TR | Linux Fiziksel/GRUB Güvenliği
Linux Fiziksel/GRUB Güvenliği
Sistemimizin güvenliğini sağlarken ilk düşünmemiz gereken adımlardan birisi fiziksel güvenlik olmalıdır.Çoğu kişi tarafından göz ardı edilen bu adım, dikkat edilmediği durumlarda tıpkı sanal ortamdaki istismarlar gibi büyük zararlara sebep olabilir.
Fiziksel güvenlik aşamasında öncelikli yapmamız gereken envanter haritası şeklinde elimizde ne olduğu,niçin olduğu ve neye ihtiyaç olduğudur.
Örneğin bir kişisel ev bilgisayarının fiziksel güvenlik önlemleri ile şirket içinde kullandığımız sunucunun güvenlik önlemleri farklı şekilde düşünülmeli ve uygulanmaladır.
Bilgisayar/Sunucu Kilitleri
- Öncelikli olarak sistemimizin bulunduğu odayı korunaklı hale getirmeliyiz.
- Daha sonra bilgisayarımızın(sunucumuzun) bulunduğu bölmeler güçlü kilit sistemlerine sahip olmalıdır.
- Bu kilit sistemlerini geçmek için farklı aşamalardan oluşan kilit yapıları kullanılmalıdır.
- Kilitleme işlemini gerçekleştirdiğimiz bölmeler kolaylıkla aşılabilir,kırılabilir hafif malzemeler yerine korunaklı sağlam maddelerden yapılmış olmalıdır.
- Belirli sayıda başarısız giriş denemesinden sonra sistem kendi kendini yok edebilme ya da farklı şekilde tekrar şifreleyebilme özelliğine sahip hale getirilmedilir.
- Bilgisayar(sunucu) dışarıdan herhangi bir CD/DVD/USB vb aletlerin takılmasına ve kullanımına kapalı olmalıdır.
- Yine aynı şekilde fare/klavye gibi aygıtlar takılı şekilde sistemler terk edilmemelidir.
- Bu adımda sonra olarak sunucular yukarıda belirtilen CD/DVD/USB gibi aygıtlar tarafından önyükleme işlemine tabi tutulamamalı dır.
BIOS Güvenliği
BIOS güvenliği adımına geçmeden önce BIOS nedir önce buna bir bakalım.
BIOS(Basic Input/Output System) yani temel giriş çıkış sistemi bilgisayarın çalışması için gereken temel yapıdır.Sadece okunabilir bellek(ROM-ReadOnlyMemory) üzerine yazılmış olan BIOS yazılımı sayesinde anakartımızın özelliklerini kullanabilir,diğer donanımlar ile bağ kurabiliriz.
Sadece Okunabilir Bellek üzerinde olmasından dolay burada kalıcıdır
Konumuza geri dönersek BIOS güvenliği için önyükleme şifrelemesi yapılması gerekmektedir.Fakat çoğu sistemlerde kendiliğinden gelen bu şifreleme yöntemleri BIOS’un sıfırlanması,silinmesi ya da değiştirilmesi gibi işlemlerle kolaylıkla baypass edilebilmektedir.
Bunun için BIOS şifrelemesi için gelişmiş şifreleme seçenekleri sunan versiyonlar tercih edilmelidir.
Bootloader(Önyükleyici) Güvenliği
Bootloader,cihaz başladığı esnada işletim sistemini yüklemeyi sağlayan bir programdır. Bootloader programına ait konfigürasyon dosyaları /boot/grub/grub.cfg dosyası içinde bulunur. Güvenlik önlemi olarak yetkisiz kişilerin bu dosya üzerinde değişiklik yapmasını engellemek amacıyla izinleri değiştirmeliyiz.
grub.cfg dosyasının ilk izin hali bu şekildedir.
Daha sonra aşağıdaki kod ile yetki seviyesini değiştiriyoruz.
chmod 0600 grub.cfg
İşlemin sonunda dosyanın izinleri aşağıdaki şekilde değişmiş olmaktadır.
USB Sürücülerin Engellenmesi
Dışarıdan mudahaleler sonucunda oluşabilecek zararlardan korunmak için USB sürücülerin sistem üzerinden kullanımını engellemememiz gerekmektedir.Bunun için kernel üzerinde yapacağımız basit değişiklik ile kernel’in usb desteğini engelleyebiliriz.Bunu için grub.cfg dosyasının içine aşağıdaki satırı eklememiz gerekmektedir.
kernel /4.0.0-kali1-amd64 ro root=LABEL=/ console=tty0 console=ttyS1,19200n8 nousb
Bu noktada kernel /4.0.0-kali1-amd64 yazan kısım sistemimizin kernel çekirdek sürümünü belirtir.Bunu kendi sistemimizde öğrenmek için
uname -r
komutunu kullanabilir ve sonrasında çıktıyı belirtilen yer ile değiştirebiliriz.
Bu adımlardan sonra
nano /boot/grub/grub.cfg
komutu ile dosyayı açıp üzerinde yukarıda belirtilen değişikliği yapıyoruz.Kaydedip çıktıktan sonra sistem reboot edilerek yapılan değişikliklik aktif hale geçmiş olur.
Bu belirtilen şekilde kapatmanın yanı sıra istenildği takdirde USB sürücüleri BIOS ayarlarından da kapatabiliriz.Bunun için BIOS’umuzun güçlü bir parolası olması gerekmektedir.
Bu konuda yapılacaklar arasında son adım olarak USB Driver’ını kaldırmak olabilir.
Bunun için öncelikli driver dosyamızın bulunduğu dizini görüntüleyelim .
Gördüğünüz gibi driver dosyamız orda duruyor.Şimdi bunu test amaçlı olarak /root dizini altına taşıyalım .
Daha sonra tekrar baktığımızda USB Driver dosyası burda bulunmadığı için driver kaldırılmış olarak gözükmektedir.
GRUB Şifreleme
GRUB ayarları için sonradan yetkisiz değişiklikler olmaması için şifreleme yaparak korumaya almamız gerekmektedir.Bunun için öncelikli olarak
grub-mkpasswd-pbkdf2
komutu ile şifre oluştururuz.
Şifremizi belirledikten sonra aşağıdaki ekran karşımıza çıkıyor.Bu ekrandan oluşan şifremizi kopyalıyoruz.
Daha sonra oluşturduğumuz şifreyi grub ayarlarına eklememiz gerekiyor.Bunun için için
nano /etc/grub.d/00_header
Komutu ile belirtilen dosyayı açıyoruz.İçerisinde aşağıda belirtilen değişklikleri yapıyoruz.
setsuperusers="demo" password_pbkdf2 demo
dedikten sonra bir önceki ekranda kopyaladığımız şifreyi buraya yapıştırıp kaydediyoruz.
Daha sonra sistemimizi reboot ettiğimizde artık grub ekranımızda belirlediğimiz şifre sorulmaktadır.
- Fiziksel / GRUB Güvenliği
- Disk Güvenliği
- Dosya Güvenliği
- Kullanıcı Güvenliği
- Root Güvenliği
- Gereksiz Servislerin Kapatılması
- PAM Modülü
- IP Tables
- TCP Wrappers
- ssh Sıkılaştırması
- History Formatının Düzenlenmesi
- BASH Aktivitelerinin Loglanması
- Varnish
- Mod Evasive
- Apache Sıkılaştırması
- PHP Sıkılaştırması