[Pardus-kullanicilari] güvenlik

[Necmettin Begiter]

24.09.2007 tarihinde Lectin <lectin at gmail.com> yazmış:
> Sorumu biraz detaylandırayım:
> --> Bahsettiğim sistem, bir gerçek ağ deği. WiN ve Pardus partisyonları olan
> ve Pardus üzerinde "virtual networking" yürütmeye çalışan bir sistem.
> Pardus'a USB ile bağladığım ve samba ile (Pardus üzerindeki, Tasma ile)
> paylaştırdığım ntfs formatlı HD'leri VirtualBox içinde çalışan bir paylaşım
> programına gösteriyorum ve o program dahilindeki kişilerin ilgili HD
> içeriklerini (yalnızca benim "share" ettiğim klasörlerini) görmelerine ve
> isterlerse, kullandığım paylaşım programı dahilinde yüklemelerine izin
> veriyorum. Buradaki sorum şu: Ben bunu (ntfs formatlı USB HD'leri) Pardus
> üzerinde, VBox'ta yürüyen bir program için paylaşıma açmışken, bir kişi,
> doğrudan Pardus üzerinden de (yani, tamamen dışarıdan) bu paylaştırılmış
> (samba ile) USB-HD'leri görebilir mi? Güvenlik Duvarı'nın çalışıyor olması
> (Dosya Transfer Servisi ve Windows Dosya Paylaşım Servisi seçili ve aktif
> iken) bir fark yaratır mı?
> İkinci sorum şu olacak: VirtualBox içinde yürüttüğüm bir programın,
> giriş-çıkış portlarını veya port aralığını nasıl anlayabilirim? Bu port
> aralığını Pardus Güvenlik Duvarı'na girsem, ve yukarıda saydığım servisleri
> aktifleştirsem, daha güvenli olur mu?
> Verdiğiniz market örneği çok çarpıcı :) Ben, marketi yaptım ama kaç açık
> kapı bıraktığımı anlayacak düzeyde değilim sanıyorum :)

Bilgisayarınızın port bilgilerini (açık portlar, bağlanılan yerler vs)
netstat komutuyla çok detaylı bir şekilde görebilirsiniz. Konsolda
netstat yazıp çıktıyı inceleyin, gözlerinize inanamayacaksınız.

Dosya Transfer Servisi ifadesi, FTP (File Transfer Protocol)
kısaltmasının Türkçe'sidir. ftp:// diye başlayan adreslere erişmede
veya o tür adresler oluşturmada kullanılır (diye bir özet vermiş
olayım, FTP hakkında daha fazla bilgi isterseniz biz yine
buralardayız.) dolayısıyla Samba ile dosya paylaşmakla Dosya Transfer
Servisi'ni açmak arasında bağlantı yoktur (FTP'yi açmadan da Samba ile
dosya alışverişi mümkündür).

Dosyalarınızı VirtualBox içine kurulmuş Windows ile sanal (yerel?)
ağınızda paylaşmakta bir sakınca olduğunu düşünmüyorum (ancak güvenlik
elemanı değilim;) çünkü buradaki anahtar Windows değil Pardus
(VirtualBox). Pardus'u (VirtualBox'ı) root veya yetkili kullanıcı
olarak çalıştırmamak ve diğer bilumum güvenlik önlemini aldıysanız
zaten korkacak bir şey görmüyorum.

İnternete ne tür bir aygıtla/ bağlantı türüyle bağlandığınızı
bilmiyorum, ama eğer modeminiz (yönlendiriciniz veya her ne varsa)
Samba portuna yapılan istekleri bilgisayarınıza yönlendirecek şekilde
ayarlanmamışsa zaten korkacak birşey yoktur, modemden öteye geçemezler
(elbette bu biraz da modemin ayarlarına bağlı).

Biraz kapsamlı olabilecek bir örnek öğretici oluşturmak açısından
kendi durumumu aktarayım.

Modemim dyndyns.com'da necmettin olarak oturum açıp
necmettin.homelinux.net adresini kendi IP adresine yönlendirecek
şekilde ayarlı. İnternetten necmettin.homelinux.net'e girmek
istediğinizde, bilgisayarınız ve bağlı olduğu sistem, önce
dyndyns.com'a gider (çünkü *.homelinux.net ona bağlıdır), dyndns.com
benim modemimden gelen IP adresine yönlendirir. Benim modeme gelince;
benim modem aynı zamanda bir yönlendirici, ve şu anki ayarları
itibariyle, belirli bir IP adresine yönlendirilmemiş tüm istekleri
benim dizüstü bilgisayarıma yönlendiriyor. Benim dizüstü bilgisayara
gelince; şu anda dizüstü bilgisayarımda HTTP (Apache), FTP (vsftpd),
eposta (postfix) ve veritabanı (MySQL) sunucuları (uygulamaları)
çalışıyor. Bu sunucuların portlarına bağlanmak isteyen birisi,
bilgisayarımdan olumlu cevap alır, ama diğer portlar/sunucular kapalı
olduğu için, olumlu cevap alamaz. Sizin durumunuza uyarlarsak, sizin
IP adresinize Samba ile bir şekilde bağlanmayı başaran birisi (ki
ayarlarla oynamadıysanız yerel ağ dışında dışarıdan bağlanamazlar),
izin verdiğiniz dosyalarınızı alabilir, ama sadece izin verdiklerinizi
(ancak bunların hepsi ayarlarla ilgili şeyler -standart ayarlara
dokunmadığınız taktirde de bir problem yaşamazsınız). Yani siz
/home/bomba/pim dizinini okuma paylaşımına açtığınızda, bu
/home/bomba'ya girebilecekleri anlamına gelmiyor.

Benim bile kafam karışmaya başladı, sanırım bu kadar yeterim ;)