Yukarıdaki ekran görüntülerine baktığınızda resmi ve güvenli bir site olduğunu düşünüyorsanız yanılıyorsunuz. Chrome tarayıcının şu anki sürümünü (57.0.2987) ya da Firefox’un şu anki sürümünü (52.0.2) kullanıyorsanız siteleri daha yakından incelemek için bağlantılara tıklayın http://www.apple.com https://www.epic.com

Şimdi de orjinal siteleri ziyaret edelim https://www.apple.com http://www.epic.com Internet Explorer ya da Safari tarayıcılarını kullanıyorsanız durumun farkına varmış olmanız gerek.

Size sanki bankanızdan gelmiş gibi bir mail atılmış olsun ve bağlantıya tıkladığınızda bankanın gerçek sitesinde dolaştığınızı sanarken aslında banka sitesini klonlayan saldrıgan arkaplanda bilgilerinizi çalıyor olabilir. Peki yukardaki örneklerde orjinal siteyle sahte arasında ki fark ne? Alan adları aynı görünmesine rağmen nasıl farklı sitelere ulaştık?

Şimdi http://www.apple.com ssl sertifikasına bakalım.

İlk başta Firefox alan adını normalmiş gibi gösterirken sertifikayı görüntülediğimizde www.xn--80ak6aa92e.com adresini görüyoruz. Bu arada büyük bir uyarı yapalım  ssl sertifikası olan her  site güvenlirdir diye algı var var fakat bu tamamen yanlıştır.

Eskiden sadece kısıtlı karakterlerde alan adı kaydı yapabiliyorduk. İçinde ingilizce karakterler  a-z, A-Z, 0-9 ve ‘-” dışında alan adlarını kayıt etmemiz izin verilmiyordu. Bu kural kendi dilimizde alan adı almamızı engelliyordu. Farklı dillerdeki karakterleri de kayıt edebilmemiz için internationalized domain name (IDN) standardı oluşturuldu. Türkçe ya da diğer dillerdeki özel karakterleri içeren alan adları kayıt edebilmemize olanak sağlandı.

IDN standartları, var olan alan adı sistemini yeniden tasarlamaktan ziyade var olanı genişletmeye yönelik oluşturuldu. Bu yüzden unicode’u ASCII şekilde ifade edebilmek için punycode oluşturuldu. Böylece çince ya da türkçe gibi dillerdeki karakterleri punycode ile ascii karakterlere çevirebiliyoruz.

Örneğin özgürmüyüyüz.com alan adını almak istediğimizde zgrmyyz-80a0dcbb.com punycode olarak çevirlir ve ASCII uyumluluğunu belirtmek için başına “xn--” ön eki eklenir. Kısaca özgürmüyüyüz.com karşımıza xn--zgrmyyz-80a0dcbb.com olarak çıkar.

Japonca 天照  (katakana: amaterasu) kelimesini örnek alalım. 天照.com alan adını almak istediğimde ASCII uyumlu xn--rss077c.com’a çevrilir punycode sayesinde de her iki şekilde siteye erişebiliriz.

Punycode’u öğrendiğimzie göre apple’a geri dönelim. apple.com hali hazırda ASCII uyumlu iken sahte sitemiz xn--80ak6aa92e.com  olarak gözüktü çünkü “a” karakteri kiril alfabesine göre kayıt edilmiş.

https://unicode-table.com/en/#control-character  adresinden 0061. karakter latin alfabesinde ki “a” iken 0430.karakterin kiril alfabesinde ki “а” olduğunu görebilrisiniz.

Firefox ve chrome bir sonraki güncellemelerinde siteleri adres satırında unicode yerine punycode olarak gösterecek böylece bu tarz aldatmaların farkına varabileceksiniz.

Firefoxta güncellemeyi beklemeden tarayıcının gelişmiş ayarlarından punycode görüntülenemsini sağlayabilirsiniz. Bunun için adres satırına about:config  yazıp,  network.IDN_show_punycode  saıtınındaki false değerini true olarak güncelleyebilirsiniz.

TR | IDN Homograph Attack Gökay Atar

Bu sayfada anlatılanlar elbette %100 gizlilik ve güvenliğinizi sağlamayacaktır fakat belirli bir seviyede gerekli önlemleri almış olacaksınız. İlk etapta ayarları manuel olarak eklentisiz yapacağız. Ayarların ne anlama geldiğini anladıktan sonra kolayca gerekli ayarları yapabilen eklenti mevcut. Bazı ayarlar web sitelerinin bazı foksiyonlarının çalışmasını engelleyebilir bu yüzden belirli sitelere girerken ayarları hızlıca değiştirebilmemiz için eklenti işimizi kolaylaştıracaktır.

Ayarlarımızı about:config  üzerinden yapacağız oluşabilecek olumsuzluktan dolayı önceki ayarlarınızı not etmeyi unutmayın.

Adres satırına about:config yazarak çıkan uyarıyı okuduktan sonra onay butonuna basalım.

Üst kısımda ki arama bölümünden aşağıdaki özellikleri aratarak ayarlarını yapacağız. Örnek ekran görüntüsü.

beacon.enabled : Sayfalardan ayrılırken sunuculara veri gönderir.

• true: Özellik etkinleştirildi ve web uygulamaları bunu kullanabilir (varsayılan).
• false: özelliği devre dışı bırakır. (önerilen)

browser.cache.disk.enable :  Önbelleğin diske kayıt yapıp yapmamasını tanımlar.

• true: Disk önbellek kullanır.  (varsayılan)
• false: Disk önbellek kullanılmaz. (önerilen)

browser.cache.disk.capacity : Yukarıdaki ayar true ise firefox’un disk önbelleği için kullandığı maksimum alanı belirler.

• 0: Disk önbellekleme kullanma.
• 256000:  Kilobyte. (varsayılan)

browser.cache.offline.enable : Web uygulamaları ve sitelerin, yerel sistemde bir çevrimdışı önbellek kullanıp kullanamayacaklarını belirler.

• true: Web uygulamaları çevrimdışı önbellek kullanabilir (varsayılan)
• false: Çevrimdışı önbelleği devre dışı bırak. (önerilen)

browser.cache.offline.capacity : Yukarıdaki ayar true ise çevrimdışı önbellek kapasitesini belirler.

• 512000: Kilobyt olarak varsayılan değer

browser.formfill.enable : Firefox’un web formlarına girilen metni kaydedeceğini tanımlar.

• true: Bir kullanıcının formlara girdiği metinleri kaydet. (varsayılan)
• false: Veriler kaydedilmez. (önerilen)

places.history.enabled : Firefox’un ziyaret edilen sayfaları hatırlaması gerekip gerekmediğini tanımlar.

• true: Firefox, ziyaret ettiğiniz sayfaları hatırlar. (varsayılan)
• false: Sayfalar kaydedilmez. (önerilem)

browser.privatebrowsing.autostart : Firefox’un başlangıçta gizli tarama modunda başlatılıp başlatılmadığını tanımlar.

• false: Firefox normal olarak başlatıldı (varsayılan)
• true: Gzel tarama modu otomatik olarak kullanılır.(önerilen)

browser.safebrowsing.enabled : Firefox’un sahte  URL’leri kontrol etmesini belirler (varsayılan olarak Google kullanılır)

• true:  URL’ler kontrol edilecek ve onları engelleyecek. (varsayılan)
• false: Bu kontroller gerçekleşmez. (önerilen)

browser.safebrowsing.malware.enabled

• true:  İndirilen dosyaları veritabanında kötü amaçlı yazılım olup olmadığını tarar. (varsayılan)
• false: Tarama yapmaz. (önerilen)

browser.search.suggest.enabled

• true: Arama önerileri görüntülenir. (varsayılan)
• false: Arama önerileri devre dışı. (önerilen)

browser.selfsupport.url : Firefox kullanıcı deneyimi oylaması/anketi

• “” boş içerik girilmesi(önerilen)

browser.send_pings : Sunucuları,  tıklanan bağlantılar hakkında bilgilendirir.

• true: Etkin. (varsayılan)
• false: Pasif. (önerilen)

browser.urlbar.autocomplete.enabled : Adres çubuğuna yazarken Firefox’un otomatik tamamlama önerilerileri yapması

• true: Otomatik tamamlama kullanacaktır. (varsayılan)
• false: Otomatik tamamlama kullanılmayacak. (önerilen)

dom.battery.enabled : Web uygulamalarının, mobil cihazlarda pil durumuna erişmesini sağlar.

• true: Pil durumuna erişilmesini izin verir (varsayılan).
• false: İzin vermez. (önerilen).

dom.event.clipboardevents.enabled : Web sitelerinin panoya içeriğine erişmesine izin verilip verilmeyeceğini belirler

• true: Web siteleri panoya olaylarını okuyabilir veya değiştirebilir. (varsayılan)
• false: Erişemez. (önerilen)

dom.storage.enabled : Web uygulamalarının istemciye depola yapması

• true: Depolama etkin. (varsayılan)
• false: Pasif. (önerilen)

geo.enabled : Konum bilgisi

• true: Aktif. (varsayılam)
• false: Pasid. (önerilen)

geo.wifi.uri  : Konum bilgisi için veri sağlayıcısı

• https://www.googleapis.com/geolocation/v1/geolocate?key=%GOOGLE_API_KEY% (varsayılan)
• Yukardaki içeriği silinip boş bırakılması (önerilen)

media.peerconnection.enabled : En önemli ayarlardan webrtc’nin etkin olup olmadığını belirler. Eğer açıksa vpn kullanmanızda yerel ve uzak ip’nizi sızdırır.

• true: WebRtc etkin (varsayılan)
• false: Pasif. Eğer bu seçeneği seçerseniz loop.enabled  değerini de false olarak ayarlayın. (önerilen)

Media.video_stats.enabled : Video oynatma ile ilgili istatistiklerinizi gönderir

• true: Web uygulamaları istatistiklere erişebilir (varsayılan).
• false: İstatistiklere erişilemez. (önerilen)

Network.cookie.cookieBehavior : Firefox’ta çerezlere izin verilip verilmeyeceğini tanımlar.

• 0: Tüm çerezlere izin verilir.
• 1: Yalnızca birinci taraf sunucudaki çerezlere izin verilir. (önerilen)
• 2: Tüm çerezleri engelle.
• 3: Üçüncü taraf çerezlere izin ver. (varsayılan)

network.http.referer.spoofSource : Gerçek ya da sahte referer kullanımını tanımalr.

• false: Gerçek kullan(varsayılan)
• true: Sahte kullan(önerilen)

network.http.sendRefererHeader : Header referer bilgisi

• 0: Asla gönderme (önerilen)
• 1: Tıklandığında gönder
• 2. Tıklandığında ya da yüklenirken gönder.(varsayılan)

network.http.sendSecureXSiteReferrer : Güvenli bir siteden başka güvenli siteye geçişteki referer header bilgisi.

• True: Referer header gönder (default).
• False: Referer header gönderme (varsayılan)

plugin.state.flash : Flash player eklentisinin ayarları

• 0: Firefox’da flash eklentisini tamamen kapat.(önerilen)
• 1: Flash eklentisini aktifleştirmeden önce sor.(önerilen)
• 2: Flash eklentisine izin ver(varsayılan)

plugin.state.java : Java eklentisinin ayarları

• 0:Firefox’da Java eklentisini tamamen kapat.(önerilen)
• 1: Java eklentisini aktifleştirmeden önce sor.(önerilen)
• 2:Java eklentisine izin ver(varsayılan)

privacy.clearOnShutdown.* : Firefox kapatıldığında silinecek verileri ayarlayın. true seçeneği siler, false seçeneği silmez. Önerilen aşağıdakileri true yapmanızdır.

• privacy.clearOnShutdown.cache
• privacy.clearOnShutdown.cookies
• privacy.clearOnShutdown.downloads
• privacy.clearOnShutdown.formdata
• privacy.clearOnShutdown.history
• privacy.clearOnShutdown.offlineApps
• privacy.clearOnShutdown.openWindows
• privacy.clearOnShutdown.passwords
• privacy.clearOnShutdown.sessions
• privacy.clearOnShutdown.siteSettings

privacy.donottrackheader.enabled : Web sitelerini ve hizmetleri izleme tercihi hakkında bilgilendirme.

• false: Beni izleme headerını etkinleştirme (varsayılan)
• true: Beni izleme headerını etkinleşltir (önerilen)

privacy.sanitize.sanitizeOnShutdown : Firefox kapatıldığında geçmişi otomatik silme ayarları.

• false: Firefox kapatıldığında geçmişi otomatik silme(varsayılan)
• true: Fİrefox kapatıldığında geçmişi otomatik sil(önerilen).

Başlıca güvenlik ve gizlilik ayarlarını yukarda yazık. Daha fazla ayar için (http://kb.mozillazine.org/About:config_entries) adresine bakabilirisiniz.

Güvenlik ve gizlilik için bazı eklentiler:

Aşağıdaki eklentilerin kaynak kodlarını github üzerinden bulabilirsiniz.

Privacy Settings:  Yukarıda yaptığımız ayarları bu eklenti ile tek tuşla kolay şekilde düzenleyebiliriz. Bazı siteler bu ayarlardan sorun çıkartabiliyor böyle durumda çok rahat bi şekilde ayarlar arasında geçiş yapmamızı sağlar.

uBlock Origin: Reklam ve web sitelerinin bizi izlemesini engeller.

Self-Destructing: Cookies: Çerezleri tarayıcıda açık olan  sekmeler kullanılmadığında çerezleri otomatik olarak siler. Çerezlerle, kalan oturumlar ve casusluk yapmak için kullanılan bilgiler silinir.

HTTPS Everywhere: Siteleri https protokolünü kullanmaya zorlar.

NoScript: Sitelerin çalıştırdığı script kodlarını engeller.

Decentraleyes: CDN’e(içerik dağıtım ağına) yönelik istekleri engeleler.

Random User Agent Spoofer: Tarayıcı ve işletim sistemi bilgilerinizi değiştirmenizi sağlar.

https://browserleaks.com/ Tarayıcı üzerinden hangi bilgileri paylaştığınızı bu siteden kontrol edebilirsiniz.

TR | Firefox Güvenlik ve Gizlilik Gökay Atar

Linux sunucumuzda birden fazla kullanıcı erişim yetkisine sahip ise bütün kullanıcıların aktivite kaydını tutmak isteyebiliriz.

Evet  .bash_history altında kayıt ediliyor fakat yeteri kadar güvenli değil. Anında kayıt olmuyor ve sistem çöktüğünde ya da istenmeyen şekilde bash oturumu sona erese kayıtlara ulaşamayabiliriz.

Bash aktivite loglarını olası bir istenmeyen durum karşısında incelemek için log sunucumuza göndermemiz daha sağlıklı olacaktır ve önce kaydımızı alıp sonra yazdığımız komutun işletilmesini sağlayacağız.

Herhangi bir metin düzenleme editorü  ile /etc/bash.bashrc  açalım. Ben direk düzenleme modu ile açıyorum.

sudo -e /etc/bash.bashrc

Daha sonra aşağıdaki satırı ekleyelim.

export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.debug "$(whoami) [$$]: $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//" ) [$RETRN_VAL]"'

Ve kayıt edip çıkalım.

Şİmdi log dosyasını kayıt yolunu ve dosya adını ayarlayalım. /etc/syslog.conf   herhangi bir metin editörü ile açalım.

sudo -e /etc/syslog.conf

Ve aşağıdaki satırı ekleyelim

 local6.*                /var/log/bashaktivite.log

Ve kayıt edelim çıkalım.

Log dosyamızın kullanıcıların müdahale etmesini engellemek için izinleri değiştirmeyi unutmayalım

sudo chattr +a /var/log/bashaktivite.log

Son olarak log servisimizi yeniden başlatalım.

systemctl restart rsyslog.service

Her şey tamam şimdi /var/log/bashaktivite.log log dosyamızı açarak kayıtları görebiliriz.

cat /var/log/bashaktivite.log

Komutu tanıyalım

logger -p local6.debug "CMDAUDIT EVENT! $(whoami):[$(id -u)]:[$$]: $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//" ) [$RETRN_VAL]"

“PROMPT_COMMAND”   Adında ortam değikenimiz var. Bu değişken bash çıktısı vermeden önce işlemin yürütülmesini sağlıyor

RETRN_VAL=$?  Kodumuzu değişkene atıyoruz

$(whoami) işlemi yapan kullancı adı

[$$]  Mevcut shell PID. Eğer aynı kullanıcıya ait başka oturumlar varsa bunları ayırt edebiliriz.

$(history 1 | sed “s/^[ ]*[0-9]\+[ ]*//” )  Son çalıştırdığımız komutu sed ile index ve boşlukları silerek gösterir.

[$RETRN_VAL] Dönüş değerimiz.

Log dosyasını daha detaylı hale getirmek için loglanmasını istediğiniz değişkeni ekleyebilirsiniz.

Son olarak unutmadan sunucumuz kendi halinde değilse sürekli işlem yapıyorsak log dosyamız baya şişecektir bunun önüne geçmek için log rotate yapmamız gerek.

sudo -e /etc/logrotate.d/rsyslog

Açalım ve log dosyamızı buraya ekleyelim

• Fiziksel / GRUB Güvenliği
• Disk Güvenliği
• Dosya Güvenliği
• Kullanıcı Güvenliği
• Root Güvenliği
• Gereksiz Servislerin Kapatılması
• PAM Modülü
• IP Tables
• TCP Wrappers
• ssh Sıkılaştırması
• History Formatının Düzenlenmesi
• BASH Aktivitelerinin Loglanması
• Varnish
• Mod Evasive
• Apache Sıkılaştırması
• PHP Sıkılaştırması

TR | Linux Bash Aktivitelerinin Loglanması Gökay Atar

Sisteminize yüklü olarak gelen fakat kullanmadığınız servisleri kapatmak hem güvenlik hem de performans açısından yararlı olacaktır. Kullanmadığınız servisler sistem kaynaklarını neden boşa harcasın ki ? Ya da kullanmadığınız servis üzerinde çıkan güvenlik zafiyeti yüzünden neden zarar görelim?

• Servisimizi durdurur

systemctl stop servisadı

• Servisimizi başlatır

systemctl start servisadı

• Servisimizi yeniden başlatır

systemctl restart servisadı

• Servisimizi kesintiye uğratmadan yapılandırma dosyasını yeniden yükler

systemctl reload servisadı

• Servislerimizin durumunu gösterir

systemctl status servisadı

• Aktif sistem servisleri listeler

systemctl list-units --type service

• Tüm sistem servislerini listeler

systemctl list-units --type service --all

• Servisimizin sistem başlangıcında başlatır

systemctl enable servisadı

• Servisimizin sistem başlangıcında açılmasını kapatır

systemctl disable servisadı

• Servislerin etkin olup olmadığını gösterir

systemctl list-unit-files --type service

• Servis konfigrasyonlarını gösterir

systemctl show servisadı

• Servis bağımlıklarını gösterir

systemctl list-dependencies servisadı

• Sistemde dinlenen soketleri gösterir

systemctl list-sockets

• Sistemde sorun çıkaran servisleri gösterir

systemctl --fail

• Uzaktaki sunucun servis yapılandrıması için

systemctl -H kullanıcı@host komut servisadı

• Aktif işleri gösteir

systemctl list-jobs

• Servis loglrarını gösterir

journalctl -u servisadı

• Şimdi basitçe etkin ve etkin olmayan servislerimize bakalım bunun için şu komutu kullanıyorduk

systemctl list-units --type service

• Yukarıda ki listede sistem tarafından otomatik çalıştırılan ama benim kullanmadığım servisler var. Mesela bluetooth servisini ele alalım.  Bluetoothu kullanmıyoruz kapatmak için

systemctl stop bluetooth.service

komutunu verebiliriz.  Fakat sistem yeniden başladığında bluetooth servisimiz otomatik olarak yeniden açılacak eğer sistem başlangıcında da açılmasını istemiyorsak

 systemctl disable bluetooth.service

komutunu verebilirz.

• Şimdi servisimizin durumunu kontrol edelim

 systemctl status bluetooth.service

Böylece kullanmadığımız servisi kapatmış olduk.

İhtiyaç duymadığınız ya da gereksiz yere amacınız dışında işlem yapan servislerinizi tespit ederek kapatmanız bir nebze size yarar sağlayacaktır.

• Fiziksel / GRUB Güvenliği
• Disk Güvenliği
• Dosya Güvenliği
• Kullanıcı Güvenliği
• Root Güvenliği
• Gereksiz Servislerin Kapatılması
• PAM Modülü
• IP Tables
• TCP Wrappers
• ssh Sıkılaştırması
• History Formatının Düzenlenmesi
• BASH Aktivitelerinin Loglanması
• Varnish
• Mod Evasive
• Apache Sıkılaştırması
• PHP Sıkılaştırması

TR | Linux Gereksiz Servislerin Kapatılması Gökay Atar

Sunucumuza bağlanırken güvenliğimizi arttırmak için ssh için google authenticator ile 2 aşamalı doğrulamayı kuracağız.

İlk önce google-authenticator pam modülünü kurmamız lazım ister kaynaktan (https://github.com/google/google-authenticator) ister paket yöneticisi ile kurabilirsiniz. İşimizi uzatmamak için bu yazıda paket yöneticisi ile kuruyoruz.

• Terminali açalım ve aşağıdaki komutu yazalım

sudo apt-get install libpam-google-authenticator

• Modülümüzü kurduktan sonra PAM konfigrasyon dosyamızı düzenlememiz gerekir bunun için konfigrasyon dosyasımızı herhangi bir metin düzenliyici ile açalım.

sudo nano /etc/pam.d/sshd

• Uygun bölüme google-auth ile girişin zorunlu olması için aşağıdaki satırları yazalım.

# Doğrula beni google
auth required pam_google_authenticator.so

ve kaydedip çıkalım. (ctrl+o enter ctrl+x)

• Şimdi sıra geldi ssh konfigürasyonumuzu yapmaya. Konfigürasyon dosyamızı açalım.

sudo nano /etc/ssh/sshd_config
ChallengeResponseAuthentication no

yazan yeri bulup bu şekilde değiştirelim

ChallengeResponseAuthentication yes

Kaydedip çıkalım

• ssh servisimizi yeniden başlatalım

/etc/init.d/ssh restart

• Sıra google doğrulayıcı ayarlarımıza geldi terminalden

google-authenticator

çalıştıralım.

Burada istersek barkod okuyucuyla gizli anahtarımızı telefona ekleyebiliriz fakat qr kod taramamız için 3.parti uygulama gerekecek o yüzden biz secret key yazan yeri bir köşeye kopyalayalım birazdan lazım olacak.

Bunun dışında 5 tane kod görüyoruz bu kodları acil durumlar için başka yere not edelim mesela telefonunuz yanınızda değilse bu kodlar sayesinde yine giriş yapabilrisiniz.

“Not: Aşağıdaki gibi onaylama işleminizi yaptıysanız kodları ev dizininize gelip gizli dosyaları göster yaptığınızda .google_authenticator dosyasındankodları görebilirsiniz ya da yine terminalden

cat .google_authenticator

yazarak görüntüleyebilirsiniz”

Gerekli yerleri kopyaladıysak soruları kendimize göre cevaplayalım. Ben hepsini “y” yazarak onayladım.

• Son aşamada telefondaki ayarlaramızı yapacağız bunun için Google Authenticator uygulamasını indirmemiz gerekli.

1. Android: https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
2. iOS: https://itunes.apple.com/au/app/google-authenticator/id388497605?mt=8

• Uygulama hakkında daha detaylı bilgiye https://support.google.com/accounts/answer/1066447?hl=tr adresinden ulaşabilirsiniz.

Uygulamamızı açalım ve sağlanan anahtarı girin yazısını seçelim.

Şimdi yukarda kopyalamış olduğumuz secret keyimizi yazalım ve zamana dayalı olarak ekle diyelim.

Hesabımız oluşturuldu. Artık her 30 saniyede bir değişen kod alacağız üstelik bu kodları alabilmek için internet bağlantınızın olmasına gerek yok.

• Ve ssh ile bilgisayaramıza ulaşmaya çalışalım.

• Gördüğünüz gibi parolamızı yazdıktan sonra bizden doğrulama kodunu isteyecek telefonumuzdaki uygulamada çıkan kodu girerek oturumumuzu açabiliriz.

TR | SSH İçin 2 Aşamalı Doğrulama (2FA) Gökay Atar

Bu yazımızda Linux (debian tabanlı sistemlerde) root ya da herhangi bir kullanıcının parolasını nasıl sıfırlayacağımızı anlatacağım. Aslında unutulan parolalar için yararlı gözüksede tehlikeli bir güvenlik zafiyetidir.

Grub ekranında klavyeden “e” tuşuna basarak düzenleme modu açalım.

Kırmızı çizgiyle çizilmiş yeri rw init=/bin/bash şeklinde değiştirelim.

Ardından Ctrl+X ya da F10 tuşuna basarak sistemin boot olmasını sağlayalım.

Sistemimiz root parolasını sormadan açılacaktır. Passwd komutunu vererek yeni root parolasını 2 kere girelim.

Parolamızı yazdıktan sonra aşağıdaki resimde gördüğünüz gibi root parolamız başarı ile güncellenmiştir mesajını aldık.

Başka bir senaryoda root parolasını değiştirmeden, sisteme yeni bir yetkili kullanıcı oluşturup, sistemde gerekli istediğiniz değişiklikleri yaptıktan sonra oluşturduğunuz kullanıcıyı silerek sistem de istediğiniz manipülasyonu yapabilirsiniz.

Peki buna karşı nasıl bir önlem alabiliriz ?

Bunun bir yöntemi grub menüsüne parola koymaktır.

Ben oturumu root kullanıcı ile açtığımdan yetki sorunu yaşamadım eğer yetki ile ilgili hata alırsanız  yönetici haklarıyla komutları çalıştırın.

İlk önce grub-mkpasswd-pbkdf2 yazarak koymak istediğimiz parolamızı 2 kere yazalım daha sonra  yazdığımız parolanın sha512 değerini alacağız. PBKDF2 hash of password is yazısından sonra ki yeri kopyalayalım.

nano /etc/grub.d/40_custom komutu ile konfigürasyon dosyamızı açalım.

set superusers= kullanıcıadı

password_pbkdf2 kullanıcıadı kopyaladığınız sha512 hashi şeklinde yazalım kaydedip çıkalım. (ctrl+O ctrl+x)

Daha sonra terminale “update-grub” yazarak yeni ayarlarımızla güncelleyelim. Sistemi yeniden başlattığımızda arık grub ekranındayken kullanıcı adı ve parola girmeden hem boot etmeyecek hem de düzenleme moduna giremeyeceğiz.

Böylelikle oluşabilecek fiziksel saldırı için bir önlem almış olduk.

TR | Linux Root Password Bypass Gökay Atar