Zaay|

Mod Security nin Bir Serverda Kendi Kanimca Vazgecilmez Modullerden Birisidir Diye Dusunuyorum Eklenebilir ve gelistirilebilir kurallari(rules) ile Nerdeyse Bir cok seyin Hakimiyetini Elinize Alabilirsiniz Herneyse Fazla Uzatmadan Kisaca Centos icin Kurulumunu Anlatmaya Calisacagim Diger sistemler icinde Genelde Aynidir Sadece Modul Olarak Tanitma direktifi Gerekli Onuda Kurulum esnasinda Anlatimimda Yer Verecegim

oncelikle version 1.9.5 icin anlatim yapacagim

wget ile dosyamizi servera

/usr/local/src

dizinine cekiyorum

wget http://www.modsecurity.org/download/modsecurity-apache_1.9.5.tar.gz

daha sonra cektigimiz tar.gz uzantili dosyamizi Aciyoruz

tar zxf modsecurity-apache_1.9.5.tar.gz

dosyamizi actiktan sonra herhangi bir instalation islemi yok ama Acmis oldugumuz Pakette Kullanmis Oldugumuz Apache Versionunu Goz Onunda Bulundurarak ilgili Dosyanin icindeki mod_security.c dosyamizi apache ye bi modulmus gibi tanitmamiz Gerekmektedir Ben version 1 olan icin uyguladim ama anlatimimda genel olarak anlatmaya calisiyorum. Bu islemi de Kullanmis Oldugunuz isletim sistemindeki apxs direktifi farkli olabilecegi icin ilk önce onun yolunu Bulalalim

apxs yolunu bulmak icin

which apxs

evet apxs yolumuzu bulduktan sonra

modul mus gibi tanitiyoruz

buldugumuzyolapxs -cia mod_security.c

evet mod security yi sistemimize kurmus olduk simdi sira httpd.conf dosyamizdaki kurallarimizi duzenlemeye calisalim

ilk once httpd.conf dosyamizi aciyoruz

pico -w /etc/httpd/conf/httpd.conf

ve Apache versionu 1.x icin AddModule mod_security.c olan kismi bulup hemen altina (surekli kullandigim) kurallari ekliyelim

mod_security Kurallari icin tikla

evet en son olarakta apache ye restart atarak islemi hazir hale getiriyoruz

Kod:

service httpd restart

burdaki kurallari kendinize gore gelistirebilirsiniz ama sunuda hatirlatmak istiyorumeklemis oldugum kurallarda guvenlik acigi olan bir cok yazilimlari etkileyecektir misal Joomla gibi eger sitenizi bir script host halinde kullaniyorsaniz Bu kadar kati kurallar isinizi zorlastirabilir ama disardan servera atilmis kotu yazilimlari da (c99,r57…vs) aman vermez ona gore kurallarinizi kendiniz de duzenleyebilirsiniz.

SSH ile sunucumuza Bağlanıp php.ini üzerinden sunucumuzda kullanıma kapatacağımız fonksiyonları belirteceğiz. Eğer Putty yi nasıl kullanacağınızı bilmiyorsanız {Putty ile Linux sunucuya bağlanma} isimli makaleyi ilerki Günlerde hazırlıyabilirim.

Putty yada scp ile Sunucumuza bağlandıktan sonra cd /usr/local/lib/ yazıp ilgili dizine giriyoruz. Girdikten sonra vi php.ini yazıp dosyamızı açıyoruz ve içerisinde aşağıya doğru inip ayarları uyguluyoruz.

Safe mode = On olarak ayarlayın…

Sonra disable_function yazan satırı bulup aşağıdaki özellikleri ekliyoruz. Her bir özelliğin ne anlama geldiğini görevlerini de ekliyeceğim…

disable_functions = system, shell_exec, exec, passthru, pcntl_exec, proc_open, proc_close, proc_get_status, proc_nice, proc_terminate, openlog, escapeshellcmd, escapeshellarg, dl,show_source

system => Sunucu sistemini birebir ilgilendiren ve sunucu aktivitelerini takip etmemizi sağlayan sistem dosyalarının görüntülenmesi, çalıştırılması gibi etkinliklerini sağlar

shell_exec => Shell yetkimiz varmış gibi işlem yapabilmesini sağlar. Bu şekilde bir çok dizinin görüntülenmesi ve dizinler üzerinde işlem yapılmasına olanak sağlar.

passthru => Gerek dış bir sunucuda gerekse sunucu içinde bulunan programları(komut satırlarını) değerlendirip işleme koyar. shell_exec ve exec özellikleri ile hemen hemen aynı görevleri yapmaktadırlar.

pcntl_exec => Sistem kütüphanelerini kullanarak (/usr/local/bin/perl gibi) istenilen kodların çalıştırılmasını sağlar. Bu şekilde sistem üzerinden bir çok kod hiç bir yere takılmadan çalıştırılabilir.

proc_open=> işaret edilen dosyalardaki kodları ve bağımsız kodları çalıştırmaya yarar. popen fonksiyonunun biraz daha geniş kapsamlısıdır.

proc_close => proc_open fonksiyonu ile açılan işlemleri sonlandırmaya yarar.

proc_get_status => proc_open fonksiyonu ile başlatılan işlemin durumunu takip etmek için kullanılır.

proc_nice => aktif olarak yürütülen işlemin önceliğini değiştirmenize olanak sağlar…

proc_terminate => proc_open ile başlatılan işlem sürecini sonlandırmaya yarar.

open_log => Bir program(kod parçaları,scriptler) için sistemde kayıt dosyalarını saklamalarını sağlamak için bağlantı kurar

dl => PHP Kütüphanesindeki eklentilerin aktif olarak kullanılmasını sağlar…

Bir çok arkadaşın önerdiği fakat benim anlamını bilmediklerim. Bazi disable funksiyonları da var ama ilk etapta serverinizi yeteri kadar guvenli hale getirmeye yetecektir.

Serveriniza birisi root girişi yaptığında saat kaçta , hangi gün ve hangi IP’den giriş yaptığını belirten bir Mail almak isterseniz aşağıdaki işlemleri uygulayabilirsiniz.

1-) Root Klasörüne Giriyoruz

cd /root

2-) Bashrc Dosyasını Açıyoruz Ben Vi edtorunu Kullaniyorum

vi .bashrc

3-) Aşağıdaki Satırı .bashrc nin en Altına Ekliyoruz

echo ‘Dikkat - Root Girişi Yapıldı on:’ `date` `who` | mail -s “Dikkat: Root Girişi `who | cut -d”(” -f2 | cut -d”)” -f1`” e-mail adresiniz@domain.com

4-) Dosyayı Kaydediyoruz.

:wq

komutu ile Dosyay Kaydediyoruz

Test Etmek İçin SSH’i Kapatıp Açabilirsiniz.

Dosya arşivleri hazırlar. Önceden Oluşturulmuş arşivlere eklemeler yapar ve önceden arşivlenmiş dosyaların içindeki dosyaları dışarıya almaya yarar. Bu makalemizde pratik olarak işimize yarayacak Dosya Sıkıştırma ve Açma Yönergelerini inceliyeceğiz.

ZIP ile sıkıştırma

$ zip -r deneme.zip dosya_veya_dizin

TAR ile gz olarak sıkıştırma

$ tar cvzf deneme.tar.gz dosya_veya_dizin

TAR ile bz2 olarak sıkıştırma

$ tar cvjf deneme.tar.bz2 dosya_veya_dizin

TAR.Z ile sıkıştırmak

$ tar -cZvf deneme.tar.Z dizin_veya_dosya

GZIP ile sıkıştırmak

$ gzip -9 dosya_veya_dizin

Not:işlem bittikten sonra sonu dosya_veya_dizin.gz adında bir dosya oluşacaktır.

RAR ile sıkıştırma

$ rar a -ap deneme.rar dosya_veya_dizin

RAR ile şifreleyerek sıkıştırma

$ rar a -ap -p deneme.rar dosya_veya_dizin

NOT: Size 2 defa şifreyi sorar.

Dosya Açma Yöntemleri

zip dosyasını açmak

$ unzip deneme.zip

şifreli zip dosyasını açmak

$ unzip -P SIFRE deneme.zip

tar.gz dosyasını açmak

$ tar xvzf deneme.tar.gz

NOT
Başka bir dizine açmak için “-C” parametresi kullanılabilir:

$ tar xvzf deneme.tar.gz -C /Açmak/istediğiniz/dizin/

tar.bz2 dosyasını açmak

$ tar xvjf deneme.tar.bz2

tar.Z dosyasını açmak

$ tar xvZf deneme.tar.Z

gz dosyasını açmak

$ gunzip deneme.gz

rar dosyasını açmak

$ unrar e deneme.rar

rar şifreli bir dosyayı açmak

$ rar e -pPAROLAM deneme.rar

Karışık

Birden fazla ZIP dosyasını açmak

$ for i in *.zip; do unzip $i; done

Birden fazla RAR şifreli dosyayı açmak

$ for i in *.rar; do rar e -pPAROLAM $i; done

rar ile dosyayi parçalara bölme

$ rar a -v15000k YENI_olusan_parcalar.rar girdidosyasi

Bazı sunucularda yada avrupa ve Amerika Locasyon lu Serverlarda bir türlü saat sabit kalmıyor yada O Bögelerin Zaman Dilimleri Baz Alınarak Ön Kurulum Yapılıyor. sistem saatini Bulundugumuz Bölgeye Göre Ayarlamak icin Sorunu Kısaca Cözmenin Yolunu Anlatacagım.

ilk önce date Komutu ile Serverımızın Saat Farkını Bir Ögrenelim Local Zaman yok ise local time olusturuyoruz ben yurt disinda yasadigim icin almanya icin olani sectim yani GMT-1 Formatinda ayarladim

ln -sf /usr/share/zoneinfo/Europe/Berlin /etc/localtime

daha sonrada olsuturmus oldugumuz Bu local zamanı Güncelliyoruz

rdate -s clock-1.cs.cmu.edu && hwclock --systohc

sonra yeniden date komutu ile baktıgımızda serverımızdaki saatin duzene Girdigini Gorürüz.Sorunumuzu  da Böylece Halletmis Oluruz.
Kolay Gelsin

Genellikle her verimerkezi OS Reload yani işletim sistemi formatlanmasından sonra verilerinizin bulunduğu hardissikinizi çıkarır ,yeni bir harddiske işletim sisteminizi kurar ve yedeklerini almanız için eski harddiskinizi sunucunuza geçici bir süreliğine takar.Lakin bu noktada sunucuya harddiski tanıtmamız gerekiyor yoksa direk olarak harddiske giriş yapamayız.

Harddisk tanımlama yani mount etme işlemimize başlayalım

ssh a root olarak bağlanıyoruz ve yazıyoruz

komut :

df -h

bu komutla hangi harddiskler sunucuda tanımlı onu görebiliyoruz

eğer tanımlı değilse şöyle bir ekran çıkacaktır karşınıza

[root@localhost root]# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/hda2 37G 1.4G 33G 4% /
/dev/hda1 101M 7.7M 88M 9% /boot
none 125M 0 125M 0% /dev/shm
[root@localhost root]#

eğer tanımlı ise şöyle bir çıktı alırsınız

-bash-2.05b# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/hda3 53G 31G 20G 62% /
/dev/hda1 99M 14M 80M 15% /boot
none 248M 0 248M 0% /dev/shm
/dev/hdc3 53G 31G 20G 61% /mnt/old
-bash-2.05b#

gördüğünüz gibi ikinci çıktı da iki adet harddisk var.yedeklerin bulunduğu /mnt/old dizinine tanımlanmış.eğer sizinde bu şekilde harddiskiniz tanımlanmış ise cd /mnt/old komutuyla direk dizine girebilirsiniz.

hayır benimki tanımlı değil sadece bir harddisk görebiliyorum diyorsanız o zaman okumaya devam ediniz

hemen şu komutu yazalım

fdisk -l

bu komut sonrasında şöyle bir çıktı alacaksınız

Disk /dev/sda: 80.0 GB, 80026361856 bytes
255 heads, 63 sectors/track, 9729 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System
/dev/sda1 * 1 13 104391 83 Linux
/dev/sda2 14 267 2040255 82 Linux swap
/dev/sda3 268 9729 76003515 83 Linux

Disk /dev/sdb: 80.0 GB, 80026361856 bytes
255 heads, 63 sectors/track, 9729 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System
/dev/sdb1 1 9729 78148161 83 Linux

gördüğünüz gibi iki adet diskimiz mevcut.bu disklerden ikinci olan yani örnek olarak verdiğim çıktıda /dev/sdb olan disk bizim yedeklerimizin olacağı diskdir.adı muhtemelen değişik olacaktır buna dikkat edin.

hemen o diskimizi mount ediyoruz

mount /dev/sdb / mnt/old

bold ile yazdığım yer sizin harddiskiniz devamı ise tanımlayacağınız yerin dizinidir.bunlar değişken değerlerdir.harddiskinizi ismini zaten göreceksiniz önceki komutlarda.diğer değişkenimizi ise isteğinize göre belirlemekte özgürsünüz.

evet diskimizi mount ettik yani tanımladık.

ben /mnt/old dizinine tanımladım.siz isteğinize göre değiştirebilirsiniz.

cd /mnt/old ile diske cd /mnt/old/ home ile dosyalarınıza ulaşabilirsiniz.

işlem tamam.

Geçtiğimiz hafta duyurulmuş olan OpenSuse 11.0 Alpha 1′deki en büyük değişiklik kurulum programının KDE 4 teknolojisi olan PulseAudio ile yeniden düzenlenmiş olması. Bu yenilikler yeni Qt4 kütüphanesi kullanılarak elde edildi. Artık birçok dağıtım Qt4 kullanarak kurulum programlarını güncellemeye başladı.

OpenSuse devamlı yeni sürümler çıkarmasına rağmen kurulum programı devamlı sabit kalıyordu ve değiştirilmiyordu, bu nedenle Red Hat’ın kurulum programı olan Anaconda ve Ubuntu’nun kurulum programı olan Ubiquity ile başa çıkamıyordu. Fakat OpenSuse 11.0 ile bu sorun ortadan kaldırıldı. OpenSuse’nin kurulumunda çokta köklü değişiklikler yapılmamış sadece programa yeni bir maske takılmış.

OpenSuSE 11.0′de bulunduğunu yerin saat ayarlarını yapabilmeniz için Dünya haritasından bulunduğunuz yeri seçebilmeniz için bir ekran konulmuş. Bu özellik daha önceki sürümlerde yer almıyordu. Ve kurulum aşamaları menü şeklide tasarlanmış. Böylece istediğiniz adıma kolayca geri dönebiliyorsunuz.

Kaynak

Geçtiğimiz hafta, işyerinde yan masamda oturan bir abimizin Windows XP Pro yüklü dizüstü bilgisayarı durup dururken “çöktü”. Windows CD’si ile kurtarma konsolunu açıp “fixboot”, “fixmbr” gibi komutlarını denememiz de diske ulaşma yönünde bir sonuca ulaşmamızı sağlamadı. Bilgisayara direkt olarak formatda atamazdık çünkü son haftalarda yapılan çalışmalar diskteydi ve yedekleri henüz alınmamıştı. O esnada aklıma bir çalışan cd linux dağıtımı ile bilgisayarı açıp dosyaları kurtarmak geldi ve teklif ettim. Bu yöntemin işe yaramayacağı yönündeki tahminler, çeşitli windows tarzı denemeler sonunda yerini “Eh, bi deneyelim bari” sözüne bıraktı. CD çantam yanımda olmadığından Knoppix kullanamayacaktım. Bağlantı hızımız yeterli hadi indirelim bir dağıtım ve deneyelim dedik. Sunucuları Türkiyede bulunduğundan çabuk bir şekilde Pardus 2007 çalışan cdsini indirmeye karar verdim. Yaklaşık 1 saatte Pardus 2007 çalışan cd iso dosyası elimdeydi.

Dosyayı hemen bir cd’ye yazdım ve diskine hiç bir şekilde erişemediğimiz bilgisayarı Pardus 2007 çalışan cd ile boot ettim. Pardus sorunsuz bir şekilde bilgisayarı boot etti. Sabit Depolama noktalarından sözkonusu diske ulaşmaya çalıştığımda ise bir hata mesajı ile karşılaştım. Ulaşmaya çalıştığım Windows sistemi “iki” kere açıp kapatmamı ve diske erişmeyi öyle denememi söylüyordu mesaj. Ama benim açılabilen bir windows sistemim yoktu ki!! O yüzden komut satırının gücüne başvurdum ve biraz Google aramasından sonra şu komut ile diske erişmeyi başardım:

  mount -t ntfs-3g /dev/sda1 /media -o force,nonempty

Sıra ağımızdaki Windows yüklü dosya sunucusundaki paylaşıma ulaşıp önemli dosyaları oraya kopyalamaktı. Pardus’un grafik arayüzünden sorunsuz bir şekilde paylaşımı bağladım ve dosyaları kopyalamaya başladım. İşlem anormal derecede yavaş ilerliyordu. Bunun samba protokolü ile ilgili olabileceğini düşündüm (cehalet işte:)) ve bir usb taşınabilir disk bulduk. “Linux hemen tanıyacak mı bu diski?” şüpheleri inancımı bir an olsun sarsmadı. Usb soketi bilgisayara takmamla diskin içeriğinin karşıma gelmesi bir oldu. Dosyaları diske kopyalarken de önceki yavaşlıkla karşılaşınca bunun disk ile ilgili bir sorun olduğuna kanaat getirdim ve sabırla dosyaları kopyalamaya devam ettim. Sonunda önemli tüm veriler kurtarılmış ve bilgisayar format atılmaya hazır hale gelmişti. İlgili kişi formatlama ve yeni sistem kurulumu işlemlerini yaptığında temiz sisteminde aynı şekilde çöktüğünü gördüğümde diskte fiziksel bir problem olduğundan emin oldum. Pardus yüzümü kara çıkarmamıştı. Disk sorunsuz olsaydı çok daha hızlı bir şekilde kurtaracaktı dosyaları.

Böylece Anadolu Parsının gücünü bir kez daha görmüş ve göstermiş oldum. Hemde asil bir pars bu. Doğal düşmanını (rakibini yani) zor durumunda kurtarmaktan çekinmeyen ve kurtardığı bilgisayara düşmanı bir kez daha kurulurken başı dik, alnı açık bir şekilde batan güneşe doğru vakur adımlarla ilerleyen Anadolu Parsı.

Linux Kavramı

Merhaba arkadaşlar,

Artık Ceviz.net’te GNU/Linux bölümünde sizlerle beraber olacağız.

Bu bölümde genel olarak Linux , serbest yazılım konularına değineceğiz. Bazen teknik konular içerecek olan yazılar bazende benim Linux / Serbest Yazılım konusunda fikirlerimi, ütopyalarımı konu alacak (Ceviz.net ailesine , bana böyle bir olanak sağladıkları için teşekkür etmek istiyorum :)

Bu yazıyı daha çok bir giriş yazısı olarak düşündüm. Bu yazıda GNU/Linux hakkında bir kaç genel bilgiye yer vermek istiyorum.

Herşeyden önce ‘Linux’ ismine değinelim. Bilindiği gibi Linux, GNU projesi altına yer alan bir projedir. Bundan dolayı ‘Linux’ yerine ‘GNU/Linux’ adıyla hitap etmek bana daha mantıklı gelmektedir. Bu konuda şöyle bir noktayı belirtmek istiyorum. GNU projesi lideri Richard Stallman bu ‘GNU/Linux’ ismine çok önem vermektedir. Hatta ve hatta bir seminere gideceği zaman, seminer isminde ‘Linux’ yerine ‘GNU/Linux’ ifadesinin olmasına dikkat etmektedir. Aksi halde GNU lideri Stallman, seminere katılmayı reddetmektedir!!

Bu yazı biraz kısa oldu ama belirttiğim gibi bu bir giriş yazısı idi. Kısa zaman içinde ilginizi çekeceğini umuduğum konular hakkında yazacağım. Yazıya son vermeden önce son günlerin önemli bir kaç gelişmesinden bahsetmek istiyorum:

- Mandrake Linux 9.0 Beta 1 çıktı ( http://www.mandrakelinux.com/en/90beta.php3 )

- Borland Kylix 3.0′ı duyurdu. Kylix artık C++ biliyor ve bu birçok taşı yerinden oynatacak! ( http://www.borland.com/kylix/open/index.html )

- Gelecek 2.0 Ağustos sonunda çıkıyor. Gelecek 2.0′da büyük ihtimalle fontlar konusunda bizi büyük bir süpriz bekliyor olacak! ( http://www.geleceklinux.com )

- NVIDIA, kısa bir süre önce çıkardığı C for graphics derleyicisini , open source bir lisans altında yayınlamaya karar verdi ( http://slashdot.org/articles/02/07/23/1940234.shtml?tid=152 )

Adsl Modeminizi Slackware Linux ile Bridge Olarak Çalıştırmak

    Adsl modemimiz router, dhcp server ve firewall gibi özellikler içermektedir.
Bu özellikleri kaldırıp bu işlemleri kendi bilgisayarınızın yapılmasını istiyorsanız.Peki bu işlemler size ne gibi imkanlar sağlayacaktır. Evinizdeki bilgisayarınızdan istediğiniz servisleri firewall arkasında kalmadan vermeniz gibi imkan sağlar. Örneğin evinizdeki makinaya bir dns server yapabilirsiniz. Tabiki güvenlikde dikkatli olmakda fayda var :)
Burda anlatılanlar basit olarak firewall arkasında kalan makinanızı internete açmanızı anlatacaktır.
   
    İlk önce  kullandığınız dağıtımda ppp (point-to-point protocol) desteği olması gerekmektedir. Eğer  bu destek yok ise kernelinizi tekrar derlemek zorunda kalabilirsiniz. Ancak çoğu yeni dağıtımda ve kernel de bu özellik otomatik olarak gelmektedir.Şimdi root kullanıcısı olun. Desteğin olup olmadığını anlamak için aşağıdaki komutu verdiğinizde çıktı aynen öyle olmalıdır.

      Bu desteğin olduğundan eminseniz modeminizin control paneline girerek modeminizi bridge moda geçirmeniz gerekmektedir.
      Örnek olarak eğer speed touch 510 modeminiz var ise ;
      Control paneline girerek  Advanced  bölümünden Setup bölümüne tıklayarak modeminizi
      bridge moda alabilirsiniz.

      Daha sonra konsoldan

yazarak gerekli ayarları yapabilirsiniz.

      Bu işlem sonucu modeminizin bridge modda çalışacak şekilde  ayarlanmış oldu.
      şimdi IP almak için

    Bağlantınız başarılı olarak olmuş demektir. Burdaki

      Böylelikle sorun çözülür.
      Artık modeminizi ppp bağlantı ile bridge olarak kullanabilirsiniz.