Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, geçtiğimiz ay oldukça güzel bir rehber yayınladı ve bu rehberde Bilgi ve İletişim Güvenliği konularında oldukça güzel içerikler bulunmaktadır.
Alanı için güzel bir referans belge olarak belirlenen içeriğe buradan ulaşabiliyorsunuz.
Bu yazıda ise ilgili rehberin 5. başlığı olan "Sıkılaştırma Tedbirleri" içerisindeki 5.1.2. "Linux İşletim Sistemi Sıkılaştırma Tedbirleri" bölümü içeriğini inceleyeceğim. Aynı rehberdeki
5.1.1. "Genel Sıkılaştırma Tedbirleri" başlığı da bir o kadar önemli olmasına rağmen ilk olarak GNU/Linux sistemleri ile ilgili başlıkları açıklamak istedim.
Linux İşletim Sistemi Sıkılaştırma Tedbirleri
İlgili tedbirler 8 madde olarak ve 3 seviye olarak belirtilmiş. 1. seviyede tedbirler 2 tane olup, 2. seviye tedbirler 5 tane, 3. seviye tedbir ise 1 tanedir.
1. Kullanılmayan Dosya Sistemlerinin Pasif Hale Getirilmesi
İlgili madde 1. tedbir seviyesinde belirlenmiştir. Linux çekirdeği dosya sistemi üzerinde bir çok dosya sisteminin çalışabilmesini sağlar. Bunları aşağıdaki komut ile görebilirsiniz.
ls -l /lib/modules/$(uname -r)/kernel/fs
Fakat bunlardan bazılarının sisteminize bağlanması sizin için gerekli olmayıp, bazı durumlarda güvenlik risklerini de barındırmaktadır.
İlgili madde bu konuda çalışma yapılıp kullanılmayan ve kullanılması düşünülmeyen dosya sistemlerinin pasif hale getirilmesini önermektedir.
2. Yetkili Kullanıcı Hesap Yönetimi
İlgili madde 1. tedbir seviyesindeki son maddedir. Ve kişisel olarak en önemli maddelerden birisi olduğunu düşünmekteyim. Nedeni, güvenlik risklerinin en başında gelen faktörünün insan olduğunu düşünürsek daha iyi anlaşılmaktadır.
Madde özetle, bir sisteme her kullanıcı kendi hesabı ve kendi yetkileri ile girmelidir demekte. Kullanılmayan, ortak kullanılan veya zafiyet oluşturacak durumlar olmamalıdır demekte. Çeşitli kulalnıcılara farkında olmadan fazla yetki verilmesi ile problemler olabileceğini de belirtip bu konuda 9 adet güzel öneride bulunmaktadır.
Bu konuda olabiliyorsa, açık kaynak kodlu bir etki alanı yapısının kurulması kullanıcı yönetimi, parola yönetimi ve yetki mekanizmalarının kontrol edilmesi için oldukça önemlidir. Etki alanı yapısı kurulamıyorsa ise malesef ki manuel yöntemlerle sunuculara özgü çalışmalar yapılması gerekmektedir. Bu konuyu uzmanlık gerektiren bir işlem olarak düşünebiliriz.
3. Dosya Sistemi Güvenli Erişim Düzenlemeleri
İlgili madde 2. tedbir seviyesinde bir maddedir. Sistem içerisinde bulunan dosyaların erişim yetkilerinin akıllıca ayarlanması gerektiğini belirtmektedir. Öneri olarak sistemi bozabilecek veya sistemi bir şekilde etkileyebilecek dosyaların amacına uygun erişim şeklinde düzenlenmesi, varsayılan yeni dosya oluşturma yetkilendirilmesinin (umask) doğru yapılması gerektiğini anlatmaktadır.
4. Güvenli Disk Bölümlendirme
İlgili madde 2. tedbir seviyesinde bir maddedir. Linux Sistem Yönetimi 101 konularında kurulum sırasında anlatılan fakat bir istisna dışında neredeyse hiç uygulanmayan bir yöntemdir. İlgili maddede öneri olarak Linux dosya sistemi yapısı üzerinde /home, /root, /boot, /tmp gibi dizinlerin ayrı disk bölümlerinde yapılması önerilmiştir. Bu dizinlerin ayrı disk bölümlerinde kurgulanması ile sistemin geri kalanın (kök dizini) başka bölümlerde kurgulanması ile akıllı bir tasarım uygulandığında bir çok fayda sağlanabilir.
5. Otomatik Başlatma (Mount) Özelliğinin Pasif Hale Getirilmesi
İlgili madde 2. tedbir seviyesinde bir maddedir. Sistemlere bağlanabilecek USB veya CD gibi aygıtların otomatik olarak bağlanması son kullanıcılar için çok verimli bir yöntem olsa da sunucu sistemleri için güvenlik riski taşımaktadır. Bu nedenle kolayca yapılacak şekilde açıksa bile otomatik başlatmayı kapatmak ve /tmp gibi geçici balantı noktalarında noexec, nodev ve nosud parametreleriyle herhangi bir çalıştırılabilir dosyanın çalıştırılamaması sağlanması önerilmektedir. Bu şekilde kötücül bir uygulamanın otomatik şekilde sisteme girmesi önlenmektedir.
6. Dosya Sistemi Bütünlük Kontrollerinin Düzenli Olarak Yapılması
İlgili madde 2. tedbir seviyesinde bir maddedir. Sistem için önemli görülen ve değişmesinin mantıklı olmadığını gördüğünüz dosyaların düzenli olarak bütünlük kontrollerinin yapılması gerektiği belirtilmektedir. Bunun için bir çok araç bulunmakta fakat en basitinden md5sum ile kendiniz de bir betik hazırlayabilirsiniz. Tabi daha önemli sistemler için uzmanlık gerektiren alarm mekanizmaları da gerekebilir.
7. Önyükleme (Boot) Ayarlarının Güvenli Şekilde Yapılandırılması
İlgili madde 2. tedbir seviyesindeki son maddedir. Bir çok sistem yöneticisi adayının öğrenme sürecinde farkına vardığı Bootloader (örneğin GRUB) üzerinden sisteme istediği gibi giriş yapabilme gibi özellikler varsayılanda açık gelmektedir. Sunucu sistemlerinde sunucuya fiziksel erişimin (yeniden başlatıp boot ederken araya girmek gibi) oldukça zor olduğu gibi bir algı olsa da yine de kişisel fikrimce önemli bir maddedir. Örneğin GRUB için hashli parola kullanımı için grub-mkpasswd-pbkdf2 komutu kullanılabilmektedir. Tabi sonrasında gerekli yapılandırma işlemlerinin de yapılması gerekmektedir.
8. Zorunlu Erişim Kontrolünün (MAC) Aktif Edilmesi
İlgili madde 3. tedbir seviyesindeki tek ve son maddedir. İşletim sistemi üzerindeki servislerin dosyalara erişiminin kontrol altına alınabilmesi için SELinux veya AppArmor gibi bir MAC modeline göre yapılandırılması talep edilmektedir. Klasik sunucu servisleri için bu konuda dokümanlar bulunmasına rağmen özel sistemler için kesinlikle uzmanlık gerektiren bir konudur.
Sonuç
Sonuç olarak bu konuda hazırlanmış ilk özgün referans belgesi olan Cumhurbaşkanlığı Dijital Dönüşüm Ofisi'nin hazırladığı "Bilgi ve İletişim Güvenliği Rehberi" Sistem ile uğraşan herkesin okuması gereken güzel bir belge olduğunu düşünüyorum. Zaman ayırıp tüm başlıklar en azından gözden geçirilebilir.
Özellikle Sistem ve Siber Güvenlik ile uğraşmak isteyen genç arkadaşlarımızın da çeşitli konularda başlıkları görebilmesi adına verimli bir içerik olduğunu düşünmekteyim.
Si Vis Pacem Para Bellum
Oldest comments (2)
Güzel bı içerik, teşekkürler hocam.
sayenizde Cumhurbaşkanlığı'nın böyle bir çalışması olduğunu öğrendim. İncelediğimde kapsamlı olduğunu gördüm. Emeğinize sağlık hocam.