Dosya İzinleri ve Sahiplik
Konsolda çalışmak adlı yazı dizimizde izinler, sahiplik ve gruplar hakkında yazılanlara anımsayalım. Dosayalrın sahipleri ve ait oldukları gruplar vardır. Bir de dünyanın geri kalanı. Gruplar ve sahiplik bizim için sorun çıkarmaz. Ancak dünaynın geri kalanı baş ağrıtabilir. Nedeni de grup ve sahiplik tanımlanmamış bir dosyanın farklı amaçlarla kullanılmasının yaratabileceği sakıncalardır. O halde dünyanın geri kalanı için okunabilir ve yazılabilir dosyaların izinlerini değiştirmek uygun olacaktır.Yukarıda anlattığımız gibi dosyaları bulmak için bir liste yaratalım. Bunu da dunya_oku_yaz.txt dosyasında oluşturalım. Aşağıdaki komut ile listeyi oluşturalım:
find / { -perm -a+r -o -perm -a+w }) ! -type 1 >> dunya_oku_yaz.txt
Bu listede yer alan dosyalardan okuma ve yazma izinlerini kaldırabilirsiniz. Gereksiz izinler de sorun olabilir.
Diğer bir sorunda sahibi olmayan dosyalardır. Eğer sisteminizde sahibi olmayan bazı dosyalar varsa birileri sisteminize girmiş olabileceğine işaret edebilir. Eğer bu tür dosyalar bulduysanız siliniz. Eğer dosyanın sistem tarafından yaratılmış olduğunu düşünüyorsanız uygun bir grup veya kulanıcı tanımlayarak bu gruba ve sahibe atamanız uygundur. Sahipsiz ve grupsuz dosyaları taramak için şu komutu kullanınız:
find / -nouser -o -nogroup
Kullanıcılar kendi ev dizinlerinde çalıştırılabilir dosyalar oluşturabilirler. Bu "izin" sizin tarafınızdan düzenlenmiş olmalıdır. Kullanıcılara çalıştırma izinlerini vermek için chmod komutunun kullanılmasını sağlamanız gereklidir. O halde ev dizinini barındıran disk bölümünün tanımlandığı etc/profile dosyasında, oluşturulan her yeni dosya için çalıştırma izninin verilmesini sağlamak için umask ile gerekli tanımlamayı yapınız. umask 022 ile dosya izinleri 644 olarak tanımlanmış olacaktır; yani her yaratılan yeni dosya için izinler -rw-r--r-- olarak düzenlenmiş olacaktır.
Eklenebilir ve Değiştirilemez Dosyalar
Dosya yazma izinleri devam ettiğimize göre sistem kayıtlarına gelelim. Sistem kayıtları size sistemin işleyişi hakkında tüm bilgileri verecektir. Bu dosyaların sadece root tarafından düzenleneceğine göre, dosya özellikleri üzerinde durmak gereklidir. Benim özellik ile dosyanın içeriğinin değiştirlip değiştirilemeyeceğine dair yapılan düzenlemeleri tanımlıyorum. Dolayısıylada iki temel özellik tanımlanmaktadır: Dosya içeriği değiştirilemez ve dosya içeriğine ekleme yapılabilir. Bu özellikleri düzenlemek için kullanılacak olan komut chattr'dur.
Bu komutu kullanacağınız yer ise önemli sistem dosyaları olmalıdır. Örneğin sistem tarafından kullanılan /sbin dizininde yer alan dosyalar ve /etc dizininde yer alan ayar dosyaları gibi. Aşağıda iki örnek üzerinde dosyaların değiştirilmesini önleyecek biçimde yapılan düzenleme yer almaktadır.
chattr +i /usr/bin/ps
chattr +i /etc/services
Bu iki örnekte dosyaları değiştirilmeye karşı bağışık hale getirdik (i=immune yani immune=bağışık, aklınızda kalsın
) chattr ile değiştirilen dosyaların içeriği lsattr ile görüntülebilir. syslog dosyasının yeniden silinerek yazılmasını istemiyorsanız chattr +a /var/log/syslog olarak kullananınız uygun olacaktır.
Konsolda çalışmak adlı yazı dizimizde izinler, sahiplik ve gruplar hakkında yazılanlara anımsayalım. Dosayalrın sahipleri ve ait oldukları gruplar vardır. Bir de dünyanın geri kalanı. Gruplar ve sahiplik bizim için sorun çıkarmaz. Ancak dünaynın geri kalanı baş ağrıtabilir. Nedeni de grup ve sahiplik tanımlanmamış bir dosyanın farklı amaçlarla kullanılmasının yaratabileceği sakıncalardır. O halde dünyanın geri kalanı için okunabilir ve yazılabilir dosyaların izinlerini değiştirmek uygun olacaktır.Yukarıda anlattığımız gibi dosyaları bulmak için bir liste yaratalım. Bunu da dunya_oku_yaz.txt dosyasında oluşturalım. Aşağıdaki komut ile listeyi oluşturalım:
find / { -perm -a+r -o -perm -a+w }) ! -type 1 >> dunya_oku_yaz.txt
Bu listede yer alan dosyalardan okuma ve yazma izinlerini kaldırabilirsiniz. Gereksiz izinler de sorun olabilir.
Diğer bir sorunda sahibi olmayan dosyalardır. Eğer sisteminizde sahibi olmayan bazı dosyalar varsa birileri sisteminize girmiş olabileceğine işaret edebilir. Eğer bu tür dosyalar bulduysanız siliniz. Eğer dosyanın sistem tarafından yaratılmış olduğunu düşünüyorsanız uygun bir grup veya kulanıcı tanımlayarak bu gruba ve sahibe atamanız uygundur. Sahipsiz ve grupsuz dosyaları taramak için şu komutu kullanınız:
find / -nouser -o -nogroup
Kullanıcılar kendi ev dizinlerinde çalıştırılabilir dosyalar oluşturabilirler. Bu "izin" sizin tarafınızdan düzenlenmiş olmalıdır. Kullanıcılara çalıştırma izinlerini vermek için chmod komutunun kullanılmasını sağlamanız gereklidir. O halde ev dizinini barındıran disk bölümünün tanımlandığı etc/profile dosyasında, oluşturulan her yeni dosya için çalıştırma izninin verilmesini sağlamak için umask ile gerekli tanımlamayı yapınız. umask 022 ile dosya izinleri 644 olarak tanımlanmış olacaktır; yani her yaratılan yeni dosya için izinler -rw-r--r-- olarak düzenlenmiş olacaktır.
Eklenebilir ve Değiştirilemez Dosyalar
Dosya yazma izinleri devam ettiğimize göre sistem kayıtlarına gelelim. Sistem kayıtları size sistemin işleyişi hakkında tüm bilgileri verecektir. Bu dosyaların sadece root tarafından düzenleneceğine göre, dosya özellikleri üzerinde durmak gereklidir. Benim özellik ile dosyanın içeriğinin değiştirlip değiştirilemeyeceğine dair yapılan düzenlemeleri tanımlıyorum. Dolayısıylada iki temel özellik tanımlanmaktadır: Dosya içeriği değiştirilemez ve dosya içeriğine ekleme yapılabilir. Bu özellikleri düzenlemek için kullanılacak olan komut chattr'dur.
Bu komutu kullanacağınız yer ise önemli sistem dosyaları olmalıdır. Örneğin sistem tarafından kullanılan /sbin dizininde yer alan dosyalar ve /etc dizininde yer alan ayar dosyaları gibi. Aşağıda iki örnek üzerinde dosyaların değiştirilmesini önleyecek biçimde yapılan düzenleme yer almaktadır.
chattr +i /usr/bin/ps
chattr +i /etc/services
Bu iki örnekte dosyaları değiştirilmeye karşı bağışık hale getirdik (i=immune yani immune=bağışık, aklınızda kalsın
yinede sağol paylaşım için
