DEV Community: Gürkan Biçer

Korunuyor musunuz?

Gürkan Biçer — Fri, 24 Mar 2023 12:15:02 +0000

Böyle bir başlık ile aklınızda farklı bir çağrışım yaratmadan konunun amacına hızlı bir giriş yapmak istiyorum.

Sadece web sitenizi veya uygulamanızı bir sunucuya deploy etmek, anahtarları kapının üzerinde bırakmaktan farklı bir eylem değildir. Sunucu üzerinde; gerek servislerde, gerek yazılım dosyalarınızda, gerekse ağ yapılandırmanızla gerekli güvenlik önlemleri almanız günümüzün en temel sunucu yönetimi işlemleri arasında yer almaktadır.

Hala SSH portunu 22 bırakmak, RDP portunu 3389 bırakmak veya bu servislere IP bazlı kısıtlamamak ya da en azından bir brute-force atak durumunda engelleme yapmamak gibi hataya düşenler var.

Bu yazı içerisinde sunucu tarafında alınabilecek güvenlik önlemlerinden sadece birini ve bence en önemlisini; HTTP & HTTPS trafiğini korumanın temel adımlarına değineceğim.

ModSecurity nedir?

ModSecurity, açık kaynak kodlu bir WAF (web application firewall) yazılımıdır. Apache için üretilmiş olup, nginx, litespeed ve IIS gibi diğer web servisleri için de desteği bulunmaktadır.

ModSecurity, HTTP trafiğini detaylı bir şekilde dinleyerek, yaşam döngüsü içerisinde gelen istekleri kabul edip etmeyeceğinizi ve istekleri manipüle edebilmeniz bir konfigürasyon sağlar.

ModSecurity, günümüzde milyonlarca sunucuda bulunuyor. Üzerine yazılan kurallar hemen hemen her konfigürasyona ait sunucuda aynı şekilde çalışıyor. ModSecurity için hazırlanmış, ücretli ve open-source birçok kural seti bulunmaktadır.

ModSecurity ile neler yapabiliriz?

Başlıca olarak şunları yapabiliriz;

User-Agent'a göre engelleme,
IP adresi veya belirli subnete göre engelleme,
GeoLookup bazlı engelleme,
Belirli süre içerisinde gelen istek sayısına göre engelleme,
Referer bilgisine göre engelleme,
XSS gibi bilinen açıkları engelleme,
Wordpress gibi bilinen open-source yazılımların veya kendi yazılımlarınızın açıklarını engelleme,

ModSec ile User-Agent Engelleme

Web sitenize veya uygulamanıza gönderilen istekleri incelediğinizde tanımadığınız veya güvenli bulmadığınız istekleri analiz ederek, aşağıdaki kuralda olduğu gibi engelleme yapabilirsiniz.

SecRule HTTP_User-Agent "zgrab" "deny,status:403,log,id:9000001,msg:'Bad Bot'"

Engelleme sonrasında isteklere 403 kodu ile yanıt verilmiş olacaktır.

204.48.26.63 - - [24/Mar/2023:14:14:07 +0300] "GET /ab2g HTTP/1.1" 403 1249 "-" "Mozilla/5.0 zgrab/0.x"

Eklenen kurallarda HTTP_User-Agent sonrasındaki parametreye girilen değer User-Agent bilgisi içerisinde aranır ve büyük küçük harf duyarlılığı vardır.

Bilinen tarayıcıların eski versiyonlarını da aşağıdaki gibi kural ekleyerek engellemek istenmeyen trafiği azaltmaya faydalı olacaktır.

SecRule HTTP_User-Agent "Firefox/10.0" "deny,status:403,log,id:900002,msg:'Bad Bot'"
SecRule HTTP_User-Agent "Firefox/12.0" "deny,status:403,log,id:900003,msg:'Bad Bot'"
SecRule HTTP_User-Agent "Firefox/13.0" "deny,status:403,log,id:900004,msg:'Bad Bot'"
SecRule HTTP_User-Agent "Firefox/14.0" "deny,status:403,log,id:900005,msg:'Bad Bot'"

Tarayıcılar günümüzde otomatik olarak güncellendikleri için User-Agent değerleri de güncellenmektedir. Genellikle, eski Firefox, Chrome, Opera ve diğer tarayıcı sürümlerini bot yazılımlar kullanmaktadır.

ModSec ile Boş User-Agent Engelleme

Bilinen bütün tarayıcılar mutlaka User-Agent bilgisini iletir. Eğer User-Agent boş olarak istek atılıyorsa, bu zararlı bir botun gönderdiği istek olabilir. Dolayısıyla, bunu engellemekte de fayda var.

SecRule &REQUEST_HEADERS:User-Agent "@eq 0" "deny,status:403,log,id:900006,msg:'Empty User-Agent'"
SecRule REQUEST_HEADERS:User-Agent "^$" "deny,status:403,log,id:900007,msg:'Empty User-Agent'"

ModSec ile Sahte Googlebot Engelleme

Google, websitelerini indekslemek için gönderdiği botların IP adreslerini burada JSON formatında güncel olarak paylaşıyor (referans; Googlebot'u ve diğer Google tarayıcılarını doğrulama).

Gelen isteklerin gerçekten Google'a ait olup olmadığını en doğru şekilde kontrol edebilmek için bu listeyi kullanabiliriz. Bu IP adreslerini googlebot-ips.txt isminde bir dosya oluşturup içerisine yazarsak ve bu IP adresleri haricinde Google olarak istek gönderen botları engellersek, sahte botların website içeriğini çalmasına veya load oluşturmasına müsade etmemiş oluruz.

Kurallar;

SecRule REMOTE_ADDR "@ipMatchFromFile googlebot-ips.txt" "allow,log,id:999998,ctl:ruleRemoveById=999999,msg:'Real Googlebot'"

SecRule HTTP_User-Agent "Google" "deny,status:403,log,id:999999,msg:'Bad Googlebot'"

Google IP Adresleri Listesi;

IPv4 ve IPv6 IP adreslerinin listesini bir txt dosyası içerisine aldım. https://www.grkn.co/repo/googlebot-ips.txt adresinden 24 Mart 2023 14:39 tarihli bu listeye ulaşabilirsiniz.

ModSec ile IP Adresine Göre Engelleme

Kendimize bir karaliste oluşturabiliriz. Belirli IP adresleri ve subnetlerden gelen istekleri, sunucu içerisindeki tüm siteler için engelleyebiliriz.

SecRule REMOTE_ADDR "@ipMatchFromFile blacklist-ips.txt" "deny,status:403,log,id:999997,msg:'Bad Guys'"

blacklist-ips.txt dosyası aşağıdaki formatta olmalı.

192.168.1.0/24
10.0.0.1
127.0.0.1

Sadece belirli bir IP adresini engellemek için de kural oluşturabiliriz.

SecRule REMOTE_ADDR "@ipMatch 192.168.1.101" "deny,status:403,log,id:999996,msg:'Bad Guy'"

Ancak, ModSec üzerinde spesifik bir IP adresini engellemeyi uygun bulmuyorum.

Bunu bir .htaccess dosyası veya nginx.conf dosyası ile de yapabiliriz. IPTables veya Windows Firewall gibi yazılım üzerinden de engelleyebiliriz. ModSec kural dosyasını tek bir IP adresi için şişirmeyi pek tavsiye etmiyorum.

Dipnot

Kuralları modsec2.user.conf dosyası içerisine yazmalı ve kural ekleme sonrasında web servisinizi resetlemelisiniz.
googlebot-ips.txt ve blacklist-ips.txt dosyaları modsec2.user.conf dosyanız ile aynı dizinde olmalıdır.
Listeye tek IP eklemek için /32 yazarsanız web servisiniz hata verir, o yüzden 192.168.1.101/32 yerine 192.168.1.101 yazmalısınız.
Bu yazıyı ilerleyen zamanlarda tekrar güncellemeyi planlıyorum.

VanillaJS Cookie Yönetimi

Gürkan Biçer — Mon, 13 Mar 2023 14:49:45 +0000

Bir cookie.js dosyası oluşturup, içerisine yazıp unutmalık iki fonksiyon.

Bazı zamanlarda front-end tarafında cookie okuyup, yazmak gerekebiliyor.

function getCookie(name) {
    var cookieArr = document.cookie.split(";");
    for (var i = 0; i < cookieArr.length; i++) {
        var cookiePair = cookieArr[i].split("=");

        if (name == cookiePair[0].trim()) {
            return decodeURIComponent(cookiePair[1]);
        }
    }

    return null;
}

function setCookie(name, value, expiryMin) {
    var cookie = name + "=" + encodeURIComponent(value);

    if (typeof expiryMin === "number") {
        cookie += "; max-age=" + (expiryMin * 60);
        document.cookie = cookie;
    }
}

Cookie okumak için;
Cookie yoksa null değer döner.

$ console.log(getCookie('BenimAdim'))
# Kuki

Cookie tanımlamak için;
Son parametrede dakika cinsinden ne kadar süre cookie tutmak istediğimizi belirliyoruz.

$ setCookie('BenimAdim', 'Kuki', 1440)
$ console.log(getCookie('BenimAdim'))
# Kuki

CentOS 7 NodeJS Kurulumu

Gürkan Biçer — Mon, 13 Mar 2023 14:31:25 +0000

CentOS 7 sunucu üzerinde NodeJS ve npm kurulumu gerçekleştirmek için aşağıdaki yönergeleri izleyebilirsiniz.

NodeJS 16 kurmak için;

yum install -y gcc-c++ make
curl -sL https://rpm.nodesource.com/setup_16.x | sudo -E bash -

NodeJS 18 kurmak için;

yum install -y gcc-c++ make
curl -sL https://rpm.nodesource.com/setup_18.x | sudo -E bash -

Ardından aşağıdaki komutu uygulayarak kurulumu tamamlayabilirsiniz.

yum -y install nodejs

Kurulu NodeJS sürümünü görmek ve teyit etmek için;

node -v

Çıktı: v16.19.1

Kurulu npm sürümünü görmek ve teyit etmek için;

npm -v

Çıktı: 8.19.3

PM2 Kurulumu (Bonus)

Aşağıdaki komutu uygulayarak pm2'yi global olarak kurabilirsiniz.

npm install pm2@latest -g

PM2, Nodejs projeleri için işlem yöneticisi paketidir. Aşağıya bıraktığım link ile kullanımına dair gerekli bilgileri edinebilirisiniz. Yakında PM2 ile ilgili bir yazı hazırlamayı da planlıyorum.

Link; https://pm2.keymetrics.io/docs/usage/quick-start/

CentOS 7 LAMP Kurulumu

Gürkan Biçer — Mon, 13 Mar 2023 13:57:38 +0000

Aşağıdaki yönergeleri izleyerek panelsiz bir web server kurulumu gerçekleştirebilirsiniz;

Sunucu Konfigürasyonu

Linux (CentOS 7)
Apache 2.4
MariaDB 10.5
PHP 8.1

Ek bileşenler;

Certbot
Composer
PhpMyAdmin

Genel olarak gerekli olan bazı paketlerin kurulumunu yapmak ve sistemi güncellemekle başlayalım.

yum -y install epel-release yum-utils wget curl screen nano zip unzip git iptables iptables-services
yum -y update

NetworkManager'i devre dışı bırakalım.

systemctl stop NetworkManager
systemctl disable NetworkManager

Network konfigürasyon dosyanızın ifcfg-ens192 olduğunu varsayıyorum, eth0 da olabilir, bunu network yapınıza göre düzenlersiniz. Veyahut, dosyanızı nano ile açıp sonuna NM_CONTROLLED=no ekleyebilirsiniz.

echo "NM_CONTROLLED=no" >> /etc/sysconfig/network-scripts/ifcfg-ens192

Network servisini başlatalım.

systemctl enable network
systemctl start network

(isteğe bağlı) Firewalld servisini devre dışı bırakıp, iptables servisini aktif edip, varsayılan kuralları temizleyelim.

systemctl stop firewalld
systemctl disable firewalld
systemctl enable iptables
systemctl start iptables
iptables -L
iptables -t nat -F
iptables -t mangle -F
iptables -F
iptables -X
service iptables save

SELinux'u kapatalım.

setenforce 0
sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config

Reboot işlemi uygulayalım.

reboot

Apache

Apache 2.4'ü yükleyelim.

yum -y install httpd httpd-itk httpd-tools mod_ssl

Apache servislerini başlatalım.

systemctl start httpd
systemctl enable httpd

PHP

PHP ve FPM'i yüklemek için repo'yu belirleyelim.

yum -y install http://rpms.remirepo.net/enterprise/remi-release-7.rpm
yum -y --disablerepo="*" --enablerepo="remi-safe" list php[7-9][0-9].x86_64
yum-config-manager --enable remi-php81

PHP, FPM ve kütüphaneleri yükleyelim.

yum -y install php php-fpm php-cli php-mysqlnd php-common php-devel php-enchant php-gd php-imap php-intl php-json php-mbstring php-odbc php-pdo php-pgsql php-soap php-ldap php-tidy php-xml php-xmlrpc php-opcache php-pecl-mcrypt

PHP-FPM servisini başlatalım.

systemctl enable php-fpm
systemctl start php-fpm

/var/www/html dizini altında bir info.php dosyası oluşturup <?php phpinfo(); ?> komutunu bu dosyaya ekleyip, tarayıcınızdan http://SUNUCUIPADRESI/info.php adresine giriş yapın. Eğer hem erişim sağlayıp hem de PHP info bilgisini görebiliyorsanız, PHP ve Apache başarıyla kurulmuş demektir.

MariaDB (MySQL)

MariaDB 10.5 için repo dosyasını oluşturalım.

nano /etc/yum.repos.d/MariaDB.repo

Dosya içerisine aşağıdakileri girip, kaydedelim.

[mariadb]
name = MariaDB
baseurl = http://yum.mariadb.org/10.5/centos7-amd64
gpgkey = https://yum.mariadb.org/RPM-GPG-KEY-MariaDB
gpgcheck = 1

MariaDB servisini yükleyelim.

yum -y install mariadb-server mariadb

MariaDB servisini başlatalım.

systemctl enable mariadb
systemctl start mariadb

MySQL kurulumunu konfigüre edelim.

mysql_secure_installation

İlk kurulumda root şifresi bulunmamaktadır. Direkt olarak Enter'layıp devam ediyoruz. Diğer soruların yanıtları karşılarında Y ve n olarak belirlidir. Bu işlemleri uygulayalım.

MySQL root şifrenizi bi yere kaydedin ve unutmayın :)

Enter current password for root (enter for none): ENTER
Switch to unix_socket authentication [Y/n]: n
Change the root password? [Y/n]: Y
New password: 
Re-enter new password:
Remove anonymous users? [Y/n]: Y
Disallow root login remotely? [Y/n]: Y
Remove test database and access to it? [Y/n]: Y
Reload privilege tables now? [Y/n]: Y

Kurulumu Özelleştirelim

PHP.ini

Varsayılan php.ini dosyası yolu aşağıdaki gibidir ve nano ile bu dosyayı açıp konfigürasyonu düzenleyebilirsiniz.

nano /etc/php.ini

1GB ram bellek üzeri sunucular için önerilen konfigürasyon;

memory_limit 256M
post_max_size 100M
upload_max_filesize 100M
max_execution_time 300
max_input_time 300

Htaccess

/etc/httpd/conf/httpd.conf dosyasını nano ile açın. CTRL + W ile <Directory "/var/www/html"> şeklinde aratın.

İlgili blok içerisinde AllowOverride None satırını AllowOverride All olarak değiştirin.

PhpMyAdmin

Aşağıdaki komutları çalıştırarak phpMyAdmin'i varsayılan dizin altına pma dizin ismiyle kurabilirsiniz.

cd /var/www/html
mkdir -p pma
cd pma
wget https://files.phpmyadmin.net/phpMyAdmin/5.2.1/phpMyAdmin-5.2.1-all-languages.zip
unzip phpMyAdmin-5.2.1-all-languages.zip
mv phpMyAdmin-5.2.1-all-languages/* .
rm -rf phpMyAdmin-5.2.1-all-languages* 
mkdir -p tmp
chown -R apache:apache *

http://IPADRESI/pma/ şeklinde phpMyAdmin sayfasına ulaşabilirsiniz.

Ancak, bu URL brute-force ataklara maruz kalabilir. Bu nedenle bu sayfaya ek bir parola koruması eklemek gerekir.

İlgili dizin içerisinde bir kullanıcı oluşturalım ve şifre belirleyelim.

htpasswd -c .htpasswd admin

Daha sonra yine aynı dizine bir .htaccess dosyası oluşturalım ve aşağıdaki konfigürasyonu ekleyelim.

AuthType Basic
AuthName "Restricted Content"
AuthUserFile /var/www/html/pma/.htpasswd
Require valid-user

Şimdi http://IPADRESI/pma/ şeklinde ulaşmak istediğinizde ekstra bir korumaya sahip olacaktır.

Certbot

Let's Encrypt sertifikası kurulumları gerçekleştirmek için certbot paketini kuralım.

yum -y install certbot python2-certbot-apache

MPM-ITK

Apache'de kullanıcıların isteklerini virtualhost bazlı ayırmak için mpm-itk'yı aktif edelim. Nano ile 00-mpm-itk.conf dosyasını açalım.

nano /etc/httpd/conf.modules.d/00-mpm-itk.conf

mod_mpm_itk.so dosyasının başındaki # işaretini kaldıralım.

LoadModule mpm_itk_module modules/mod_mpm_itk.so

Ardından, httpd servisini yeniden başlatalım.

systemctl restart httpd

Composer

php -r "copy('https://getcomposer.org/installer', 'composer-setup.php');"
php -r "if (hash_file('sha384', 'composer-setup.php') === '55ce33d7678c5a611085589f1f3ddf8b3c52d662cd01d4ba75c0ee0459970c2200a51f492d557530c71c15d8dba01eae') { echo 'Installer verified'; } else { echo 'Installer corrupt'; unlink('composer-setup.php'); } echo PHP_EOL;"
php composer-setup.php
php -r "unlink('composer-setup.php');"
mv composer.phar /usr/local/bin/composer

Varsayılan PHP-FPM Pool

Aşağıdaki php-fpm konfigürasyonu /var/www/html dizini içerisindeki PHP dosyalarını ve isteklerini karşılamak için düzenlenmiştir. /etc/php-fpm.d/www.conf dosyasını açın ve içerisini boşaltıp aşağıdaki konfigürasyonları ekleyin. Dosyayı kaydettikten sonra php-fpm servisini resetleyin.

[www]

user = apache
group = apache
listen = /var/run/php-fpm/www.sock
listen.owner = apache
listen.group = apache
listen.mode = 0666
listen.allowed_clients = 127.0.0.1
pm = dynamic
pm.max_children = 50
pm.start_servers = 5
pm.min_spare_servers = 5
pm.max_spare_servers = 35
slowlog = /var/log/php-fpm/www-slow.log
php_value[session.save_path]    = /var/lib/php/session
php_value[opcache.file_cache]   = /var/lib/php/opcache

Varsayılan VirtualHost

/etc/httpd/conf.d dizini altına 00_default.conf isminde bir dosya oluşturun ve aşağıdaki konfigürasyonu tanımlayın. Daha sonrasında httpd -t komutunu uygulayarak konfigürasyonu test edin. Eğer sorun yoksa, httpd servisini yeniden başlatın.

<VirtualHost _default_:80>
    DocumentRoot "/var/www/html"
    DirectoryIndex index.php index.html index.htm

    <Directory "/var/www/html"> 
               # allow from all 
               Order deny,allow 
               Options +FollowSymLinks +SymLinksIfOwnerMatch -Indexes 
               Require all granted 
               AllowOverride All 
               php_admin_value open_basedir /var/www/html 
       </Directory> 

       ErrorLog /var/log/httpd/error_log 
       LogLevel warn 
       LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\""
       CustomLog /var/log/httpd/access_log combined

       SuexecUserGroup apache apache
       AssignUserId apache apache

       <FilesMatch \.php$>
           <If "-f %{REQUEST_FILENAME}">
           SetHandler "proxy:unix:/var/run/php-fpm/www.sock|fcgi://./"
           </If>
    </FilesMatch>
</VirtualHost>

<VirtualHost _default_:443>
       DocumentRoot "/var/www/html"
       DirectoryIndex index.php index.html index.htm

       <Directory "/var/www/html">
               # allow from all
               Order deny,allow
               Options +FollowSymLinks +SymLinksIfOwnerMatch -Indexes
               Require all granted
               AllowOverride All
               php_admin_value open_basedir /var/www/html
       </Directory>

       ErrorLog /var/log/httpd/error_log
       LogLevel warn
       LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\""
       CustomLog /var/log/httpd/access_ssl_log combined

       SuexecUserGroup apache apache
       AssignUserId apache apache

       <FilesMatch \.php$>
           <If "-f %{REQUEST_FILENAME}">
                SetHandler "proxy:unix:/var/run/php-fpm/www.sock|fcgi://./"
           </If>
       </FilesMatch>

       SSLEngine on
       SSLProtocol all -SSLv2 -SSLv3
       SSLCertificateFile /etc/pki/tls/certs/localhost.crt
       SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
       #SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt
       #SSLCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
</VirtualHost>

Yeni Site Tanımlama

Öncelikle kullanıcı tanımlayalım ve gerekli klasörleri oluşturup, yetkilerini düzenleyelim.

adduser example
sudo -u example mkdir -p /home/example/public
sudo -u example mkdir -p /home/example/tmp
sudo -u example mkdir -p /home/example/session
sudo -u example mkdir -p /home/example/opcache
chmod -R +s /home/example
chmod -R 0755 /home/example

Daha sonra PHP-FPM konfigürasyonu ekleyip, kullanıcıya özel socket oluşturalım.

cd /etc/php-fpm.d
nano example.conf

PHP-FPM Konfigürasyonu;

[example]
user = example
group = example
listen = /var/run/php-fpm/example.sock
listen.owner = example
listen.group = example
listen.mode = 0666
listen.allowed_clients = 127.0.0.1
pm = dynamic
pm.max_children = 50
pm.start_servers = 5
pm.min_spare_servers = 5
pm.max_spare_servers = 35
slowlog = /var/log/php-fpm/example-slow.log
env[TMP] = /home/example/tmp
env[TMPDIR] = /home/example/tmp
env[TEMP] = /home/example/tmp
php_value[session.save_path] = /home/example/session
php_value[opcache.file_cache] = /home/example/opcache
php_value[upload_tmp_dir] = /home/example/tmp

PHP-FPM servisini yeniden başlatalım.

systemctl restart php-fpm

Daha sonra apache virtualhost konfigürasyonu oluşturalım.

cd /etc/httpd/conf.d
nano 01_example.conf

HTTP Konfigürasyonu;

<VirtualHost *:80>
    ServerName example.com
    ServerAlias www.example.com
    DocumentRoot "/home/example/public"
    DirectoryIndex index.php index.html index.htm

    <Directory "/home/example/public"> 
               # allow from all 
               Order deny,allow 
               Options +FollowSymLinks +SymLinksIfOwnerMatch -Indexes 
               Require all granted 
               AllowOverride All 
               php_admin_value open_basedir /home/example
        </Directory> 

        ErrorLog /var/log/httpd/example.com-error_log 
        LogLevel warn 
        LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\""
        CustomLog /var/log/httpd/example.com-access_log combined

        SuexecUserGroup example example 
        AssignUserId example example

        <FilesMatch \.php$>
           <If "-f %{REQUEST_FILENAME}">
                SetHandler "proxy:unix:/var/run/php-fpm/example.sock|fcgi://./"
       </If>      
        </FilesMatch>       
</VirtualHost>

Ardından httpd servisini yeniden başlatalım.

systemctl restart httpd

Dilerseniz hosts dosyanıza IP adresi ve domain ekleyip test edebilirsiniz, dilerseniz de DNS yönlendirmesi gerçekleştirebilirsiniz.

SSL Kurulumu

DNS yönlendirmesi gerçekleştirdiyseniz SSL sertifikası da ilgili siteler için ücretsiz Let's Encrypt SSL sertifikası da kurabilirsiniz.

certbot --apache -d example.com -d www.example.com

Otomatik SSL Sertifikası Yenileme

Crontab'ı açıp aşağıdaki cron satırını ekleyerek SSL sertifika yenileme işlemlerini cron servisine bırakabilirsiniz.

crontab -e

Cron;

* */12 * * * root /usr/bin/certbot renew >/dev/null 2>&1

.DS_Store Dosyalarını Oluşturmayı Devre Dışı Bırakmak

Gürkan Biçer — Mon, 13 Mar 2023 08:33:29 +0000

Son derece masum, ancak bir o kadar sinir bozucu bir dosya olan .DS_Store dosyaları; aslında MacOS işletim sisteminde kullanıcının dokunduğu dosyalar ve klasörlerle ilgili metadata tutmakla görevli. Bu veriler dosya isimleri, ikonlar, klasör ayarları vb. bilgilerdir.

Nasıl Devre Dışı Bırakılır?

.DS_Store dosyalarının oluşmasını devre dışı bırakmak için, Terminal'i açıp, aşağıdaki komutu uygulamanız yeterlidir.

defaults write com.apple.desktopservices DSDontWriteNetworkStores true

Nasıl Aktif Edilir?

.DS_Store dosyalarının oluşmasını tekrar aktif etmek için, Terminal'i açıp, aşağıdaki komutu uygulamanız yeterlidir.

defaults write com.apple.desktopservices DSDontWriteNetworkStores false

Mevcut .DS_Store Dosyaları Nasıl Silinir?

Terminal'i açın ve kullanıcınınızın home dizininde kalın. Yani pwd komutu uyguladığınızda /Users/gurkanbicer gibi kendi klasörünüzde olmalısınız. Aşağıdaki komutu uyguladığınızda tüm alt klasörlerdeki .DS_Store dosyalarını temizleyecektir.

find . -name ".DS_Store" -print -delete

Geçenlerde bununla ilgili bir olay da oldu. Acilen işlem yapılması gerektiğini söyleyen, zaafiyet içeren IP adreslerinin ve zaafiyet sebeplerinin yer aldığı bir zarf teslim aldım. İlgili devlet kurumu, .DS_Store dosyalarını zaafiyet olarak nitelendirmiş ve internete açık bir şekilde durmaması gerektiğini belirtmiş. Aciliyet sebebini ve ne gibi bir güvenlik sorununa yol açabileceğini henüz anlayamadım ama o da heralde .DS_Store dosyalarından haz etmeyen biri heralde -_- Kağıt, zarf ve zaman kaybından başka bir şey değildi. Neyse ki, dosyaları temizleyip, zaafiyeti giderdim (!)

Eğer ki bu bir .git klasörü olsaydı ya da herhangi bir kimlik bilgisi içeren klasör olsaydı, aciliyet sebebi son derece anlaşılabilir olurdu.

PHP ile Kullanıcının Gerçek IP Adresini Almak

Gürkan Biçer — Mon, 13 Mar 2023 07:55:35 +0000

Web server eğer Cloudflare veya herhangi bir Reverse Proxy arkasındaysa, kullanıcının gerçek IP adresini almak için ekstra bir fonksiyona ihtiyaç duyarız. Aşağıdaki fonksiyon kullanıcının gerçek IP adresini almak için yardımcı olarak kullanılabilir.

function getClientIP()
{
    if (isset($_SERVER['HTTP_CF_CONNECTING_IP'])) {
        return $_SERVER['HTTP_CF_CONNECTING_IP'];
    } else if (isset($_SERVER['HTTP_X_REAL_IP'])) {
        return $_SERVER['HTTP_X_REAL_IP'];
    } else if (isset($_SERVER['HTTP_CLIENT_IP'])) {
        return $_SERVER['HTTP_CLIENT_IP'];
    } else if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        return $_SERVER['HTTP_X_FORWARDED_FOR'];
    } else if (isset($_SERVER['HTTP_X_FORWARDED'])) {
        return $_SERVER['HTTP_X_FORWARDED'];
    } else if (isset($_SERVER['HTTP_FORWARDED_FOR'])) {
        return $_SERVER['HTTP_FORWARDED_FOR'];
    } else if (isset($_SERVER['HTTP_FORWARDED'])) {
        return $_SERVER['HTTP_FORWARDED'];
    } else {
        return $_SERVER['REMOTE_ADDR'];
    }
}

Test;

var_dump(getClientIP());

Çıktı;

string(9) "104.28.154.247"

Çıktıda belirtilen IP adresi neden Cloudflare IP adresi, kod mu hatalı?

Hayır. Kod doğru. İnternet bağlantım için kendi IP adresimi, kendi sunucularım ve belli başlı online bankacılık işlemlerim harici isteklerimi Cloudflare WARP üzerinden ücretsiz geçirerek gizliyorum. Bir başka yazıda Cloudflare WARP hakkında bahsedeceğim.

SELinux Nasıl Kapatılır?

Gürkan Biçer — Sun, 12 Mar 2023 20:26:25 +0000

SELinux, Linux dağıtımlarında ek bir güvenlik protokolü modülüdür.

SELinux mevcut olarak üç adet duruma sahiptir;

Enforcing: İzinsiz bütün erişimler yasaklanır. Bu duruma aktif SELinux da denmektedir.
Permissive: SELinux uyarılar verir. İlk durumun aksine bu durumda izinsiz erişim mümkündür ancak uyarı gösterilmektedir.
Disabled: SELinux tamamen devre dışıdır ve uyarısız bütün erişimlere izin verilir.

Bazı durumlarda SELinux'u geçici veya kalıcı olarak kapatma ihtiyacımız olabilmektedir.

Mevcut durumu görüntülemek için;

sestatus

Eğer geçici olarak kapatmak istiyorsak terminal ekranında aşağıdaki komutu uygulamamız yeterlidir.

setenforce 0

Eğer kalıcı olarak kapatmak istiyorsak;

CentOS için;

sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config
sed -i "s/SELINUX=permissive/SELINUX=disabled/g" /etc/selinux/config

Ubuntu için;

sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/semanage.conf
sed -i "s/SELINUX=permissive/SELINUX=disabled/g" /etc/selinux/semanage.conf

Kısacası dosya yolu değişiyor. Sadece SELINUX parametresine disabled değerini veriyoruz. Metin editörü ile açıp düzenlemek isterseniz siz bilirsiniz, ben sed ile iki saniye terminale komutları yapıştırıp geçiyorum.

Ha unutmadan, SELinux'u kalıcı olarak kapattıktan sonra Türk usülü bir reboot atıyorum cihaza, varsa sorunlar çözülsün diye :)

Linux Sunucularda Varsayılan Metin Editörünü Değiştirmek

Gürkan Biçer — Sun, 12 Mar 2023 20:04:41 +0000

Linux sunucularda Nano editörü varsayılan olarak nasıl ayarlanır? Centos veya Ubuntu varsayılan metin editörü nasıl değiştirilir?

Emin olun, bu soruları Google'a yazmaktan daha kısa bir şekilde çözmenin yolu var :)

Nano Metin Editörünü Varsayılan Olarak Ayarlamak

Terminali açın ve SSH ile sunucunuza bağlanın.
Root dizininizde yer alan .bashrc dosyanızı nano ile açın.
Aşağıdaki konfigürasyonu dosyanın en sonuna yeni satır olarak ekleyin;
- export EDITOR='/usr/bin/nano'
Profil dosyanızı aşağıdaki komut ile yeniden okuyun veya çıkış yapıp tekrar giriş yapın.
- source ~/.bashrc

Eğer ZSH kullanıyorsanız dosyanız .zshrc olmalı.

Vim metin editörü fanları gelmeden yazıyı burada sonlandırıyorum.

-,-

Powershell ile RDP Port Değiştirmek

Gürkan Biçer — Sun, 12 Mar 2023 19:45:28 +0000

RDP portunu değiştirmek için Regedit yolunu nasıl hatırlayabilirim?

Eğer benim gibi yüzlerce sunucu kuruyor veya yönetiyorsanız, RDP port değiştirmek için Regedit ve Windows Firewall üzerinden işlem yapmanız acı verici olabilir. Bu nedenle, bir powershell script hazırladım.

Powershell'i administrator olarak açın. Aşağıdaki komutları kopyalayın ve Powershell ekranına yapıştırın. Bu komutlar, RDP portu değiştirecek ve Windows Firewall için gerekli kuralları ekleyecek.

portvalue değişkenine dilediğiniz port numarasını yazabilirsiniz.

$portvalue = 3581
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber" -Value $portvalue 
New-NetFirewallRule -DisplayName 'RDPPORT-TCP-In' -Profile 'Any' -Direction Inbound -Action Allow -Protocol TCP -LocalPort $portvalue 
New-NetFirewallRule -DisplayName 'RDPPORT-UDP-In' -Profile 'Any' -Direction Inbound -Action Allow -Protocol UDP -LocalPort $portvalue

Remote Desktop servisini yeniden başlatmayı unutmayın.

*_-