From: Serdar KOYLU (serdarkoylu@yahoo.com)
Date: Wed 27 Jun 2001 - 23:59:24 EEST
Selamlar...
Hocam, gene ayni seyi soyleyip, muhalefet ediyoruz ki, bunlar benim anlatma
kabiliyetimin eksikliginden, farkediyorum, ozur dilerim. Oncelikle elinizde
linux+apache varsa, bunu ve/veya diger seyleri yapmaniz cok kolaydir.
Elbette... Apache'nin icine dalariz, kodu guzelce degistirir, canimiz nasil
istiyorsa ona gore guvenlik uygulamasi koyariz. Inanin bunun icin gereken
degisiklik 50-60 satir civarinda olur, acip bakmadim ama oyle tahmin ediyorum.
Belki yanilabilirim de... Cunku Apache'yle pek isim olmuyor, arada html
documanlari okumak icin kullaniyorum :((. Sivas'ta WEB server kurup isletecek
bir yada iki muessese var, onlarda E.M.L.'ye sayfa yaptirip bir yerlerde host
ettirmeyi tercih ediyor.
Sonrasina gelince, simdi bir guvenlik sorunu var. Belli bir IP'den gelenler
kabul edilecek. Bunun en etkili yolu, firewall'a bir deny all / accept
IP-Subnets gibi bir sey koyariz. Ama bunu yapamayiz, cunku, baska adreslerden
http cagrilarinin bir sifre ile auth. edilmesi gerekiyor. Bu zor olan konu.
Ilk akla gelen, transparent squid'i koyariz, acl'leri yazariz.. Ama squid
transparent calisirken auth yapmiyordu, yanlis hatirlamiyorsam. Firewall
olarak auth yapabilen bir uygulama kullanabiliriz. Ama boyle bir seye bir kere
ihtiyacim oldu, gittim masq. kodunu degistirdim, NCSA auth. yapar hale
getirdim. Ayni kodu input chain icin ekleseniz, ayni sekilde is yapabilir.
Belki boyle bir firewall hazir vardir, ama ben bilmiyorum. Bir ara freshmeat
vs. indexlerini biraz eseleyeyim, belki bir seyler bulurum. Bence, kendime
lazim olsa, bu kadar ugrasmaktansa tcpwrappers uzerinden bile boyle bir sey
halledilebilir, cunku muhtemel library uyusmazliklari, kernel uyusmazliklari
vs. cikarsa cok sac bas yoldurabilir. Peki bu ne kadar etkili olur ? Mesela
2.4.5 kernelde bir bug bulunur, tamda yamadiginiz modulde, oturun tekrar
yazin. Zor gorunuyor. O zaman geriye kalan uygulama seviyesinde, yani web icin
bir duzenleme yapmak. Sanirim herkes, bir kullanici icin en iyi yolun bu
olacagini gorecektir. Sitenin hepsini /site/ diye bir cgi'den gecirirsiniz. Bu
cgi icinde dilediginiz gibi erisim kontrolu koyarsiniz, session, cookie gibi
kavramlar bu isler icin var. Belki en iyi guvenligi saglamaz fakat yeterince
is gorur. En iyi tarafida guvenlik icin standart firewall yapilandirmasini
bozmadan, tipik kurallar, telnet yapilmasin gibi, kalir. Karisik Apache
konfigurasyonu gerekmez. Tum dikkat web content'e verilir. Ayrica icerik
uzerinden bu testleri saglamak daha kolay bulunur, ftp sitesi ve/veya
kafalarda..
Hocam, arada kacamak yapip maillere cevap yazarken, oyle uzun boylu dusunmek,
derleyip toparlamak firsati olmuyor. Bu nedenle bazen konuyu tam
irdeleyemiyorum. Evde oglanin power butonuna ve fareyle telefon etmeye olan
meraki da kafayi dagitmaya yetiyor. Bu sebeple boyle ustu kapali cok fazla
vurgulayamadan dokuyoruz etegimizdekileri, cok bir seyde bilmiyoruz zaten ama
boyle kafa bulandirdigimiz SIK SIK oluyor. Bu sebepten, sahsinizdan ve tum
sevgili liste sakinlerinden ozur diliyorum. Zaten tek bildigim, hala hic bir
sey bilmedigim, boyle tartisa tartisa bir seyleri tazelemek, ogrenmekte lazim
oluyor. Yoksa burada bir yil sonra birakin linux'u, kernel kodlamayi filan,
size "login cikti nereye tiklayayim ?" diye soran bir Serdar KOYLU kalacak.
Windows ve LOGO tarafindan dehsetli bir sekilde kusatilmis durumdayim. Artik
hosgorunuze siginiyorum. Umarim bagislarsiniz...
Saygi ve sevgiler..
-----Özgün İleti-----
Kimden: Burak DAYIOGLU <dayioglu@metu.edu.tr>
Kime: linux@linux.org.tr <linux@linux.org.tr>
Tarih: 27 Haziran 2001 Çarşamba 20:55
Konu: [Linux] Re: belirli bir ip demetine izin
>
>Serdar KOYLU wrote:
>> Selamlar..
>> Mesajlarinizdan cok sey ogrendim.
>
>Bilmukabele... ( Bu kelime hala sozluklerde var mi? :) )
>
>> Elbette oyle yapmakla sorunlar bitmiyor. Fakat guvenlik sorunlari tek
>> kaynaga tasinir, izlenmesi, bakimi daha kolay olur gibime geliyor.
>
>Bu konuda sorunumuz yok ama soylediginizden bir program ile yapmanin
>adlandirdiginiz guvenlik zaaflari icin bir cozum oldugu sonucu cikiyor
>ki alakasi bile yok... :)
>
>Yoksa erisim denetimini (guvenlik ile ilgili her turlu isi degil) tek
>bir noktada toplamaya calismanin daha anlamli olacagina karsi degilim;
>bilakis destekliyorum.
>
>Ama soruyu soran beyefendinin kutuphaneci olmasi ve muhendislik
>fakultesi icin kullanmayi planladigini soylemesi bir IP blogu (daginik
>IP'ler degil) ile calisilacagi izlenimi uyandirdi ki bu durumda parola
>denetimi vazgecilebilir ise is gercekten cok kolay olabilecek...
>
>sevgiler, selamlar,
>-bd
>-----------------------------------------------------------------------
>Liste üyeliğiniz ile ilgili her türlü işlem için
>http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
>
>Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
>"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
>-----------------------------------------------------------------------
_________________________________________________________
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------