Open source sistemlerin güvenlik bakımından kişiye daha bi güven verdiği tartışmasız. Gerçi geçen sene içinde *nix ve türevlerinde bulunan güvenlik açıkları sayısının Windowsa oranla baya bi fazla olmasına rağmen biz genede *nix diyoruz.:)Konuya gireyim,Default installation yapılmış bir sistem internet üstünde ne kadar süre sizce hacklenmeden kalabilir.Süreleri görünce gerçekten şaşırdım, adamlar boş durmuyor. Test amaçlı 4 tane redhat 6.2 sistemi default olarak yükleyip üstündeki aktiviteleri gözlemlemişler.Makinelerden birisinin hacklenme süresi 26 dakika, sistemlere yükledikleri bash key stroke loggerlar sayesinde de ne gibi faliyetlerde bulunulduğunu incelemişler.Konuyla ilgili ayrıntılı bilgi bu linkte. http://www.lucidic.net
Görüşler
Valla RedHat 6.2 resmen kotu unlu bir dagitim. Direkt icindeki Wu-FTP`den itibaren (Wu-FTP; serving you root since 1996 :) bir cok exploite sahip ve Bastille kurulmadan ustune kullanilmasi cok tehlikeli.
Ote yandan gecen sene bir guvenlik urununun ozelliklerini okumustum. Program, ustunde bulundugu isletim sistemi ne olursa olsun, nasil exploitler olursa olsun, devamli hareketleri inceleyip, root bile ters bir sey yaparsa onu devre disi birakiyordu. Ve dolayisiyla default full install bir RedHat 6.2'i bile acaip guvenli hale getiriyordu. Bulursam yollarim linkini
Ote yandan gecen sene bir guvenlik urununun ozelliklerini okumustum. Program, ustunde bulundugu isletim sistemi ne olursa olsun, nasil exploitler olursa olsun, devamli hareketleri inceleyip, root bile ters bir sey yaparsa onu devre disi birakiyordu. Ve dolayisiyla default full install bir RedHat 6.2'i bile acaip guvenli hale getiriyordu. Bulursam yollarim linkini
OK ama wuftpd konusunda burada bir sorun var. Cunku Redhat 6.2`nin release tarihi Mart 2000, en meshur wuftpd format string hatasinin bulunus tarihi Haziran 2000. RedHat`in guvenligini wuftpd ile olcmek yanlis bir yontem olabilir.
Ayrica bugun bircok linux dagitimi (nedense) finger telnet rpc gibi servisleri dogrudan (x)inetd icerisinden acik olarak bilgisayara kuruyorlar. Bence bu oldukca yanlis bir secim. Zaten de holynin haberindeki paper da bunu dogrular sonuclara variyor. Bence dunya uzerindeki linux kurulumlarinin ancak %10unun bu tip servislere ihtiyaci var. O %10un adminleri de eminim bu sistemleri nasil calistiracaklarini biliyorlar. Dolayisiyla eve gelen Linux dagitiminin daha farkli bir ayarla gelmesi gerekli.
Ayrica bugun bircok linux dagitimi (nedense) finger telnet rpc gibi servisleri dogrudan (x)inetd icerisinden acik olarak bilgisayara kuruyorlar. Bence bu oldukca yanlis bir secim. Zaten de holynin haberindeki paper da bunu dogrular sonuclara variyor. Bence dunya uzerindeki linux kurulumlarinin ancak %10unun bu tip servislere ihtiyaci var. O %10un adminleri de eminim bu sistemleri nasil calistiracaklarini biliyorlar. Dolayisiyla eve gelen Linux dagitiminin daha farkli bir ayarla gelmesi gerekli.
Tabi ki deðil. Bunun yanýnda default kurulum denen olayýn zaten açýkcasý çok güvenlikle alakasý yok. FreeBSD, OpenBSD Linux`a büyük fark atýyorlar default kurulumda ama zaten bilen adam için çok da önemli þeyler deðil bunlar. Öte yandan hatýrladýðým kadarýla RedHat 6.2`nin en büyük exploiti zaten Wu-Root deðil, bir baþka exploitti. Galiba PAM modülüyle ilgiliydi yanlis hatirlamiyorsam, bir default password olayiydi ama. Neyse, Bastille iyidir sonuçta :)
Tabii bunun yanında keşke BSD serisinden de denemeler yapsalardı diyorum. Sonuçta bence RedHat gibi güvenlik konusunda pekte iyi bir şöhrete sahip olmayan bir dağıtımın genel olarak Unix sistemlerin güvenliği konusunda referans alınması yanlış olur kanaatindeyim ben.