Linux dağıtımlarının bir çoğu, kurulum esnasında kullanıcıyı rahatsız etmeyecek kuralların bulunduğu politikaları

Transkript

1 Linux İçin Politikaları Parola Linux kullanıcılarının büyük bir kısmı, düzenli olarak güvenlik güncellemelerini yükler ve en yeni sürümü kullanır. Fakat bu hassasiyet ve dikkat tek başına yeterli olmayabilir. Güvenli, kuralları her kullanıcıya eşit olarak uygulanan bir parola politikanız yoksa güvenlik güncellemelerini yüklemek tek başına yeterli olmayabilir. Linux dağıtımlarının bir çoğu, kurulum esnasında kullanıcıyı rahatsız etmeyecek kuralların bulunduğu politikaları varsayılan olarak seçerler. Parolanın değiştirilme zorunluluğu, kaç gün arayla değiştirilmesi gerektiği veya kaç gün değiştirilmez ise hesabın kilitleneceği gibi kuralları sonradan belirlemek gerekir. Bu tür ayarları yapmak isterseniz, chage komutunu kullanmalısınız. Kullanımı kolay olan bu komut, seçeceğiniz parola politikalarının oluşturulmasında size çok yardımcı olacaktır. Yardım (help) ve kılavuz (man) sayfalarından seçenekleri ve yapabileceklerinizi görmeniz mümkün. Chage yardımı ve kullanım kılavuzunu görüntülemek için: chage --help man chage Komut satırında alttaki komutu çalıştırırsanız, istediğiniz kullanıcının parola kurallarını görebilirsiniz. Kullanıcının mevcut parola kurallarını görmek için: # teknikblog kısmını, kendi kullanıcı adınız ile değiştirin $ chage -l teknikblog Last password change : May 04, 2015 Password expires : never

2 Password inactive Account expires : Minimum number of Maximum number of Number of days of : never never days between password change : 0 days between password change : warning before password expires : 7 Üstteki raporda görüldüğü gibi kullanıcının parolası, asla zaman aşımına uğramayacak, pasif hale gelmeyecek, hesap pasif hale gelmeyecek ve parolanın değişiminin üzerinden gün geçmeden yeni parola belirleme zorunluluğu ortaya çıkmayacaktır. Örnek-1: sudo chage -M 90 teknikblog Bu komut, belirttiğiniz kullanıcının, en son parola değişiminden itibaren 90 gün sonra parolasını değiştirmek zorunda olduğunu kural olarak belirlemenizi sağlar. Örnek-2: sudo chage -m 5 -M 90 -I 30 -W 14 teknikblog Komut içerisinde kullanılan seçenekleri tek tek açıklayalım. (-m 5) seçeneği ile, bir parola değiştirildikten sonra yeniden değiştirilmesi için, en az 5 günün geçmesi gerektiği belirlenmiştir. (-M 90) seçeneği sayesinde, parola değişiminden itibaren 90 gün geçtiğinde, kullanıcı mecburen parolasını değiştirmek zorunda bırakılmıştır. (-I 30) kullanıcı, en son oturum açtığından itibaren 30 gün oturum açmamış ise, hesabın pasif hale geçirilmesi kural olarak belirlenmiştir. Tatile çıkıyorsanız veya uzun süre bilgisayarınızdan uzak kalacaksanız dikkatli kullanmanızı öneriyoruz.

3 (-W 14) seçeneği, kullanıcıya parolasının zamanının dolmasına 14 gün kaldığından itibaren uyarı ile ikaz edilmesini sağlayacaktır. DIRB ile Üzerindeki Tespiti Hedef Sistem Alt Dizinlerin DIRB aracı hedef sistem üzerindeki alt dizinleri tespit eder. DIRB aracının ana amacı profesyonel web uygulama denetimine yardımcı olmaktır. Tarama sırasında bulduğumuz bazı dizinler içerisinde listeleme izni olması ve önemli birçok bilginin olduğu bir dizin bulmamız kaçınılmaz. Aşağıdaki komutu kullanarak hedef sistem üzerinde alt dizin taraması yapabilirsiniz. ( IP veya Domain) root# dirb DIRB v2.22 By The Dark Raver START_TIME: Tue Feb 23 02:09: URL_BASE: WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt GENERATED WORDS: Scanning URL: ---==> DIRECTORY:

4 + (CODE:200 SIZE:2726) + (CODE:403 SIZE:1122) ==> DIRECTORY: ==> DIRECTORY: ==> DIRECTORY: ==> DIRECTORY: ==> DIRECTORY: ==> DIRECTORY: Özellike tüm / kök dizin içerisinde değilde, belirli bir dizin içerisindeki alt dizinleri tespit etmek istersek aşağıdaki komutu kullanabiliriz. Aşağıdaki komut hedef sitenin dizin1 adlı dizini içerisindeki alt dizinleri tarayacaktır. root# dirb root# dirb root# dirb Veya aşağıdaki gibi bir komut kullanarak bir dizinin alt dizinlerini tararken dosyasını verebiliriz. özel hazırlamış root# dirb olduğumuz wordlist.txt wordlist

5 root# dirb wordlist.txt root# dirb wordlist.txt Birden fazla wordlist dosyası belirtmek isterseniz aşağıdaki gibi dosyaların aralarına, virgül işareti koyabilirsiniz. root# dirb wordlist.txt,wordlist2.txt DIRB aracının kullandığı wordlist dosyalarının bulunduğu dizin aşağıdaki gibidir. Bu dizin içerisinde birçok wordlist dosyası bulunmaktadır. root# cd /usr/share/dirb/wordlists/ catala.txt euskera.txt indexes.txt mutations_common.txt small.txt stress big.txt common.txt extensions_common.txt index.html others spanish.txt vulns Bu yazı ilk alınmıştır. olarak sitesinde Linux'ta Kullanılan Güvenlik Yazılımları ve Malware Detect Kullanımı Linux için de diğer Operating Systems ( İşletim Sistemleri nde) olduğu gibi virüs, trojan, rootkit kısacası malware (zararlı yazılım)lar diğer işletim sistemlerine nazaran az da olsa mevcuttur. Bundan dolayıdır ki antivirüs üreticileri linux sunucu ve masaüstü ortamları için çözümler

6 sunmaktadır. Birkaç örnek vermek gerekirse : 1. Comodo Antivirus for Linux 2. Sophos Antivirus for Linux 3. Clamav for Linux Ücretsiz seçeneklerin yanında Eset gibi ücretli (lisanslı) seçenekler de mevcuttur. ESET NOD32 Antivirus 4 for Linux Desktop Windows için antivirüs üreten firmaların büyük çoğunluğunun Linux için de antivirüs seçenekleri mevcuttur. Şahsen imza tabanlı sistemler devrinin geçtiğine inanıyorum.bu konuda en büyük kanıtım da Antivirüs kavramını icat eden Symantec firması ( Norton Antivirüs ün sahibi olan firma ) da benimle aynı görüşte olması > v-is-dead-world-rolls-eyes Türkçesi için > Antivi rus-konsepti-oldu.htm Bundan dolayı kullandığım hiçbir işletim sisteminde antivirüs yazılımı kullanmıyorum.dipnot: Windows ta antivirüs programları yerine yeni nesil davranış analizi vb. yapan yazılımlar kullanmanızı öneririm=zemana, Kurumsal kullanıcılar için de ileri düzey saldırılardan (örneğin: 0Day Attack) korunmak amacıyla Trapmine yazılımı kullanılabilir.(bu yazılımların yerli olması da ayrıca gurur verici.) Linux ta Güvenlik Unsurları Windows için yazılmış zararlı yazılımlar ( virüs-trojanrootkit vb.) Linux sistemlerde dosya uzantılarının farklı olması dolayısıyla çalışamadıklarından sisteme zarar veremezler.windows dosya uzantısı.exe,linux dosya uzantısı ise.bin dir. Linux ta sistemle ilgili süreçlere müdahale etmek için

7 ise süper yetkili (root) olunması gerekmektedir.zararlı yazılımlar bu yetkilendirme sistemi sayesinde kullanıcının Home (Ev) dizini dışına veya farklı bilgisayarlara root yetkileri olmadığından yayılamamaktadır. Linux kullanıcıları, kurmak istedikleri programları, genellikle herhangi bir web sitesi üzerinden değil de doğrudan dağıtımın resmi paket depoları üzerinden (Ubuntu Yazılım Merkezi gibi) indiriyor olmaları, bu güvenli yapıyı desteklemektedir. Linux sistemlerin açık kaynak kodlu olması dolayısıyla, muadili olan kapalı kaynak kodlu sistemlerdeki gibi kısıtlı sayıda güvenlik ekibinin bakış açısına bağlı değildir.linux un yaratıcısı Linus Torvalds ın deyimiyle Hiçbir hata (açık) milyonlarca gözden kaçamaz. Açık kaynak kodlu sistemlerde yamalar çok hızlı hazırlandıkları için bir açığı kullanarak zararlı yazılımın yayılması çok zordur. Çünkü yama ortalama birkaç saat sonra yayınlanmış olur. g= Linux ta Kullanılabilecek Diğer Güvenlik Yazılımları Rkhunter, Chkrootkit, Linux Malware Detect. Linux Malware Detect Kurulum ve Kullanımı Adından da anlaşılacağı gibi Linux ortamlarda zararlı yazılım taraması yapan bir yazılımdır.r-fx Networks firması tarafından geliştirilmiştir. ( En güncel versiyonu 19 Eylül 2015 te yayınlanan v1.5 tir. )

8 # # # # wget tar xvfz maldetect-current.tar.gz cd maldetect-1.5/./install.sh Ana yapılandırma dosyası : /usr/local/maldetect/conf.maldet Tüm parametleri görüntüleme : maldet help (maldet -h) Maldet versiyon güncelleme : maldet -d Zararlı yazılım veritabanını güncelleme : maldet -u Arkaplanda çalıştırma (uzun süren işlemlerde önerilir) : maldet -b Tüm karantina dosyalarını, logları ve açık oturumları silme : maldet -p Belirli gün içindeki dosyaları tarama : ( maldet -r ) maldet -r /home/omer/masaüstü/public_html 7 (7günlük dosyaları tarar.) Tüm dizinlerde tarama: # maldet -a # maldet -a çalıştırır.) -b (-b Örnek Tarama Sonucu: Log dosyasını görüntüle: # maldet -l parametresi taramayı arkaplanda

9 Tarama raporlarını görüntüle: # maldet --report list # maldet --report SCANID (ID'si belirtilen raporu görme) Tarama raporunu e-posta ile gönder: Öncelikle /usr/local/maldetect/conf.maldet dosyasına eposta adresimizi şu şekilde ekliyoruz -> _addr="teknikblog@tutamail.com" # maldet --report SCANID "eklediğiniz eposta adresi" Tarama raporunda tespit edilen dosyalarda malware temizliği yap: # maldet --clean SCANID Yum ile Paket Yönetimi Bu yazının birinci kısmında Debian sistemler için paket yönetimini yazmıştık.bu yazımıza buradan ulaşabilirsiniz.yazıya devam etmeden önce yum ve rpm kavramlarından bahsedeyim kısaca.yum(yellowdog Updater Modified ) apt ye rpm ise dpkg ye benzer diyerek konumuza giriş yapabiliriz. 1.Yum ile Güncel Paket Sorgulama sudo yum check-update Bu komut sistemimize kurulu programlardan güncellemesinin çıktığını gösterir. 2.Yum ile Paket Güncelleme hangilerinin

10 sudo yum update paketadi Tam bir güncelleme için ise: sudo yum update komutunu kullanıyoruz. 3.Yum ile Paket Arama sudo yum search paketadi 4.Yum ile Listeleme İşlemleri Hangi paketi kuracağımıza bilemediğimiz durumlarda yardımımıza yum list komutu koşar.bu komut ile sistemimize kurulu olan, yüklenmeye hazır, işlemlerini yapar. yüklenebilecek gruplar vb. listemele sudo yum list gnome -> komutu gnome grubuna ait paketleri listeler. sudo yum list all -> komutu sistemimize kurulu veya kurulmaya hazır paketleri listeler. sudo yum list installed paketleri listeler. -> komutu sistemimize kurulu sudo yum grouplist -> komutu paket gruplarını listeler. sudo yum repolist bilgileri listeler -> komutu repo id,paket sayısı,ismi gibi 5.Yum ile Bilgi Alma sudo yum info paketadi -> komutu kurmak istediğimiz paket

11 ile ilgili bilgi verir. 6.Yum ile Paket Kurmak sudo yum install paketadi kurabiliriz. -> komutu ile sistemimize paket sudo yum groupinstall gnome(grupadı) -> komutu gnome grubuna ait tüm paketleri sisteminize yükler. Ubuntu Security Framework Yapısı "AppArmor" Bu uygulama Ubuntu için geliştirilmiş olan bir Security Framework yapısıdır. Red Hat ve Fedora sistemlerdeki SELİNUX benzer bir yapısı bulunmaktadır.sistemin arkaplanında her daim çalışmaya devam eder ve siz ne olduğunu genelde fark etmezsiniz. AppArmor açıklanabilecek en kısa açıklaması ile sisteme verilebilecek zararı sınırlandırır veya yapılan bu işlemi tamamen durduran bir uygulamadır.selinux ve AppArmor ikiside MAC(Mandatory Access Control) güvenliğini sağlamaktadır.yapılacakları veya yapılmayacakları belirler. AppArmor sunucu sistemleri için özellikle kullanılması ve özel kural setlerinin belirlenmesi istenilen bir yapıdır.internetde ufak bir araştırma yaparak görebileceğiniz gibi bazı işlemleri kısıtladığı için kapatılması önerilir şeklinde yazılır.aksine AppArmor Ubuntu sistemlerde hayati önem taşıdığı için kesinlikle kapatılmaması gerekmektedir.çok nadir durumlar

12 dışında lütfen kapatmayınız.cevap alınamayan bir uygulamanın yeniden başlatılması sürecinde bile etkin bir şekilde rol almaktadır. AppArmor sistemde öntanımlı olarak çalışır bir halde gelir ve durumunu öğrenmek isterseniz aşağıdaki komutu vermeniz gerekir.sistemde kullandığınız uygulamalara göre kural setleri ve profiller farklılık gösterir. apparmor_status Burada görebileceğiniz gibi farklı profil paketleride gözüküyor çünkü ben sistemi yapılandırırken AppArmor için profil paketini sisteme dahil ettim böylelikle bir çok

13 programı koruma altına almış oldum.profilleri kurmazsanız Ubuntu sisteminde ilk kurulumda gelen uygulamalar dışında korumaya almadığını görebilirsiniz. sudo apt-get install apparmor-profiles Yukarıdaki komut ile sisteme profil paketini dahil edebilirsiniz.bu aşamadan sonra ise profiller otomatik çalışmaya süreçleri kontrol etmeye başlar.bunun dışında AppArmor yapısında 2 adet mod vardır bunlardan biri Enforce diğeride Complain modlarıdır. İstediğiniz uygulamayı bu modlardan biri ile koruma altına alabilirsiniz.koruma altına alınacak olan uygulamanın sistem içerisindeki yolunu bilmeniz yeterli Uygulamayı Enforce moduna taşımak için: sudo aa-enforce /uygulamayolu Uygulamayı Complain moduna taşımak için: sudo aa-complain /uygulamayolu Yaratılan bu uygulama profilleri /etc/apparmor.d/ klasörü içerisinde bulunmaktadır oluşturduğunuz herhangi bir profili buradan rahatlıkla görebilir ve manuel olarak müdahalede bulunabilirsiniz.

14 Aynı zamanda tüm profillerin modlarını tek bir komut ile Enforce yada Complain moduna alabilirsiniz. sudo aa-complain /etc/apparmor.d/* sudo aa-enforce /etc/apparmor.d/* Bununla birlikte mysqld için otomatik olarak yazılmış olan bir kural setini şu şekilde görüyoruz.

15 Bu dosya içerisinde ise komutlar şu şekilde açıklanabilir. #include <tunables/global> Satırı ortak olarak tanımlanan kural seti havuzundaki parametreleri dosya içerisine çağırmaktadır.ön tanımlı olarak gelen ayarlar dahil edilir. Alt satırda yer alan ve uygulamanın yolunu gösteren kısımda normalde uygulamada uygulanacak olan mod

16 belirtilir ancak bilgisayarımda kullandığım bir takım geliştirme ortamlarını enforce etmediğim için kural seti normal olarak çalışıyor yani mysqld süreçlerinde herhangi bir kısıtlama getirmedik.getirmiş olsaydık> /usr/sbin/mysql flags=(enforce) olarak geçecekti. /etc/hosts.allow ve hemen altındaki satırda ise uygulamaya okuma konusunda ayrıcalıklar tanır ve belirtilen yerdeki dosyayı okuyarak dosya içine ekleme yapar. Ayar dosyası içerisinde bulunan r,ux,rw,m gibi parametreler ise şu şekilde tanımlanmıştır. r okuma w yazma ux Kısıtlamasız çalıştırma Ux Temiz kısıtlamasız çalıştırma px Ayrı ayrı profilleri yürüt Px Temiz ve ayrık bir şekilde profilleri yürüt ix Devralarak yürüt m PROT_EXEC işlemi kabul edilir. l link AppArmor size hiçbir şekilde bilgilendirme yapmaz arka planda sessizce çalıştığı için acaba işe yarıyor mu gibi düşüncelere kapılabilirsiniz.bunun yerine sisteminize apparmor-notify ve apparmor-utils paketlerini kurarsanız ve uygulamaları admin kullanıcısına eklerseniz apparmor tarafından gelen bildirimleri görme imkanınız var ancak her süreçte bunu görmek canınızı sıkacağı için kapalı kalması önerilir. Kritik bir durumla karşılaşırsanız ve AppArmor uygulamasını durdurmak istiyorsanız aşağıdaki komutu kullanabilirsiniz. /etc/init.d/apparmor stop veya sudo service apparmor stop

17 Aynı şekilde AppArmor uygulamasının çalışmasını ama profillerin eski haline gelmesini ve durmasını istiyorsanız aşağıdaki komutu kullanabilirsiniz. /etc/init.d/apparmor teardown Debian Temelli Paket Yönetimi Sistemlerde Düzenlemiş olduğumuz eğitimlerde bolca karşımıza çıkan bir sorundur paket yönetimi.katılımcılar çalıştıkları kurumlarda kullandıkları distro doğrultusunda paket kurmayı denemekte ancak malesef Debian sunucular üzerinde yum, Red Hat sunucular üzerinde ise apt-get denediklerine acı içinde şahit oluyorum. Yazı 2 parçadan oluşuyor.bu girdi yazının ilk bölümü olan debian temelli sistemlerde paket yönetimini anlatıyor olacak.bu yazıda apt ve dpkg komutlarını inceleyeceğiz.ikinci yazıda ise Rhel temelli sunucular için paket yönetimine değineceğim.ikinci yazıda yum, rpm gibi konulara değineceğiz.daha fazla uzatmadan başlayalım yazımıza Debian bazlı işletim sistemleri ( Ubuntu,Mint,Debian ın kendisi ) paket yöneticisi olarak apt (Advanced Packaging Tool) ve dpkg kullanır. Bu komutların kullanımına geçmeden önce linux paket yönetiminde son derece önemli olan repo mantığına değinmek istiyorum. Repolar paketlerin bulundugu internet dizin adresleridir ve bizim distrolarımızda /etc/apt/sources.list yolunda saklanır. Örneğin benim lokal sunucum için bu dosya şu şekildedir >

18 deb testing main contrib nonfree deb jessie-updates main contrib non-free deb jessie/updates main contrib non-free Ayrıca apt ile komut satırından yaptığımız tüm işleri yapabileceğimiz synaptic adında başarılı bir uygulama mevcuttur.ancak ubuntu ve mint kullanıcıları eğer terminale hakim değiller ise genellikle synaptici değil kurulu olarak gelen Ubuntu Software Center kullanmaktalar.yazının devamında kurmak istediğim uygulama olarak geany kullanıyor olacağım.siz aşağıdaki komutlarda geany görüdüğünüz yere kurmak istediğiniz paket adını eklemelisiniz. A.Paket Arama apt-cache search geany Komutları ile kurmak istediğimiz paketin depolarımızda olup olmadığını kontrol edebiliriz. B.Paket Kurma Kurmak istediğimiz program repoda var ise kurmaya hazırız. sudo apt-get install geany komutu ile programımızı kurabiliriz. C.Paket Silme Linuxta paket silmenin iki farklı çeşiti vardır.biri yapılandırma dosyalarını saklayarak dosya siler,diğeri ise yapılandırma dosyaları ile birlikte siler. Yapılandırma dosyalarını saklayarak silmek için;

19 sudo apt-get remove geany yapılandırma dosyaları ile birlikte silmek için sudo apt-get purge geany veya sudo apt-get remove purge geany komutlarını kullanırız. D.Paket Güncelleme Güncelleme işlemi sudo apt-get update komutu ile yapılır.ancak bu komut programı güncellemez.repolarımızı günceller ve kurulum yapacağımız sırada programların en güncel halini bizim için hazırlar.tam anlamı ile bir güncelleme sudo apt-get upgrade komutu ile mümkündür. E.Sistem Güncelleme Windows kullanıcı olduğum dönemde çokça istediğim birşey idi dosyalarımı kaybetmeden yeni sisteme geçmek.yani XP kullanırken Windows 7 kurmak ve bu sırada dosya ve ayarlarımın bozulmasının önüne geçmek.windows dünyasını takip etmeyi bırakalı oldukça fazla oldu ama sanırım Windows10 a geçiş bir tıkla yapılıyormus.şanslı olan insanlar da dosyalarını kaybetmiyormus :)) Peki bu işlemi tek bir komut ile yapabiliriz desem? sudo apt-get dist-upgrade

20 Komutu ile debian 7.9 olan sunumucu az önce 8.2 ye sorunsuz güncelledim. Evet apt ile bu bilgiler hemen her işinizi çözebilir ancak man page okumayı asla ihmal etmeyin.hiç kullanmadığınız ancak inanılmaz iş çözücü parametre bulacağınızdan emin olabilirsiniz. Şimdi geldik DPKG ye. Dpkg red hat de ki rpm paketlerinin debiandaki karşılığıdır.ya da windows için exe ne ise debian için.deb paketi odur.ayrıca.deb paketlerine gözü kapalı güvenmemeliyiz.3. parti bir kaynaktan alınan bir.exe paketi kadar tehlikelidir.dolayısı ile kurmak istediğimiz program önce official repo da varmı kontrol etmemizde fayda var. 1.Paketleri Listeleme Sistemimizde kurulu olan paketleri listemek için dpkg -l komutunu kullanırız.dpkg -S parametresi ile de dosyanın hangi paket tarafından kuruldugunu görebiliriz. 2.Paket Kurma Diyelim ki elinizde.deb uzantılı bir paket var.bu pakedi kurmak için: dpkg -i /deb/dosyasının/yolu/ komutu yeterli olacaktır. Ayrıca debian paketlerine(.deb) çift tıkladığınız takdirde sizi görsel paket yöneticinize yönlendirecektir.dilerseniz program kurmayı kolay hale getiren gdebi paketini sudo apt-get install gdebi-core komutu ile kurabilirsiniz.daha sonra kurmak istediginiz.deb paketlerini sudo gdebi /deb/paketi/yolu seklinde calıstırarak kurabilirsiniz.

21 3.Paket Silme Sistemimize kurulu bir paketi silmek için dpkg -r google-chrome-stable Komutu yeterli olacaktır.yukarıdaki komut google-chrome-stable komutunu sistemimizden kaldıracaktır.ancak Chrome a ait yapılandırma dosyalarını saklayacaktır. Not: Ne apt, ne de dpkg burada yazılanlardan ibaret değil.aksine burada yazdıklarım buzdağının sadece görünen kısmı man dpkg ve man apt komutları ile manual sayfalarına girerseniz burada okuduklarınızdan çok daha fazla ayrıntılı bilgi bulabilirsiniz.yada dpkg man page için buraya apt man page için buraya tıklayabilirsiniz. Fiziksel Olarak Erişim Sağlanan Linux Sistemde Komut Satırını Elde Etme Kurumlardaki bilgisayarların fiziksel güvenliği, kritik öneme sahiptir. Bu yazıda, gerekli önlemler alınmamış ve fiziksel olarak erişim sağlanmış olan bir Linux bilgisayarda, Single User Mode özelliği kötüye kullanılarak, kimlik bilgileri olmadan oturum açılabileceği görülecektir. Linux işletim sistemi üzerinde unutulan root parolasını sıfırlamak için kullanılan bir yöntem olan Single User Mode özelliği sızma testlerinde bir istismar yöntemi olarak da kullanılabilmektedir. Bu özellik istismar edilerek, fiziksel

22 erişim sağlanan Kali bilgisayardaki root hesabının parolası değiştirilebilir. Bu amaçla, Linux işletim sistemi öncelikle makine yeniden başlatılmalıdır. GRUB önyükleyicisi ekranı gözüktüğünde en üstte yer alan Ubuntu Linux kerneli üzerine gelinerek <e> tuşu ile düzenleme kipine geçiş yapılır. GRUB menü ekranındaki standart konfigürasyon varsayılan olarak aşağıdaki gibidir:

23 Yukarıdaki ekran görüntüsünde belirtilen ro ve sonrasındaki kısmı silindikten sonra rw init=/bin/bash metni eklenir. Böylece, son durum aşağıdaki gibi olmaktadır:

24 <CTRL>+<x> veya F10 tuşlarına basılarak sistemin Single User Mode ile açılması sağlanır. Sistem yüklendiğinde konsoldan da görülebileceği üzere root hakkıyla oturum açılmaktadır. Bu aşamadan sonra passwd komutu ile root parolası sıfırlanabilir.

25 Sonrasında ise Linux bilgisayar yeniden başlatılarak belirlenen parola ile root kullanıcısı ile giriş sağlanabilir. CentOS DNS Kurulumu Kullanılan Bilgiler Sunucu ismi : dns.abc.com Sunucu ip si : /24 Gerekli paketleri yükleyelim; # yum -y install bind bind-libs bind-utils Başlangıçta servisin otomatik çalışması için; # chkconfig -level 35 named on

26 Servisin başlangıçta standart config dosyasını oluşturması için; # service named start Oluşturulmuş editlersek; olan config dosyasını aşağıdaki kod ile # vi /etc/named.conf Config Ayarları // // named.conf // // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS // server as a caching only nameserver (as a localhost DNS resolver only). // // See /usr/share/doc/bind*/sample/ configuration files. for example named // options { directory /var/named ; dump-file /var/named/data/cache_dump.db ; statistics-file /var/named/data/named_stats.txt ; memstatistics-file /var/named/data/named_mem_stats.txt ; recursion yes;

27 dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; /* Path to ISC DLV key */ bindkeys-file /etc/named.iscdlv.key ; }; logging { channel default_debug { file data/named.run ; severity dynamic; }; }; zone. IN { type hint; file named.ca ; }; zone abc.com { type master; file abc.com.fwd ; }; zone in-addr.arpa { type master;

28 file abc.com.rev ; }; include /etc/named.rfc1912.zones ; named.conf dosyasında isimleri girdiğimizde; cd /var/named # vi abc.com.fwd $ORIGIN abc.com. $TTL NS root.abc.com. (12 4h 1h 1w 1h) dns.abc.com. dns.abc.com. IN A www IN A # vi abc.com.rev $ORIGIN in-addr.arpa. $TTL 1h) SOA dns.abc.com. root.abc.com. (12 4h 1h IN NS dns.abc.com. 211 IN PTR dns.abc.com. Reset # service named restart Test # cat /etc/resolve.conf

29 search abc.com nameserver # nslookup Server: Address: #53 Name: Address: CentOS Ajenti Kurulumu Aşağıda birçok sunucu > ve Ajenti V kontrol panel seçeneğini görebilirsiniz l_panels Bizim tercihimiz Python tabanlı olması, Centos7 desteği, az kaynak tüketimi, ücretsiz ve Türkçe kullanılabilmesi nedeniyle Ajenti olacak. ( CentOS 6 / RHEL 6 ) otomatik kurulum scripti > curl stall-rhel.sh sh ( CentOS 7 / RHEL7 ) otomatik kurulum scripti > curl

30 stall-rhel7.sh sh Kurulum tamamlandıktan sonra portu üzerinden Kullanıcı adı : root Parola : admin yazarak giriş yapabilirsiniz. Giriş sağlayamazsanız aşağıdaki seçenekleri deneyebilirsiniz > l/ Kurulum Sonrası Görseller >

31 Güvenlik Önerileri > Kurulumda varsayılan olarak gelen giriş panel şifresi ve Panel giriş portu (varsayılan 8000) numarası değiştirilmeli. Domain Yönetimi > Eğer sunucu üzerinde domain yönetmek istiyorsanız, Ajenti üzerine Ajenti V eklentisini kurmanız gerekiyor. Öncelikle SElinux devre dışı bırakılır. setenforce 0 Sonrasında aşağıdaki kurulumu yapıyoruz > (Siz kendinize göre özelleştirebilirsiniz.) yum install ajenti-v ajenti-v-nginx ajenti-v-mysql ajenti-v-

32 php-fpm php-mysql Son olarak Ajenti yi yeniden başlatıyoruz > service ajenti restart Froxlor Sunucu Yönetim Paneli Froxlor çoklu-kullanıcı hizmetlerini yönetmek için kullanılan bir sunucu yönetim paneli. Alan adı hizmetleri, e-posta hesapları ve web sunucusu vb işler için cpanel veya webmine iyi bir alternatiftir. Özellikleri Oluşturulan alan adları başına SSL tanımlayabilme ve buna bağlı olarak kullanılacak portu seçme imkanı, Oluşturulan alan adları başına İP adresi atama ve buna bağlı olarak kullanılacak domaini seçebilme, Tüm yönetim işlevleri yanında sisteme Ticket sistemi entegre edilmiştir böylelikle bir sorun oluştuğunda direk olarak sistem yöneticisine kullanıcılar ulaşabilmektedir. Özelleştirilebilir temalar ile kendi temalarınızı oluşturabilirsiniz. Farklı php.ini dosyaları oluşturabilirsiniz.böylelikle istediğiniz zaman php.ini değiştirerek ayarları hemen aktif edebilirsiniz. Tüm http, e-posta ve ftp trafik logları saklanır ve interaktif grafikler aracılığıyla ile takip edilebilir. web-ftp sayesinde dosya indirme ve gönderme işlemlerini tarayıcı üzerinden kolaylıkla yapabilirsiniz.

33 Froxlor Nasıl Kurulur Froxlor debian sistemler üzerinde sorunsuz çalıştığı bilinmektedir ayrıca test edilmiştir.sisteminizde Mysql,Apache ve python paketlerinin kurulu olması gerekmektedir. sudo add-apt-repository "deb wheezy main" sudo apt-get update sudo apt-key adv --keyserver pool.sks-keyservers.net --recvkey FD88018B6F2D5390D051343FF6B4A8704F9E9BBC Sisteme froxlorun kurulumunu gerçekleştirmemizi sağlayacak paketleri dahil ettik aşağıdaki komut aracılığı ilede yönetim panelini kurabilirsiniz.ayrıca php5-curl paketinide kurmanız gerekmektedir. sudo apt-get install froxlor php5-curl Komutları verdiğiniz zaman karşınıza ilk olarak mysql kurulum ekranı gelecek bu ekrandan mysql kullanımı için admin şifresini ayarlamanız gerekiyor.kolay bir şifre koymayın. Web taraflı klasör oluşturulsun mu, diye tarafınıza soracak ihtiyacınız olmayacağı için açmayın.

34 Sonrasında postfix ayarına geliyor sonra burada Internet Site seçin böylelikle ayarları otomatik olarak yapacak.( SMTP kurulumları vs.) Sizden hostname isteyebilir ayarlamasını yapınız türkçe karakter kullanmamaya özen gösterin ardından FTP ayarlamalarını yapmanız için bir ekran gelir.bu ekrandan standalone yi seçip onaylayın.

35 Ardından kurulu olan apacheyi yeniden başlatmanız yeterli olacak kurulum sisteminizin hızına ve sizin tecrübelerinize göre farklılık gösterebilir. sudo /etc/init.d/apache2 restart Kurulum tamamlandıktan sonra sitenize ister alan adınızdan istersenizde ip adresinden erişebilirsiniz.panelinizi kullanmak için /froxlor girmeniz yeterli Start install butonuna basıyoruz kurulum ekranı geliyor ve kurulumu otomatik olarak gerçekleştiriyor.

36 kurulumun 2.aşamasına geçiş yapıyoruz burada froxlor için mysql ayarlarını vermemiz gerekiyor.

37 bu aşamadan sonra kurulum tamamen panelinize giriş yapabilirsiniz. bitmiş olacak artık

38 Ayarlamış olduğunu kullanıcı adı ile giriş yapıyorsunuz ve artık istediğiniz herşeyi yapabilirsiniz.kullanıcı tanımlayıp sunucunuzda müşterilerinizi barındırabilirsiniz.

39 Giriş yaptınız karşınızda aşağıdaki gibi bir panel karşılayacak sizi oldukça güzel ve grafiksel olarak iyi tasarlanmış kullanımıda oldukça kolay sitenizi bu panelden yönetebilirsiniz. Froxlor yönetim paneli konusunda bilmeniz gereken bir noktada dosyaların /var/www/froxlor yada /var/www/html/froxlor bulunabilecek olması iki dizinide kontrol etmeniz önerilir tanımlanan ayarları kullanırsanız /var/www/html/froxlor dizininde olduğunu göreceksiniz. Debian Tabanlı Logrotate Sistemlerde Logların aşırı yer kaplamasından dolayı diskinizde yer kalmadıysa normalde yapılması gereken ya log tutmayı kapatmak ya belirli bir boyuta ulaştığında temizlemek yada aylık, haftalık olarak silmektir biz bunları yapmadık.ilk önce

40 sistemin log tutmasını düzenlemek için uygulamamızı kuralım server sisteminde ön tanımlı olarak gelen isolar mevcut ancak yok ise aşağıdaki komut ile kurabilirsiniz. sudo apt-get install logrotate Dediğim gibi kurulu gelmeyecektir. olarak gelebiliyor.eski sürümlerde logrotate komutunu verdiğimizde ekrana sürüm ve kullanabileceğiniz kodlar hakkında bilgilendirme kısmı gelecek > Demek ki sistemimizde var o zaman gereken işlemlere geçelim ve aktif edip düzenleyelim.aşağıdaki dosya yoluna ilerliyoruz. Dosya: /etc/logrotate.conf nano /etc/logrotate.conf

41 Şimdi dosya içeriğimizde işlem yapılacak loglara dair satırlar göreceksiniz. Bizde şişme işlemi yapan loglar şu şekildeydi > Delete 5,49GB /var/log/syslog.1 Delete 14,62GB /var/log/ufw.log.1 Delete 14,62GB /var/log/kern.log.1 Gördüğünüz gibi boyutları oldukça yüksek ufw ve kern loglarının içeriği aslına bakarsanız birebir çıkabilir çünkü güvenlik duvarının yaptığı loglama işlemini birde kernel in logları yapmakta ne ilginçtir ki syslogda da görebilirsiniz örnek olarak içeriğinden bir kaç satır. Oct 4 12:13:52 0x2e88ce4 kernel: [ ] [UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC= DST= LEN=72 TOS=0x00 PREC=0x00 TTL=64 ID=47419 DF PROTO=UDP SPT=59513 DPT=53 LEN=52 Oct 4 12:13:52 0x2e88ce4 kernel: [ ] [UFW AUDIT] IN= OUT=lo SRC= DST= LEN=108 TOS=0x00 PREC=0x00 TTL=64 ID=47420 DF PROTO=UDP SPT=53 DPT=59513 LEN=88 Oct 4 12:13:52 0x2e88ce4 kernel: [ ] [UFW AUDIT]

42 IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC= DST= LEN=108 TOS=0x00 PREC=0x00 TTL=64 ID=47420 DF PROTO=UDP SPT=53 DPT=59513 LEN=88 Oct 4 12:13:52 0x2e88ce4 kernel: [ ] [UFW AUDIT] IN= OUT=lo SRC= DST= LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=47421 DF PROTO=UDP SPT=56888 DPT=53 LEN=50 Oct 4 12:13:52 0x2e88ce4 kernel: [ ] [UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC= DST= LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=47421 DF PROTO=UDP SPT=56888 DPT=53 LEN=50 Oct 4 12:13:52 0x2e88ce4 kernel: [ ] [UFW AUDIT] IN= OUT=lo SRC= DST= LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=47422 DF PROTO=UDP SPT=37883 DPT=1064 LEN=50 Oct 4 12:13:52 0x2e88ce4 kernel: [ ] [UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC= DST= LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=47422 DF PROTO=UDP SPT=37883 DPT=1064 LEN=50 Oct 4 12:13:52 0x2e88ce4 kernel: [ ] [UFW AUDIT] IN= OUT=eth0 SRC= DST= LEN=540 TOS=0x00 PREC=0x00 TTL=64 ID=27465 PROTO=UDP SPT=47808 DPT=5353 LEN=520 Oct 4 12:14:42 0x2e88ce4 kernel: [ ] show_signal_msg: 24 callbacks suppressed Evet içerik olarak baktığımızda dns sorguları ve ufw ye takılan kurallar göze çarpıyor. Gereken rotate işlemini gerçekleştirelim örnek olarak > /var/log/kern.log { monthly rotate 6 compress delaycompress missingok notifempty create 644 root root } Yukarıdaki örnekde ilk olarak logları aylık bir şekilde tutulacağını belirttik rotate 6 ile de 6 günlük periyotlar halinde işlem yapılmasını tercih ettik kısacası elinizde 6

43 kopya olacak geri kalanların hepsi temizlenecek.tabiki compress komutu ile de logumuzu sıkıştırmayı unutmadık, gzip formatına sıkıştıracak loglarımızı uygulayacağınız loglara bunları tek tek belirterek işlemleri gerçekleştirebilirsiniz. Sunucunuz günlük çok fazla log tutuyor ise rotate komutunu 2 verebilirsiniz. Yada boyut olarak söyleyebilirsiniz Size 100M işlemleri buna göre yapacak ve aylık periyotlara takılmayacaktır. Logrotate kontrolü yapıp işlemimiz kayda alınmış mı bakalım. Komutumuz şu şekilde > cat /var/lib/logrotate/status

44 Logları tamamen kapatmak isterseniz Siteniz oldukça büyük ve aşırı log tutuyor ise yada spam saldırısı alıyorsanız access.log dosyanız şişiyor ise ilk başta yukarıdaki yöntemi uygulayabilirsiniz.yada direk sistemin log tutmasına engel olalım tabiki bu access.logların tutulmasına engel değil bunu web sunucunuzdan kapatmanız gerekiyor.

45 service rsyslog stop Bu işlemleri tamamladıktan sonra /var/log dosyasında temizlik işlemi yapmanızı öneririm. rm -rf *.log rm -rf *.1 2 şekilde de tutulan eski logları temizleyebilirsiniz. Dikkat edin geri gelmeyecek loglar olabilir. VulnHub - SkyTower CTF Çözümü Vulnhub üzerinde eğlenilebilmek için zafiyetlerle hazırlanmış bir çok makine imajı bulunmakta. Bunlardan birisi SkyTower. SkyTower çok zor bi CTF değil. Ama ortalama olarak kısa sürede keyifle çözülebilecek bir makine. Aşama aşama çözümü inceleyip /root/flag.txt dosyamıza ulaşalım. 1-) Sanal ortamda makinenin IP sini bulmak için netdiscover kullanıyoruz. $ netdiscover -r /24

46 2-) Hangi portların açık olduğu ve nasıl yürüyeceğimize karar vermek için küçük bir nmap taraması yapıyoruz. Sonuç olarak SSH açık ancak filtered, ancak bir de 3128.port üzerinde proxy var. Yani temel olarak SSH erişimi için proxy kullanmamız gerekecek. Bir de 80 portundan yapılan bir web yayını var. Öncelikle web üzerinden gideceğiz. Çünkü SSH için elimizde herhangi bir parola yok. 3-) IP sinin 80 portunda şekildeki gibi bir login ekranı geliyor. Haliyle login ekranı görüldüğü an tırnak ( ) atmak alışkanlık.

47 4-) Login ekranında atılan tırnak ( ) sayesinde mysql error alınıyor. Evet, biraz hızlı oldu. 5-) Buradaki SQLi üzerinden yürüyeceğiz. or 1=1 payload ını yazdığımızda değişen bir şey olmuyor ancak proxy de or kelimesi üzerinde filtre uygulandığını görüyoruz. Bunun üzerine farklı payloadlar denemeliyiz.

48 6-) or kelimesinin filtrelenmesi sebebiyle oorr tarzında basit yaklaşımlar deniyoruz. Başarılı olan payload aşağıdaki gibi: oorr 1 > 0 # 7-) SQLi ile john adlı kullanıcıya ve parolasına ulaşmış olduk.

49 8- ) Artık elimizde bir kullanıcı ve parolası olduğuna göre SSH ile giriş yapmayı deneyebiliriz. Ancak görüldüğü üzere proxy ihtiyacımız var. 9-) Kali üzerinde proxytunnel kullandık. Proxy için başka herhangi bir araç kullanabilirsiniz porta açtığımız proxy sayesinde artık SSH ile bağalanabiliyoruz. Ancak hala yeterli yetkimiz yok!

50 10-) /etc/passwd dosyasının içeriğini görüntülediğimizde sistemde 2 kullanıcının daha olduğunu görüyoruz. sara & william!

51 11-) Sistemde bir login ekranı olduğuna göre kodlar içerisinde database connection kodları arasında db için kullanıcı adı ve parola bulabiliriz. login.php içerisinde localhost üzerindeki mysql database kullanıcı adının root parolanın da SkyTech olduğunu görüyoruz.

52 12-) Kullanıcı adı parolası ile mysql e bağlanıyoruz. Sonrasında database ve tablo içeriklerine bakarken login tablosu göze çarpıyor.

53 13-) login tablosu içerisinde diğer kullanıcıların parolaları da var.

54 14-) Öncesinde SSH üzerinde john kullanıcısı ile bağlanırken yaptığımız proxytunnel ı sara ile bağlanırken 3333.port üzerinde açıp aynı şekilde bağlanıyoruz.

55 15-) Okumaya yetkimizin olduğu ve olmadığı dizin/dosyalara bakıyoruz. 16-) accounts dizinini görüntüleme yetkimiz var. O halde basit bir kandırmaca ile herhangi bir yetki yükseltme yöntemi denmeden önce /root/flag.txt dosyasını okutmaya çalışıyoruz. Ve işe yarıyor. Tabii Vututututututu benim sevinme şeklim. root parolasının theskytower olduğunu öğreniyoruz.

56 17-) Mission complete. Temel Tcpdump Kullanımı Tcpdump network üzerinde paket analizi yapmamızı sağlayan bir programcıktır.tüm linux dağıtımlarında kurulu olarak gelmektedir.bu yazıda tcpdump ın temel kullanımını inceleyeceğiz.öncelikle tcpdump programı linux makinelerde sistem binary altında bulunur.(/usr/sbin/tcpdump)bu dizin altında bulunan hemen tüm programcıklar gibi tcpdump da calısmak için sizden yönetici(root) olmanızı beklemekte.

57 1.Spesifik bir interface den paket yakalamak(tcpdump -i) Eğer tcpdump komutuna herhangi bir parametre verilmez ise bu komut tüm kartlardan paket toplar.ancak özel bir karttan paket toplamasını istiyorsak tcpdump komutunu şu şekilde vermeliyiz. tcpdump -i eth0 tcpdump -i wlan0 Not: Linux makinelerde ethernet kartınız ile ilgili bilgileri ifconfig -a komutu ile alabilirsiniz. 2.Belirli sayıda paket yakalamak (tcpdump -c) Tcpdump komutu sürekli devam eden bir komuttur.yani, bir kez tcpdump komutu verdiğinizde siz süreci durdurmadığınız sürece paket yakalamaya devam eder.ancak -c parametresi ile belirli bir sayıda paket yakalayabiliriz.aşağıdaki örnekte bir 10 adet paket yakalayacağız. tcpdump -c 10 -i wlan0

58 3.Yakalanan paketleri ASCII formatına çevirmek (tcpdump -A ) Tcpdump ın -A parametresi yakalanan paketlerin içeriğini ASCII formatında ekrana basar. tcpdump -A -i wlan0

59 4.Yakalanan paketleri HEX ve ASCII formatında görüntülemek(tcpdump -XX) Tcpdump ın -XX parametresi ile birlikte yakalanan paketler hem HEX hemde ASCII formatında görüntülenebilir. tcpdump -XX -i wlan0 5.Yakalanan paketlerin bir dosyaya yazdırılması(tcpdump -w) Tcpdump -w parametresi yakaladığımız paketleri bir dosyaya yazarak daha sonra analiz etmemize olanak tanır.kaydedeceğimiz dosyanın uzantısı.pcap olmalıdır. tcpdump -w paketadi.pcap -i wlan0 Bu şekilde dosya ismi verdiğimizde bulunduğumuz dizine bir pcap dosyası oluşturulur.direkt isim vermek yerine bir dosya yolu vererek de pcap dosyası oluşturabiliriz. 6.Kaydedilmiş pcap dosyasının okunması(tcpdump -r) Bir önceki maddede yakalanan paketlerle ilgili bilgilerin bir pcap dosyasına yazdırdık.bu dosyayı okumamız gerektiğinde aşağıdaki komutu girmemiz gerek.

60 tcpdump -r paketadi.pcap 7.Paketleri ip adresi ile yakalamak(tcpdump -n) Daha doğrusunu söylemek gerekirse adreslerin çözümlemesini yapıp çevirmez.bundan önceki örneklerdeki tcpdump çıktıları bize DNS sonuçları veriyordu.ancak -n parametresi ile sonuçları ip adresi olarak alabilmekteyiz. tcpdump -n -i wlan0 8.X Byte dan büyük paketlerin yakalanması Aşağıdaki komut ile bilgisayarınız sadece 1024 byte dan büyük paketleri yakalayacaktır. tcpdump -i wlan0 greater Spesifik bir protokolden paket almak Tcpdump sayesinde bir çok protokolden paket toplayabilmekteyiz.(fddi,tr,wlan,ip,ip6,arp,rarp,decnet, tcp and udp)aşağıdaki örnekte wlan0 arayüzü için udp paketlerini toplayan komutu görebilirsiniz. tcpdump -i wlan0 udp 10.X byte dan kücük paketleri okumak Aşağıdaki komutla 1024 byte yakalayacaktır. dan küçük paketleri tcpdump -i wlan0 less Spesifik bir porttan paketleri yakalamak Aşağıdaki komutla spesifik bir porttan paketleri toplayabiliriz.aşağıda 80. port için gerekli komutu bulabilirsiniz. tcpdump -i wlan0 port 80

61 12.Spesifik bir ip ve porttan paketlerin yakalanması Tcpdump tarafından yakalanan paketlerde hedef ve kaynak ip adresleri,port bilgileri yer alır.aşağıdaki komut ile spesifik bir ip adresi ve port ile ilgili paketleri yakalayabiliriz. tcpdump -i wlan0 dst and port İki makine arasındaki tcp bağlantı paketlerini alma Ağ üzerinde iki makine tcp protokolü üzerinden birbiriyle konusuyor ise aşağıdaki kod ile iki makine arasındaki paketleri yakalayabiliriz. tcpdump -i wlan0 src and dst Linux Önyükleme Süreci Linux Sistemlerde ön yükleme süreci 6 temel aşamadan oluşmaktadır.altı aşama sonrasında sistem açılır ve dilediğiniz gibi kullanabilirsiniz peki bu 6 süreç içerisinde neler var BİOS Kontrolü Birinci Aşama önyükleyici İkinci Aşama önyükleyici INIT Aşaması Kullanıcı Ortam Ayarları Giriş Ekranı

62 Sisteminizde herhangi bir sorun yoksa yada yapılandırmalarınız doğru ise yukarıdaki 6 aşama kolay bir şekilde geçilecek ve sisteminiz sorunsuz bir şekilde açılacaktır.bu altı aşamanın da bu kadar hızlı yapılıyor olması sizi şaşırtmasın keza windows sistemlerde bu tarz işlemler yapmaktadır. 1.BİOS Kontrolü Sunucu,Masaüstü bilgisayar yada dizüstü bilgisayarınız açılırken ilk önce işlemci giriş/çıkış ve çalıştırılacak basit ekipmanları belirler.çalışıyor mu her şey yolunda mı diye bakar.hata varsa neyden kaynaklandığı sizlere gösterir ve BİOS donanım ve sistem arasındaki ilişkileri düzenler uyumluluklarını sağlar.bu aşamada 512 bayt boyutunda ve tamamen makine kodundan oluşan kodlar sistemde tutulur.tüm yönergeler bu 512 baytlık dosya içerisindedir buna da MBR(Master Boot Record) denmektedir.ilk açılma işlemini yerine getirir.bilgisayar başlatıldığında BIOS un ilk işi fare,

63 klavye, HDD gibi sistem aygıtlarını tanıtmak ve kullanıma hazırlamaktır. 2.Birinci Aşama Önyükleyici Boot Loader ilk aşaması MBR üzerinde bulunan verilerin doğrulanması yapılacak işlemlerin onaylanmasıdır.bu aşamadan sonra boot loader kendini belleğe yükler ve ardından gelecek olan boot loader aşamasını beklemeye başlar. 3.İkinci Aşama Önyükleyici Beklenen ön yükleyici dosyaları belleğe yerleşmiş olarak bu aşamaya gelir kök bölümünü salt okunur bir hale getirilen bu aşamada modülleri ve gerekli olan yazılımlar sisteme tekrardan dahil edilir.ikinci aşama ön yükleyici bellekte farklı işletim sistemleri veya boot yapılandırılmış mı diye kontrol eder ve bir grafik kullanıcıya sunulur(genelde gördüğünüz kısım budur.). İşletim sistemini bu aşamada seçebilirsin eğer sistemde birden çok işletim sistemi kurulu ise ikinci aşama ön yükleyici devreye girmiş olacaktır. 4.INIT Aşaması Linux işletim sistem çekirdeği(kernel) /sbin/init kısımlarını önyükleme işleminin denetimini aktarır. Yani /sbin/init kısımları önyükleme işleminin geri kalanını koordine eder ve kullanıcı için bir ortam yapılandırmaya başlar. 5.Kullanıcı Ortam Ayarları Init programı yükler /etc/fstab de listelenen tüm hizmetleri ve kullanıcı alanını sisteme dahil eder. Init komutu başladığında, sistem üzerinde otomatik olarak devreye girer,tüm süreçleri başlatır. İlk olarak ortam yolunu belirler,takas alanını başlatır,dosya sistemlerini kontrol eder ve sistem başlatma için gerekli tüm diğer adımları yürütür. /etc/rc.d/rc öncelikli olarak çalıştırılır. Init komutu daha sonra sisteme Sys init çalışma seviyesinde

64 yapılması gerekenleri açıklar. Init programı /etc/inittab da ki varsayılan olarak belirlenmiş çalışma seviyesi için uygun dizine bakarak arka plan süreçlerinin tamamının başlatılmasını sağlar. 6.Giriş Ekranı Tüm işlemlerin tamamlandığını gösterir ve kullanıcı bu ekran sayesinde bilgilerini girerek sisteme giriş yapar. Tebrikler başarılı bir şekilde sisteminizi başlatabildiniz. Man In The Middle Attack Ve ARP Poisoning ARP POSINING ARP Poisoning, ARP zehirleme anlamına gelmektedir. ARP protokolünün temel çalışmasındaki zaafiyetleri kullanarak gerçekleştirilir. ARP (Adress Resolution Protokol), Layer 2 katmanının ana protokolüdür. Yerel ağlarda iletişim bilindiği üzere IP adresleri üzerinde değil, MAC adresleri üzerinden gerçekleştirilir. Bunun için her cihaz, iletişime geçmek istediği cihazın (internete çıkarken DSL modem dahil) MAC adresini bilmek zorundadır. Bu sebeple, Layer 2 katmanında, iletişim öncesinde ARP protokolü devreye girer, Arp request ve Arp reply paketlerini kullanarak, IP si bilinen cihazın MAC adresini bulur, daha sonra MAC adresleri üzerinden iletişim sağlanır.

65 ARP Zehirlenmesi Çeşitleri ARP zehirlenmesi adı verilen saldırılar yerel ağlarda gerçekleştirilen saldırılardır. ARP saldırılarının yerel ağlarda yapılmasının sebebi ise MAC adresinin yerel ağ dışına gönderilmemesidir. Yerel ağda MAC adresi bilgisi o ağda yer alan swicth ve yönlendirici gibi elemanlara gönderildiği için saldırgan MAC adresi bilgisine ulaşabilir. Buradaki güvenlik açığını kullanarak, ARP tabloları üzerinde istediği değiştirmeleri yapabilir. ARP zehirlenmesi üç şekilde gerçekleştirilmektedir. 1. Hedef Bilgisayarın ARP tablosunu doldurarak 2. Ortadaki adam yöntemiyle 3. Hedef Bilgisayarın Paketlerini Başka Bir Bilgisayara Göndererek gerçekleştirilir 1.Hedef Bilgisayarın ARP tablosunu Doldurma Burada saldırgan hedef bilgisayarın ARP tabloları üzerinde doğrudan değişiklikler yapar. Örneğin; saldırgan hedef bilgisayarın ARP tablosunu yanlış bilgilerle doldurur ve hedef bilgisayarın göndereceği paketlerin saldırganın belirttiği adreslere gitmesini sağlayabilir. Bu yöntemle gönderilmek istenilen paketin, istenilen yere ulaşması engellenebilir. 2.Ortadaki Adam Yöntemi (Man in the Middle) Bu yöntemde saldırgan, hedef bilgisayar kurban bilgisayarın ulaşmak istediği noktanın arasına girer. Bütün iletişimi istediği gibi kontrol eder. Ağda gönderilen bir paketi alıp, paketin destination MAC adres bilgisine kendi MAC adresini yazar. Pakete yapılan bu müdahele ile artık yollanan paketler saldırganın bilgisayarına gider. Saldırgan da paket üstünde istediği gibi değişiklik yapabilir. Bu yöntemle kullanıcının yolladığı tüm bilgiler saldırgan üzerinden geçer ve bu yöntem oldukça tehlikelidir. Tüm gönderilen bilgiler (kredi kartı bilgileri, şifre vb.) alınabilir. Bu yöntem ARP poisining dışında pek çok saldırılarda da kullanılmaktadır. En fazla

66 kullanılan saldırı çeşitlerindendir. 3. Hedef Gönderme Bilgisayarın Paketlerini Başkasına Burada da saldırgan hedef bilgisayarın göndereceği paketi başka bir bilgisayara gönderebilir. Örneğin kullanıcının HTTP (İngilizce Hyper-Text Transfer Protocol, Türkçe Hiper Metin Transfer Protokol) üzerinden erişmek istediği web sayfası yerine kendi oluşturduğu sayfaya kullanıcıyı götürebilir. Bu şekilde bilgisayar servis dışı bırakılabilir. Bu makalede Arp Poosining saldırı çeşitlerinden ortadaki adam (mitm) saldırısı nasıl yapılır bir örnek verilerek anlatılacaktır. Senaryo da bir saldırgan kali makinası ve birde kurban başka bir kali makinası olacaktır. Aşağıdaki resimde saldırgan kali bilgisayarın ip si ve interface görünüyor. Kurban kali ise aşağıdaki gibi olacaktır. 129 ip li kali saldırgan 131 ip li kali kurban makinasına arp

67 spoof yapmaya başlayacak. Yukarıdaki resimlerde görüldüğü üzere ilk önce hangi portları dinleyeceğimizi belirtiyor sonrasında ise kurban bilgisayarın ip sini ve gw bilgilerini girip arp reply paketlerini göndermeye başlıyoruz. Aşağıdaki komut kurban makinanın internet trafiğini dinlemek için yazılan bir komuttur. Görüldüğü üzere belirtilen portlardan kurban dinlemeye başlanılır. Buradan sonrasında kurban bilgisayarın internete girmesi beklenir. Eğer istenilirse aşağıdaki komutta olduğu gibi driftnet komutunu girilerek kurbanın girdiği internet sitelerinin ekran görüntülerini de kaydedebilir. Bu aşamadan sonra kurban bilgisayardaki kullanıcının internete erişimi beklenilir.

68 Kurban bilgisayar mynet.com adresine girmiş bulunmakta bundan sonrasında ise bir önceki yazılan komuta dönüş yapılarak aradaki dinlenilen trafik incelemeye alınır. Kurban kali ( ) bilgisayarın mynet.com girmesiyle trafik akışı karşımıza gelmiş oldu. Burada kurban bilgisarın hangi browser i kullandığı, hangi işletim sistemi ve hangi url leri ziyaret ettiğine kadar bilgiye sahip olabilirsiniz.

69 Driftnet komutu ile görüldüğü gibi kurbanın ziyaret etmiş olduğu sitelerin ekran görüntüleri alınmış oldu. Bura da ise hangi resimlerin kaydedildiği görülmektedir.