Unix Genel Güvenlik Bilgileri

Unix Isletim Sisteminde Guvenlik

Bilgisayar aglari ve ozellikle Internet, kullanicilara buyuk olanaklar verirken ciddi guvenlik sorunlarini da beraberinde getirdi. Aga bagli bir bilgisayarda calisanlarin bu guvenlik sorunlari konusunda bilgili olmalari zorunlu hale geldi. Ancak guvenlik ile kullanim kolayliginin cogu zaman birbirleriyle celismesi ve kullanicilarin secimlerini genellikle kullanim kolayligindan yana kullanmalari guvenlik onlemlerinin yerlesmesini engelledi. Bu yazi, akademik ortamlarda yaygin olarak kullanilan Unix isletim sisteminde sistem sorumlularina guvenlik icin yapabilecekleri konusunda yol gostermek ve kullanicilara tehlikeleri tanitmak amaciyla hazirlanmistir.




1. Parolalar


Cok-kullanicili isletim sistemlerinde kullanicinin kimliginin belirlenmesi buyuk onem tasir. Hem sistemi kullanmaya yetkisi olmayan kisilerin sisteme girmelerinin engellenmesi, hem de sistemdeki kullanicilarin birbirlerinden ayirdedilebilmeleri icin, her kullaniciya bir parola verilir ve sisteme giris basta olmak uzere tum kritik islemlerde kullaniciya parolasi sorulur.
Parolalar, diger kullanici bilgileriyle birlikte, parola dosyasinda (/etc/passwd) tutulur. Bu dosyadaki her satir, bir kullanici ile ilgili bilgileri saklar. Bir satirdaki alanlar, sirasiyla, kullanici adi, parola, kullanici numarasi, grup numarasi, ad, kisisel dizin ve komut yorumcusudur. Ornek:

uyar:QJ8Dnwg7zfz6c:101H. Turgut Uyar:/home/uyar:/bin/csh Bazi uygulamalarin parola dosyasinin bazi alanlarina erismeleri gerektiginden parola dosyasi, sistemdeki butun kullanicilar tarafindan okunabilecek bir dosya olmalidir. Bu nedenle parolalar bu dosyaya acik halde degil, sifrelenerek yazilirlar. Ornekteki parola alani, "inettr96" parolasinin sifrelenmesiyle elde edilmistir. 1.1. Parolalarin Sifrelenmesi


Parolalar, Data Encryption Standard (DES) algoritmasini temel alan crypt fonksiyonu ile sifrelenir. DES, 64 bitlik bir giris blogunu, 56 bitlik bir anahtar ile sifreleyip yine 64 bitlik bir sonuc uretir. crypt ise parolayi anahtar olarak kullanarak sabit bir giris blogunu sifreler. Giris blogu, uzerinde bazi degisiklikler yapilmis bir DES algoritmasindan ardarda 25 kere gecirilerek 64 bitlik bir sonuc elde edilir. Yontemin guvenilirligini artirmak icin, sistem tarafindan rasgele uretilen, 12 bitlik bir tuz (salt) sayisi kullanilir. Boylece ayni parolanin 4096 degisik sekilde sifrelenebilmesi saglanir.

Click this bar to view the full image.

crypt fonksiyonunun giris ve cikislarinin bastirilabilir karakter katarlari olmasi icin bazi donusturmeler yapilir. 56 bitlik parola disaridan yaklasik 8 karakter, 12 bitlik tuz da 2 karakter olarak alinir. Sonuc bilgisi 64 bitlik bir diziden 11 karakterlik bir katara cevrilir. Bu sonuc, basina tuzun da eklenmesiyle, 13 karakterlik bir katar olarak parola dosyasina yazilir.
Parola denetimi yapilirken ayni fonksiyondan yararlanilir. Kullanicinin girdigi parola ile dosyadan okunan tuz fonksiyona verilir ve cikan sonucun dosyadaki parola alani ile ayni olup olmadigina bakilir. Ayni ise parolanin dogru oldugu kabul edilir.

Click this bar to view the full image.

Parola yonteminin guvenilirligi, sistemdeki kullanicilarin parola seciminde gosterdikleri ozene baglidir. Kolay akilda kalacak parolalar, cogu zaman kolay tahmin edilebilir. Buna karsilik, zor tahmin edilebilen parolalar da kullanicilarin akillarinda kalmayabileceklerinden bir yere yazmalarina ve boylece yeni tehlikeler olusturmalarina zemin hazirlayabilir.
Su tip parolalar kolay tahmin edilebilen parolalar sayilmaktadir:

* Kullanici ile yakinligi olan kisilerinkiler (kendisi, ailesi, arkadaslari, yakinlari) basta olmak uzere butun erkek ve kadin isimleri
* Dogum tarihleri
* Kullanici ile ilgili herhangi bir bilgi (kullanici adi, oda numarasi, telefon numarasi, arabasinin plaka numarasi, sosyal guvenlik numarasi)
* Yer isimleri
* Bilgisayar terimleri
* Klavyede belli bir duzene gore ardarda gelen harflerden olusan parolalar (qwerty)
* Anlamli bir sozcuk
* Yalnizca kucuk (ya da yalnizca buyuk) harflerden olusan parolalar
* Yukaridakilerden birinin basina ya da sonuna bir rakam eklenerek olusturulan parolalar
* Yukaridakilerin ters yazilislari

Iyi bir parola uretmek icin onerilen iki yontem vardir:

* Iki sozcugun aralarina bir rakam ya da noktalama isareti konarak birlestirilmesi
* Secilen bir cumlenin sozcuklerinin bas harfleri

1.3. Tehlikeler

Parola dosyasina erisimi olmayan bir saldirgan, hedef sectigi bir kullanicinin parolasini deneyerek bulmak zorundadir. Olasi butun parolalarin coklugu gozonune alinirsa bu tip bir saldirinin etkisiz olacagi dusunulebilir. Ancak, cogu sistemde, parolasi bos olan, kullanici adiyla ayni olan ya da sistem sorumlusunun gecici olarak verdigi basit parolayi degistirmeyen kullanicilarin sayisi azimsanamayacak duzeydedir. Bir tek kullanicini bile parolasinin elde edilmesi sisteme giris icin yeterli oldugundan guvenlik acisindan buyuk sorunlar yaratabilir.
Saldirgan, parola dosyasinin bir kopyasini alabilirse isi oldukca kolaylasir. Hem cok daha hizli calisabilir, hem de hedef sistemin sorumlusunun dikkatini cekmek tehlikesinden kurtulur. Bir saldirganin parola dosyasini eline gecirmesi birkac sekilde mumkun olabilir:

* Bir kullanicinin parolasini elde ederek sisteme girer ve dosyayi alir.
* Bazi programlardaki hatalardan yararlanarak sisteme girmeden dosyayi alir.
* Sistemdeki bir kullanici parola dosyasini saldirgana gonderir.
* Saldirgan, sistemdeki kullanicilardan biridir.

Bir parola dosyasindaki parolalari kirmaya calisan cesitli yazilimlar bulunmaktadir. Bunlarin en etkililerinden ve en yaygin kullanilanlarindan biri Crack isimli programdir. 1.4. Onlemler


Parola guvenliginin en onemli sarti, basta sistem sorumlulari olmak uzere, butun kullanicilarin iyi parola secmenin onemini kavramalaridir. Herkes, parolasinin yetkisiz birinin eline gecmesi durumunda kendisi ve diger kullanicilar acisindan olusan tehlikeleri anlamalidir. Nelerin kotu parola oldugu ve nasil iyi parola secilebilecegi konusunda kullanicilar egitilmelidir. Bu kosul gerceklesmedikce asagida sozu gecen onlemlerin cogu da basarisiz olacaktir.
Parola Seciminin Kullaniciya Birakilmamasi

Parolalar, sistem sorumlusu tarafindan ya da rasgele parola ureten bir program tarafindan secilerek verilir ve kullanicilara parolalarini degistirme hakki taninmaz. Bu yontem, iyi parolalar uretmekle birlikte, kullanicilarin akillarinda tutamayacaklari parolalari bir yere yazmalarina neden olur. Parola ureten programlar icinde en yaygin kullanilanlarindan biri mkpasswd programidir.
Parola Seciminin Kisitlanmasi

Kullanicinin kotu oldugu bilinen bir parola secmesi engellenir. Bunun icin, verilen parola uzerinde bazi denetlemeler yapan programlar bulunmaktadir. Sikca onerilenlerden biri anlpasswd paketidir.
Parola Dosyasinin Sistem Sorumlusu Tarafindan Kirilmasi

Sistem sorumlusu, zaman zaman, parola dosyasini Crack tipi bir program ile tara***** zayif parolalari arar. Buldugu zayif parolali kullanicilarin hesaplarini kilitler.
Parolalarin Gecerlilik Surelerinin Kisitlanmasi

Yeterince *** degistirilmeyen parolalar, kuvvetli de olsalar, saldirgana aramak icin daha uzun zaman tanidiklarindan tehlike yaratirlar. Bu nedenle, parolalarin belli bir sure sonunda gecerliliklerini yitirerek yeni bir parola verilmesi zorunlulugu getirilebilir. Ancak bu yontem, ancak kullanicilarin iyi niyetiyle etkili olabilir. Genelde kullanicilar, bu yontemin uygulandigi yerlerde, birkac parola secerek surekli bunlarin icinde donmek ya da bir sozcugun sonuna ekledikleri rakami her seferinde artirarak yeni parolalarini belirlemek egilimindedirler. Boyle yapildigi surece, guvenligin fazla arttigi soylenemez.
Golge Parolalar

Parola dosyasinin bazi alanlarinin herkes tarafindan okunabilir olmasi gerekse de, parola alaninin herkes tarafindan okunabilir olmasi gerekmez. Bu nedenle, sifrelenmis parolalar ancak sistem sorumlusunun okuyabilecegi bir dosyaya alinabilir. Parola dosyasindaki parola alanina herhangi bir bilgi yazilirken (kullanici adi, * isareti gibi), golge dosyasina (/etc/shadow) sifrelenmis parolalar konur.
Shadow Password Suite isimli program, hem golge parola sistemini getirir hem de parolalarin gecerlilik surelerinin kisitlanmasini saglar. 2. Dosya Guvenligi


Her dosyanin bir sahibi, bir de grubu vardir. Dosya uzerinde kimin hangi islemleri yapabilecegine dosyanin sahibi olan kullanici karar verir. Erisim haklari, dosyanin sahibi, grubu ve digerleri icin ayri ayri belirtilir. Her biri icin dosyanin okunmasina (read), yazilmasina (write) ve calistirilmasina (execute) izin verilebilir. Boylece her dosya icin uc tane ucluden olusan bir erisim haklari listesi elde edilir. Birinci uclu dosyanin sahibinin, ikinci uclu dosyanin grubunun, ucuncu uclu digerlerinin haklarini gosterir. Her uclunun birinci alani okuma, ikinci alani yazma, ucuncu alani calistirma izninin bulunup bulunmadigini gosterir. Ornekteki ``dene'' dosyasinin sahibi "uyar" kullanicisi, grubu "users" grubudur. "uyar" kullanicisi dosyayi okuyabilir, yazabilir ve calistirabilir; "users" grubundaki kullanicilar okuyabilir ve calistirabilir; diger kullanicilarin ise hicbir hakki yoktur.

-rwxr-x--- 1 uyar users 4030 Dec 4 15:30 dene Kataloglar icin de ayni erisim haklari modeli gecerlidir. Bir katalog uzerindeki okuma izni katalogdaki dosyalarin listesinin alinip alinamayacagini, yazma izni katalogda yeni bir dosya yaratilip yaratilamayacagini, calistirma izni de o kataloga gecilip gecilemeyecegini belirler. Yetkili kullanicinin (root) butun dosyalar ve kataloglar uzerinde butun islemleri yapma yetkisi vardir. 2.1. Tehlikeler