temel guvenlik sorunlarindan biri, sayisal - sembolik adres donusumleri icin kullanilan sunucularin yerel sistem sorumlusunun denetimi disinda olmalari ve cogu protokolun guvenlik kosullarinin saglanabilmesi icin bunlara gereksinim duymalaridir. Sunucunun Cokertilmesi Bir saldirgan, sunucu bir makinayi cokerterek hizmetlerin verilemez hale gelmesine yol acabilir. Buna su tip aciklar neden olabilir: TCP/IP protokol ailesinin tasarimindan kaynaklanan aciklar Sunucu sureclerdeki hatalardan kaynaklanan aciklar Isletim sistemindeki hatalardan kaynaklanan aciklar Hizmetin dogasi geregi verilen olanaklarin kotuye kullanilmasi Guvenilen Makinalar rsh, rcp ve rlogin komutlarinin kullanilmasinda parola denetimlerinin atlanabilmesi icin ya tum kullanicilar icin gecerli sistem dosyasinda (/etc/hosts.equiv) ya da kullaniciya ozel erisim dosyasinda (.rhosts) ayarlamalar yapilmalidir. Sistem dosyasinda yer alan makinalar guvenilen (trusted) makinalar kabul edilirler ve bu makinalardan baglanan kullanicilarin isimleri yerel parola dosyasinda varsa parola denetimi yapilmaz. Kisiye ozel dosya ise ayni islevi kullanici bazinda gorur. Her iki dosyada da makinalarin simgesel adresleri bulundugundan, bu denetimlerin yaniltilmasi sozkonusu olabilir. Bu komutlarin kullanildigi aglarda cogu zaman bir makinaya girilmesi denetimsiz olarak diger makinalara da rahatca gecilebilmesine yol acar. 3.2. Onlemler Internet hizmetlerini gerceklestiren programlarin cogu halen uzerinde gelistirme ve hata ayiklama islemleri suren programlardir. Sistem sorumlusu, kullandigi programlarin gelisimini izleyerek bilinen hatasi bulunmayan son surumlerini edinmeli ve calistirmalidir. Ayrica, Usenet'te guvenlik ile ilgili forumlari izleyerek ve CERT (Computer Emergency Response Team) onerilerine uyarak guncel olan guvenlik bosluklarini ogrenmeli ve onlemlerini almalidir. Gereksiz Sunucularin Kapatilmasi Yapilabilecek en temel islerden biri, verilmesine gerek olmayan ya da tasidigi riske degmeyecegi dusunulen hizmetlerin sunucu sureclerini calistirmamaktir. Sozgelimi, yerel agda hicbir NIS istemci makinasi bulunmadigi halde bir bilgisayarin NIS sunucu surecini calistiriyor olmasi gereksiz bir risk icerir. Bazi sistem sorumlulari, kullanici isimleri ve sistemde kimin calistigi gibi bilgileri disariya aktardigi icin finger hizmetini tehlikeli bularak kapatirlar. Hizmetin engellenmesi icin isletim sisteminin acilis dosyalarindan (/etc/rc.*) ilgili sunuculari calistiran satirlar kaldirilmalidir. Ust sunucu (superserver - inetd) ile calisan hizmetler icin konfigurasyon dosyasinda (/etc/inetd.conf) o hizmet ile ilgili satir kaldirilmalidir. Sunuculara Erisimin Kisitlanmasi Bazi durumlarda, hizmeti butunuyle kapatmaktansa, erisimi kosullara baglamak daha anlamli olabilir. Bu kosullar, hizmetin hangi makinalara, hangi kullanicilara, hangi saatlerde verilecegi ya da verilmeyecegi seklinde belirtilebilir. Bu tip kisitlamalar getiren programlarin en yaygin kullanilanlari paketleridir. Guvenilen Makinalarin Denetimi r- komutlarini kullanmak zorunlu degilse, herhangi bir guvenilen makina tanimlamamak yerinde olur. Zorunluysa, guvenilen makina sayisini olabildigince az tutmak ve kullaniciya ozel erisim dosyalarina izin vermemek gerekir, cunku bunlar sistem sorumlusunun denetimi disinda sisteme giris izni veren dosyalardir. Ayrica, butun guvenilen makinalar ayni yetkili kullanici tarafindan yonetilmelidir. r-komutlari yerine paketini kullanmak guvenligi artiracaktir. Alev Duvarlari (Firewalls) Guvenligin onem tasidigi yerlerde giderek yayginlasan alev duvari teknigi, yerel agdaki bilgisayarlarin dis aga dogrudan erisimlerini kaldirmayi ongorur. Agin yonlendiricisi, agda guvenli calistigi bilinen yalnizca bir makinanin disariyla baglanti kurmasina izin verir. Diger bilgisayarlar dis aga cikmak icin bu makinadaki sureclere baglanirlar. Kukla (proxy) adi verilen bu surecler, yerel agdaki makinalar adina disari ag ile iletisimde bulunurlar. Cokca kullanilan alev duvari yontemlerinin birincisinde, hem yerel aga hem de disariya baglantisi olan makina iki ag arasindaki trafigi engeller, yani yonlendirme yapmaz. Disaridan gelen paketler uzerinde cesitli denetimler yaparak istenilen paketleri filtreler. Kukla surecler duvar makinasinda calisir. Ikinci yontemde ise bir yonlendirici ile bir kukla sunucusu vardir. Yonlendirici, yalnizca kukla sunucusuna gelen ya da giden paketlere izin verir. Gerekli paket filtrelemelerini de yapar. Kukla sunucusunun gorevi, yine yerel agdaki bilgisayarlarin dis ag ile baglantilarini gerceklestirmektir. Alev duvarlarinin guvenligi icin yonlendirici ve kukla sunucusu makinalarin kesin guvenliklerinin saglanmasi gerekir. Yerel agdaki kullanicilarin bu makinalarda calismamalari onemli bir unsur olarak ortaya cikar. paketi bir alev duvari arkasindaki bilgisayarlara kukla surecler yardimiyla dis ag ile hizmet alis-verisinde bulunma olanagi saglar. 4. Kayit Tutulmasi Guvenligin en onemli parcalarindan biri, sistemin surekli izlenerek, guvenlige aykiri durumlar olusup olusmadiginin, olustuysa bunlarin sorumlularinin kimler oldugunun belirlenmesidir. Bunun icin, guvenligi ilgilendirebilecek her turlu olayin kaydi tutulmalidir. Su tip bilgiler, guvenlik acisindan deger tasirlar: Basarisiz olmus sisteme giris denemeleri Basarili olmus sisteme giris denemeleri (hangi kullanicinin, ne zaman, nereden sisteme girdigi) Nerelerden, hangi hizmetler icin baglanti istekleri geldigi Hizmetler sirasinda gerceklesen dosya aktarimlari Unix'de kayit tutulmasi isini syslogd sureci gorur. Hangi tur mesajlarin hangi dosyaya yazilacagi konfigurasyon dosyasinda (/etc/syslog.conf) belirtilir. Ag ile ilgili hizmetleri denetleyen surecler (tcpwrapper, xinetd gibi paketler) kayit dosyalarina girmesini istedikleri bilgileri syslogd surecine bildirirler. 5. Guvenlik Paketleri Bu bolumde kisaca tanitilan paketler, Linux isletim sistemi uzerinde calistigi bilinen paketlerdir. En son versiyonlarinin bulunacagi sitelere isaretciler verilmistir. 5.1. Parola Guvenligi Crack Alec E. Muffett tarafindan gelistirilen Crack, sozluk saldirisi yontemini kullanan bir parola kirma programidir. Giris olarak verilen sozluklerdeki sozcukleri parola dosyasindaki tuz bilgileriyle sifreleyerek parola olarak kullanilip kullanilmadiklarina bakar. Ayrica sistemin kullanici bilgilerinden de olasi parolalar uretmeye calisir. Gelismis bir kural tabani yardimiyla, sozluklerdeki sozcukleri yalin halleriyle denemekle kalmaz, cesitli buyuk - kucuk harf donusumleri, sozcuge rakam ya da noktalama isareti eklemek, bazi harflerin yerine baska simgeler kullanmak gibi cokca kullanilan kotu parola tekniklerini de dener. mkpasswd Don Libes tarafindan gelistirilen expect paketinde yer alan mkpasswd komutu, parola olarak kullanilabilecek, Ingilizce kurallari icerisinde okunabilir ama anlamsiz sozcukler uretir. Kullanici adi verilirse urettigi parolayi sifreleyerek parola dosyasinda kullanicinin alanina yazar. B]anlpasswd[/B] Argonne National Laboratory'de gelistirilen anlpasswd, kullanicilarin sozluk saldirisi yontemini kullanan parola kiricilar tarafindan kirilabilecek parolalar secmelerini engellemeye calisir. Shadow Password Suite John F. Hough II tarafindan gelistirilen Shadow Password Suite, sistemdeki parola guveniligini artirmaya yonelik bir pakettir. Golge parolalarin yanisira, daha uzun parolalari (16 karakter) desteklemesi ve parolalarin gecerlilik surelerini kisitlamasi nedeniyle sistem sorumlularinin cokca kullandigi araclar arasinda yer alir. [/B] Tripwire Gene H. Kim ve Eugene H. Spafford tarafindan gelistirilen Tripwire, degistirilen dosyalari farkederek sistem sorumlusuna bildiren bir pakettir. Once saglam oldugu bilinen dosyalarin dosya imzalari olusturularak bir yerde saklanir. Sonraki calistirmalarda imzalar yeniden hesaplanarak eskileriyle karsilastirilir ve farkli olanlar varsa bildirilir. Duzgun calisma icin ozgun imzalarin iyi korunmasi, mumkunse, ustune yazilamayan bir ortamda saklanmasi gerekir. Pretty Good Privacy Phil Zimmermann tarafindan gelistirilen PGP, hemen hemen tum yaygin isletim sistemlerinde calisan bir sifreleme programidir. Hem gizli hem de acik anahtar kriptografisiyle sifreleme yapabilir. Sifrelemenin yanisira bir dosya ya da mektubun sayisal olarak imzalanmasini da saglar. Uzaktaki bir siteden alinan bir programin iceriginin degistirilmedigini anlamak ya da alinan bir mektubun gercekten iddia edilen kisiden geldiginden emin olabilmek icin kullanilabilir. Yeni gelistirilen mektup yazma - gonderme - alma programlarinin cogunda PGP destegi bulunmaktadir, yani kullanicilar bu programlar yardimiyla kolayca mektuplarini sifreleyebilir ve imzalayabilirler, ya da aldiklari mektuplarin gondericisinin kimligini dogrulayabilirler. Tek sorun, karsi tarafin acik anahtarinin guvenilir bir sekilde elde edilmesidir. Bunun icin acik PGP anahtarlarini yayinlayan bazi guvenilen siteler kurulmustur. Cryptographic File System Matt Blaze tarafindan gelistirilen CFS, gizli anahtar sifrelemesi kullanarak sifreli dosyalar ve kataloglar yaratabilen bir pakettir. Dosyalarin acilabilmesi icin anahtar cumlenin bilinmesi gerekir. sifreleme islemlerini bellekte yerlesen bir surec yardimiyla yapar ve isletim sistemi cekirdeginin yeniden derlenmesini gerektirmez. [/B] tcpwrapper Wietse Venema tarafindan gelistirilen tcpwrapper, sunuculara erisimi baglanti isteginde bulunan makina ve kullaniciya gore kisitlayan ve baglanti istekleriyle ilgili kayitlar tutan bir pakettir. Iki tane konfigurasyon dosyasi vardir: verilen izinlerin belirtildigi dosya (/etc/hosts.allow) verilmeyen izinlerin belirtildigi dosya (/etc/hosts.deny) Genelde yapilan, izin kapama dosyasindan bir hizmeti butun makinalara kapamak, izin acma dosyasindan da bu hizmetten yararlanabilecek kullanici, makina ve aglari belirlemektir (ya da tersi). Bu paket Linux'un Slackware dagitimiyla birlikte gelmektedir. xinetd Panagiotis Tsirigotis tarafindan gelistirilen xinetd, standart ust sunucu surecinin yerini almak uzere hazirlanmis bir pakettir. Istemci makinanin adresine ve istegin geldigi zamana gore hizmetleri kisitlayabilir. Baglanti isteklerini kaydedebilir. Yaratilacak sunucu surec ve yazilacak kayit bilgilerine kisitlama getirerek sunucunun cokertilmesi riskini azaltir. Secure Shell Tatu Ylonen tarafindan gelistirilen Secure Shell, r- komutlarinin islevlerini daha guvenli bir sekilde gormeyi hedefleyen bir pakettir. Aga gonderilen butun paketleri sifreleyerek ogrenilmelerini ya da degistirilmelerini engeller. Socks David Koblas ve Michelle Koblas tarafindan gelistirilen Socks, kukla sunucular ve bunlara baglanan istemcilerden olusan bir pakettir. Kukla sunucular, istegi gerceklestirmeden once istekte bulunan kullanicinin kimligini dogrularlar. Pakette, ftp, telnet, archie gibi yaygin kullanilan hizmetlerin kukla sunuculari ile istemcileri yer almaktadir. Netscape programi da bir Socks sunucusunu kukla sunucu olarak kullanabilmektedir. Bilgi'nin yayinlandigi site;http://linux Sustum.... Gidişine Sustum! Sevgime,kalbime,kendime bile Sustum, Yaşadıkların arasında hani Sondum, Yalanlarına da karşılık vermedim Sustum.... |
|
Tag Ekle |
bir, için, kullanici, parola, parolalar |
Seçenekler | |
Stil | |
|
|