Apache SSL açıklarını kapatın

/in , , , , , , , , , , , , , /tarafından

Son dönemde ortaya çıkan openssl ve zayıf şifreleme methodlarını kapatın.Özellikle bankalardan sanal pos talep etmeden önce sunucunuzda uygulamanızı tavsiye ederim.

Centos sunucular için

/etc/httpd/conf.d/ssl.conf dosyasının en altına aşağıdaki satırları yerleştirin.Httpd servisini yeniden başlatın.Nispeten güncellenmemiş sunucular için yum update yapmanızı öneriririm.

<IfModule mod_ssl.c>
SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv2 -SSLv3
</IfModule>
<IfModule mod_ssl.c>
#SSLCipherSuite HIGH:!aNULL:!MD5:!RC4-SHA:!RC4
#SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RS
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5::!RC4
</IfModule>

Apache SSL açığını ve zayıf şifreleme methodlarını kapatın

/in , , , , , , , /tarafından

Son dönemde ortaya çıkan openssl ve zayıf şifreleme methodlarını kapatın.Özellikle bankalardan sanal pos talep etmeden önce sunucunuzda uygulamanızı tavsiye ederim.

Centos sunucular için

/etc/httpd/conf.d/ssl.conf dosyasının en altına aşağıdaki satırları yerleştirin.Httpd servisini yeniden başlatın.Nispeten güncellenmemiş sunucular için yum update yapmanızı öneriririm.

<IfModule mod_ssl.c>
SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv2 -SSLv3
</IfModule>
<IfModule mod_ssl.c>
#SSLCipherSuite HIGH:!aNULL:!MD5:!RC4-SHA:!RC4
#SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RS
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5::!RC4
</IfModule>

Postfix master_wakeup_time_event hatası

/in , , , /tarafından

Plesk 12.x kurulu Linux sunucularda postfix loglarında karşılaşılan bu hatayı çözmek için master.cf dosyasında şu düzenlemeyi yapıyoruz.

pickup unix n – – 60 1 pickup satırını

pickup fifo n – – 60 1 pickup olarak değiştirin.

Daha sonra;

qmgr unix n – n 300 1 qmgr satırını,

qmgr fifo n – n 1 1 qmgr olarak değiştirin.

Eğer loglarda “not set-gid or not owner+group+world executable: /usr/sbin/postdrop” hata kaydı ile karşılaşırsanız

postfix set-permissions komutu ile dosya izinlerini olması gerektiği hale getirebilirsiniz.

Postfix NDR spam backscatter engelleme

/in , /tarafından

emailbackscatterBackscatter Nedir?

Her SMTP sunucusu alıcısına iletemediği epostaları (bounce ) bir başka bildirimle göndericiye iletmek zorundadır.Bu bir standarttır.Gönderici gönderdiği epostayı alıcısına ulaşmadığını bu bildirim mesajıyla farkeder.Bu bildirimin adı non delivery reports veya kısa ndr,diğer başka bir tanımı da DSN yani Delivery Status Notification ‘dur.

Bu tasarlanan,iyiye hizmet eden bilişimin eskide kalmış bir hikayesi.Gerçek dünyada ise durum şöyle;

Bu raporlama sisteminin kötü amaçla kullanılabileceğini farkeden aşırı zeki spamcı milleti çaktırmadan  milyonlarca spam gönderebilmekte.Nasıl mı?

Bilindiği gibi epostada bir envelope sender aynı zamanda authenticated sender olmak zorunda değil.Yani eski mektup gönderdiğimiz günlere dönecek olursak.Göndereceğim zarfın üzerine kendi adımı yazmak zorunluluğum yok.

Backscatter epostanın envelope sender bölümüne istenilen email adresini yazılır.Alıcı kısmında da karşı tarafta bulunmayan bir eposta adresi belirtildiğinde gönderilen epostayı  alıcı smtp sunucusu red edecektir.Peki bu durumda NDR nereye gönderilecek?Elbette envelope sender kısmındaki kurbanımızın eposta adresine.Karda yürü ama izini belli etme.

Çözüm

Sanıyorum ki binlerce dolar ödenen o pek gözde,pek güzide eposta sistemleri kendi içinde bir mekanizmayla bu işi çözmüşlerdir.

Ama binlerce dolarım yok,aynı zamanda hosting işindeyim diyorsanız hayat size biraz daha zor.Zira elimizde kullanabildiğimiz en modern,gelişmiş ve güvenli smtp postfix.Postfixin resmi sayfasında backscatter engelleme ile ilgili bir takım çözüm önerileri var.Tembellik etmedim okudum.Neticede sunucunuzda bir veya birkaç hosting koşuyorsa kabul edilebilir bir çözüm sunulmuş.Ancak bu çözüm,paylaşımlı bir hosting sunucusu yönetiyorsanız ve şöyle 50-100 ve üzeri hosting barındırılıyorsa hiçbir işe yaramaz.

Yine gerçek dünyadan bir örnek vermek gerekirse;zaten yukarda sözünü ettiğimiz raporlama sistemi kanımca pek bir işe yaramıyor.Çünkü kimse pc başında karşısına çıkan hata mesajlarını okumuyor.O yüzden kökten çözüm olarak  NDR’ı komple kapatma yolunu seçebilirsiniz.

Bunun için postfix’in master.cf dosyasını açın.

ve aşağıdaki satırı;

bounce    unix  –    –    n    –    0    bounce

şu şekilde değiştirin;

bounce    unix  –    –    n    –    0    discard

dosyayı kaydedip kapattıktan sonra postfix servisini restart edin.Hepsi bu kadar.

 

Linux Plesk 9.5 Call to undefined function hatası

/in , , , , , /tarafından

parallelsCall to undefined function get_failure_redirect_url() in /usr/local/psa/admin/auto_prepend/auth.php3 on line 179

Tarayıcınızdan Linux Plesk 9.5 web sunucunuza 8443 veya 8880 portundan panele giriş esnasında yukarıdaki gibi bir hata mesajı ile karşılaşmanız durumunda yapmanız gereken mikro güncellemeleri ( MU Micro Updates ) çalıştırmak olacaktır.

Favori ssh istemcinizle sunucuya root olarak ssh bağlantısı kurun.Komut satırında;

/usr/local/psa/admin/bin/autoinstaller –select-product-id plesk –select-release-current –reinstall-patch –install-component base

komutunu çalıştırın.Script biraz bekleyip sistemde kurulu paket bilgisini aldıktan sonra mikro güncellemeleri uygulayacak,ve sorunsuz olarak plesk arayüzüne giriş yapabiliyor olacaksınız.

Plesk 9.5 ‘in kurulabildiği her Linux distrosunda bu script bu path de olmayabilir.Sizin ihtiyacınız olan uygun versiyonda bir plesk autoinstaller dır.Bu sebeple bu scripti /root/parallels klasörü altında da bulmanız olasıdır.

Centos 7 de root şifresi değiştirme resetleme

/in , , , /tarafından

Centos yeni versiyonda alışkanlık sahibi sistem adminlerini biraz sıkacak gibi görünüyor.Systemd servis yönetimi,ifconfig’in ortalarda olmayışı network kartlarına ip verirken kullanılan “setup” komutunun olmayışı ve bir de boot esnasında root parolası resetleme gibi.

Centos 7 sunucunuzu öncelikle reboot ederek kernel seçeneklerinde aşağıdaki adımları uygulayın.

1.Kernel listesinde.Öntanımlı olan kernel üzerinde veya istediğiniz başka bir kernel üzerindeyken ‘e’ butonuna tıklayın.

centos7-forgot-root-password

 

 

 

 

 

 

 

 

2. Gelen yeni ekranda (ki zaten bu kısmı hatırlarsanız “single” veya rw init=/bin/bash yazıyorduk.Aşağıdaki görüntüde şu değişikliği yapın.

ro ‘yu silerek

rw init=/sysroot/bin/sh

yazın.

centos7-forgot-root-password-1

 

 

 

 

 

 

 

 

centos7-forgot-root-password-2

 

 

 

 

 

 

 

 

3.Aynı ekranda CTRL ve X butonuna beraber basarak bu ayarlarla sistemin açılmasını sağlayın.

4.Açılan ekran biraz yabancı gelebilir.Bu ekranda

chroot /sysroot

yazarak /sysroot altına bağlanmış root filesysteme girmiş olacaksınız.

Bu aşamadan sonra passwd root komutuyla şifreniz değiştirebilir akabinde sunucuyu resetleyebilirsiniz.

Önemli Not

SELinux kullananlar ise şifreyi değiştirdikten sonra şu komutu uygulayarak dosya sistemini tekrar etiketlemeli.

touch /.autorelabel

Şifreniz resetlenmiştir.

Ek bilgi

SELinux Nedir Harici link Türkçe : http://www.cozumpark.com/blogs/linux_unix/archive/2013/02/10/security-enhanced-linux-selinux.aspx

SElinuxDosya sistemini tekrar etiketlemek Harici link İngilizce : https://www.centos.org/docs/5/html/5.2/Deployment_Guide/sec-sel-fsrelabel.html

Kaynak:

How To Reset Your Forgotten Root Password On CentOS 7 Servers

Kerberos Güvenlik Açığı

/in , , /tarafından

kerberos_280736Mit Kerberos güvenlik açığı sebebiyle krb5-1.11.x, krb5-1.12.x ve krb5-1.13.x versiyonlarının bulunduğu sistemler üzerinde uzaktan komut çalıştırabiliyor.

Mit’in konuyla ilgili açıklamasını şu linkten inceleyebilirsiniz.

Redhat’ın konuyla ilgili sayfası

https://access.redhat.com/security/cve/CVE-2014-5352

Ubuntu için;

http://www.ubuntu.com/usn/usn-2498-1/

Kaynak :

NetSec Ağ ve Bilgi Güvenliği Topluluğu

http://www.netsectr.org

Linux “Ghost” Uzaktan Kod Çalıştırma Güvenlik Açığı

/in , , , /tarafından

tux18727 Ocakta haberi duyurulan ve ciddi risk taşıyan GNU C Library (glibc) zaafiyetinden faydalanarak sunucunun kontrolü kötü niyetli kişiler tarafından ele geçirilebiliyor.

Söz konusu açık, glibc 2.18 öncesi versiyonları etkiliyor.2.18 ve sonrasında şu anda böyle bir risk bulunmadığı ifade ediliyor.

Pek çok linux dağıtımı var ancak genel olarak hepsi ya Redhat ya da Debian türevi.Ubuntu’ya da sayacak olursak hemen hemen her linux sunucu bu tehdit altında.

Aşağıdaki adreslerde ,konuyla ilgili açıklama ve güncelleme için gerekli bilgiler yer alıyor.

Ubuntu

http://www.ubuntu.com/usn/usn-2485-1/

Debian

https://www.debian.org/security/2015/dsa-3142

Redhat

https://access.redhat.com/security/cve/CVE-2015-0235

 

Web Sunucu Güvenliği İpuçları-II

/in , , , , /tarafından

Php destekli bir apache web sunucunda kapatılması gerekli php fonksiyonları

mail,system, dl, array_compare, array_user_key_compare, passthru, cat, popen, proc_close, proc_get_status, proc_nice, proc_open,escapeshellcmd,escapeshellarg, show_source, posix_mkfifo, ini_restore, mysql_list_dbs, get_current_user, getmyuid,pconnect, link, symlink, fin, exec, fileread, shell_exec, pcntl_exec, leak, apache_child_terminate, chown, posix_kill, posix_setpgid, posix_setsid, posix_setuid, proc_terminate, syslog, fpassthru, execute, shell, chgrp, stream_select, passthru, socket_select, socket_create, socket_create_listen, socket_create_pair, socket_listen, socket_accept, socket_bind, socket_strerror, pcntl_fork, pcntl_signal, pcntl_waitpid, pcntl_wexitstatus, pcntl_wifexited, pcntl_wifsignaled, pcntl_wifstopped, pcntl_wstopsig, pcntl_wtermsig, openlog, apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, virtual, eval, allow_url_fopen, pconnect, p_connect,posix_getpwuid,fileowner,symlink,readlink

Debian,Ubuntu root şifresi resetleme,ekran görüntülü anlatım

/in , , , /tarafından

Debian tabanlı sistemlerde kullanılan açılış yöneticisi olan grub’ı kullanarak root şifresini resetleme