• Buradasın

    Linux ve Açık Kaynak Kodlu Sistemler İçin Güvenlik Eğitimi

    youtube.com/watch?v=7L5FG_jyyPc

    Yapay zekadan makale özeti

    • Bu video, bir eğitim sunumu formatında olup, yaklaşık 2000 yılından beri Samba'da kod yazan bir uzman tarafından sunulmaktadır. Sunum sırasında katılımcıların sorularına da yanıt verilmektedir.
    • Eğitim, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi'nin Temmuz 2020'de yayınladığı güvenlik rehberine dayanarak Linux ve açık kaynak kodlu sistemler için kapsamlı güvenlik tedbirlerini ele almaktadır. İçerik, işletim sistemi güvenliği, kimlik doğrulama, erişim kontrolü, log takibi, disk şifreleme, servis yönetimi ve kurumsal güvenlik çözümleri gibi konuları kapsamaktadır.
    • Sunumda ayrıca merkezi kimlik doğrulama sistemleri, çok faktörlü kimlik doğrulama, servis hesaplarının yönetilmesi, davranış analizi, merkezi repo sunucuları, şifreli haberleşme protokolleri, zafiyet taramaları, yerel güvenlik duvarları ve zaman senkronizasyonu gibi pratik güvenlik yapılandırmaları detaylı olarak anlatılmaktadır. Son bölümde ise gelecekteki teknolojik gelişmeler (microservice tabanlı yapılar, private cloud, konteyner teknolojileri, blockchain, yapay zeka, mobil adaptasyon) hakkında bilgiler verilmektedir.
    00:01Güvenlik Rehberi ve İçeriği
    • Temmuz 2020'de yayınlanan güvenlik rehberi, açık kaynak kodlu sistemler için çeşitli başlıklar içeriyor.
    • Rehberde işletim sistemi tarafındaki sıkılaştırma tedbirleri, varlık gruplarına yönelik güvenlik tedbirleri gibi bölümler bulunuyor.
    • Rehber, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi veya kamu kurumlarına minimum beklenen güvenlik standartlarını belirtiyor.
    00:37Rehberin İçerdiği Konular
    • Üçüncü başlıkta "Varlık Gruplarına Yönelik Güvenlik Tedbirleri" adı altında işletim sistemi ve ağ güvenliği konuları ele alınıyor.
    • Üçüncü bölümdeki 31.12 maddesi, işletim sistemi güvenliği için önemli kuralları içermektedir.
    • Üçüncü bölümde ayrıca uygulama ve veri güvenliği ile ilgili detaylı bilgiler bulunmaktadır.
    01:47Güvenlik Tedbirleri ve Uygulamaları
    • Beşinci bölümde genel sıkılaştırma tedbirleri, işletim sistemi fark etmeksizin uygulanabilir.
    • Linux işletim sistemi için özel sıkılaştırma tedbirleri de sunulmaktadır.
    • Bu notlar eğitimden sonra Türkiye Bilişim Derneği tarafından paylaşılacak ve referans olarak kullanılabilir.
    02:45Erişim Kontrol Politikası
    • Her sistemde erişim kontrol politikası oluşturulması ve uygulanması gerekmektedir.
    • Kimlik doğrulaması ve erişim yönetimi, kamu kurumları için geçerli olan bir durumdur.
    • Denetim yöntemi ve önerileri kısmında, mülakat, gözden geçirme, güvenlik denetimi ve sızma testi gibi yöntemler kullanılır.
    04:13Erişim Kontrol Politikası Detayları
    • Erişim kontrol politikasında en önemli nokta, kimliklerin merkezi bir yerden otantike edilip edilmediğidir.
    • Kullanıcı parolaları için güvenlik isterleri ve kriterleri olmazsa olmaz bir şekilde ayarlanmalıdır.
    • Hesap yönetiminde, hesap açma yetkisi, yetki yükseltme ve başarısız oturum açma denemelerinin yönetimi önemlidir.
    05:47Güvenlik Önlemleri
    • Başarısız oturum açma denemelerinin nasıl yönetildiği, özellikle brute force ataklarda önemlidir.
    • Varsayılan kullanıcıların (administrator, root) parolalarının mutlaka değiştirilmesi gerekir.
    • Sistem yöneticilerinin sistem yönetimsel işleri yapmak için ayrı hesap kullanması ve yetkilerini yükseltmesi önemlidir.
    07:53Kimlik Doğrulama Mekanizmaları
    • Kurum kaynaklarına erişimde kullanılan kimlik doğrulama mekanizmalarının önemlidir.
    • Kimlik doğrulama mekanizmalarının bazıları eski teknolojiler olduğu için güvenlik açıklarına yol açabilir.
    • Kimlik doğrulama mekanizmaları, gerçek hayattaki kilit anahtar ilişkisi gibi tasarlanmalıdır.
    09:53Kimlik Doğrulama Sistemleri ve Uyumluluk
    • Yeni kimlik doğrulama sistemine geçiş yaparken, istemcilerin de bu yeni teknolojiyi desteklemesi gerekir.
    • Kimlik doğrulama mekanizmasının güçlü olması yeterli değildir, kullanıcı yetkililerinin düzenli olarak güncellenmesi ve gözden geçirilmesi gerekir.
    • Kurum dışı paydaşların uzaktan erişimi için verilen araçlar çok önemlidir.
    11:14Yönetici Hesapları ve Merkezi Kimlik Doğrulama
    • Yönetici hesaplarının işletimi her konuda daha iyi olmalı ve kurumda envanterinde tutulmalıdır.
    • Merkezi kimlik doğrulama sisteminin tekil kaynaklı (single sign-on) olması, tüm bilgisayarları merkezden yönetme imkanı sağlar.
    • Betik dilleri kullanıma yönelik erişimlerin sınırlandırılması önemlidir, özellikle konfigürasyon yönetim araçlarında.
    12:45Çok Faktörlü Kimlik Doğrulama ve Güvenlik Tedbirleri
    • Çok faktörlü kimlik doğrulama (2FA) kullanımı önerilir ve piyasada çeşitli ürünler bulunmaktadır.
    • Servis hesaplarının merkezi kimlik uygulamalarından veya otantikasyon üzerinden yönetilmesi gerekir.
    • Sistem yöneticilerinin ve görevlilerinin güvenliği ve parola güvenliği parola politikaları ile sağlanmalıdır.
    14:24Yeni Nesil Kurumsal Kimlik Uygulamaları
    • Yeni nesil kurumsal kimlik uygulamalarında rol tabanlı yetkilendirme ve iki yetki denetimi yapılmalıdır.
    • Web tabanlı kullanıcı yönetim aracı kullanılmalı ve mevcut kullanıcı bilgilerinin yeni sistemlere aktarılabilmesi gerekir.
    • Kimlik doğrulaması uygulaması sadece Windows veya Apple makinalarını değil, Rancher, Kubernetes ve diğer sunucuları da kapsayabilir.
    16:46Davranış Analizi Temelli Kimlik Doğrulama
    • Kullanıcının davranış analizi önemlidir, her kullanıcının kendi davranış modeli oluşturulmalıdır.
    • Davranış analizi için bir SIEM aracı yerine, machine learning algoritması ile kullanıcıya özel davranış modeli oluşturulmalıdır.
    • Kullanıcıların login saatleri, hatalı parola girişleri gibi davranış bozuklukları tespit edilmelidir.
    19:43Genel Sıkılaştırma Tedbirleri
    • Kurum güvenliği için medyanın imza bütünlük değerinin kontrol edilmesi gerekir.
    • Servis güvenliği için sistem üzerindeki servislerin kontrol edilmesi ve gereksiz servislerin kapatılması önemlidir.
    • Servislerin merkezi yönetimi için Lider Ahenk, Liman, Sol Stack, Kokpit gibi yazılımlar kullanılabilir.
    21:58Merkezi Yönetim ve Güvenlik Araçları
    • Souls Stack, Coltpic ve Puppet gibi açık kaynak kodlu yazılımlar, diğer sunucular ve masaüstü işletim sistemlerindeki servisleri merkezi olarak kontrol etmenizi sağlar.
    • Güncel işletim sistemi ve uygulamaları kullanmak için repolar çok önemlidir; Windows için Microsoft ürünleri, Linux için ise merkezi repo sunucuları kullanılabilir.
    • Şifreli haberleşme (TLS, SSL) kullanmak gerekir; desteklenmiyorsa SSH ile güvenli tünel açarak veriyi şifreli olarak iletebilirsiniz.
    25:18Güvenlik Politikaları ve Araçlar
    • Son kullanıcı bilgisayarlarında ağ erişiminin kısıtlanması genellikle merkezi güvenlik duvarı üzerinden yapılır, özel durumlarda ise Lider, Rahk ve Liman gibi ürünlerle yerel firewall tetiklenebilir.
    • Hata ve sorun bilgilerinin üretici ile paylaşılması tehlikelidir çünkü debug mesajları işletim sistemi hakkında hassas bilgiler içerir.
    • Sunucu tarafında kablosuz ağ arayüzlerinin kapatılması gerekir; Linux'ta bunu "wifi off" komutuyla yapabilirsiniz.
    27:27Güvenlik Taramaları ve Zaman Senkronizasyonu
    • Düzenli zafiyet ve zararlı yazılım taramaları yapılmalıdır; Kali Linux, Metasploit Framework ve Nessus gibi araçlar en çok kullanılanlar arasındadır.
    • Otomatik tarama araçlarının sonuçları doğrulanmalıdır, çünkü belli versiyonlara göre raporlar çıkarabilir.
    • Sunucularda zaman senkronizasyonu özellikle kimlik doğrulama için önemlidir; Active Directory, LDAP, Samba gibi sistemlerin algoritmaları zamana bağlı çalışır.
    29:21Güvenli İşlem Yükleme ve Güvenlik Önlemleri
    • Data Execution Prevention (DEP) ve Adres Space Layout Randomization (ASLR) Linux'ta doğal bir parçasıdır ve ek ürün satın almadan kullanılabilir.
    • Kullanılmayan uygulamaların kaldırılması önemlidir; bunlar boşuna güvenlik açıkları oluşturabilir.
    • IPv6, Türkiye'de 2010'ların sonlarına doğru popüler olmuş ancak tam geçiş yapılmamıştır; Linux'ta bunu kapamak için /etc/grub dizininde "ipv6 disable" parametresi eklenmesi yeterlidir.
    33:54Sistem Kayıtlarının Aktif Edilmesi
    • Sistem kayıtları, Linux'ta genellikle /var/log dizininde toplanan ve sistemin bıraktığı logları takip etmeyi sağlar.
    • Syslog, syslog-ng ve rsyslog gibi servisler log almasını sağlar, bunların en bilineni syslog'tur.
    • Syslog-ng, Macar Balabit firması tarafından geliştirilmiş ve Balabit'in One Identity tarafından satın alındığından Ballas olarak devam etmektedir.
    34:51Syslog Alternatifleri ve Özellikleri
    • Syslog-ng, syslog'a göre çok daha hızlı paket basabilir, saniyede bir milyona kadar log dosyası gönderebilir.
    • Syslog-ng ve syslog gibi yazılımlar yerel logları tuttukları gibi, uzaktaki sunuculara da gönderirler.
    • Syslog-ng'yi merkezi bir sunucuda toplama aracı haline getirmek için -r parametresi ile çalıştırabilirsiniz.
    36:39Merkezi Kimlik Yönetimi ve Sunucu Servisleri
    • Merkezi kimlik yönetimi servisinin kullanılması genel sıkılaştırma tedbirleri içerisinde yer alır.
    • Sunucularda çalışan servislerin takibi, sistem ve servis komutları ile kontrol edilebilir.
    • Linux kurulumunda default kurulum yerine minimum kurulum yapılması, gereken servisleri sonradan eklemek önemlidir.
    38:46Sunucu Kurulumu ve Güvenlik
    • Sunucularda grafik arayüzü gibi gereksiz bileşenler yüklenmemelidir, bu sistem kaynaklarını boşu boşuna tüketir.
    • Linux üzerinde sistem yönetimi yapacaksanız mutlaka bir Linux eğitimi alınmalıdır.
    • Bilgisayar tabanlı saldırı tespit ve engelleme sistemlerinin kullanılması önemlidir.
    41:36Güvenlik Önlemleri ve Disk Yönetimi
    • Linux çekirdeğinde entegre güvenlik önlemleri vardır ve Linux ARM gibi araçlar kullanılabilir.
    • Disk kotalarının belirlenmesi artık çok yaygın değildir, disk bölümlerini doğru ayırmak daha pratiktir.
    • Disk seviyesinde şifreleme yapılması yüksek güvenlikli sunucularda gereklidir, ancak sistem performansını düşürebilir.
    46:13Linux Paket Kurulumu ve Güvenlik
    • Linux işletim sisteminde özgü sıkılaştırma tedbirleri sekiz maddeden oluşmaktadır.
    • Paket kurarken tedirgin olmamak için önce paketi açıp içeriğini incelemek önemlidir.
    • Linux POSIX uyumlu bir işletim sistemidir ve aynı mimaride derlenmiş dosyalar başka işletim sistemlerinde de çalışabilir.
    47:32Paket İnceleme Yöntemleri
    • Paketlerde yüklemeden önce ve sonra işletim sisteminde yapılacak işlemler, dosyaların kopyalanacağı yerler gibi bilgiler bulunmaktadır.
    • Midnight Commander (mc) gibi araçlar kullanılarak paket içeriği rahatlıkla görüntülenebilir.
    • Bilinmeyen paketler için sanallaştırılmış bir Linux üzerinde davranışları incelenip test edilebilir.
    49:29Dosya Sistemleri ve Güvenlik
    • Linux işletim sistemi default kurulumlarda yaklaşık otuz dosya sistemini destekler.
    • Kullanılmayan dosya sistemlerinin pasif hale getirilmesi için modüller kapatılabilir.
    • Dosya sistemlerinin listesi "ls /proc/filesystems" komutuyla görüntülenebilir.
    51:37Yetkili Kullanıcı Yönetimi
    • Linux'ta yetkili kullanıcı root'tur ve kullanıcı ID'si sıfırdır.
    • Root yetkileri doğrudan veya "su" komutuyla alınabilir.
    • Root yetkilerine sahip kullanıcılar için "/etc/sudoers" dosyası kullanılarak hangi komutların hangi dizinlerde çalıştırılacağı belirlenebilir.
    53:42Dosya Sistemleri ve Haklar
    • Linux işletim sistemlerinde dosyalara okuma, yazma, çalıştırma ve sticky bit gibi dört hak vardır.
    • Sticky bit, dizinlere verilebilir ve orada herkes dosya yazabilir ancak başkasının dosyasını silemez.
    • Bazı dosyalar (örneğin "sudo") mutlaka root haklarıyla çalıştırılır.
    55:51Güvenli Disk Bölümleme
    • Güvenli disk bölümlendirme, kullanıcılara belirli disk kotalarının verilmesi anlamına gelir.
    • Diskin her bölümü (loglar, kullanıcılar, programlar) doğru boyutta ve formatta ayrılmış olmalıdır.
    56:20Güvenlik Önerileri
    • Otomatik eklem özelliği (mount) pasif hale getirilmeli, böylece CD, DVD ve USB sürücüler otomatik olarak bilgisayara bağlanmaz.
    • Dosya sistemi bütünlük kontrollerinin düzenli olarak yapılması ve rutkitlere karşı yazılımların kullanılması önerilir.
    • GRUB ön yükleyici ayarlarının doğru yapılandırılması önemlidir.
    58:31Güvenlik Özellikleri
    • UEFI ve Secure Boot kullanılarak işletim sisteminin botuyla BIOS içerisindeki anahtarın uyuşmazlığı durumunda sistem çalışmayacaktır.
    • Zorunlu erişim kontrolü aktif hale getirilmeli, bu sayede root bile olsa erişim yetkileri kısıtlanabilir.
    • Linux'ta ROSEBEY Access Control gibi araçlarla erişim kontrolü yapılabilir.
    1:00:21Kurumsal Çözümler
    • Kurumsal dizi uygulamaları için Microsoft çözümleri, AYB ve yerli ürünler Ahenk, Sabox gibi çözümler mevcuttur.
    • Açık kaynak kodlu alternatifler olarak Samba, OpenUP, Apache Direct, OpenDJ gibi projeler bulunmaktadır.
    • Merkezi yönetim yazılımları için IBM Mengenin, Microsoft ve yerli ürünler Liman, Lider Ahenk gibi çözümler mevcuttur.
    1:02:04Gelecekteki Teknolojiler
    • Gelecekte microservice tabanlı yapılar, IoT ve mobil araçlar için daha az kaynak kullanarak daha çok modlama yapılacaktır.
    • Private cloud ve hyperconverge çözümleri, konteyner yapıları ve software define storage'lar yaygınlaşacaktır.
    • Rancher gibi açık kaynak kodlu araçlar, tüm kaynakları merkezi olarak izleyebilir ve takip edebilir.
    1:03:44Yakın Gelecekteki Değişiklikler
    • İnsanlar daha az yüz yüze gelecek ve blockchain teknolojisi kullanarak ispat temelli sistemler yaygınlaşacaktır.
    • Yapay zekanın monitör ve response alanında daha çok gelişmesi bekleniyor, CM yazılımları yapay zeka destekli sistemler tarafından değiştirilecektir.
    • Masaüstü donanımlar komple değişecek, cep telefonları kişisel bilgisayarlar haline gelecek ve veriler cloud üzerinde duracaktır.
    1:07:00IoT Sistemleri ve Kapanış
    • IoT sistemleri için K3S kullanılabilir, bu Kubernetes'in light bir dağıtımıdır.
    • Rancher ile IoT sistemleri yönetilebilir.
    • Eğitim notları ve sunumlar web sayfası, sosyal medya ve Türkiye Bilişim Derneği'ndeki yetkili arkadaşlar aracılığıyla paylaşılacaktır.

    Yanıtı değerlendir

  • Yazeka sinir ağı makaleleri veya videoları özetliyor