$imdi sizlere Binbir ugRa$la yAptiginIz web siteNizi korumak icin bir kac yoldan bahsedecegim. Hic birimiz onca emekle yaptigimiz sitenin daha sonra lamerler tarafindan hacklenmesini(!) istemeyiz. Peki nelere dikkat etmeyiz, bildigim kadariyla anlatmaya cali$acagim.
1)Mail Guvenligi
Her $eyden once mail adreslerinizin gunvenligini saglamalisiniz. cunku Hostunuz, domaininizi aldiginiz yer bilgilerinizi once mail adresine yollarlar.
Mail $ifreniz mutlaka harf ve rakam kombinasyonlarindan olu$sun. or: 125asd47a gibi. Asla ki$isel bilgilerinizden herhangi birini $ifreniz olarak kullanmayiniz. Gizli sorunuz ve cevabiniz sadece sizin bileceginiz bir $ey olsun. Burayada ozel bilgileriniz girmeyiniz. Ayrica mailinize gelen bazi mailler fake mail olabilir. Eger mailinize gelen yada ba$ka bir yerden indirdiginiz bir dosya size i$lem yapabilmek icin mail adresinizin kullanici adi ve $ifresini girmesini isterse o sayfalara k.a. ve $ifrenizi girmeyin. o sayfayi direk kapatip mailinizi tekrar acarak login olabilirsiniz. Adres cubugunda yazan isimlere dikkat edin. Eger mailinizi aldiginiz yerle bir alakasi yoksa bu bir fake maildir.
2)Hosting Guvenliginiz
Hostinginizi aldiginiz yerdede aynen mailiniz gibi $ifrenin kari$ik olsun ve mailinizle ayni $ifreyi kullanmayin. Sadece guvenilir kurulu$lardan ve i$ine ozen gosteren yerlerden hosting almaya cali$in. cunku bazi serverlarda hala bir cok acik bulunmakta. Bunun sebebi ise kullandiklari yazilimlarda guncelleme yapmamalari. Sitenizi ele gecirmek isteyen ki$iler bu aciklari kullanarak hostinginizi elegecirebilirler.
3)Domain Guvenliginiz
Domain adinizi aldiginiz yerdede $ifreniz farkli ve kari$ik olsun. (Her $eyin ba$i $ifre). Domain whois bilgilerinde domaini aldiginiz yere verdiginiz mail adresinizi kullanmayin. cunku domaininizi ele gecirmek isteyen saldirgan oncelikle sitenize whois cekip mailinizi ve hostinginizi ogrenmek ister. Daha sonra once mailinizi ele gecirmeye cali$ir.
4)Web Programlamasinda Guvenlik
Ä°lk uc adimi uygulamaniza ragmen hala sisteminizde programlamadan kaynaklanan aciklar olabilir. Bunlarida bir kac ba$lik altinda toplayalim.
a)Hazir portal ve forumlarda guvenlik
Web sitenizde hazir portal veya forum kullaniyorsaniz surekli olarak kullandiginiz portalin/forumun sitesini ziyaret edin ve guncellemeleri elinizden geldigince yapmaya cali$in. cunku genelde bir cok versiyonda sitenizin ele gecirilmesini saglayacak aciklar mevcuttur. Bunlarin yamalarini ve aciklari yazilimin kendi sitesinden ogrenebilirsiniz. Ayrica b-2 deki database guvenliginede bakiniz.
b)Kendi Yazdiginiz Sistemlerde Guvenlik
b-1) Kodlama Hatalari
Sisteminizi yazdiniz ve sorunsuz cali$iyor. Her$ey yolunda ama yaptiginiz veya eklemeyi unuttugunuz bir kac kod yuzunden sitenizde bazi aciklar mevcuttur. Ve malesef saldirganlar bu aciklari kullanarak sisteminize girebilirler ve zarar verebilirler. Peki bunlar nelerdir?
b-1-1) Login Panelleri
Saldirgan oncelikle login panellerinde bir kac kod deneyerek database?inizin yonu bulabilir ve sizintilarla datebase?den sizin veya uyelerinizin bilgilerini ele gecirebilir. Genelde ?or 1=1 tarzinda kodlamalari bu panellerde deneyerek SQL injection yapmaya cali$irlar. o yuzden bu tur kodlari kabul etmeyen ayiklan bir sistem yazmalisiniz. Bu tarz kodlamalari girince sisteminizin ic hata vermemesi lazim. Ayrica login panellerinde deneme yanilma yontemleriyle kullanici adi ve $ifrenizi ele geceribilirler. Bunu onlemek icin mumkunse guvenlik kodu uygulamasi yapmaniz iyi olacaktir. Ayrica birkac yanli$ denemeden sonra ip adresini banlarsaniz buda i$e yarar.
b-1-2) Haber/Yorum Ekleme
Login panellerinde oldugu gibi haber ve yorum ekleme scriptlerinde sizintilari onlemeniz gerekir. Asla bu bolumler kod kabul etmemelidir.Yoksa kullanici yorum yada haber olarak bir kod ekleyerek sitenizin o sayfasini ba$ka bir sayfaya yonlendirebilir. Burdada yapmaniz gereken bu tur kodlari kabul etmeyen bir sistem yazmaktir.
b-2) Database Guvenligi
Database?iniz mutlaka $ifre korumali olsun. Eger access veritabani kullaniyorsaniz. Veritabaninizi hostinginizde bulunan db klasoru icine koyun. Bu klasorden database?inizi indiremezler. Hazir kullandiginiz scriptlerdeki dblerin adlarini ve yollarini mutlaka degi$tirn. Bu saldirganin db yolunuzu ogrenmesini ve sizmasini engeller.
Evet bu yukarda yazilanlari yaptikdan sonra tahminimce siteniz %90 guvende olur. Ama asla %100 olmaz. cunku hack icin mutlaka bir yol vardir. Tabi bunu yapabilecek ki$ilerde sayilidir. Asla butun uyeliklerinizde ayni $ifreyi kullanmayin. Ayrica eger sitenizde sizden ba$ka yonetici / editor varsa onlarida mail guvenligi konusunda uyarin. Ben bu yazilanlarinin bir kismini uygulamiyorum. Kendinize du$man edinmemeye cali$in ve saldirganlara sitenizi ele gecirmek icin bir sebeb vermemeye gayret gosterin. Mutlaka bu yazilanlarada eklenmesi gereken $eyler vardir. Sizde bildiklerinizi bu postun altina eklerseniz guzel bir kaynak olur.
Genel Server Guvenligi
%100 server guvenligini saglamanin tek yolu o serverin fi$inden gecmektedir. En guvenli server fi$i cekik serverdir.
Bunun di$indaki tum methotlar sadece server guvenligini arttirmak icindir. A$agida server guvenligi ile ilgili verilmi$
bilgiler genel bilgiler olup kullaniciya gore degi$ebilmektedir.
vi, pico vb editorler kullanilarak a$agidaki satirlar /etc/sysctl.conf icine eklenmelidir
Bu ne yapar?
Bu kodlar linux i$letim sisteminin kendisi tarafindan kullanilmaktadir. Bu kodlar sisteme ping, icmp, isteklerini
redetmesini ve SYN korumasini devreye alinmasini, network forwarding in engellenmesini saglar. Ancak bu degi$iklik
yapildiktan sonra server reboot edilmelidir.
/etc/rc.local, icine a$agidaki kod eklenmelidir
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > done
echo 1 > /proc/sys/net/ipv4/tcp_syncookies for f in /proc/sys/net/ipv4/conf/*/accept_source_route;
do echo 0 > done echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
Bu kisim bir onceki kisimla aynidir ve bu isteklerin rededilmesi i$lemini tekrar, ba$ka bir guvenlik katmanidir.
/etc/host.conf, icine a$agidaki kodlar eklenmelidir , tabi icinde yoksa
# Lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# We have machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on
/etc/hosts.deny icine a$agidaki kod eklenmelidir
ALL: PARANoID
Burada bir onceki i$lemde yapilan spoofing korumasini arttirilmasi saglanir.
Firewall linux server icin en onemli ihtiyactir. Firewall olmaksizin linux server tamami ile tehlike altindadir
denilebilir , firewall ile server guvenlik altindadir ve korunabilir diyebiliriz ancak unutlmamalidir ki hic bir
firewall %100 guvenlik saglamaz.
Kernel bilgilerini aramali ve bulmalisniz. Hatta ki$isel kernel derlemeside yapabilirsiniz, (eger linuxde cok iyi
bir kullanici degilseniz kesinlikle bu i$lem onerilmez) veya RPM kullanabilrsiniz
Kernel derlemesi local olmayan makinalarda kesinlikle onerilmeyen bir i$lemdir. Sebebi ise , eger bir $eyler ters
giderse sizin power dugmesine basip kapatacak $ansiniz olmayacak ve tek kullanici modunda serveri ba$latamayaaksiniz.
Data Center i beklemeli bir destek isteginde bulunmali ve onlarin yanit vermesini beklemek zorunda kalacaksiniz.
Buda hem buyuk zaman kaybi, hem oldukca yava$ hem de cok maliyetli bir i$lemdir.
Diger uygulamalar yapilan konfigurasyon degi$iklikleri sistem a$iri yukunu vb sorunlari engelleyecektir.
ornek
proftpd:
/etc/proftpd.conf, icine a$agidaki kod eklenebilir
TimeoutIdle 600 TimeoutNoTransfer 600 TimeoutLogin 300 MaxInstances 30 MaxClientsPerHos
ve son olarak, /etc/rc.local, icine a$agidaki kod eklenebilir.
TMoUT=180 export TMoUT
Bu kisim serverda 3 dk hareketsiz duran herkesle baglantisini kesecektir.Bu rakami degi$tirerek zamani da
degi$tirilebilir, ornek 300 yapildiginda bu 5 dk olacaktir
Guvenligin bir seviye daha artirilmasi icin a$agidaki gibi bir uygulama yapilabilir
Anasayfa 
C.tesi Ağus. 25, 2007 3:37 am