Howto-SUSE Security Lockdown - Hardening Your Linux System

Şuraya atla: kullan, ara

TELNETD'yi Kaldır

TELNETD SUSE'de öntanımlı olarak etkin değildir.

FTP Sunucularını Kaldır

FTP sunucusu, SUSE'de öntanımlı olarak etkin değildir.

SSH'yi Sadece-SSH2 Erişimi için Ayarla

/etc/ssh/sshd_config dosyasını PROTOCOL satırını: 

#PROTOCOL    1,2

yerine: 

PROTOCOL     2

olacak şekilde düzelt.

SSH Erişimini Sınırlandır

  1. yast'ı başlat
  2. Güvenlik & Kullanıcılar (Security & Users) -> Düzenle (Edit)'ye git ve grup oluştur
  3. "sshlogin" adlı bir grup ekle
  4. sisteme erişim için ssh kullanmasına izin vereceğiniz tüm normal kullanıcıları, (yönetici olmayan) bu gruba üye yap.

/etc/ssh/sshd_config'de: 

AllowUsers root

satırını: 

#AllowUsers root

olarak düzelt ve: 

AllowGroups sshlogin

ekle.

Son olarak, yönetici girişi (root) yaparak sshd'yi tekrar başlat: 

rcsshd restart

inetd'yi Kaldır

Eğer, herhangi bir hizmet çalışmıyorsa, (varsayılan şekilde) xinetd de çalışmıyordur.

CDROM/Disketten Önyüklemeyi Engellemek için BIOS'u Düzenle

Kendi BIOS'unuzun kullanma kılavuzuna bakın. Çıkarılabilir bir ortamdan önyükleme, makineye fiziksel erişimi olan bir saldırganın, sistemin dosya sistemlerini ele geçirmesini -- veriye erişim veya silme, ayar değiştirme veya şifre değiştirmeye izin verir.

  1. Bir BIOS şifresi ayarladığınızdan
  2. Sabit disk, ilk olacak şekilde önyükleme sırasını değiştirdiğinizden
  3. Saldırgan BIOS'u sıfırlayamayacak şekilde kasayı fiziksel olarak kilitlediğinizden

emin olun.

GRUB şifresi ayarla

Grub, girişlerin anında düzenlenmesini sağlayan güçlü bir önyükleyicidir. Ancak, bu bir güvenlik riski olabilir. GRUB çıkarılabilir, ortam önyükleyebilir veya sabit diskteki dosyalara erişebilir.

Şifre belirlemek için, YaST 'Önyükleyici' ('Boot Loader') modulüne bakınız. 'Disket' girişini silmeyi unutmayın!

9.3 için:

  1. 'Ekle'yi ('Add') seçin.
  2. 'Seçilmiş Seçeneği' ('Selected Option') 'şifre' ('password') olarak değiştirin ve 'Tamam'ı ('OK') seçin.
  3. 'Önyükleyiciyi Şifre ile Koru'yu ('Protect Boot Loader with Password') işaretleyin ve şifreyi girin.

10.0 için:

  1. 'Önyükleyici Kurulum' ('Boot Loader Installation') sekmesine geçin.
  2. 'Önyükleyici Seçenekleri'ni ('Boot Loader Options') seçin.
  3. 'Önyükleyiciyi Şifre ile Koru'yu ('Protect Boot Loader with Password') işaretleyin ve şifreyi girin.

Veri Bölümlerini Şifreleyin

Not: Eğer şifreli bir bölüm için şifre unutulmuşsa, tüm veri geri getirilemez olacaktır!

YaST bölümlerin şifrelenmesi seçeneğini içerir. Hassas veri içeren tüm bölümleri şifrelemek, iyi bir fikirdir.

  1. YaST Bölümlendirici'de (Partitioner) normal olarak yeni bir bölüm oluşturun:
    1. 'Oluştur'u ('Create') seçin.
    2. Üzerinde bölüm oluşturulacak diski seçin.
    3. Birincil veya genişletilmiş bölüm oluşturulmasını seçin (eğer sorulursa).
  2. Bölüm oluştur penceresinde, bir dosya sistemi (swap veya FAT dışında) ve bir tanıtma noktası (/, /usr, /boot, veya swap dışında) seçin.
  3. Bölüm için boyut seçin.
  4. "Dosya Sistemini Şifrele"yi ("Encrypt File System") işaretleyin ve 'Tamam'ı ('OK') seçin.
  5. Bir şifre girin ve 'Tamam'ı ('OK') seçin.

Şifrelenmiş dosya sistemi oluşturulur ve kaydı /etc/cryptotab'e eklenir. Örneğin: 

# cat /etc/cryptotab
/dev/loop0   /dev/sdb1   /encrypted_mount_point      reiserfs    twofish256,acl,user_xattr

Sistem önyüklediğinde, dosya sistemi tanıtılabilmesi için bir şifreye gereksinim vardır: 

Activating crypto devices using /etc/cryptotab ...
Please enter passphrase for /dev/sdb1:

/etc/init.t/boot.crypto program parçasıyla tanıtılabilir ve kaldırılabilir. Örneğin:

Tanıtmak için: 

/etc/init.d/boot.crypto start

Kaldırmak için: 

/etc/init.d/boot.crypto stop

Başka bir yöntem olarak, tanıtma komutları doğrudan kullanılabilir.

Şifreli bir bölümü tanıtmak için, öncelikle bir döngü sınaması (loopback) aleti oluşturulmalıdır: 

# losetup -e twofish256 /dev/loop0 /dev/sdb1
Password:

Sonra, döngü sınaması (loopback) aleti tanıtılabilir: 

# mount /dev/loop0 /encrypted_mount_point

Kaldırmak için, basitçe mount komutunu kullanın sonra döngü sınaması aletini silin: 

# umount /encrypted_mount_point
# losetup -d /dev/loop0

Tanıtma sırasında "mount: you must specify the filesystem type" ("tanıt: dosya sistemi çeşidini belirtmelisiniz") şeklinde bir hata alırsanız, yanlış şifre girmiş olabileceğinize dikkat edin. Döngü sınaması aletini silin ve yeniden deneyin.

"https://tr.opensuse.org/index.php?title=Howto-SUSE_Security_Lockdown_-_Hardening_Your_Linux_System&oldid=7922" adresinden alındı.