Linux Desktop ve Güvenlik

12.12.2007
linux unix desktop personal firewall process security güvenlik

Okuyucu : 1.362
Günlük Okuyucu : 8,6

Bildiğiniz gibi ben güvenlik işi yapıyorum, konu güvenlik işi olunca Linux piyasanın lideri, her ne kadar son 1-2 yılda MacOS piyasayı değiştirmeye başladıysa bile.

Özetle benden başka hemen hemen tüm tanıdığım güvenlikçiler ana sistem olarak ya Linux ya FreeBSD ya da MacOS kullanıyorlar. Dolaysıyla benim de onları ve genel kullanım davranışlarını analiz etme şansım oluyor.

Ben genelde personal firewall diye bilinen ama ana işlerinin process kontrolü olan yapıları çok seviyorum ve bu yazılımların büyük bir destekçisiyim, komik olan ise hemen hemen hiç bir linux kullanıcısını bu tip yazılımları normal şartlar altında kullanmıyor olması. Genelde bahaneleri şunlardan biri :

  1. Linux' ta Windows gibi çok malware yok o yüzden gerek olmuyor
  2. iptables var
  3. Aktif kullanıcı zaten root olmadığından sorun yok

Hemen nacizane cevap vereyim :

  1. Windows kullanıp bilgisayarına malware sokmayı beceren kişiler zaten bu konu dışında. Eğer kendinizi o kadar korumayı beceremiyorsanız daha ciddi sorunlarınız var demektir. Buradaki konu daha ileri seviye ataklar, rasgele gelen 3 ay önce yamanmış IE exploitleri değil.
  2. iptables bahsettiğimiz konu değil zaten, iptables statik filtreleme yapar. Dolayısıyla outbound 80 açıksa o interface için açıktır. Dolayısıyla X yazılımı outbound 80 yaptığında çalışacaktır. Aynı sistemde bir tarayıcı kullandığınızı düşünürseniz outbound 80 açık olacaktır ve revese shell vs. kolayca çalışacaktır.
  3. Aktif kullanıcınızın Firefox profile' ınıza erişimi var mı? Evet var, Demek ki diğer çalışan kodun da oraya erişimi var ve yazdığınız herşeye ve sizin aktif kullanıcınızın yetkisi olan herşeye. Nedense insanlar bunu sunucu güvenliği ile karıştırıyor, bu bir sunucu değil bu sizin bilgisayarınız. Sizin datanız sizin kullanıcınız tarafından erişilebilirdir, dolayısıyla diğer kodda bunlara erişecektir. Sonuç olarak root olup olmamanız çok az şey değiştiriyor.

Burada anlatmak istediğim Linux verdiği genel ekstra güvenlik rahatlığından dolayı bu tip bir güvenlik kademesini kullanmamak büyük bir hata ve neredeyse "False sense of security" ye girmekte.

Özetle çalıştığınız işletim sistemi önemli değil, kendinizi koruyun. Bu tarz çözümleri X için sunan uygulamalar var, benim hiç birini deneme fırsatım olmadı. Eğer aranızda kullananlar varsa dinlemekteyiz.

Yorumlar

RSS Bu makalenin yorumlarını RSS ile takip et!

Merhaba Ferruh,

Yazdiklarini duzenli olarak takip ediyorum ve cokta keyif aliyorum, bozma lutfen. Lakin bir duzeltme yapmadan gecemeyecegim, iptables çok basarili bir güvenlik duvaridir ve Linux çekirdeginde yer alan Netfilter uzantilarini kullanir. Linux üzerindeki kisisel güvenlik duvari teknolojileri de bu çekirdek uzantilarini kullanirlar, kisisel güvenlik duvari kullandiktan sonra iptables -L ile o an yazilimlar tarafindan verilen geçerli kurallari da görebilirsin. Iptables'in yeteneklerine gelince, modern ve ticari guvenlik duvari teknolojilerinin sagladiklarinin neredeyse tamamini sunar. Oturum takibi, oturumsuz protokollerde takip (ICMP/UDP vb.), tasima katmani secenekleri, veri icerigine gore denetim veya iproute2 (QOS kullanimi ile) bant genisligi yonetimi ilk aklima gelen yetenekleridir, Linux cekirdek derleme ekrani uzerinden moduller, man sayfalarindan ise kullanimi konusunda detayli bilgi alinabilir.

Benim koruma yontemim ise Mac OS X kullandigim icin normalden biraz farkli, yine de guvenlik duvarinin kullaniminin tensel hassasiyetleri oldurdugu kanaatindeyim. Yapilacak denetimlerde cokca hatali sonuc almamak adina cogu zaman guvenlik duvari kullanmiyorum, izleme ozellikleri daha onemli kanaatindeyim.

Ezcumle, herkes farkli koruma yontemleri secer ama daha guvenlisi yoktur. Iptables ta iyi birseydir, cumleden cikan anlam kisitli bilgiye sahip kullanicilari yaniltabilir.

Not: Genelde blog'lara yorum yazmam, yazdiklarimi da cemkirme olarak algimazsan sevinirim.

Fatih Ozavci [ # | 13.12.2007 ]

Inatlasmak amaciyla degil ama sunlari eklemem gerekli; iptables dogru kullanilirsa soylediklerin buyuk olcude yapilabilir. Yani kullanici katmaninda calisan servisler ve protokoller degil, kullanicilar ve yazilimlar gibi sahip temelli istekler de denetime tabi tutulabilir (Bkz. iptables owner match support).

Ha dedigin yazilim temelli guvenlik duvarlarinin bu kadar sureci takip etmesi ve sistemi bu kadar kavramasinin bahsettigin avantajlari disinda, guvenlik duvari olan yazilimin ele gecirilme alanlarinda sayi artisi ve isletim sistemine onemli seviyelerde (bazen cekirdek seviyesinde) ulasmasi sonuclarini doguracaktir. Kisaca olay arti/eksi dengesidir, herkes biraz daha isine geleni tercih edecektir.

Senin kullandigin XSS/Shell ile veya ayni yazilimin zaafiyeti kullanilip, kabuk kodu yerine yazilimin kendisi kullanilarak bahsettigin turden bir guvenlik duvari asilabilir; iptables/netfilter, pf, ipf veya windows temelli guvenlik duvarlari da cekirdek seviyesindeki zaafiyetlerden dogrudan etkilenir (once gelen kernel hook'tur neticede).

Ozunde hepsini asmak mumkundur, onceki gonderimde de anlatmak istedigim; secimleri yargilarken "neyi" kullandiklarini degil, "nasil" kullandiklarini yargilamalisin. Yetersiz gorunen secenekler enteresan kullanimlara sahip olabilir, yeterli olan seceneklerde gorundugu kadar kullanisli olmayabilir.

Fatih Ozavci [ # | 13.12.2007 ]

Senin yazdigin dedigim gibi bu konudaki insanlardan aldigim klasik cevaplardan ve yukarida neden ayni konudan bahsetmedigimizi anlatmaya calistim, asagida koplyaliyorum :


iptables bahsettigimiz konu degil zaten, iptables statik filtreleme yapar. Dolayisiyla outbound 80 açiksa o interface için açiktir. Dolayisiyla X yazilimi outbound 80 yaptiginda çalisacaktir. Ayni sistemde bir tarayici kullandiginizi düsünürseniz outbound 80 açik olacaktir ve revese shell vs. kolayca çalisacaktir.

Umarim yukaridaki yeterince aciklayicidir eger degilse daha detayli sekilde demek istedigimi aciklarim.

Ikinci olarak linux firewall implemantasyonlarindan haberdarim, iptables' a da laf soylemek zaten bana dusmez. iptables' in nelere kadir oldugunu biliyorum :)

Ama dedigim gibi windows da personal firewall olarak ifade edilen aslinda process leri kontrol eden yazilimlarla bu konsept cok daha farkli. Dolayisiyla statik kurallara dayali ve ek olarak kurallar process bazli degil.

Ferruh Mavituna [ # | 13.12.2007 ]

Sanirim burada Ferruh'un asil vurgulamaya calistigi sey kullanicinin, "Nasil olsa Linux kullaniyorum, bana birsey olmaz" edasiyla herhangi bir firewall, anti-virus, vb. kullanmamasi..

Firewall bir yana, kac kisi Linux'de anti-virus yada anti-spyware kullaniyor ki..

Evren [ # | 14.12.2007 ]

Öncelikle selamlar.. Bende sürekli olmasada ayda en az 3-4 kere siteyi takip ediyorum. Güvenlik konusunda bilgi edinmeye çalisiyorum.

Bu makalede anlatilani anlamaya çalistim. Fakat bu konuda pek basarili olamadigimi düsünüyorum. Makalede bir güvenlik açigindan bahsedilmis-yanlis anlamadiysam tabi- Bu açik hakkinda ama inanin hiç bir sey anlamadim.

Ciddi ataklar kismi sanirim kafami karistirdi.

Bende bir linux kullanicisiyim. Bu ciddi ataklarlarla bilgilerimizi, girilen form bilgilerini almalari mümkünmüdür? Mümkünse önlemi nasil alinir?
Bu sorumu cevaplarsaniz çok sevinirim.
Kolay gelsin.

Tevfik [ # | 09.01.2008 ]

Yorum Ekle





Kullanılabilir Taglar : [<blockquote>] [<strong>] [<em>]

Linux Desktop ve Güvenlik ile İlişkili Olabilecek Yazılar - Haberler

SSL Implementation Security FAQ
Windows Vista UAC Tasarımı ve Linux Riskleri
Devlet Sistemlerinin Güvenliği
Yeni Web Güvenliği Kitapları
Rgod

Diğer Yazılar

Neredeyim ?

Ferruh.Mavituna » Haberler » Linux Desktop ve Güvenlik

RSS Feed site statistics RSS Subscribers
Siteyi E-mail ile Takip Et

Ferruh Mavituna
© 2002-2007, Ferruh Mavituna

Sabit IP Adresi : 81.22.99.133, SSL Erişimi, Hakkında