Güvenlik Arşivleri |

Browsing posts in: Güvenlik

Ağu 23, 2016 |

DDos ve SYN Saldırılarını Engelleme

Merhabalar internet üzerinden sanal saldırılar ile sunucumuz erişilemez duruma gelip sonucunda sunucumuz üzerinde bulunan internet sitelerine erişim olamayacağından bize maddi ve manevi zararlar verebilirler. DDos ve SYN saldırılarını engelleme için ücretsiz Firewall yazılımlarından yararlana bilirsiniz.

İnterbase firması tarafından geliştirilmiş olan ücretsiz firewall yazılımı tam bu noktada bize yardımcı oluyor.

Kuruluma geçicek olursak;

Öncelikle firewall yazılımızı indireceğimiz klasörü yaratıyoruz.

# mkdir /ddos_syn

1	# mkdir /ddos_syn

cd komutu ile yaratmış olduğumuz ddos_syn klasörüne giriyoruz

# cd ddos_syn

1	# cd ddos_syn

Firewall kurulum dosyasını oluşturduğumuz klasöre indiriyoruz. İndirme işlemi tamamlandıktan sonra artık ücretsiz Firewall yazılımızı sunucumuza kurabiliriz.

# wget http://www.inetbase.com/scripts/ddos/install.sh

1	# wget http://www.inetbase.com/scripts/ddos/install.sh

install.sh içeriği;

if [ -d '/usr/local/ddos' ]; then
echo; echo; echo "Please un-install the previous version first"
exit 0
else
mkdir /usr/local/ddos
fi
clear
echo; echo 'Installing DOS-Deflate 0.6'; echo
echo; echo -n 'Downloading source files...'
wget -q -O /usr/local/ddos/ddos.conf http://www.inetbase.com/scripts/ddos/ddos.conf
echo -n '.'
wget -q -O /usr/local/ddos/LICENSE http://www.inetbase.com/scripts/ddos/LICENSE
echo -n '.'
wget -q -O /usr/local/ddos/ignore.ip.list http://www.inetbase.com/scripts/ddos/ignore.ip.list
echo -n '.'
wget -q -O /usr/local/ddos/ddos.sh http://www.inetbase.com/scripts/ddos/ddos.sh
chmod 0755 /usr/local/ddos/ddos.sh
cp -s /usr/local/ddos/ddos.sh /usr/local/sbin/ddos
echo '...done'

echo; echo -n 'Creating cron to run script every minute.....(Default setting)'
/usr/local/ddos/ddos.sh --cron > /dev/null 2>&1
echo '.....done'
echo; echo 'Installation has completed.'
echo 'Config file is at /usr/local/ddos/ddos.conf'
echo 'Please send in your comments and/or suggestions to zaf@vsnl.com'
echo
cat /usr/local/ddos/LICENSE | less

if [ -d '/usr/local/ddos' ]; then

echo; echo; echo "Please un-install the previous version first"

exit 0

else

mkdir /usr/local/ddos

clear

echo; echo 'Installing DOS-Deflate 0.6'; echo

echo; echo -n 'Downloading source files...'

wget -q -O /usr/local/ddos/ddos.conf http://www.inetbase.com/scripts/ddos/ddos.conf

echo -n '.'

wget -q -O /usr/local/ddos/LICENSE http://www.inetbase.com/scripts/ddos/LICENSE

echo -n '.'

wget -q -O /usr/local/ddos/ignore.ip.list http://www.inetbase.com/scripts/ddos/ignore.ip.list

echo -n '.'

wget -q -O /usr/local/ddos/ddos.sh http://www.inetbase.com/scripts/ddos/ddos.sh

chmod 0755 /usr/local/ddos/ddos.sh

cp -s /usr/local/ddos/ddos.sh /usr/local/sbin/ddos

echo '...done'

echo; echo -n 'Creating cron to run script every minute.....(Default setting)'

/usr/local/ddos/ddos.sh --cron > /dev/null 2>&1

echo '.....done'

echo; echo 'Installation has completed.'

echo 'Config file is at /usr/local/ddos/ddos.conf'

echo 'Please send in your comments and/or suggestions to [email protected]'

echo

cat /usr/local/ddos/LICENSE | less

Kurulum için .sh dosyasını çalıştırıyoruz.

# sh install.sh

1	# sh install.sh

Firewall kurulumunu tamamlandık. Şimdide firewall’umuzun ayarlarını yapalım.

# vim /usr/local/ddos/ddos.conf

1	# vim /usr/local/ddos/ddos.conf

vim ilefirewall’umuzun config dosyanı açalım.

NO_OF_CONNECTIONS=100      >Bir ip adresi maximum 100 bağlantı yapabilir.
BAN_PERIOD=500             >10 dakika içinde aynı ip adresi 150 erişim yaparsa banlar
EMAIL_TO=mail@alanadi.com  > Mevcut aktif mail adresinizi giriyorsunuz saldırı geldiğinde mail ile bilgi verir.
APF_BAN=1                  > Eğer APF kullanıyorsanız 1 kullanmıyorsanız 0 yapmanız gerekli

NO_OF_CONNECTIONS=100 >Bir ip adresi maximum 100 bağlantı yapabilir.

BAN_PERIOD=500 >10 dakika içinde aynı ip adresi 150 erişim yaparsa banlar

EMAIL_TO=mail@alanadi.com > Mevcut aktif mail adresinizi giriyorsunuz saldırı geldiğinde mail ile bilgi verir.

APF_BAN=1 > Eğer APF kullanıyorsanız 1 kullanmıyorsanız 0 yapmanız gerekli

Artık sunucumuzda DDOS Ve SYS saldırıları için Firewall hazır.

May 13, 2015 |

0 comments

VSFTPD Kullanıcılara Dizin Erişim Kısıtlama

FTP sunucu olaral vsftpd kullanıyorsanız, ilk kurulum aşamasında bu kısıtlama ile ilgili kullanılan bir parametre yoktur. Bundan dolayı kullanıcılar tüm dizinlerde dolaşabilirler. Bunu engellmek ve kullanıcının kendi home dizini dışında herhangi bir dizine erişmesini engellemek için:

/etc/vsftpd/vsftpd.conf

1	/etc/vsftpd/vsftpd.conf

dosyasının içine:

chroot_local_user=YES

1	chroot_local_user=YES

parametresini eklerseniz kullanıcılar sadece kendi dizinlerinde işlem yapabilirler.Parametreyi ekledikten sonra;

[root@ftp~]$service vsftpd reload

1	[root@ftp~]$service vsftpd reload

yada

[root@ftp ~]$service vsftpd restart

1	[root@ftp ~]$service vsftpd restart

işlemini yapmayı unutmayın.

ayrıntı için sayfasını ziyaret edin.

ftp linux

Nis 22, 2015 |

0 comments

Mysql Config Editor Nedir?

Mysql 5.6.6 ve üstü sürümlerde komut satırından password girilerek yapılacak girişlerde;

Warning: Using a password on the command line interface can be insecure. Uyarısını alabilirsiniz. Bunun için Mysql5.6.6 sürümüyle birlikte devreye giren mysql_config_editor‘ü kullabilirsiniz.

mysql_config_editor Nedir?

mysql_config_editor (MySQL 5.6.6 ve üstü sürümlerde mevcuttur) kimlik doğrulama bilgilerini clear text olmayacak şekilde root dizininde .mylogin.cnf adında gizli bir dosyada saklamaya olanak sağlar. Dosya MySQL Server’a bağlanırken kimlik doğrulama bilgilerini elde etmek için MySQL istemci programları tarafından okunabilir.

Bu dosyaya login için gerekli, host,user,password,port ve socket bilgilerini set edebiliriz. Aşağıdaki örnekte mysql_config_editor kullanımını görebilirsiniz.

[root@omeroner~]$mysql_config_editor set --login-path=rootuser --host=localhost --user=root --port=3306 --password               
Enter password:
[root@omeroner~]$mysql --login-path=rootuser
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 53
Server version: 5.6.24-log MySQL Community Server (GPL)

Copyright (c) 2000, 2015, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql>

[root@omeroner~]$mysql_config_editor set --login-path=rootuser --host=localhost --user=root --port=3306 --password

Enter password:

[root@omeroner~]$mysql --login-path=rootuser

Welcome to the MySQL monitor. Commands end with ; or \g.

Your MySQL connection id is 53

Server version: 5.6.24-log MySQL Community Server (GPL)

Oracle is a registered trademark of Oracle Corporation and/or its

affiliates. Other names may be trademarks of their respective

owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql>

 [root@omeroner~]$ls -l  /root/.mylogin.cnf
-rw-------   1 root root  268 Apr 22 14:39 .mylogin.cnf

1 2	[root@omeroner~]$ls -l /root/.mylogin.cnf -rw------- 1 root root 268 Apr 22 14:39 .mylogin.cnf

Bu dosyayı görüntülemek için:

root@omeroner~]$ mysql_config_editor print --login-path=rootuser
[rootuser]
user = root
password = *****
host = localhost
port = 3306

root@omeroner~]$ mysql_config_editor print --login-path=rootuser

[rootuser]

user = root

password = *****

host = localhost

port = 3306

Tüm liste için:

[root@omeroner~]$mysql_config_editor print --all
[root]
user = root
password = *****
host = localhost
[rootuser]
user = root
password = *****
host = localhost
port = 3306

[root@omeroner~]$mysql_config_editor print --all

[root]

user = root

password = *****

host = localhost

[rootuser]

user = root

password = *****

host = localhost

port = 3306

Daha fazla bilgi için;

http://dev.mysql.com/doc/refman/5.6/en/mysql-config-editor.html

mysql security

Nis 17, 2015 |

0 comments

SELinux Nedir?

SELinux

SELinux (Security-Enhanced Linux) Linux’ da zorunlu erişim denetimi (MAC) mekanizmasına gerçekleşmesini sağlayan bir projedir.

DAC ve MAC

İsteğe bağlı erişim denetimi (DAC) altında, bir kullanıcı veya sürecin dosyalara, socketlere ve diğer kaynaklara erişip erişemeyeceği kullanıcı sahipliğine veya izinlere bakarak belirlenir.

Zorunlu erişim denetimi ise (MAC) kullanıcıların (subjects) oluşturdukları nesnelern (objects) üzerindeki denetim düzeyini kısıtlayan bir güvenlik mekanizmasıdır. İsteğe bağlı erişim denetimi kontrolünde kullanıcılar kendi dosya, dizin, vb üzerinde tam denetime sahipken, zorunlu erişim denetimi tüm dosya sistemi nesneleri için, ek etiket ya da kategori ekler. Kullanıcılar ve süreçlerin bu nesnelerle erişebilmesi için bu kategorilere uygun erişim hakları olmalıdır. Continue Reading

SELinux

Eki 22, 2013 |

0 comments

SSL Sorgulama

openssl s_client -connect istanbul.net:443 |tee logfile

1	openssl s_client -connect istanbul.net:443 \|tee logfile

güvenlik linux openssl ssl

Ağu 24, 2013 |

0 comments

Linux Iptables,IP Bloklama

Bazen Linux’te bir ip adresininden gelen trafik engellenmek istenebilir. Bunun için aşağıda belirttiğim komutları terminalde çalıştırmak yeterli olacaktır.

iptables -A INPUT -s 202.54.20.22 -j DROP
iptables -A OUTPUT -d 202.54.20.22 -j DROP

1 2	iptables -A INPUT -s 202.54.20.22 -j DROP iptables -A OUTPUT -d 202.54.20.22 -j DROP

Çok sayıda IP adresi engellemek için basit bir kabuk proglamı yazabiliriz.

Bir metin dosyası oluşturun:

[root@omeroner~]vim /root/ip.blocked

1	[root@omeroner~]vim /root/ip.blocked

IP adreslerini ekleyelim;

#Ip address block file
202.54.20.22
202.54.20.1/24
65.66.36.87

#Ip address block file

202.54.20.22

202.54.20.1/24

65.66.36.87

Aşağıdaki gibi bir komut dosyası oluştururuz;

BLOCKDB=”/root/ip.blocked”
IPS=$(grep -Ev “^#” $BLOCKDB)
for i in $IPS
do
iptables -A INPUT -s $i -j DROP
iptables -A OUTPUT -d $i -j DROP
done

BLOCKDB=”/root/ip.blocked”

IPS=$(grep -Ev “^#” $BLOCKDB)

for i in $IPS

iptables -A INPUT -s $i -j DROP

iptables -A OUTPUT -d $i -j DROP

done

kaydedin ve dosyayı kapatın.

bash bash script iptables linux shell shell script