WEB SERVİSLERİNİN SUNUCULARININ YAPILANDIRILMASI

Transkript

1 WEB SERVİSLERİNİN VE SUNUCULARININ YAPILANDIRILMASI Funda Gürbay

2 1 Web Sunucusu Nedir? Web dökümanlarını bulunduran ve bunları ağ ortamındaki diğer bilgisayarlara sunan bir bilgisayar ya da sunulmasını sağlayan bir yazılım olarak tannımlanabilir. 1.1 Web Sunucuları Nasıl Çalışır? Bütün web sunucuları ortak olarak basit bazı özellikler sunarlar. Her web sunucusu ağ ortamından HTTP isteklerini kabul eder ve bu istekleri gönderen istemciye HTTP yanıtları döner. HTTP istekleri sunucuya hangi belgenin istendiği bilgisini verirken, HTTP yanıtları HTML dökümanı, resimler ve diğer metinlerden oluşur URL (Uniform Resource Locator) Web tarayıcısı ve web sunucusu arasındaki bağlantı için geçerli bir URL gerekir. URL, bir siteyi diğerinden ayıran tek bir alan adı içerir Bir URL i dört parçaya ayırabiliriz - http: Protokol 2

3 - : Sunucu adı - 80 : Port - faq.html : Dosya adı Web Sunucusu ve URL İstemciden alınan istek tarayıcıdan gönderilirken sunucu adı IP adresine çevrilir Tarayıcı sunucuya IP adresini kullanarak bağlanır İstemciden gelen talep genellikle GET metodu ile istenir GET metodu faq.html dosyasını ister GET /faq.html/http 1.1 Sunucu dosyayı gönderir, tarayıcı görüntüler adresi talep edildiğinde web sunucusu ile bağlantıya geçerek aşağıdaki şekilde bir istekte bulunur. GET faq.html HTTP 1.1 Bu satırla HTTP 1.1 protokolü kullanılarak GET metodu yardımıyla dosya istenmektedir. Bu talep bir bildirimden oluşmaktadır fakat birden çok bildirimde de bulunulabilir. Sunucu talebe cevap vermek için HTML dosyalarının tutulduğu dizin altında talep edilen dosyayı arar. Genel olarak HTML dosyalarının tutulduğu dizin /var/www/html dizinidir. Örnekteki URL e göre sunucunun arayacağı dosya /var/www/html/content/chapter1/index.html dosyasıdır. Görüldüğü üzere HTML dosyası başlamadan önce bazı HTTP bildirimleri bulunmaktadır. İlk bildirim HTTP isteğinin nasıl sonuçlandığını gösterirken, diğer 3 tanesi istenilen dosya ile ilgili bilgiler vermektedir. HTTP istek sonucu sonucu olarak mutlaka bir kod numarası geri döndürülür. Örnekte görülen kod 200 dür. İstek sonucu olarak geri dönebilecek kod numaraları daha önceden belirlenmiş kodlardır ve bütün sunucular için ortaktır. Web tarayıcıları bu kodları anlayarak, istek sonucunu ona göre şekillendirirler. 2 ile başlayan kodlar: Success 200 : OK. İstek başarıyla tamamlandı. 3

4 201 : Created. POST metodu ile birlikte başarıyla bitmiş bir işi belirtir. 202 : Accepted. İstek kabul edilmiş, fakat işlem tam olarak tamamlanamamış. 203 : Non-Authoritative Information. Sunucudan dönen verinin önbellekte tutulduğunu veya farklı bir kaynaktan geldiğini gösterir. 204 : No Content. Sunucunun verileri başarılı olarak işlediğini fakat bir veri dönmeye gerek bulmadığını gösterir. 205 : Reset Counter. Sunucunun verileri işleyebildiğini, istemcinin ise doküman görüntüsünün güncellemesi gerektiğini gösterir. 206 : Partial Content. Sunucu tarafından verinin eksik olarak gönderildiğini gösterir. 3 ile başlayan kodlar: Redirection 300 : Multiple Choices. İsteğe karşı birden fazla sonucun bulunduğunu gösterir. 301 : Moved Permanently. İstek yapılan belgeye artık başka bir URI den ulaşılabileceğini belirtir. 302 : Found. 301 koduna benzer, fakat bir URI belirtilmez. 303 : See Other. 302 hata koduna benzer, fakat dokümana ulaşmak için farklı bir metod kullanılmalıdır (GET, POST, HEAD, vs..). 304 : Not modified. Belirli bir tarihten beri dosyanın güncellenmediğini gösterir. 305 : Use Proxy. Kaynağa proxy kullanılarak ulaşılması gerektiğini belirtir. 305 : Temporary Redirect. 301 e benzer, fakat belge geçici olarak farklı bir URI den sunulmaktadır. 4 ile başlayan kodlar: Client Error 400 : Bad Request. Yapılan isteğin sunucu tarafından anlaşılmadığını belirtir. 401 : Unauthorized. İstenilen belgenin kullanıcı doğrulaması gerektirdiğini belirtir. 402 : Payment Required. Şu an kullanılmamaktadır. 403 : Forbidden. Sunucu isteği işleyebilmiş, fakat istemcinin kaynağa ulaşmak için gerekli izni olmadığı görülmüştür. 404 : Not Found. İstenilen dökümanın bulunamadığını gösterir. 405 : Method Not Allowed. Belgeye farklı bir metod ile ulaşılması gerektiğini bildirir. 406 : Not Acceptable. Dokümanın, kullanıcının kabul edebileceği tipte olmadığını belirtir. 407 : Proxy Authentication Required: 401 koduna benzer. Kullanıcının proxy üzerinden kimlik doğrulaması yapması gerektiğini bildirir. 408 : Request Timeout. Sunucunun bekleme kapasitesi içerisinde istek yapan 4

5 kullanıcının gerekli işlemleri yapmadığını bildirir. 409 : Conflict. İsteğin, dokümanın şu anki durumu ile ilgili bir çakışmadan dolayı tamamlanamadığını gösterir. 410 : Gone. İstenilen belgenin artık sunucuda bulunmadığını belirtir. 411 : Length Required. Sunucunun Content-Length bildirimi olmadan istekleri tamamlamayacağını gösterir. 412 : Precondition Failed. İstek bildirimlerinde yapılan kısıtlardan birinin hata durumuna düştüğünü bildirir. 413 : Request Entity Too Large. İstek bildiriminin sunucunun anlayabildiğinden daha uzun olduğunu gösterir. 414 : Request-URI Too Long. İstenilen URI nin sunucunun anlayabileceğinden daha uzun olduğunu belirtir. 415 : Unsupported Media Type. Yapılan istek bildiriminin hatalı olduğunu belirtir. 5 ile başlayan kodlar: Server Error 500 : Internal Error. Sunucu tarafında bir hata olduğunu belirtir. 501 : Not implemented. Sunucunun, isteği karşılamak için gerekli olan metodları sağlayamadığını belirtir. 502 : Bad Gateway. Proxy veya Gateway olarak kullanılan sunucunun hatalı bir yanıt aldığını belirtir. 503 : Service Unavailable. Sunucunun şu an kullanım dışı olduğunu belirtir. 504 : Gateway Timeout. İsteğin zaman aşımına uğradığını belirtir. 505 : HTTP Version Not Supported. İstemcinin kullandığı HTTP versiyonunun desteklenmediğini gösterir. Konu olarak bu döküman boyunca web sunucusu dediğimizde, bilgisayar üzerinde çalışan ve HTTP isteklerine yanıt veren yazılımları kastediyor olacağız. Web sunucularını kabaca iki ana başlıkta inceleyeceğiz. HTTP Sunucuları Uygulama Sunucuları 5

6 1.2 HTTP Sunucuları HTTP Sunucuları, web sunucularının ön katmanıdır. Sunucuya gelen bütün HTTP istekleri HTTP sunucusundan geçer ve bu sunucu istekleri gereken yerlere dağıtır, buralardan geri dönen değerleri alır ve istemciye geri döndürür. Web erişimi genellikle Netscape/Mozilla gibi bir tarayıcı aracılığıyla sağlanır. Tarayıcıya bir URL yazıldığında, talep edilen URL in görüntülenmesi için öncelikle girilen URL DNS aracılığıyla IP adresine çevrilir. Tarayıcı aksi belirtilmedikçe, http taleplerini dinlemek üzere spesifikleşen 80. port aracılığı ile talep edilen adres ile bağlantı kurar. Bu bağlantı aracılığıyla sunucu, istemcinin istekte bulunduğu HTML (resim, Java applet, PDF formatlı metin vs..) dosyasını istemciye döndürür. Bir HTTP sunucusu için yapılabilecek en kolay şey statik veriyi veya sadece HTML programcısının kaynak kodunu değiştirdiğinde değişen veriyi görüntülemektir. Böyle bir durumda sunucu, istemcinin talep ettiği dosyayı yerel diskinde bulur ve dosya hiçbir değişime uğramadan istemciye gönderilir. HTTP sunucuları bu şekilde statik içeriği sunabildikleri gibi dinamik içeriği de sunabilir. Dinamik içerikte HTML kodu sabit olarak bir dosyada bulunmaz, bir program çıktısı şeklinde dinamik olarak oluşturulur. Ancak HTTP sunucuları bu programları derlemek veya yorumlamak ile görevli değildir. Bunun yerine bu işi yapacak programlar işe birlikte çalışmak için zemin hazırlarlar. HTTP sunucuları web dökümanları dışındaki dökümanları da sunabilirler. Örneğin derlenmiş bir.exe dosyası da sunucunun ulaşabileceği bir yerde bulunursa network üzerinden sunulabilir. İnternet dünyasında birçok HTTP sunucusu kullanılmaktadır. Bu sunuculardan bazıları Apache, Microsoft Internet Information Servers, Cherokee vb Apache Apache, Apache Software Foundation tarafından desteklenen açık kaynaklı bir HTTP sunucusudur. Şu an dünyada en yaygın olarak kullanılan HTTP sunucusu Apache dir. Özellikleri aşağıdaki şekilde sıralanabilir : 6

7 Ücretsizdir Kurulumu ve konfigürasyonu kolaydır Açık kod yapısındadır Modüller yardımıyla isteklere göre kişiselleştirilebilir Performansı yüksektir (preforking model*) HTTP1/1 uyumludur Sanal sunucu desteği sunar Veritabanı üzerinden kullanıcı doğrulaması yapılabilir SSL desteği vardır İstenilen düzeyde hata kayıtları tutulabilir * Apache sunucusunun çalıştığı preforking modelinde sunucuya istek gelmeden gelecek isteklere cevap vermeye hazır şekilde beklenir. Diğer web sunucularında istek geldikçe cevap verilecek süreç başlatıldığı için Apache nin performansı diğer web sunucularından daha üsütündür Apache Kurulumu Sistemlerde tavsiye edilen; sistemde her faklı görev için farklı bir kullanıcı yaratmaktır. Bunun altında yatan neden ise, sadece web sunucusu için bir kullanıcı tanımlaması yapıldığında bu kullanıcıya sadece bununla ilgili yetkiler verilecek ve böylece sunucu üzerinden meydana gelecek bir saldırıda, yetkileri elde eden kişinin sunucu dışında sistemde başka bir şeye zarar vermesi engellenmiş olacaktır. Bu amaçla yaratılan kullanıcı genellikle httpd, apache veya www adıyla yaratılır. www kullanıcı adını seçersek bu isimde kullanıcı ve grup yaratmak için aşağıdaki komutlar çalıştırılmalıdır. # useradd www -g www -d /dev/null -s /sbin/nologin # groupadd g www www home dizini olarak /dev/null ve kabuk olarak /sbin/nologin seçtiğimizde kullanıcının sisteme login olarak erişimini engellemiş oluyoruz. HTTP sunucusu adresinden indirilebilir. Apache nin şu andaki kararlı sürümü tir. İndirilen dosya httpd tar.gz adında olacaktır. Bu dosyayı /usr/local/src adresine kopyalayıp dosyayı açalım. # cp p httpd tar.gz /usr/local/src/ # cd /usr/local/src/ # tar zxvf httpd tar.gz 7

8 Bu işlem sonunda httpd isimli bir klasör oluşturulmuş olur. Apache ile ilgili ayarların yapılabilmesi için configure komutu çalıştırılır. # cd /usr/local/src/httpd #./configure server-uid=www server-gid=www enable-cache enable-proxy enable-expires enable-headers enable-mime-magic enable-rewrite enableso enable-ssl=/usr/ssl./configure betiğinden sonra Apache derlenmeye hazır hale gelir. Derlemek için aşağıdaki komutlar çalıştırılmalıdır. # make # make install Varsayılan ayarlar değiştirilmediği sürece Apache nin belli başlı dizinleri aşağıdaki şekilde oluşacaktır. /usr/local/apache Binary dosyaların bulunduğu dizin /var/www/htdocs herkesin erişebileceği klasörler /var/www/data gizli web sunucusu ya da uygulama datası /var/www/cgi-bin Herkesin erişebileceği CGI betikleri /var/www/bin web sunucusu tarafından çalıştırılabilen binary ler /var/www/logs Log dosyaları Kurulum Sırasında Modül Seçimi Modül seçimindeki temel prensip, mümkün olduğu kadar az barındırmaktır. Modül sayısı ne kadar çoksa sunucunuzun zarar görme ihtimali de o derece yüksek olacaktır. Tavsiye edilen ihtiyaç duyduğunuz emin olduğunuz modülleri yüklemek, yüklemeye emin olmadığınız modüllerin işlevi hakkında bilgi sahibi olmanızdır. Modüllerin açıklamalarına httpd.apache.org/docs-2.0/mod/ adresinden erişilebilir. Yukarıda gösterilen şekilde kurulum yapılırken Apache üzerinde kurmuş olduğumuz mödüller hakkında bilgi verelim: --enable-cache: mod_cache modülünün kurulmasını sağlar. Bu modül verilen dinamik bir şekilde önbellekte tutulabilmesini sağlar. Dosyalar iki şekilde önbellekte tutulabilir: Disk üzerinde veya bellekte. Bu yöntemlerden hangisinin kullanılacağı mod_disk_cache veya mod_mem_cache modüllerinden hangisi tarafından kullanıldığına bağlıdır. --enable-proxy: mod_proxy modülünün kurulmasını sağlar. Apache için bir proxy/gateway uygulamasıdır. 8

9 --enable-expires: mod_expires modülünün kurulmasını sağlar. Expires HTTP başlığının kullanımının kontrol edilebilmesini sağlar. Bir döküman ve/veya klasörün ne zaman geçersiz kılınacağı gibi ayarlar yapılabilir. --enable-headers: mod_headers modülünün kurulmasını sağlar. HTTP başlıklarının kontrol edilebilmesini sağlar. Basit olarak HTTP isteklerine veya yanıtlarına otomaik olarak yeni bir başlık eklenmesi sağlanabilir. --enable-mime-magic: mod_mime_magic modülünün kurulmasını sağlar. Dosyaların MIME tipinin tespiti için kullanılır. --enable-rewrite: mod_rewrite modülünün kurulmasını sağlar. Bu modül URL işlemlerinin yapılmasına olanak sağlar. Örneğin yapılan istek karşısında, kullanılan URL i inceleyerek Apache nin farklı işlemler gerçekleştirilmesi sağlanır. --enable-so: mod_so modülünün kurulmasını sağlar..so veya.dll uzantılı derlenmiş kütüphanelerin Apache ye dinamik olarak yüklenebilmesini sağlar. --enable-ssl: mod_ssl modülünün kurulmasını sağlar. Apache ye SSL desteği kazandırır. Bu modülü kurmak için sistemde OpenSSL kurulmuş olması gerekmektedir Apache nin Başlatılması Apache 2.0 dan itibaren Apache nin başlatılabilmesi için httpd.conf dosyasında Listen komutunun var olması zorunlu hale getirildi. Listen ile tanımlanan port değeri 1024 ten daha düşük bir port numarası ise Apache nin root haklarıyla başlatılması gerekmektedir. Sunucu başlatıldıktan ve log dosyalarını açmak gibi temel işlevleri yerine getirdikten sonra çocuk süreçleri başlatır. Çocuk süreçlerin görevi istemciden gelen istekleri dinlemek ve cevaplamaktır. httpd yi başlatmak için önerilen yöntem apachetl kontrol betiğini çalıştırmaktır. Bu betik httpd nin fonksiyonlarını doğru olarak yerine getirebilmesi için gerekli olan çevresel değişkenlerin atamasını yapar ve httpd deamon ını başlatır. Httpd başladıktan sonra ilk yapacağı iş httpd.conf konfigürasyon dosyasını sistemde bulmak ve okumaktır. Konfigürasyon dosyasının yeri çalışma zamanında belirtilmek istenirse apachetl betiği çalıştırılırken f opsiyonu kullanılır Apache Ayarları 9

10 Apache nin tüm ayarları httpd.conf dosyasında tutulur. Bu dosya genel olarak /etc/httpd/conf altında bulunur. Web sunucusunun root dizini olan /etc/httpd üç temel kısma ayrılır. 1) /etc/httpd/conf - konfigürasyon dosyalarını barındırır. 2) /etc/hhtpd/logs - web sunucusunun log kayıtları tutulur. 3) /etc/httpd/modules - web sunucusunun, sunucu taraflı yazılım geliştirilebilmesi için programlama dili desteği sağlayan modülleri barındırır. Konfigürasyon dosyasındaki komutlar genel olarak çekirdek komutlar ve eklenen modüllere bağlı olarak yapılandırılan komutlar olarak ayrılabilir. Apache nin bu modüler yapısı olarak özetlenebilir. Çekirdek komutlar ise global, temel(main) ve sanal sunucular (virtual hosts) olmak üzere üç kısımda incelenebilir. 10

11 Global Komutlar ServerType : ServerType seçeneği inetd veya standalone değerlerinin alabilir. inetd modu sadece Unix platformlarda desteklenir. ServerRoot : Apache konfigürasyon dosyalarının nerede bulunduğunu belirtir. Apache nin kurulduğu klasördür. PidFile : Apache nin süreç numaralarının tutulduğu dosyadır. Timeout : İsteğin ne kadar zamanda zaman aşımına uğrayacağını tutar. KeepAlive : Herbir bağlantı için birden fazla talebe izin verilip verilmeyeceğini tutar. İzin verilmek istenmiyorsa KeepAlive Off, isteniliyorsa KeepAlive On olarak ayarlanır. MaxKeepAliveRequests : Bir bağlantıda en fazla kaç talebe izin verileceğini barındırır. Sınır konulması istenmeyen durumlarda 0 yazılabilir. KeepAliveTimeout : Aynı kullanıcı tarafından aynı bağlantı üzerinden gelecek bir sonraki talep için kaç saniye bekleneceğini tutar. MaxClients : Eş zamanlı olarak kaç kullanıcının bağlanabileceğinin sayısını tutar. BindAddess : Bu seçenek ile sanal sunucu desteği sağlanabilir Temel Komutlar Port : Sunucunun dinleyeceği portu belirtir ve daha küçük değerleri için httpd deamon ı başlangıçta root olarak çalıştırılmalıdır. Varsayılan değer olarak 80 değerinin alır. ServerAdmin : Bir problem oluştuğunda e-posta ile sorunun bildirilebileceği e-posta adresini tutar. ServerName : Sunucunun adının belirtildiği yerdir. Burada belirtilen isim DNS için geçerli bir isim olmalıdır. Eğer kayıtlı bir DNS ismi mevcut değilse IP adresi de girilebilir. DocumentRoot : Web dökümanlarının bulunduğu dizini belirtir. Web sunucuları bu dizindeki dosyaları diğer bilgisayarlara açarlar. DirectoryIndex : Buradaki ayarla giriş dosyası için birden çok dosya adına izin verilebilir. DirectoryIndex index.html index.html index.shtml index.cgi AccessFileName :Dizin erişimleri ile ilgili ayardır. HostnameLookups : Ziyaretçilerin kayıtları tutulurken ziyaretçilerin adlarının mı yoksa IP adreslerinin mi tutulacağını belirler. HostnameLookups On ise olarak HostnameLookups Off 11

12 ise olarak kaydedilir. ErrorLog : Hata kayıtlarının tutulduğu dosyanın yerini belirtir. ErrorLog /var/log/httpd/error_log LogLevel : Hata kayıtlarının tutulduğu dosyadaki kayıt sayısının kontrol eder. Apache de 8 seviye hata vardır. Bunlar sırasıyla debug, info, notice, warn, error, crit, alert ve emerg dir. Soldan sağa gittikçe hata seviyesi azalır ve hata dosyasında tutulan veride buna göre azalır. Düşük seviyeli hatalar, kritik hatalardır. LogFormat : Apache istenilen formatta kayır tutabilir. Tuttuğu bu kayıtlar, istemcinin eriştiği dosyadan, istemcinin hangi IP den bağlandığına kadar; istemcinin kullandığı tarayıcıdan, istemcinin sunucuya ulaşmasını sağlayan sunucu bilgilerine kadar birçok veri içerebilir.apache de sıklıkla kullanılan hata formatı combined formatıdır. CustomLog : Apache nin tuttuğu kayıt dosyasının yerini gösterir. Bu dosyanın sadece bir tane olması gerekmez. Apache aynı anda birden farklı kayıt dosyasını birbirinden farklı kayıt formatında kullanabilir. Redirect : Daha önceden mevcut olan fakat artık aranılan yerde bulunmayan dökümanlar hakında ziyaretçilere aranılan dökümanın yeni yerinin nerede olduğuna dair bilgi vermeyi sağlar Sanal Sunucular Sanal sunucu terimi pratikte bir sunucu üzerinde ve gibi birden çok web sitesini tek bir makine üzerinde çalıştırabilmeyi sağlar. Konfigürasyon dosyası içerisinde <VirtualHost> </VirtualHost> komutları sanal sunucuyu tanımlamak için kullanılır.sanal sunucular IP bazlı, isim bazlı ve dinamik olmak üzere iç tiptir. En genelleri isim bazlı ve IP bazlı sanal sunuculardır. mod_virtual modülü kullanılarak yapılandırılabilirler. Sanal sunucunun IP bazlı olması, her bir web sitesi için farklı bir IP adresine sahip olunduğunu; isim bazlı olması ise her bir IP adresi üzerinde birden çok isme sahip olunduğunu belirtir. Son kullanıcıya gözükmese dahi; gerçek her şeyin fiziksel olarak tek bir sunucuda tutulduğudur. Apache Ip bazlı sanal sunucu desteği veren ilk sunuculardan biridir. 1.1 versiyonundan sonra Apache hem isim bazlı hem de IP bazlı desteğinin ikisini de verebilmektedir. Sanal sunucu bildirimi httpd.conf dosyası içinde yapılır. Sanal sunucu konfigürasyonu yapıldıktan sonra 12

13 #linux:/usr/local/apache2/conf # /usr/local/apache2/bin/httpd -S komutuyla sanal sunucu konfigürasyonunun doğruluğu kontrol edilebilir. Dosyada bir hata olmaması durumunda aşağıdaki şekilde bir bildirim gözükür. #linux:/usr/local/apache2/conf # /usr/local/apache2/bin/httpd -S VirtualHost configuration: Syntax OK #linux:/usr/local/apache2/conf # Tek bir IP adresi üzerinde isim bazlı sunucular NameVirtualHost *:80 <VirtualHost *:80> ServerName ServerAlias domain.tld *.domain.tld DocumentRoot /www/domain </VirtualHost> <VirtualHost *:80> ServerName DocumentRoot /www/otherdomain </VirtualHost> DNS doğru olarak map edilmiş ise alan adına gelen istekleri /www/domain klasörüne yönlendirirken alan adına gelen istekler /www/otherdomain Klasörüne yönlendirilmektedir. konfigürasyon dosyasında en başta yer aldığından önceliği en yüksek olan ve birincil sunucu (primary server) olarak adlandırılan kısımdır. NameVirtualHost <VirtualHost > # etc... Bu örnekte * yerine spesifik bir IP adresi tanımlanmıştır. Sunucunun ISP ile dinamik IP almadığı durumlarda kullanılabilir Birden çok IP adresi üzerinde isim bazlı sunucular Listen 80 # This is the "main" server running on ServerName server.domain.com DocumentRoot /www/mainserver # This is the other address NameVirtualHost <VirtualHost > 13

14 DocumentRoot /www/example1 ServerName # Other directives here... </VirtualHost> <VirtualHost > DocumentRoot /www/example2 ServerName # Other directives here... </VirtualHost> Örnekte sunucu ve olmak üzere iki farklı IP adresini dinlemektedir. Burada bilinmeyen ya da var olmayan bir hostname ile Ip sine gelen istekler /www/example1 klasörüne yönlendirileceklerdir Farklı IP adresleri üzerinden aynı içeriğin sunulması Listen 80 NameVirtualHost NameVirtualHost <VirtualHost > DocumentRoot /www/server1 ServerName server.example.com ServerAlias server </VirtualHost> Sunucu ve olmak üzere iki IP ye sahip olsun. Sunucunun yerel bir ağ(intranet) ile dışarıya açılan bir ağ(internet) arasında yer aldığını düşünelim. server.example.com alan adının yerel ağ içinde ye diğer ağ üzerinde de a karşılık geldiğini ve her ikisi içinde istekleri /www/server1 klasörüne yönlendirmek istediğimiz durumda aşağıdaki konfigürasyon ihtiyacı karşılayacaktır Farklı portlar üzerinden farklı siteleri çalıştırmak Listen 80 Listen 8080 NameVirtualHost :80 NameVirtualHost :8080 <VirtualHost :80> ServerName DocumentRoot /www/domain-80 </VirtualHost> <VirtualHost :8080> ServerName DocumentRoot /www/domain-8080 </VirtualHost> 14

15 <VirtualHost :80> ServerName DocumentRoot /www/otherdomain-80 </VirtualHost> <VirtualHost :8080> ServerName DocumentRoot /www/otherdomain-8080 </VirtualHost> Burada sanal sunucuların hepsi aynı IP ye gelen istekleri dinlerken dinledikleri port açışından farklılık gösterirler. İlk sanal sunucu alan adına 80. port üzerinden gelen istekleri /www/domain-80 klasörüne yönlendirirken ikinci sanal sunucu aynı alan adına port üzerinden gelen istekleri /www/domian-8080 klasörüne yönlendirir. Burada sadece VirtualHost name:port veya Listen komutu kullanmak konfigürasyon için yeterli olmayacaktır IP Bazlı Sanal Sunucular İsim bazlı sanal sunucular SSL protokolünün yapısı gereği SSL secure servers ile birlikte kullanılamaz. Bazı işletim sistemleri ve ağ teçhizatı gereği host lar üzerinde farklı bant genişliği ayarı hostlar farklı IP adreslerinde olmadığı müddetçe yapılamaz. Listen 80 <VirtualHost > DocumentRoot /www/example1 ServerName </VirtualHost> <VirtualHost > DocumentRoot /www/example2 ServerName </VirtualHost> Burada sunucunun sırayla ve isimlerine karşılık gelen ve olmak üzere iki IP si mevcuttur. 15

16 Listen :80 Listen :8080 Listen :80 Listen :8080 <VirtualHost :80> DocumentRoot /www/example1-80 ServerName </VirtualHost> <VirtualHost :8080> DocumentRoot /www/example ServerName </VirtualHost> <VirtualHost :80> DocumentRoot /www/example2-80 ServerName </VirtualHost> <VirtualHost :8080> DocumentRoot /www/example ServerName </VirtualHost> Bu örnekte sunucunun sırayla ve isimlerini çözümleye ve IP leri mevcuttur. Her iki durum için de sunucunun hem 80 hem de 8080 portlarından çalışabilmesi istenmektedir. 1.3 Apache Güvenliği 16

17 Apache de güvenlik önemli bir yer tutar. Gelişmiş güvenlik önlemleri olmasına karşın küçük yer yer büyük bazı sorunların çıkması kaçınılmazdır. Karşılaşılan sorunlar çözümlendikten sonra yazılım güncellenmektedir. Bu yüzden ilk önerilen yapılan güncellemelerden haberdar olunmasıdır. Bunun için Apache HTTP sunucusunun duyurular listesine üye olunabilir. Standart Unix güvenliğinin altında yatan temel fikir, kullanıcıların bir parola ile sisteme giriş yapması, yaptıkları işlemlerin log kayıtlarının tutulması ve yetkilerinin mutlaka ihtiyaçları ile sınırlandırılmış olmasıdır. Bu sebeple Apache yi kendi kullanıcı ve grubuyla çalıştırmak için : User www Group www Web sunucularının güvenliğinde de benzer bir mantıktan söz etmek mümkündür. Her ne kadar HTTP sunucusunun 80. portu dinlediğini düşünürsek, sunucuyu başlatmak için sisteme root olarak giriş yapmak gerekse de bu aşamadan sonra çocuk süreçlerde sistem root haricinde yetkileri sınırlandırılmış olarak istekleri dinlemeye ve cevaplamaya devam eder (multiprocessing). Apache aynı anda yapılan istekleri işleme ile ilgili olarak çeşitli konfigürasyon ayarları sunar. MaxClients isteklere hizmet için maksimum olarak kaç çocuk sürecin yaratılacağını belirler. Eğer sunucunun çok sayıda concurrent isteği karşılayacak kadar hafızası yoksa bu değeri yüksek tutmak istenilebilir. MaxSpaceServer, MaxRequestsPerChild ve Apache2 deki ThreadsPerChild, ServerLimit, ve MaxSpareThreads direktifleri de işletim sistemi ve donanıma uygun şekilde ayarlanmalıdır. Eğer ServerRoot /usr/local/apache dizininde ise bu dizinlerin sahipliğinin root olarak atanması önerilir. mkdir /usr/local/apache cd /usr/local/apache mkdir bin conf logs chown 0. bin conf logs chgrp 0. bin conf logs chmod 755. bin conf logs Aynı şeyin çalıştırılabilir komutların yer aldığı bin dizini için de yapılması önerilir. cp httpd /usr/local/apache/bin chown 0 /usr/local/apache/bin/httpd chgrp 0 /usr/local/apache/bin/httpd chmod 511 /usr/local/apache/bin/httpd 17

18 Apache'nin konfigürasyon ve çalıştırılabilir dosyalarına sadece root'un okuma izin olacak şekilde ayarlanabilir. Eğer Apache kurulumu /usr/local/apache ise: chown -R root:root /usr/local/apache chmod -R o-rwx /usr/local/apache Varsayılan olarak, bütün Apache kurulumları bütün dünyaya hangi Apache sürümünü, işletim sistemini çalıştırdığınızı ve hatta hangi Apache modüllerinin sunucuda kurulu olduğunu söyleyecektir. Saldırganlar bu bilgileri kullanırlar. Ayrıca varsayılan ayarları ellemediğinizi belirten bir mesaj da verilmiş olur. Apache sürüm numarasını ve diğer bilgilerinin gizlenmesi httpd.conf dosyasında aşağıdaki iki direktif verilebilir. ServerSignature Off ServerTokens Prod ServerSignature direktifi 404 sayfaları, klasör listeleri gibi Apache tarafından yaratılan sayfaların en altında bilgilerin görüntülenmesi ile ilgilidir. ServerTokens direktifi ise Apache'nin HTTP cevap başlığında Server kısmına ne yazacağını belirler. Bunu Prod'a set ederek HTTP cevabında aşağıdaki şekilde cevap verdirmek mümkün: Server: Apache Eğer CGI kullanılmayacaksa CGI çalıştırılmasının engellenmesi önerilir. Directory tag'i içerisinde Options'da set ederek kapatılır.options'ı None veya -ExecCGI olarak set edilebilir: Options ExecCGI Belirtildiği gibi bir konfigürasyon dosyasının olması ve sadece root tarafından değiştirilmeisne izin verilmesinin, zorunlu olmadıkça.htaccess dosyaları ile ayar yapılmasına izin verilmemesi gerekir..htaccess dosyaları için desteğin kaldırılması AllowOverride None mod_security modülünün eklenmiş olması ile aşağıdakilerin yapabilmesi mümkündür: * Basit filtreleme * Regular Expression tabanlı filtreleme * URL kodlama kontrolü * Unicode kodlama kontrolü * Denetim (Auditing) * Null byte saldırısı önleme * Upload hafıza sınırları * Sunucu kimliği maskeleme 18

19 * Dahili chroot desteği Timeout (zaman aşımı) süresi varsayılan olarak 300 saniyeye ayarlıdır. Servis kullanımı engelleme saldırılarının potansiyel etkilerini azaltmak için düşürülebilir: Timeout 45 Eğer sadece belirli bir ağdan veya IP adresinden erişilmesi gereken kaynaklarınız (host-based authentication)varsa bu ayarın da apache konfigürasyonunda mümkündür. Örneğin sadece ağından erişim yapılması istenilirse: Order Deny,Allow Deny from all Allow from /16 chroot programları kendi ayrıştırılmış hapishanelerinde (jail) çalıştırılmasını sağlar. Bu da bir servisin kırılma durumunda sunucudaki diğer şeyleri etkilemesini engeller. Bıu sebeple Apache nin chroot ortamında çalıştırılması önerilir. mod_security modülünün kendisinin chroot desteği vardır. Bu modül sayesinde aşağıdaki direktifi eklemek yeterlidir: SecChrootDir /chroot/apache Paket Filtreleme alev duvarı (firewall) yapılandırmasının en basit tekniğidir. İnternet üzerinden gelen paketlerden sadece güvenli portlara gelenleri kabul eder. SMTP, DNS, FTP, ve HTTP gibi servisler haricinde porttan daha düşük seviyeye gelen istekleri tehlikeli olma ihtimaline karşın kabul etmez. Bu şekilde bir kısıtlama her zaman güvenli olmayabilir. Örneğin sendmail mail sunucusunun birçok kez güvenlik açığı yakalanmıştır. Güvenlik önlemlerinde sisteminizin bir noktasını zayıf bıraktıysanız, diğer noktalarda ne kadar çok önlem almaya çalışırsanız çalışın sistemin zarar görmesi kaçınılmaz olacaktır, bu sebeple yukarıdaki önlemlerin hepsinin dikkate alınması gerekmektedir..htaccess dosyası ve mod_security modülü.htaccess dosyası, konfigürasyon ayarları üzerinde bazı değişiklikler yapılabilmesine olanak tanıyan bir dosyadır. Sunucunun istemcilere daha iyi hizmet verebilmesi için bir takım direktifler içerir. İçerdiği direktifler dosyanın bulunduğu klasör ve bunun alt klasörleri için geçerlidir.dosyanın adı genellikle.htaccess olarak bilinmekle birlikte değiştirilmesi AccessFileName.config 19

20 seçeneğiyle mümkündür. Bu dosyayla yapabileceğiniz değişikliklerin sınırı AllowOverride komutuyla sınırlandırılmıştır. <Directory /> AllowOverride None </Directory> Satırları.htaccess dosyasında hiçbir değişiklik yapmanıza izin vermeyecektir. Aslında mecbur kalınmadıkça önerilen bu satırların sisteminizde yer alması yani.htaccess dosyasının ayarları değiştirmede kullanılmaması, her şeyin tek bir konfigürasyon dosyası üzerinden yapılmasıdır. Bu dosyasının kullanımı performans ve güvenlik açısından sorun oluşturabilir. O yüzden.htaccess dosyası ile değişikliğe izin veriyorsanız neye izin verdiğinizin bilincinde olmanız gerekir. Dosyanın kullanılmasının gerekil olabileceği bazı durumlara ise değişikliği yapmak isteyen kullanıcının root hakkı olmamasına rağmen kendi dizini üzerinde ayarlar yapmak istemesi, birden çok kullanıcının sitesini tek bir makine üzerinde barındıran ve her kullanıcıya kendi seçeneklerini sunan internet servis sağlayıcıları örnek verilebilir. mod_security modülünün en temel amacı sunucuyu olası tehlikelerden korumaktır. Sunucu önünde bir ön katman gibi düşünülebilir. 2 FTP Sunucusu FTP (File Transfer Protocol) 21. portu dinleyerek TCP/IP protokolü kullanarak internet üzerindeki iki makine arasında, işletim sistemi ve mimariden bağımsız olarak dosya transferi sağlayan bir protokoldür. FTP için bağlanacağımız bilgisayarın internet adresi veya IP si bağlanacağımız bilgisayarda dosyalarına ulaşmak istediğimiz hesapla ilgili kullanıcı adı ve varsa şifresi Internet erişimi olan, üzerinde FTP yazılımı bulunan bir bilgisayar bağlanacağımız bilgisayarda, FTP protokol komutlarını yorumlayacak çalışır durumda bir FTP Servis programı (FTP Sitesi) 20

21 gereklidir. FTP işlemi sırasında, güvenlik olarak, bağlanacağımız makinadaki kullanıcı numarası (User Name) ve parola (Password) bilgilerini bilmemiz gerekir (Program, bunları bize sorar). Bağlanılan makina, kişiye özel ve parolasını sadece bizim bildiğimiz bir makina olabileceği gibi, herkese açık bir arşiv merkezi de olabilir. Böyle merkezlere herkesin kolayca erişip dosya almasını sağlamak için tek tip bir kullanıcı numarası tanımlanmıştır: anonymous ya da ftp FTP anonymous kullanıcılar için dosya paylaşımında tercih edilen bir yol olsa da açık kod yapısı sebebiyle önemli kullanıcı hesaplarıyla kullanımı büyük tehlikeler oluşturabilir. FTP ile birlikte birkaç büyük tehditten de söz etmek mümkündür. Bu tehlikelerden ilki anonymous ile FTP girişidir. Anonymous kullanıcılar herkesin erişebileceği dosyaları listelemek ve indirmek dışında işlem yapmamalıdır. Doğal olarak bu kullanıcıların haklarının daha güvenilen bir kullanıcı haklarıyla eşit olması istenmez. FTP ile ilgili diğer bir tehdit lokal kullanıcı hesaplarını da kapsar. Lokal bir kullanıcı FTP ile dosya indirmek veya yüklemek için ev dizininden giriş yaptığında bu oturumun güvenliğinin başka kullanıcılar tarafından bozulması taşınan verinin güvenliğinin tehlikeye girmesi söz konusudur. Aktarılan verilerin istenmeyen kişiler tarafından açığa çıkarılma riski olduğu kadar kullanıcı hesaplarının da açığa çıkma riski vardır. Ne yazık ki bu riskleri sebebi FTP dizaynından kaynaklanmaktadır. FTP protokolü Telnet te olduğu gibi açılan oturumlarda veriyi açık metin olarak taşıyacak şekilde dizayn edilmiştir. Buna bağlı olarak FTP anonymous kullanıcıların dosya paylaşımı haricinde yapılmak istenen hemen hemen her şey için yanlış bir araçtır. Bu sebeple FTP güvenliği de anonymous FTP servislerinin ve bunların FTP sunucu yazılımlarının doğru bir şekilde konfigüre edilmesi üzerinde yoğunlaşır. Belirtilen tehditler dolayısıyla FTP için kullanılan gerçek kullanıcı hesapları ve bilgiler saldırılara maruz kalabilir. Bu nedenle FTP güvenliği çalışmalarının büyük bir çoğunluğu 21

22 FTP servislerinin daha güvenli hizmet vermesi amacıyla anonymous konfigürasyonu üzerinde yoğunlaşır. FTP servislerinin FTP için alınabilecek en temel önlem istenmeyen kullanıcıların /etc/ftpusers dizininde belirtilmesidir. Burada adı belirtilen kullanıcılar FTP servisini kullanamaz. Ananonymous FTP kullanıcılarının giriş yapabilmeleri için bu dosyada yer almadıkları kontrol edilmelidir. Temel bir güvenlik önlemi olarak mevcut kullanıcı isim olmayacak özel kullanıcı isimlerinin bu dosyaya eklenmesidir. /etc/ftpusers dosyası her satırında tek bir kullanıcı isim yer alacak şekilde düzenlenir. root, bin gibi özel kullanıcıların dışarıdan giriş yapamamaları için burada tanımlanması gerekir. FTP nin temel problemlerinden biri root hakkıyla çalışmasıdır. Yeni yapılandırmalar gerek duyulmadıkça root olarak giriş yapılmasından kaçınılması yönündedir. Tehlikeleri azaltma yönünde izlenen diğer bir yöntem ise bir chroot jail içinde çalışılmasıdır. Bir FTP deamon ı için chroot seçeneği ftp sunucusuna giriş yapılan dizin haricinde dizin değiştirme işlemiyle başka bir dizine geçilemeyeceği anlamına gelmektedir FTP deamon ının sıradan bir kullanıcı ya da grup olarak çalıştırılması : Bu önerinin seçilen FTP sunucu paketine göre uygulanması her zaman mümkün olmayabilir. FTP sunucuları istekleri 21. port üzerinden dinlerler ve 20. port üzerinden veri gönderebilirler. Bunlar özel portlardır ve en azından bağlanma prosedüründe root olmayı gerektirirler. Dolayısıyla FTP deamon ı bağlanma işleminde root olmalı daha sonra kendini nobody kullanıcısı ve nogroup grubuyla tanımlayabilmelidir. Bazı FTP deamon larında, WU-FTPD gibi, bu geçiş özelliği sağlanmamaktadır Anonymous FTP hesaplarının yapay kabuk kullanması : Bir anonymous FTP kullanıcısının /bin/sh gibi normal bir kabuk kullanması ve çalıştırması istenmez. Bunun yerine /bin/true, /bin/false gibi kabuklar tercih edilir. Burada dikkat edilmesi gereken yapay kabuğun geçersiz bir kabuk olmadığıdır. /etc/passwd dosyasında belirtilen her kabuk aynı zamanda /etc/shells dosyasında da var olmalıdır. 22

23 Buna benzer bir yaklaşım /etc/passwd dosyası ve eğer kullanılıyorsa /etc/shadow dosyasında anonymous ftp kullanıcısının şifresinin * yapılmasıdır. Bu işlem, anonymous ftp kullanıcısının FTP haricinde herhangi bir sunucudan giriş yapılmasını engelleyecektir Dosya Haklarının Kontrolü : Anonymous FTP kullanıcısının root dizini ve alt dizinleri ftp hesaplarıyla aynı grupta değildir. Bu alt dizinler genellikle ftp/bin, ftp/etc ve ftp/pub dizinleri altında yer alır. Bu dizinlerin yazmaya karşı korumalı olunduğuna emin olunmalıdır Anonymous kullanıcıların dosya yükleme işlemi : FTP sunucusunda anonymous kullanıcı olarak çalışanların dosya yüklemesi kaçınılması istenilen bir işlemdir. Yine de sistemde dosya yüklemeye izin verilecekse yüklenen dosya boyutunun çok büyük olmaması için önlemler alınmalıdır. Yüklenen büyük boyutlu dosyalar FTP sunucusunun durmasına dahi yol açabilir. Bu sebeple yüklenecek dosya boyutuna kota getirilmelidir. Yüklenen dosyaların yazma hakkı olan dizinde uzun süre kalması engellenmelidir. Bir betikle veya cronla dosya yüklendiğinde yöneticinin haberdar olması ve yüklenen dosyanın dosya sisteminde genel erişim hakkı olmayan bir kısma taşınması önerilir. FTP sunucusunun yükleme işlemlerinin log kayıtlarının tutulması ve bu kayıtların incelenmesi önem taşır. Log dosyalarının sunucu makine haricindeki uzak bir makinede saklanması da mümkündür Güvenliği arttrıcı sistemlerin kullanımı : Bir saldırı tesbit sisteminin çalıştırılması, tripwire ve alev duvarı(firewall) sistemlerin çalışması da güvenliği arttırıcı diğer sistemlerdir. 2.2 ProFTPD 23

24 ProFTPD, konfigürasyon yapısı ve modüler dizaynı Apache örnek alınarak tasarlanmış bir ftp sunucusudur. Önceliklik olarak unix ve benzeri işletim sistemlerine hizmet vermek amacıyla yazılmıştır, win32 altında çalışmaz. ProFTPD nin Resmi sitesi olan dan alınan bilgilere göre temel özellikleri aşağıdaki şekildedir : Kurulumu ve konfigürasyonu basittir Apache web sunucusu konfigürasyon dosyasına benzer, tek bir konfigürasyon dosyası vardır. Apache kullanan herkes ProFTPd sunucusunu yönetebilir. Apache ".htaccess" dosyasına benzeyen ve her klasör için ayrı ayrı yazılabilen ".ftpaccess" dosyası mevcuttur. Birden fazla Sanal ve anonim FTP sunucularını kolayca ayarlanabilmesi Inetd/xinetd aracılığıyla veya tek başına çalıştırabilme özelliği Herhangi bir özel klasör yapısı veya sistem dosyaları gerektirmeyen anonim FTP kök klasörleri ProFTPD dışarıdan başka bir uygulama çalıştırmaz. Kaynak kod, sistem yöneticilerin incelemesi için açıktır. Gizli klasörler ve dosyalar Unix tarzı kullanıcı ve grup izinlerine tabidir root haklarının başkaları tarafından kullanılmasını engellemek için yetkisiz bir kullanıcı ile çalışır Loglama ve utmp/wtmp desteği. Kayıt tutma özelliği wu-ftpd standartlarıyla uyumludur Modlüllerle genişletilebilecek bir yapı. SQL veritabanları, LDAP sunucular, SSL/TLS şifreleme, RADIUS desteği gibi modüller hazır IPV6 desteği #turn off the information about what type of server is running SeverIdent to off # Set the user and group that the server normally runs at. User nobody Group nogroup # Normally, we want files to be overwriteable. <Directory /*> AllowOverwrite on </Directory> 24

25 # A basic anonymous configuration, no upload directories. <Anonymous ~ftp> User ftp Group ftp # We want clients to be able to login with "anonymous" as well as "ftp" UserAlias anonymous ftp # Limit the maximum number of anonymous logins MaxClients 10 # We want 'welcome.msg' displayed at login, and '.message' displayed # in each newly chdired directory. DisplayLogin welcome.msg DisplayFirstChdir.message # Limit WRITE everywhere in the anonymous chroot <Limit WRITE> DenyAll </Limit> </Anonymous> 3. Tomcat Tomcat, Jakarta projesinin bir parçasıdır. Apache tarafından geliştirilmiştir. Açık kaynaklı bir uygulama sunucusudur. Java servlet ve JSP uygulamasıdır. Uygulama sunucularının kıyaslanması sonucu bir diğerinin mutlak üstünlüğüne ulaşılamazken Tomcat sunucusunun getirdiği avantajlar şu şekilde özetlenebilir. Açık kaynak kodlu bir yazılımdır. Dağıtımı serbesttir. Apache lisansı altında ticari olan ya da olmayan tüm uygulamalar için kullanılabilir. Birçok kişi tarafından tercih edilmektedir. Popülaritenin getirdiği en büyük avantajlardan bir tanesi Tomcat ile uğraşmaya yeni başlayan bir kullanıcının karşılaştığı problemlerin birçoğunun daha önce diğer bazı kullanıcılar tarafından yaşanmış ve tecrübelerin aktarılmış olmasıdır. Bu şekilde oluşan çok sayıda forum mevcuttur. Tomcat uygulama sunucusu üzerinde uygulamaların nasıl geliştirileceği bilindiği takdirde ticari ya da değil diğer uygulama sunucularında da sorunsuz şekilde uygulama geliştirilebilir. Bu avantaj Tomcat uygulama sunucusunun belirli standartları uygulaması ile sağlanır. Tomcat web sitesi ten alınan temel özellikler aşağıdaki gibidir : Tomcat 5.5 sürümüyle birlikte Servlet 2.4 ve JSP 2.0 spesifikasyonlarını destekler. 25

26 Bağlantı havuzları desteği sunar. JNDI desteği vardır. CGI desteği sunar. SSI desteği vardır. SSL ile çalışabilir. Tomcat Java ile yazılmış bir sunucu olduğundan dolayı sistemde JRE (Java Runtime Edition) bulunması zorunludur. Bu nedenle öncelikle sistemde JRE nin bulunup bulunmadığının kontrol edilmesi gereklidir. Bunun için aşağıdaki komut kullanılabilir. # java version Eğer komut bulunamadı hatası alıyorsanız bu iki anlama geliyor olabilir. İlki sistemde Java bulunmadığı, ikincisi ise java komutunun $PATH içinde bulunmadığıdır. Bu nedenle $PATH değişkeni incelenebilir veya aşağıdaki komut uygulanabilir. # which java Sisteminizde Java kurulu değilse öncelikle bunun kurulması gerekiyor. adresinden indireceğiniz JRE veya SDK yı (Software Development Kit) sisteme kurduktan sonra (SDK yı tercih etmenizi öneririm) Tomcat in kurulumuna devam edilebilir. Uygulama sunucusu adresinden indirilebilir. Kurmuş olduğunuz (veya sistemde bulunan) Java versiyonu, kurulacak Tomcat i versiyonu için belirleyici bir faktör olacaktır. Tomcat 5.5 sürümünden itibaren Java 1.5 ile çalışabiliyor. Daha önceki sürümler ise Java 1.4 ile uyumludur. Örneğin SDK yi kuracağımızı düşünürsek, adresinden gerekli sürüm indirilmelidir. Sun, kurulum için iki seçenek sunuyor: RPM ve BIN dosyası. BIN dosyasının kurulumu üzerinden devam edelim. İndirilen dosyayı /usr/local klasörüne kopyalayın ve kurulum dosyasını çalıştırın. # cp -p j2sdk-1_4_2_07-linux-i586.bin /usr/local/ # cd /usr/local #./j2sdk-1_4_2_07-linux-i586.bin 26

27 Bu şekilde j2sdk-1_4_2_07 isimli bir klasöre kurulum yapmış oluyoruz. Sistemde diğer uygulamaların Java nın nerede kurulu olduğunu bulabilmesi için JAVA_HOME isimli çevre değişkeninin belirlenmesi gerekiyor. Bu değişken Java nın kurulu bulunduğu klasörü gösterir. # export JAVA_HOME=/usr/local/j2sdk-1.4.2_07 # echo $JAVA_HOME Sistem her açıldığında bu değişkenin tanımlı olması gerektiğinden, bu değişkenin sisteminin her açıldığında okuduğu dosyalardan birine yerleştirilmesi faydalı olacaktır. Tomcat sitesinden indirdiğimiz dosyayı /usr/local altına kopyalayıp açalım. İndirdiğiniz sürüme göre.tar.gz uzantısından önceki kısım değişebilir. # cp -p jakarta-tomcat tar.gz /usr/local/ # cd /usr/local # tar zxvf jakarta-tomcat tar.gz Bir sonraki aşamaya geçmeden önce çevresel değişkenlerin tanımlamaları kontrol edilmeli ve ayarlanmalıdır. Java daha önceden kurulu ise JAVA_HOME çevre değişkenin Java nın kurulu olduğu yeri gösterdiğine emin olunmalıdır. TOMCAT_HOME çevre değişkeni ise indirdiğiniz Tomcat klasörünü tar yardımıyla açtığınız klasörü göstermelidir. Bu durumda TOMCAT_HOME değişkenimizi ayarlayıp export etmek için aşağıdaki komutları kullanabiliriz. # TOMCAT_HOME=/usr/local/tomcat # export TOMCAT_HOME # echo $TOMCAT_HOME Tomcat çalışabilmek için CATALINA_HOME isimli ortam değişkeninin tanımlı olmasına ihtiyaç duyar. Bu değişken, Tomcat'in kurulu olduğu klasörü göstermelidir. ( Bu değişkenin oluşturulması, aynı JAVA_HOME değişkeni gibi, sistem her açıldığında okunan dosyalardan birine yerleştirilmelidir ) #export CATALINA_HOME=/usr/local/tomcat # echo $CATALINA_HOME Bu ayarlardan sonra iki betik yardımıyla Tomcat başlatılabilir ve durdurulabilir. Bu betikler TOMCAT_HOME/bin altında bulunan startup.sh ve shutdown.sh betikleridir. 27

28 Eğer betikleri çalıştıramadıysanız izin haklarından kaynaklanan bir sorun olabilir. Bu yüzden aşağıdaki komutlarla çalıştırma hakkı verdikten sonra betikleri çalıştırarak Tomcat i başlatıp durdurmayı tekrar deneyebilirsiniz. # chmod +x startup.sh # chmod +x shutdown.sh # chmod +x tomcat.sh Bazı durumlarda Tomcat sunucusunu baştan başlatmak durumunda kalabilirsiniz. Bunun anlamı sunucunuz açıksa önce shutdown.sh ve arkasından startup.sh betiklerinin çalışacağıdır. Eğer çevre değişkenlerinizi sistem her başladığında okunan dosyalardan birine yerleştirmediyseniz bu durumda tekrar ayarlanması gerekecektir. Tomcat varsayılan olarak 8080 portu üzerinden çalışır. Bu portu değiştirmediyseniz ve Tomcat düzgün olarak çalışıyorsa tarayıcınıza yazdığınızda Tomcat in welcome sayfasına ulaşabilirsiniz. Tomcat in çalıştığı port numarasını değiştirmek isterseniz conf/server.xml dosyasında 8080 yerine çalışmasını istediğiniz port numarasını girebilirsiniz. <Connector port="8080" maxthreads="150" minsparethreads="25" maxsparethreads="75" enablelookups="false" redirectport="8443" acceptcount="100" debug="0" connectiontimeout="20000" disableuploadtimeout="true" /> port="8080" yazan kısmı port="80" ile değiştirmeniz yeterli olacaktır. Tomcat uygulama sunucusunun Apache HTTP sunucusuyla entegre bir şekilde çalışması beklenir. Uygulama sunucuları, sunucu taraflı programlama dilleri için özelleştirildikleri için diğer dosyaları HTTP sunucuları kadar hızlı işleyemezler. Bu nedenle web uygulamasında kullanılan dosyaların hangi sunucu üzerine yerleştirileceği performans açısından önemlidir. Apache ve modülleri C ile; Tomcat ise Java ile yazılmıştır. Bu durumda ikisinin beraber çalışması nasıl mümkün olacaktır? Bu durumda mod_jk adlı modüle ihtiyaç duyarız. Bu modül Tomcat ile Apache arasında bir arayüz görevi görür. 28

29 mod_jk kurulumu : mod_jk yı kurmak için öncelikle adresinden indirmek gerekiyor. İndirilen dosyayı /usr/local/src dizinine kopyalayarak tar yardımıyla açalım. # cp -p jakarta-tomcat-connectors-current-src.tar.gz /usr/local/src/ # cd /usr/local/src # tar xvzf jakarta-tomcat-connectors-current-src.tar.gz Bu işlem sonucunda jakarta-tomcat-connectors-current-src isimli bir klasör oluşturulmuş olması gerekiyor. Bu klasör içinde bulunan jk/native isimli klasöre girerek buildconf.sh programını çalıştıralım # cd jakarta-tomcat-connectors-current-src/jk/native #./buildconf.sh Bu script çalıştırıldıktan sonra configure komutu yardımıyla konfigürasyon yapıabilir. #./configure with-apxs=/usr/local/apache2/bin/apxs Kurulum işlemi make ve make install koutlarıyla tamamlanır # make # make install Kurulum işlemi tamamlandığında /usr/local/apache2/modules klasöründe mod_jk.so adında bir dosya oluşmuş olması gerekiyor. Oluşturulmuş olan bu kütüphane dosyasını, Apache nin Tomcat hakkında bilgi alması için kullanacağız. Apache yi derlerken mod_so modülünü eklememiz sayesinde, mod_jk.so dinamik kütüphanesini Apache ye tanıtabiliyoruz. Bunun için httpd.conf dosyası içinde LoadModule direktifi kullanılacak. LoadModule jk_module modules/mod_jk.so mod_jk.so kütüphanesi, jk_module adıyla Apache ye tanıtılmış oldu. Bu işlemden sonra aynı dosyaya aşağıdaki satırları eklenmelidir. JkWorkersFile "conf/workers.properties" JkLogFile "logs/mod_jk.log" JkLogLevel info JkMount /jsp-examples default JkMount /jsp-examples/* default 29

30 Bu yapılan ekleme sonucu jsp-examples isimli klasöre yapılan tüm isteklerin Tomcat e yönlendirilmesi sağlanmış oluyor. JkWorkersFile mod_jk modülünün Tomcat servisi ile bağlantı kuracağı dosyanın yolunu belirtir. JkLogLevel ise log ların içeriğini tanımlamada kullanılır. Workers Dosyası Workers dosyası; Apache, mod_jk ve Tomcat arasında çeşitli bağlantıların tanımlanmasında kullanılır. Özellikle Apache herhangi bir URL üzerinden gelen isteği Tomcat sunucusuna ileteceği zaman Apache ye hangi Tomcat süreci ile bağlantıya geçeceğini nasıl tanımlayacağını ve isteği nasıl ileteceğini belirtmeliyiz. Eğer mod_jk modülünü source olarak derlediyseniz workers.properties dosyası sisteminizde bulabilirsiniz. Eğer yoksa bu isimde bir dosya yaratıp içeriğini aşağıdaki şekilde verebilirsiniz. workers.tomcat_home=/usr/local/tomcat workers.java_home=$java_home ps=/ worker.list=default worker.default.port=8009 worker.default.host=localhost worker.default.type=ajp13 worker.default.lbfactor=1 Burada 8009 portu üzerinden ajp13 adlı bir konnektör çok kısa bir süreliğine yaratılacaktır numaralı port Tomcat tarafından dinlenen default portlardan biridir. Conf/server.xml dosyasından port numarasının değiştirilmesi de mümkündür. Yapılması gereken son adım Apache ye hangi istekleri Tomcat e ileteceğini bildirmektir. Bu işlem JkMount komutuyla gerçekleşir. JkMount /*.jsp ajp13 Komutuyla.jsp ile biten tüm isteklerin Tomcat e yönlenmesi sağlanır. JkMount /* ajp13 Komutu ise tüm isteklerin Tomcat e yönlenmesine neden olur. 30

31 Tomcat çalıştığında HTTP dinleyici servisleri yaratır. Bununla birlikte JSP ve servlet leri çalıştırmadan sorumlu işçi süreçler (worker processes) de yaratır. mod_jk modülü diğer modüller gibi C ile yazılmıştır ve bu yüzden Java sınıflarını yorumlayamazlar. Bu yüzden mod_jk Tomcat tarafından yaratılan işçi süreçlerle iletişim kurmaya çalışmak yerine Apache ile Tomcat arasındaki serviste yer alır. Bu sistemin getirdiği en büyük avantaj esnekliktir. Örneğin Apache nin bir fiziksel sunucu üzerinde çalışırken Tomcat sunucusu bir başka makine üzerinde bulunabilir. Bazı şirketler bu metodu esnekliğin yanı sıra güvenlik açısından da tercih edebilirler. Bu şekilde Tomcat sunucusunu sadece Apache sunucusu tarafından erişilebilen başka bir alev duvarı arkasında koruma imkanı bulurlar. Böylece HTTP sunucusundan uygulama sunucusuna istenmedik verilerin geçişi önlenmiş olur. Bir diğer avantaj ise Tomcat sunucunuzda bir sorun meydana geldiğinde tüm Apache sunucunuzun bu sorunda etkilenmesi önlenmiş olup sadece JSP ve servlet erişiminde bir sorun doğmuş olur. 3.1 Tomcat Güvenliği Uygulama sunucusunun bağlantı kurduğu diğer sistemler (veritabanı, LDAP...) ile arasındaki bağlantıların güvenli olması gerekir. Sadece gerekli portlar açık tutulmalıdır. Mesela bir Ldap sunucusu ile sadece 389 ve 636 portları açık tutulmalıdır. Diğer portlara yapılan istekler alev duvarı tarafından engellenmelidir. Eğer uygulamada veritabanı bağlantısı yapılıyor ise bu bağlantıların bağlantı havuzları (Connection pool) üzerinden yapılması güvenlik seviyesini arttırır. Uygulamanın içine veritabanı kullanıcı adı ve parolası kullanılmamış olur. Bu bilgilerin burada kullanılmaması ile, her programın kaynak kodunu göre başka kimselerin hem de programı yazan kişilerin veritabanına giriş için gereken bilgileri öğrenmesi engellemiş olur. 31

32 Tomcat uygulama sunucusunun Apache ile uyumlu bir şekilde çalışması da güvenliği arttıran bir diğer faktördür. Yukarıda da bahsedildiği gibi Tomcat sunucusunu sadece Apache sunucusu tarafından erişilebilen başka bir alev duvarı arkasında koruma imkanı bulunabilir. Tomcat e ait dizin ve binary dosyaların sahipliğini root kullanıcısı yerine Tomcat için yaratılan kullanıcı ve gruplara vermek. # groupadd tomcat # useradd -g tomcat -d /usr/local/tomcat tomcat # passwd tomcat /usr/local/tomcat teki herşeyi Tomcat kullanıcısı ve grubuna ait yapmak için # chown -R tomcat:tomcat /usr/local/tomcat 4. E-posta Sunucusu E-posta sunucusu, e-posta gönderimini ve alımını sağlayan bilgisayar ve yazılımdır. Bu yazılımlar Mail Transfer Agent (MTA) adını alırlar. MTA lar e-postanın bir bilgisayar veya ağdan başka bir bilgisayar veya ağa taşınmasını sağlar. Mail Delivery Agent (MDA) ise gelen mesajları alıcı lokal kullanıcı ise alcının e-posta kutusuna, alıcı lokal bir kullanıcı değilse mesajı mail sunucusuna teslim eder. 32