Linux sunucu güvenliği, Güvenlik Optimizasyonu

0 4.457

Yeni konu paylaşıldığı takdirde anlık olarak bilgilendirileceksiniz.

Cpanel,Plesk,Virtualmin,Webmin,CWP felan filan daha ismini sayamadığım bir çok hosting yönetim paneli mevcut fakat gerçekten en mantıklısı CWP gibi geliyor bana. Üstte saydıklarımın hepsini kullandım hepsinin kendine özel sorunları var. Cpanel’in son sürümlerinde bir çok şeye izin vermeme sorunu var güncellemeden sonra nginx eklentisini sunucuya sanalda yayılan şekilde kuramıyorsun. Kolaya kaçmak için ingilizce kaynaklarada baktım kurulum için eklenti var mı diye bir gördüğüm ENGİNTRON diye birşey var ama ya ben kuramadım yada cpanel son bir güncelleme ile onuda deaktif etti sonunda apache nin içinden geçerek silerek 2 saat içinde nginxi yükledim ama dedim ben bununla uğraşamam dedim sonra en ufak hatada lisans sorunu olacak o olacak bu olacak.

 

Bizim bu konumuz optimizasyona ile ilgili yıl olmuş 2018 artık shell mhell diye birşey kalmadı, o yüzden lamerden esirgenme oranınız daha yüksek.
Cpanel bu konuları artık pek düşünmüyor ama çünkü Onların CAGEFS si var.Cagefs si olmasına rağmen serverda open basedir çatır çutur geçiyor. Oda chmod ayarları yüzünden. Bu konudan sonra hala forumlarda Cpanel güvenlik optimizasyonu işleri yapıp kendinizi salak yerine koydurmayın. fazla paranız varsa benim ibana atabilirsiniz ben sizin parayı saklarım

Konuya gelirsekte size bu konumda dizin izinlerini ayarlamayı , Apache optimizasyonu ve PHP.ini konfigurasyonu göstericem.

İlk önce şu heçkırların sürekli cgi çalıştırmasını ve lamerlerin klasör klasör gezip shell araması yada herhangi bir açık aramasını engelleyecek optimizi bir yapalım.

Burda yapmanız gerekenler arasında en önemlisi ExecCGI ve Indexes bunları bence kesin kapatmalısınız. Diğerlerininde her birinin bypass yöntemlerinde kullanıldığı yerler var ben gerekli olanları açık gereksiz olanları kapalı bıraktım.

+ açık demek.

– kapalı demek.

HTTPD.conf Optimizasyonu

<Directory "/">
Options -ExecCGI -FollowSymLinks -Includes +IncludesNOEXEC -Indexes -MultiViews +SymLinksIfOwnerMatch
AllowOverride All
</Directory>

sonra httpd.conf dosyanızda alttaki veriyi bir aratalım

AddHandler cgi-script .cgi .pl .plx .ppl .perl

bulduğunuz veriyi alttaki ile değiştirin.

#AddHandler cgi-script .cgi .pl .plx .ppl .perl .mka .alfa .po .ho .cin

 

Bu yaptığımız uzantı filtresidir, adam uzantıyı değiştirerek yine deneyebilir ama çoğu kişi shellin çalışmadığını görüp bırakır dahada ilerlemez.

Şu sahiplere de bir parmak atalım

Perl ve pythona root izni verelim.

chown root:root `which perl`
chown root:root `which python`

 

Apache dizin geçişlerini kapatma

Birde şu izinleri open basedir sorununu çözelim dizinler arası geçişi kapatalım bir.

chmod 700 /bin/dmesg
chmod 700 /bin/mount
chmod 700 /bin/rpm
chmod 700 /usr/bin/write
chmod 700 /usr/bin/talk
chmod 700 /usr/bin/ipcrm
chmod 700 /usr/bin/ipcs
chmod 700 /usr/bin/free
chmod 700 /usr/bin/locate
chmod 700 /usr/bin/wall
chmod 700 /usr/bin/finger
chmod 700 /sbin/arp
chmod 700 /sbin/ifconfig
chmod 700 /usr/sbin/repquota
chmod 700 /usr/sbin/tcpdump
chmod 700 /usr/bin/wget
chmod 700 /usr/bin/lynx
chmod 700 /usr/lib/bcc/bcc-cc1
chmod 700 /usr/bin/perlcc
chmod 700 /usr/bin/bcc
chmod 700 /usr/bin/cc
chmod 700 /usr/bin/gcc
chmod 700 /usr/bin/who
chmod 700 /usr/bin/w
chmod 711 /
chmod 711 /home
chmod 711 /etc
chmod 711 /var
chmod 711 /usr/etc
chmod 711 /usr/local/etc
chmod 711 /var/log
chmod 711 /sbin
chmod 711 /usr/sbin
chmod 711 /usr/local/sbin
chmod 0755 /usr/bin/
chmod 700 /usr/libexec/openssh/sftp-server


cd /bin  
chmod 755 bash  
chmod 755 pwd  
chmod 755 sh
chmod 755 cat
chmod 755 head

 

PHP Engellenecek fonksiyonlar

Bazı serverlara bakıyorum 80 tane fonksiyonu engellemişler lan php de zaten 100 fonksiyon var bu durumda senin sunucunda php çalışmıyor php desteğim yok de bari. Gerçekten gerek yok genellikle açıklar insan faktöründe olur sunucuda olmaz ama engellemeniz gereken fonksiyonları aşağıda belirtiyorum.

 

symlink,system,posix_getpwuid,posix_getpwnam, passthru, exec , shell_exec , posix_setuid, copy

Gerçekten öyle önünüze her gelen fonksiyonu engellemekle birşey yapamazsınız zaten php den symlink fonksiyonunu engellersen pythondan symlink çekerler.Sizin için en önemlisi dizin izinleri. onları ayarlarsanız sıkıntı yok bir bok yapamazlar sitenize exploitiniz bulunmazsa tabi.

 

 

Bu optimizasyon sizi tabikide %100 korumayacaktır ama hiç yoktan hergelen geçenin sunucunuza parmak atmasını engelleyeceksiniz. Bunun daha fazlasını anlatırsam r10dan büyük ihtimal işimizi çürüttün diyip linç yiyebilirim kimsenin ekmeğine karışmayalım zaten bu konu bile bence yeterli bir konu.

Kısa süre içinde veritabanı optimizasyonu ve hangi hosting yönetim panelini kullanmalısınız onu anlatıcam.

 

 

 

Yeni konu paylaşıldığı takdirde anlık olarak bilgilendirileceksiniz.

Cevap bırakın

E-posta hesabınız yayımlanmayacak.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More

Privacy & Cookies Policy