A
B
C
Ç
D
E
F
G
Ğ
H
I
İ
J
K
L
M
N
O
P
R
S
Ş
T
U
Ü
V
Y
Z
Q
W
X
+ Ekle
Linux’da Çekirdek Güvenliği

Linux’da Çekirdek Güvenliği Çekirdek Güvenliği
Bu bölümde güvenlikle ilgili çekirdek yapılandırma seçeneklerini açıklayacak, ne işe yaradıklarını ve nasıl kullanıldıklarını anlatacağız.

Çekirdek, bilgisayarnızın ağını denetim altında tuttuğu için, çok güvenli olması ve bozulmaması önemli. En yeni ağ saldırılarını engellemek için, çekirdek sürümünüzü güncel tutmaya çalışmalısınız. Çekirdeklerinizi ftp://ftp.kernel.org
adresinden, veya dağıtıcınızdan bulabilirsiniz.

Ana Linux çekirdeğine, birleştirilmiş bir şifre yaması sağlayan uluslararası bir grup var. Bu yama, dışsatım kısıtlamaları yüzünden ana çekirdeğe dahil edilemeyen şeyler ve bazı şifreliyazımsal alt sistemler için destek sağlıyor. Daha fazla bilgi için: http://www.kerneli.org
.

2.0 Çekirdek Derleme Seçenekleri



2.0.x çekirdekleri için izleyen seçenekler geçerli. Bu seçenekleri çekirdek yapılandırma işlemi sırasında görürsünüz. Buradaki yorumların çoğu ./linux/Documentation/Configure.help belgesinden, aynı belge çekirdeğin make config aşamasında Help (Yardım) kısmında da kullanılıyor.


Ağ Ateşduvarları (CONFIG_FIREWALL)

Bu seçenek, eğer Linux makinenizde ateşduvarı kullanacaksanız, veya maskeleme yapacaksanız açık olmalı. Eğer sıradan bir istemci makine olacaksa, kapata da bilirsiniz.


IP: yönlendirme/ağ geçidi (CONFIG_IP_FORWARD)

IP yönlendirmesini açarsanız, Linux kutunuz bir yöneltici haline gelir. Eğer makineniz ağ üzerinde ise, bir ağdan diğerine veri yönlendiriyor olabilirsiniz, belki de bunun olmasını engelleyen bir ateşduvarını devre dışı bırakarak. Normal çevirmeli ağ kullanıcıları bunu kapatmak isteyecektir, diğer kullanıcılar ise bunun güvenlik yan etkileri üzerinde düşünmelidir. Ateşduvarı görevi yapacak makineler bu seçeneğin açık olmasını, ve ateşduvarı yazılımıyla uyum içinde kullanılmasını gerektirir.

IP yönlendirmeyi şu komutu kullanarak dinamik şekilde açabilir:



root# echo 1 > /proc/sys/net/ipv4/ip_forward

ve şu komutu kullanarak da kapatabilirsiniz:
root# echo 0 > /proc/sys/net/ipv4/ip_forward

proc dizini içindeki dosyaların "sanal" dosyalar olduğunu ve gösterilen boyutun dosyadan alınabilecek veri miktarını yansıtmadığını aklınızdan çıkarmayın.


IP: syn kurabiyeleri (CONFIG_SYN_COOKIES)

"SYN Saldırısı", makinenizdeki tüm kaynakları tüketen bir servis reddi (DoS) saldırısıdır, sistemi yeniden başlatmak zorunda kalırsınız. Normal olarak bu seçeneği açmamanızı gerektirecek bir sebep düşünemiyoruz. 2.2.x çekirdek serisinde bu yapılandırma seçeneği "syn kurabiye"lerini açmaya izin verir, fakat onları açmaz. Açmak için aşağıdaki komutu kullanmalısınız:


root# echo echo 1 > /proc/sys/net/ipv4/tcp_syncookies



IP: Ateşduvarı (CONFIG_IP_FIREWALL)

Makinenizi bir ateşduvarı olarak yapılandıracaksanız, veya maskeleme yapacaksanız, veya PPP çevirmeli ağ arabirimini kullanarak çevirmeli ağ iş istasyonunuza birinin girmesine engel olmak istiyorsanız bu seçeneği açmanız gerekir.


IP: Ateşduvarı paket günlüğü (CONFIG_IP_FIREWALL_VERBOSE)

Bu seçenek ateşduvarınızın paketler hakkında aldığı gönderici, alıcı, port gibi bilgileri verir.


IP: Kaynaktan yönlendirilen çerçeveyi düşür (CONFIG_IP_NOSR)

Bu seçenek etkinleştirilmelidir. Kaynaktan yönlendirilen çerçeveler, gidecekleri yeri paketin içinde bulundurur. Bu, paketin içinden geçtiği yöneltici tarafından incelenmemesi, ve sadece yönlendirmesi anlamına gelir. Bu, potansiyel açıklardan yararlanmak isteyen verinin sisteminize girebilmesine olanak tanıyabilir.


IP: Maskeleme (CONFIG_IP_MASQUERADE)

Linux"unuzun ateşduvarı rolünü üstlendiği yerel ağınızdaki bilgisayarlardan biri dışarı bir şey göndermek isterse, Linux"unuz kendini o bilgisayar olarak "maskeleyebilir", yani trafiği istenen hedefe göndererek, kendisinden geliyormuş gibi görünmesini sağlayabilir. Daha fazla bilgi için http://www.indyramp.com/masq
adresine bakın.


IP: ICMP Maskeleme (CONFIG_IP_MASQUERADE_ICMP)

Bu seçenek, sadece TCP ve UDP trafiğinin maskelenmesi anlamına gelen bir önceki seçeneğe ICMP maskelemesini de ekler.


IP: şeffaf vekil desteği (CONFIG_IP_TRANSPARENT_PROXY)

Bu, Linux ateşduvarınızın, yerel ağdan çıkan ve uzaktaki bir bilgisayara gidecek olan tüm trafiği, "şeffaf vekil sunucu" adı verilen yerel bir sunucuya yönlendirebilir. Bu, yerel kullanıcıların uzak uç ile konuştuklarını sanmalarına yol açar, halbuki yerel vekile bağlanmış durumdadırlar. Daha fazla bilgi için adresindeki IP-Masquerading HOWTO (IP Maskeleme NASIL) belgesine göz atın.


IP: daima parçala (CONFIG_IP_ALWAYS_DEFRAG)

Genellikle bu seçenek kapalı durumdadır, fakat bir ateşduvarı veya maskeleyen bir bilgisayar oluşturuyorsanız, etkin hale getirmek isteyeceksiniz. Veri bir bilgisayardan diğerine giderken, her zaman tek bir paket halinde değil, bir kaç parçaya ayrılarak gönderilir. Buradaki sorun birinin kalan paketlere orada olması beklenmeyen bazı bilgileri sokmasıdır. Bu seçenek ayrıca, gözyaşı saldırısına karşı yama uygulanmamış içerdeki bir bilgisayara yapılan bu saldırıyı da engelleyebilir.


Paket İmzaları (CONFIG_NCPFS_PACKET_SIGNING)

Bu, 2.2.x çekirdek dizisinde yer alan ve daha güçlü güvenlik için NCP paketlerinin imzalanmasını sağlayan bir seçenektir. Olağan durumlarda kapalı bırakabilirsiniz, ama gereksinim duyarsanız orda duruyor.


IP: Ateşduvarı paket ağbağlantısı aygıtı (CONFIG_IP_FIREWALL_NETLINK)

Bu, bir paketin meşruluk durumuna bakarak kabul edilip edilmeyeceğini belirlemek amacıyla, kullanıcı uzayında çalışan herhangi bir programındaki paketlerin ilk 128 baytını inceleyebilmenizi sağlayan etkileyi bir seçenektir.



2.2 Çekirdek Derleme Seçenekleri
2.2.x çekirdekleri için, seçeneklerin çoğu aynı, fakat yeni bir kaç seçenek daha var. Buradaki açıklamaların çoğu, çekirdeği derlerken ki make config aşamasında kullanılan Yardım bölümünün referans aldığı ./linux/Documentation/Configure.help belgesiyle aynıdır[119]. Gereken seçeneklerin bir listesi için 2.0 açıklamalarına başvurun. 2.2 çekirdekteki en anlamlı değişiklik IP ateşduvarı kodudur. Artık ateşduvarı oluşturmak için, 2.0 çekirdeğindeki ipfwadm programının yerine ipchains programı kullanılıyor[120].


Soket Süzümü (CONFIG_FILTER)

Çoğu insan için bu seçeneğe hayır demek güvenlidir. Bu seçenek, tüm soketlere kullanıcı uzayında bir süzgeci bağlamanızı, ve bu yolla paketlerin geçişine izin verilip verilmeyeceğini belirlemenizi sağlar. Çok özel bir gereksinim duyuyor olmadıkça ve böyle bir süzgeç programlayabilir bilgiye sahip olmadıkça hayır demelisiniz. Ayrıca bu belgenin (Ç.N.: Özgün İngilizce belgenin) yazılışı sırasında TCP dışındaki tüm protokoller destekleniyordu.


Port Yönlendirme

Port Yönlendirme, ateşduvarındaki belirli portlarda, dışarı giden veya içeri gelen paketlerde bazı yönlendirmelerin yapılabilmesini sağlar. Bu, örneğin bir WWW sunucusunu ateşduvarının veya maskeleme bilgisisayarının arkasında çalıştıracağınız halde o WWW sunucusunun dış dünyadan ulaşılabilir durumda olması gerektiği durumlarda yararlıdır. Bir dış istemci ateşduvarının 80. portuna bir istek yollar, ateşduvarı bu isteği WWW sunucusuna yönlendirir, WWW sunucusu istekle ilgilenir ve sonuçları ateşduvarının üstünden tekrar özgün istemciye gönderir. İstemci ateşduvarının kendisinin WWW sunucusu olarak çalıştığını düşünür. Bu, eğer ateşduvarının arkasında bir WWW sunucu çiftliği bulunduruyorsanız, yük dengelemede de kullanılabilir.

Bu özellik hakkında daha fazla bilgiyi http://www.monmouth.demon.co.uk/ips...forwarding.htmlftp://ftp.compsoc.net/users/steve/ipportfw/linux21/ adresine göz atın.








adresinden bulabilirsiniz. Genel bilgi için
  • diline pelesenk olmak ne demek
  • dillere pelesenk olmuş ne demek
  • pelesenk
  • pelesenk ne demek
  • Pelesenk Ne Demek – Pelesenk Sözlük Anlamı
  • pelesenk olmak ne demek
  • pelesenk olmak ne demektir
  • pelesenk olmuş ne demek
  • Yüksek Yüksek Tepelere sözleri
  •   Ad Soyad
      Yorum