Doruksat Uyduforum width=  

Geri Git   Doruksat Uyduforum >
--=BİLGİSAYAR - TEKNOLOJİ DÜNYASI=--
> Bilgisayar - İnternet Dünyası > Linux
Albümler Kayıt SSS Üye Listesi Ajanda Konuları Okundu İşaretle

PROGRAM ARŞİVİ BÖLÜMÜMÜZDE YAYINLANAN PROGRAMLARIN TÜMÜ TANITIM AMAÇLI OLUP FREEWARE YADA PROGRAM SAHİPLERİNİN İNTERNET ÜZERİNDEN YAYINLADIĞI DEMOLARIDIR. BU NEDENLE FORUMUMUZDA SERİAL CRACK VS YASAKTIR. FULL KULLANMAK İSTİYORSANIZ LÜTFEN SATIN ALINIZ !!!

ÖNEMLİ = TÜRKİYE DE BULUNAN ŞİFRELİ DİGİTAL YAYINLARIN İLLEGAL İZLENMESİNE YÖNELİK MESAJ YAZMAK DOSYA YAYINLAMAK VEYA ŞİFRE VERMEK YASAKTIR. AKSİNİ YAPAN ÜYELERİMİZ UYARILACAK VE MESAJI SİLİNECEKTİR !!!



Yanıtla
LinkBack Konu Araçları Mod Seç
Okunmamış 31-07-2005, 03:29   #1 (permalink)
Vip Members
 
yeşil kullanıcısının avatarı
Giriş: 08 Apr 2005
Yaş: 48
Mesaj: 1,704
Varsayılan

Linux, Torvalds'ın ilk test kodlarını İnternet üzerinden paylaşmaya başladığı günden bu yana oldukça önemli yol katetti. İlk çekirdek sürümlerinde ve dağıtımlarda güvenlik ile ilgili özellikler ve beceriler son derece kısıtlıyken özellikle son üç yıl içerisinde hem çekirdek seviyesinde ve hem de sistem uygulamaları düzeyinde Linux'un güvenlik becerileri önemli ölçüde arttı. Bu yazıda, Linux çekirdeğinin güvenlik özelliklerine ilişkin gelişmeler konu edilecektir.

Kodun Yeniden Organizasyonu

Linux'un ilk günlerinden bu yana güvenlik ile ilgili en önemli özelliklerinden birisi kaynak kodunun açık olması, dileyen herkesin kodu inceleyebilmesi ve değiştirebilmesi olmuştur. Kodun açıklığı, kapalı kaynaklı geliştirme modelleri ile kıyaslandığında, yazılımı inceleyen çok sayıda bağımsız uzmanı ve onlar tarafından üretilecek yamaların hızlı dağıtımını destekler niteliktedir.

2.6 serisi çekirdek ile birlikte pek çok bileşenin yeniden ele alınması (I/O, modül mimarisi vb.) ve bileşenler arası soyutlama düzeyinin arttırılarak yeniden kodlanmaları kodun okunurluğunu önemli ölçüde arttırmıştır. Geliştirici ekibinin giderek büyümesi de yazılımın kararlılığını olumlu yönde etkilemektedir.

Dosya Sistemi Sağlamlığı

2000'li yılların başında Linux'un en önemli zaafiyetlerinden birisi dosya sistemi çökmelerine ilişkin problemlerdi. Zamanının popüler dosya sistemi ext2, transaction desteğinden yoksundu ve bu durum özellikle elektrik kesilmeleri, uygunsuz sistem kapanışları ve nadiren görülen çökmeler sonrasında sistemin tekrar açılışında önemli bütünlük sorunları ile karşılaşılmasına neden oluyordu. Bu tarihlerde Linux kullananların pek çoğu az ya da çok veri kayıpları ile mücadele etmek zorunda kaldılar.

Dosya sistemi düzeyindeki bu önemli zaafiyet sistem kararlılığını olumsuz yönde etkiliyor ve kurumsal düzeyde kullanımda önemli çekinceleri beraberinde getiriyordu. Eksik olan transaction temelli işlem günlüğü (ing. journal) tutabilen bir dosya sistemiydi ve bu türden dosya sistemleri ticari UNIX'lerin (AIX, Tru64, IRIX vb.) pek çoğu üzerinde mevcuttu.

Pazar savaşı nedeniyle IBM ve SGI'ın ardı ardına kendi dosya sistemleri olan jfs ve xfs'i özgür yazılım dünyasına “bağışlamaları”, ext3 ve reiserfs gibi başından beri özgür dosya sistemlerinin yeterli kararlılık düzeyine ulaşması ile problem aşıldı. Bugün elektrik kesilmelerinden ve uygunsuz kapanışlardan etkilenmeyen, problemli kapanışların ardından dosya sistemi denetimlerini çok kısa sürelerde tamamlayarak daha hızlı açılışa imkan veren yüksek nitelikli ve kararlı dosya sistemleri kullanıyoruz.

Dosya Sistemi Erişim Denetim Listesi Desteği

Linux'un diğer popüler işletim sistemlerinden önemli eksikliklerinden birisi erişim denetimi mekanizmalarına ilişkindi. Linux, erişim denetimi için salt geleneksel UNIX erişim denetimi becerilerini destekliyor, erişim yetkileri kullanıcı, grup ya da diğerleri olmak üzere üç farklı nesne kümesine atanabiliyordu. Bu geleneksel erişim denetimi mekanizması “bu dosya muhasebe grubuna aittir; dosyayı yönetim grubu değiştirebilir, pazarlama grubu incelebilir ama diğer gruplar erişemez” şeklindeki bir tanımı yapmak mümkün değildi.

Windows türevi çok kullanıcılı işletim sistemleri ile masaüstüne kadar inen erişim denetim listeleri Linux'un önemli güvenlik eksikliklerinden birisi olarak sıkıntı veriyordu ki 2.6 serisi çekirdekler ile birlikte çeşitli farklı dosya sistemleri için ACL desteği sağlandı. Çekirdeğe yeni eklenen bu beceri sayesinde her dosya için uzun ve karmaşık yetkilendirme tanımlarını yapmak ve kullanmak mümkün hale geldi. Özellikle görev kritik sunucularda bu yeni becerinin kullanımı zaman içerisinde giderek yaygınlaşacaktır. Çekirdek ACL desteği ile ilgili bilgiler için “man 5 acl” ile okumaya başlamakta fayda var.

Linux Güvenlik Modülleri (LSM) Mimarisi

Uzun bir süre geliştirimi süren ve 2.6 serisi çekirdekler ile dağıtıma dahil edilen Linux Security Modules (LSM) mimarisi Linux çekirdeğinin güvenlik becerilerinin önemli biçimde arttırılmasına imkan sağladı.Temel olarak Linux çekirdeği içerisinde güvenlik ile ilintili olabilecek her farklı işlev için kanca noktaları (ing. hook points) tanımlanacak biçimde tüm çekirdek elden geçirildi; çekirdeğin büyüklüğü göz önüne alındığında bu çalışmanın ne denli yoğun efor gerektirdiğini tahmin etmek hiç de güç değildir.

LSM sayesinde, temel olarak, çekirdek içerisine yeni güvenlik işlevselliği eklemek oldukça kolaylaştı. LSM öncesinde çekirdek için yapılan güvenlik eklentileri “yamalar” halinde dağıtılırdı ve eklenti geliştiricileri her yeni sürüm Linux çekirdeği için yamalarını güncellemek için önemli miktarda emek ve zaman harcarlardı. 2.6 ile birlikte, güvenlik eklentilerinin hemen tümü LSM uyumlu modüllere dönüştürülmeye başlandı ve eklenti geliştiricileri yeniden kendi alanlarına odaklanmaya başlayabildiler. İzleyen bölümlerde LSM'den önemli ölçüde faydalanan Capability ve SeLinux eklentileri konu edilmektedir.

Capability Eklentisi

Capability eklentisi geleneksel UNIX'ler üzerinde görmeye alışageldiğimiz “root her işi yapmaya yetkilidir” yaklaşımını değiştirmeye yönelik bir güvenlik eklentisidir. Bu eklenti ile root'un yetkilerini sistem açıldıktan sonra azaltmak mümkün hale gelmektedir. Capability mekanizması çekirdeğe 2.4 serisi ile birlikte dahil olduysa da, 2.6 çekirdek ile birlikte oldukça olgun bir hale gelmiştir.

Capability eklentisi 'çekirdek truva atları' (ing. kernel trojans) ile mücadele konusunda önemli bir katkı sağlamaktadır. Bu mekanizmadan faydalanarak sistem açıldıktan sonra yeni çekirdek modüllerinin yüklenmesini engellemek ve /dev/kmem aracılığı ile sistem belleğine müdahale edilebilmesini engellemek mümkün hale gelmektedir. Bu iki işlemin tamamlanmasından sonra sisteme bugün bilinen herhangi bir çekirdek truva atı ile saldırı gerçekleştirilemez hale gelmektedir.

Yine capability eklentisi ile yalnızca belirli işlemler için root yetkisi gerektiren süreçlerin yetki gereksinimleri de azaltılabilmektedir. Örneğin yalnızca bilinen bir TCP portunu dinlemek için root yetkisi gerektiren program, kendisine verilen “ağ soketlerini dinleyebilir” capability'si ile root yetkisi olmaksızın 1024'ten küçük numaralı portları dinleyebilmektedir. Capability'lerin süreçlere doğru biçimde dağıtılması ve açılış sonrasında sistemin günlük işlemler için gereksiz capability'leri bırakması ile işletim sisteminin saldırı yüzeyi oldukça daraltılabilmektedir.

SELinux Eklentisi

SELinux eklentisi, 2.6 serisi çekirdekler ile birlikte Linux'a dahil olan güvenlik özelliklerinin en heyecan verici olanlarından birisidir. Geleneksel UNIX modelinde (DAC) kaynaklara erişim denetimi yalnızca kullanıcı kimliği ve nesne sahipliği ile sınanmaktadır. Ancak bu geleneksel model, bir kullanıcının truva atlı bir program çalıştırması durumunda programın kullanıcının yetkisi olan tüm kaynaklara erişmesine de izin vermektedir. SELinux, Linux çekirdeği için geliştirilmiş bir zorunlu erişim denetimi (ing. mandatory access control – MAC) mekanizmasıdır. SELinux ile bir Linux sistemi üzerindeki tüm öznelere (kullanıcılar, programlar ve süreçler) ve tüm nesnelere (dosyalar, aygıtlar vb.) ilişkin son derece kapsamlı erişim denetim kuralları tanımlanabilmektedir.

SELinux ile, örneğin, bir programa yalnızca işini yapması için gereken yetkileri vermek mümkün olmaktadır. Bir saldırgan programdaki hatalardan faydalanarak programı amacı dışında çalıştırmayı denese de, SELinux çekirdek eklentisi bu durumu tespit ederek engelleyecektir.

SELinux'un önümüzdeki dönemde büyük bir hızla yaygınlaşmasını beklemek hiç de yanlış olmayacaktır. Özellikle hizmet sunucu yazılımlar için (Apache, Postfix, MySQL) var olan SELinux kural kümelerinin rafine edilip geliştirilmesi sonrasında sunucu güvenliği için çok büyük bir katkısını görüyor olacağız.


Linux çekirdeği özellikle geçtiğimiz üç-dört yıllık süreçte güvenlik özellikleri bakımından çok önemli bir yol katetmiştir. Önümüzdeki dönemde çekirdeğe yeni eklenen bu özelliklerin güvenli ön-tanımlı ayarlarının dağıtımlar için standart hale gelmesi kaçınılmaz görülmektedir.

Burak Dayıoğlu


yeşil Çevrimdışı   Alıntı Yaparak Cevapla
Sponsored Links
 

Yanıtla


Şu an bu konuyu görüntüleyen kullanıcı sayısı: 1 (0 üye ve 1 misafir)
 
Konu Araçları
Mod Seç

Gönderme Kuralları
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Açık
SimgelerAçık
[IMG] kodu Açık
HTML kodu Kapalı
Trackbacks are Açık
Pingbacks are Açık
Refbacks are Açık


Forum saati Türkiye saatine göredir. GMT +2 Şuan Saat 17:47.


Powered by vBulletin® Version 3.7.4
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.5.2 PL2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 347 348 349 350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 372 373 374 375 376 377 378 379 380 381 382 383 384 385 386 387