Eşeği Kafese Sokmak

0
tongucyumruk
Tamam kabul ediyorum biraz saçma bir başlık oldu ama Türkçe yazınca böyle bir hal aldı. Aslında konuya uygun bir başlık. Konumuz Linux altındaki en popüler P2P dosya paylaşım programı mlDonkey'i chroot ortamında çalıştırarak sistemimizi güvenceye almak...
P2P tarzdaki programların en büyük sorunlarından biri sisteminizi dışarıya açmalarıdır. Dosyalarınızı paylaşırken dışarıdaki insanlara da sisteminize biraz olsun gözatma şansı vermiş olursunuz.Bu da özellikle güvenlik konusunda paranoyak olan insanlar için hiç hoş bir durum değildir. Özellikle bu tarz dosya paylaşımı programlarının henüz yeterince olgunlaşmadığını (yani en azından bir Apache, QMail vs. seviyesine gelmediğini) düşünürsek güvenlik açıklarının bulunması olasıdır. Böylece kötü niyetli insanlar paylaştığınız dizinden daha yukarılara çıkabilir, tüm dosyalarınıza ulaşabilirler (Kazaa'yı hatırlayın). Peki bu programlar yeterince olgunlaşmamış diye ne yapacağız? Oturup EnGüvenliP2PProgramı 1.0.0'ın çıkmasını mı bekleyeceğiz. Unix sistemleri yıllar yılı gelişirken bize güvenliğimizi sağlamak için bir çok araç sunuyorken niye bekleyelim ki?

Bir programı güvenli bir ortamda çalıştırmanın yolu nedir?

1- Programı yetkileri azaltılmış bir kullanıcı hesabıyla çalıştırmak
2- Programı chroot ortamında çalıştırmak

Şimdi, sorunumuz şu: Bu iki önlem bir anlamda birbirini imkansız kılarlar. Bir programı chroot ortamında çalıştırmak için root olmanız gerekir. Root olarak chroot ortamında çalıştırdığınız bir program ise root yetkileriyle çalışır. Neyseki bu sorunun çözümü ilk bakışta oldukça kolaydır.

root@Serafettin:~# chroot /chroot/dizini su - -c "chrootortamindacalistirilacakkomut"

Bu cozumun sorunu su komutunu da chroot ortamimizin icine tasimamizi gerektirmesidir. Hem su tehlikeli bir komut olduğundan, hemde tembellikten bununla uğraşmak yerine chroot'un yerine geçip "su" işini bizim yerimize halledecek chrootuid adlı programı kullanabiliriz. Ne yazıkki apt-get chrootuid yazarak kullanamıyoruz, çünkü Debian stable için henüz yok, ama testing'den indirip dpkg -i ile kurmanız mümkün, dependency problemi yaşatmıyor. Chrootuid programının tek yaptığı "su" yükünü sırtımızdan almak. Programın kullanımı ise daha anlaşılır:

root@Serafettin:~# chrootuid /chroot/dizini yetkisiazaltilmiskullanici chrootortamindacalisacakkomut

Peki, buraya kadar geldik şimdi işi biraz pratiğe dökelim. önce sistemimize mlDonkey'i çalıştıracak kullanıcıyı ekleyelim

root@Serafettin:~# adduser essek

Sonra www.mldonkey.net adresinden mlDenkey'nin en son versiyonunu indirelim. Burada dikkat etmemiz gereken nokta programı chroot ortamında çalıştıracağımızdan dolayı statik olarak derlenmiş sürümünü indirmek (isminde static geçen sürüm).

root@Serafettin:~# su essek
essek@Serafettin:/root$ cd ~
essek@Serafettin:~$ wget http://savannah.nongnu.org/download/mldonkey/stable/mldonkey-2.02-0.static.i586-Linux.tar.bz2
essek@Serafettin:~$ tar -jxvf mldonkey-2.02-0.static.i586-Linux.tar.bz2
essek@Serafettin:~$ mv mldonkey-distrib-2.02-0 mldonkey


Böylece mlDonkey çalışmaya hazır hale geldi. Şimdi bir defa çalıştırıp gerekli ayar dosyalarını yaratmasını sağlıyoruz.

essek@Serafettin:~$ ./mldonkey/mldonkey

İlk defa çalıştıktan sonra Ctrl+C tuşlarına basarak programı durduralım. Şimdi root kullanıcısına dönerek mldonkey'i bu sefer chroot ortamında çalıştıracağız.

essek@Serafettin:~$ exit
root@Serafettin:~# chrootuid /home/essek essek /mldonkey/mldonkey


Şu anda mlDonkey'nin chroot ortamında essek kullanıcısıyla çalışıyor olması lazım bunu doğrulamak için aşağıdaki yöntemi uyguluyoruz:

root@Serafettin:~# ps -u essek

Karşımıza mldonkey sürecinin (prosesinin) çıkması lazım. Eğer çıktıysa bir de chroot olup olmadığını kontrol etmekte fayda var. Gelen listede en baştaki sütun, sürecin Process ID'sini (pid'ini) belirtir. mlDonkey'in pid'inin 333 olduğunu varsayarsak:

root@Serafettin:~# ls /proc/333/root

Bu komutun bize chroot dizinimizin (Örnekte /home/essek) içeriğini döndürmesi gerekir. Eğer bu sonucu aldıysak hayırlı uğurlu olsun. Artık güvenli olarak çalışan bir mlDonkey'miz var.

Ben bir de daemon olsun istiyorum

Eğer bir dosya paylaşımı fanatiğiyseniz mlDonkey'nin sadece bir terminalde öylece durması hoşunuza gitmeyebilir. Bu durumda yapılabilecek en iyi şey onu bir Daemon olarak çalıştırmak, hatta bir init scripti ile her sistem açılışında çalışmasını sağlamak olacaktır. Bunun için ben Debian ile gelen start-stop-daemon adlı ufak programcığı kullandım. Debian dışı dağıtımlar kullananlar için bu işin D. J. Berntein'ın daemontools'u kullanılarak nasıl yapılacağı burada anlatılmış.

Aslında yukarıda yazılanlardan sonra start-stop-daemon'ın man sayfasına bir göz atmak yeterli olacaktır. Aslında start-stop-daemon kendi içerisinde chuid ve chroot seçenekleri sunsa da ben chroot olarak çalıştırmayı beceremedim, beceren varsa buyursun. mlDonkey'yi start-stop-daemon kullanarak çalıştırmak oldukça kolay:

root@Serafettin:~$ start-stop-daemon --start --background --quiet --exec /usr/bin/chrootuid -- /home/essek essek /mldonkey/mldonkey

Bu komutu masaya yatırıp parça parça incelersek:

--start: açıklama gereği duymuyorum, programın başlatılacağını gösteriyor

--background: Çalıştırdığınız program eğer kendiliğinden fork() ile kendini arkaplana atmazsa zorla arkaplanda çalıştırmayı sağlıyor.

--quiet: stat-stop-daemon'a bir hata olmadıkça ekranı doldurmamasını söylüyor.

--exec: Çalıştıracağımız komut, dikkat etmemiz gereken nokta komutun sadece adını değil tam yolunu yazmak gerektiği.

-- : Boş "-- " parametresinden sonra yazdıklarımız --exec bölümünde verdiğimiz komuta parametre olarak geçiriliyor

Çalıştırdığımız mlDonkey sürecini durdurmak içinse aşağıdaki komutu veriyoruz:

root@Serafettin:~#start-stop-daemon --stop --exec /home/essek/mldonkey/mldonkey

Aslında bu yöntemin performansının oldukça düşük olduğunu itiraf etmem lazım. Bunun yerine start-stop-daemon'ın --pidfile seçeneğini kullanabilirdik ancak bu seçenek gerçekte çalışıtrğımız komut chrootuid olduğundan ve mldonkey onun dışında çalıştığından işe yaramıyor.

Pekiala buraya kadar geldiğimize göre bir de init scripti yazarak programı sistem açılışında çalıştırmamızı kimse engelleyemez. Aşağıdaki scripti /etc/init.d dizininize kopyalayıp gerekli sembolik linkleri oluşturduğunuzda program sistem açılırken çalışacaktır. Tabii onun yerine sadece ./mldonkeyd start şeklinde de kullanmanız mümkün.

#!/bin/sh

set -e

MLDONKEY_BIN=/mldonkey/mldonkey
CHROOTUID_BIN=/usr/bin/chrootuid
CHROOT_DIR=/home/essek
MLDONKEY_USER=essek

test -f ${CHROOT_DIR}${MLDONKEY_BIN} || exit 1
test -f $CHROOTUID_BIN || exit 1
test -d $CHROOT_DIR || mkdir -p ${CHROOT_DIR}

case "$1" in	
	start)
		echo "MLDonkey Deamon Başlatılıyor"
		start-stop-daemon --start
 --background --exec ${CHROOTUID_BIN} -- 
${CHROOT_DIR} ${MLDONKEY_USER} ${MLDONKEY_BIN}
		;;
	stop)
		echo "MLDonkey Daemon Durduruluyor"
		start-stop-daemon --stop --exec 
${CHROOT_DIR}${MLDONKEY_BIN}
		;;
	restart)
		echo "MLDonkey Daemon Durduruluyor"
		start-stop-daemon --stop --exec 
${CHROOT_DIR}${MLDONKEY_BIN}
		echo "MLDonkey Deamon Başlatılıyor"
		start-stop-daemon --start 
--background --exec ${CHROOTUID_BIN} -- 
${CHROOT_DIR} ${MLDONKEY_USER} ${MLDONKEY_BIN}
		;;
	*)
		echo "Kullanımı: 
/etc/init.d/mldonkeyd {start|stop|restart}"
		;;
esac

Hepinize hayırlı paylaşımlar.

Görüşler

0
sundance
Valla eline, koluna, networküne, bilgine sağlık. Süper bir makale olmuş. Haydin mldonkeyciler gün bizim günümüzdür.

Bu arada FZ`nin gönderdiği programlama dili karşılaştırma sitesinde, C`di Perl`dü birçok dili yayan bırakan bir dil var OCML. mldonkey`in yazıldığı dildir kendisi birara gözatın derim. Özellikle de Perl`e okuması zor diyenler :))
0
FZ
Allah her editöre böyle güzel, detaylı, vizyon açıcı makale düzenleme, onaylama, yayınlama fırsatı bahşetsin gani gani. Amin! :)
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Güvenlik Semineri ve Capture The Flag Yarışması

sundance

3-4 Mart günlerinde Bilgi Üniversitesi'nde düzenlenecek Free Days kapsamında, Fazlamesai üyelerinden Emre Sağlam, Kıvılcım Hindistan ve EnderUnix'den Huzeyfe Önal'ın katılacağı bir seminer ve ardından da iki ayrı güne yayılmış güvenlik workshopları düzenlenecek.

Bunlara ek olarak da etkinlik süresince ödüllü bir "Capture The Flag" yarışmamız olacak. Web zayıflıkları, GNU/Linux işletim sistemi ve wireless konularındaki zayıflıkları olan sistemimize bakalım kim en kısa sürede ulaşacak.

Network Penetrasyon Testleri Eğitimi / 17-18 Nisan

butch

Bu eğitim güvenlik dünyasında ismi duyulmuş çeşitli açık kaynak kodlu yazılımların en etkin şekilde kullanılarak efektif güvenlik testlerinin yapılabilmesini amaçlamaktadır. Eğitimde kullanılan araçların isimleri çok bilinmesine rağmen detay özellikleri ve etkin kullanımı genelde bilinmemektedir.

Eğitim sonrası katılımcılar herbiri kendi alanında en iyisi sayılabilecek bu araçları tüm detayları ile birlikte nerede nasıl kullanılacağını öğrenmiş olacaktır.

Diğer detaylar ve eğitim içeriğine bu adresten ulaşabilirsiniz.

Distributed Denial of Service´a (dDoS) karşı nasıl bakakalınır?

conan

Steve Gibson, Gibson Araştırma merkezinin güvenlikten sorumlu elemanı(Soyadından çıkardığım kadarıyla da kurucusu olabilir), sayfasında 4 Mayıs 2001 günü grc.com sitelerine yaşadıkları dDoS saldırısını en ince ayrıntılarına kadar anlatmış. Bir sistem yöneticisi ve saldırıyı an an yaşayan `güvenlik görevlisi`nin bakış açısından saldırıyı bu linkten okuyabilirsiniz. Bence alınacak ilginç dersler var. Aynı yazıyı pdf formatında da indirebilirsiniz.

Ayrıca Steve'in hackerlara karşı yazdığı açık mektubu da okumanızı tavsiye ederim :)

Güvenlik... Nereye Kadar?

FZ

Bilgisayar güvenlik uzmanları son algoritmaları, 2048 bitlik şifreleme yöntemlerini, vs. kıran kırana tartışa dursun, uzakta, güneyde bir yerde....

Tarih 27 Ağustos 2003. Yer: Avustralya, Uluslararası Sydney Havaalanı. Kendilerini bilgisayar teknisyeni olarak tanıtan iki adam kargo ve istihbarat bölümünün bilgi işlem departmanına ellerini kolların sallaya sallaya giriyorlar, 2 kocaman Mainframe´i söktükten sonra tekerlekli arabalar üzerine yükleyip binadan dışarı çıkarıyorlar. Adamlardan bir daha haber alınamıyor...
Haberin tamamı

Dünyaca Ünlü Hackerlar Türkiye'de Buluşuyor

FZ

Beyond Security, Profilo ve Servus işbirliği ile 5 Ekim 2007 tarihinde "TrSEC İstanbul Security and Hacking Conference"ı düzenliyor. Konferans Mecidiyeköy’deki Profilo Alışveriş Merkezi Konferans Salonu’nda düzenlenecek.