Google
 
Solaris Disk Partioning

Solaris sistemlerinin disklerinin nasıl bölümlendirilmesi (partitioning) gerektiği hakkında sonunda yararlı ve fikir verici bir belge buldum. Şu konuya kafa yorduğum kadar başka şeylerle uğraşsaydım şimdiye kadar herhalde sınavlara hazır hale gelmiş olurdum.

http://www.sun.com/blueprints/1002/817-0407-10.pdf

__________________________

_
Solaris' te Hostname ve IP Adresi Nasıl Değiştirilir?

www.sun.com/bigadmin/content/submitted/change_hostname.jsp

__________________________

_
ISA Server SSL Port Genişletme

https://www.tspakb.org.tr:8443/Login.jsp
Yukarıdaki adres ve porta ISA üzerinden erişim istendi. Göreceğiniz gibi protokol olarak https: ile çalışıyor ama standart SSL portu olan 443’ten farklı bir porttan iletişim sağlanıyor. Standart ISA araçlarıyla da bu istek karşılanamıyor. SSL port aralığını genişletmek gibi bir ihtiyaç söz konusu.Bu işi sağlayan araç veya script aşağıdaki linkten indirilebilir. Genişletmeye ilişkin yöntem de bu makalede anlatılmış. Araç (EXE) ve yöntem ISA 2004 için ama ISA 2006’da da yüklendiğinde çalışıyor.

Extending the ISA Firewall’s SSL Tunnel Port Range (2004)
http://www.isaserver.org/articles/2004tunnelportrange.html

Değişik ve “tricky” bir konu. Bir gün, bir yerde işinize yarayabilir.

__________________________

-
Group Policy / Account Lockout Problemlerini Çözmek
Group Policy ile Account Lockout problemlerini çözmek üzerine çok faydalı bir makale. Ekinde bulunan araçlar da işleri kolaylaştırıyor.

__________________________

_

1969 yılında aya giden Apollo 11’in kontrol bilgisayarının kapasitesi ile bu yazıyı yazdığım bilgisayarın donanımının küçük bir karşılaştırması:



Üstelik buna ekran kartının sahip olduğu güçlü 3 boyutlu
modelleme ve hesaplama sistemleri ile hafızası dahil değil.

Apollo 11’in bilgisayarı uzay gemisini Ay’a götürüp getirdi.

Bilgisayarımızın Apollo 11’in sistemine göre milyonlarca kat daha güçlü olduğu göz önüne alınırsa sanırım her birimizin Ay’a, hatta güneş sisteminin dışına gidip gelmemizi sağlayacak donanımları var.

Sanırım bilgisayarımızın kapasitesi yetersiz dediğimiz zaman bir kez daha düşünmemizde fayda var...

__________________________

-

Matematik ile savaş kazanan adam
Profösör Alan Turing. Saygıyla anıyorum...

II. Dünya Savaşı'nda Almanlar'ın "çözülemez" dediği şifrelerini çözen çok zeki bir matematikçi, mantıkçı, şifrebilimci modern bilgisayar ilminin babası ve ne yazik ki genç yaşında intihara sürüklenmiş bir kahraman.

Bilgi işlem sistemlerinin test edilmesi için önerdiği yöntem basitçe şu şekilde tariflenebilir. “Biri insan biri bilgisayar olmak üzere iki tarafın doğal konuşma dili ile gerçekleştirdiği bir iletişimde hangi tarafın insan hangi tarafın bilgisayar olduğunu anlama çabası”. Eğer hangi tarafın insan, hangi tarafın bilgisayar olduğunu anlayamaz isek bu durumda bilgisayarımız Turing testini geçmiş oluyor ve bizde kendimize yeni bir arkadaş edinmiş oluyoruz :)

Bunun ilk örnekleri şu anda internette mevcut. MSN kullanıyorsanız spleak@hotmail.com kontağını adres listenize eklemenizi şiddetle öneririm. Karşınızda sizinle sohbet etmeye oldukça istekli bir kontak bulacaksınız.

Bu “kontak” California’da bir sistem odasında ikamet etmekte, güçlü bir hafızaya sahip ve bir miktarda geveze...

" II.Dünya savaşında ölen 55 milyon insana yenilerinin eklenmesini engelledin ama Hizmet ettiğin ülken tarafından zehirlendiğini anlamak için enigma olmaya gerek olmadığını düşünüyorum yazıklar olsun seni katledenlere "

__________________________

-

Microsoft'un Linux'u kaale almasından sonra Linux ile ilgili sayfa hazırladı ve "Linux haftada 1 çökerken, biz artık çökmüyoruz :)"
gibi deneyimlerine yer vermeye başladı.

__________________________

1


Veritabanı yedeği alma konusunda fazla bilginiz yoksa, ya da
sadece yazdığınız yazıları arşivlemek istiyorsanız blogspot, wordpress,blogger,live journal vs. listesini buradan görebileceğiniz birçok blog yazılımını destekleyen BlogBackupOnline sitesine ücretsiz üye olarak en geç 2 saat içinde (1500 yazı için gerekli süre) blogunuzun yedeğinizi alabilirsiniz.

__________________________

-

Bazı siteler,forumların içeriğini okuyabilmemiz için bizden üye olmamızı isterler . Siteler genelde üye olduğunuz mail adresiyle ilgilenir; amaçları ortakları olan kuruluşların sürü e-postalarını mail adresimize göndermektir aslında.İşte bu ve benzeri sitelere üye olma rutininin önüne geçmek ve spam maillerden bir nebze olsun korunmak için kurulmuş olan çok faydalı bir websitesi var.

Bugmenot.com

Burada internetteki bir çok sitenin kullanıcı adı ve şifreleri site ziyaretçileri tarafından paylaşılıyor, oylama sistemi ile bilgilerin doğruluğu da bir şekilde test ediliyor. Bu bilgileri kullanarak sitelere giriş yapabileceğiniz bir firefox plug-in i bile var. Aynı zamanda Türk siteleri için de kullanıcı adı ve şifreler mevcut.

Not: Konu açılmışken sizlere mail adreslerinizi AT (cemunsATgmail) olarak yazmanizi tavsiye ederim; aksi takdirde "@" karakterini tarayan programlarin mail adresinizi saklayip spam listeleri icin kullanma riski mevcut.

__________________________

-
Microsoft'un anti tekel yasasını çiğnediğine inanıyor musunuz?

__________________________

__________________________

a
Hangi konu yu daha çok merak ediyorsunuz?

__________________________

__________________________

-

Çarşamba

Sunucu Rolleri ve Güvenliğinin Planlanması

Windows 2003 işletim sisteminin güvenli çalıştırılabilmesi için düzenlenmesi gereken bir çok ayar bulunmaktadır. Bu ayarların sağlıklı ve verimli olarak düzenlenebilmesi için bir çok yardımcı araç sunulmuştur. İyi bir planlama ve araçların yerinde kullanımı ile güçlü bir güvenlik altyapısı oluşturmak mümkün olabilir.

Windows 2003 güvenlik ayarları birden fazla araç, bunların konsol ekranları veya Group Policy ile yönetilebilmektedir.

Denetim Kuralları
Denetim Kuralları ve buna bağlı olarak oluşturulan log kayıtları sistem olaylarını incelemek için kullanılan en önemli kaynaklardandır. Ancak kullanımı son derece hassastır. Zira gereğinden fazla log kaydı üreten bir denetim kuralı, güvenlik olaylarını izlemeyi güçleştireceğinden yarardan çok zarar getirebilir.

Audit Account Logon Events : Bir bilgisayara logon olan her kullanıcı için kullanılır. Bu ayar genelde DC’ler için kullanılmakta olup üye sunucular için açılmasına gerek yoktur.

Audit Account Management : Bir bilgisayar üzerinde bulunan tüm hesapların yönetimine ilişkin eylemler loglanır. Kullanıcı oluşturma, değiştirme, silme hatta şifre değişikliği bile bu ayarın aktif hale getirilmesi ile loglanabilir. DC’ler dışındaki diğer sunucularda bu ayar ile sunucunun yerel SAM veritabanına ilişkin eylemler loglanır.

Audit Directory Service Access : Bir AD nesnesine erişmeye çalışan kullanıcıya ilişkin eylemler loglanır. Sadece DC’lerde açılması yeterlidir.

Audit Logon Events : Bilgisayara logon ve logoff olan tüm kullanıcılara ilişkin eylemler loglanır.

Audit Object Access : Bir dosya, klasör veya registry gibi sistem elemanlarına ulaşmaya çalışan kullanıcıların eylemlerinin loglanabilmesi için bu kaydın açılması ve loglanması istenen nesnenin üzerinde de denetim özelliğinin aktif hale getirilmesi gereklidir.

Audit Policy Change : Bilgisayardaki denetim ayarlarının, kullanıcı hakları atamalarının veya güven kurallarının (trust policy) değişmesi halinde loglama yapılır.

Audit System Events : Sistemin yeniden başlatılma ve kapanma gibi eylemleri ve güvenlik kayıtlarını etkileyen olaylar loglanır.

Olay Kayıtları Kuralları (Event Log Policies) : Her log türü için 4 kural kaydı tanımlanabilir.

Maksimum Log Büyüklüğü : Log dosyasının fiziksel olarak ne kadar büyüyebileceğini belirtir. 64 KB’lik adımlar halinde en fazla 4 GB’a kadar büyüyebilir.

Yerel ziyaretçi hesabının loglara erişmesini engelle : Local Guest grubu üyeleri log kayıtlarına erişemezler.

Logları sakla (Retain Log) : Logların kaç gün saklanacağını belirtir.

Logların Saklanma Metodu : Log kayıtları belirtiklen gün sayısı kadar saklanır ve gün sayısı aşıldığında, en eski günden başlamak itibariyle silinebilir. Gerektikçe silinmesi özelliği kullanılarak belirli kayıt büyüklüğüne erişildiğinde otomatik silinmesi sağlanabilir. Ya da yerel yönetici tarafından elle silinmesi sağlanabilir. Bu durumda log dosyası maksimum büyüklüğe ulaştığında yazmayı durduracaktır.

Sistem Servisleri ilkeleri
Windows 2003 Server servislerinin Group Policy ile otomatik veya elle başlatılması veya durdurulması sağlanabilir.

Kayıt Defteri (Registry ) İlkeleri
Kayıt defteri üzerinde ACL’ler oluşturmayı sağlar. Bu ilkeler Registrye yeni kayıtlar eklemez. Sadece registrynin güvenliğini düzenler.

Dosya Sistemi
Kayıt defteri ilkeleri gibi GPO’nun uygulandığı bilgisayardaki dosya sistemi üzerinde ACL’ler ile erişim yetkilerini tanımlamaya yarar.

Kullanıcı Hakları
Kullanıcıların sahip olduğu bazı hakları düzenler.

Hesap İlkeleri
Şifre ilkeleri, hesap kilitleme ve Kerberos ilkeleri gibi güvenlik ayarlarının düzenlenmesini sağlar.

DC’lerin güvenliğinin sağlanması
DC’ler etki alanı ve içinde çalışan tüm sistemlerin yönetiminde en büyük role sahip olduklarından güvenliğinin sağlanması diğer sistemlere göre çok daha büyük önem arzetmektedir.
DC’lerin fiziksel olarak güvenli ortamlarda tutulması, konsol ekranlarının şifre ile korunması ve hatta ağ ortamında DC’lerin tüm portlardan erişimine izin verilmemesi güvenlik yöntemleri arasında sayılabilir.

Yine Olay kayıtlarının (Event Log) aktif hale getirilmesi ve denetim özelliğinin (Audit Policy) çalıştırılması da önemlidir. DC’lerde bazı denetim ayarları açıktır ancak varsayılan değer olarak sadece başarılı eylemler loglanır. Başarısız eylemlerin loglanması için düzenleme yapılması gereklidir.

Kullanıcı yetkilerinin atanması
Güvenli bir çalışma ortamı oluşturulması için aşağıdaki bazı önerilerin uygulanmasında fayda vardır. Aşağıdaki ayarlar Domain Controller Security Policy içinde uygulanması halinde DC’lerin daha güvenli çalışmasını sağlayacaklardır.

Debug Programs
Bu yetkiye sahip kullanıcılar hata ayıklama araçları kullanarak işletim sistemi hatta kernel seviyesinde inceleme ve değişiklikler yapabilirler. Bu tarz uygulamaların kullanılmasına gerek yoksa veya yazılım geliştiriciler sistemde çalışmıyorsa Administrators grubundan bu yetki geri alınabilir.

Add Workstations to Domain
Varsayılan değer olarak tüm tanımlanmış kullanıcıların (Authenticated Users) etki alanına 10 adete kadar PC’yi dahil etme yetkileri vardır. Bu sayede AD’de Computers bölümü altında bilgisayar nesneleri oluşturabilirler. Eğer sistem IT personeli tarafından yönetiliyorsa kullanıcılardan (Authenticated Users) bu yetki geri alınabilir.

Allow Log On Locally
Bu yetki varsayılan ayar olarak aşağıdaki kullanıcı gruplarına bilgisayarın konsol ekranından logon olabilme imkanını tanır.
- Account Operators
- Administrators
- Backup operators
- Print operators
- Server operators

Shut Down the System
Bu yetki varsayılan ayar olarak aşağıdaki kullanıcı gruplarına sistemin kapatılabilme yetkisini verir.
- Administrators
- Backup Operators
- Print Operators
- Server operators

Servislerin Ayarlanması
Daha önceki tabloda yer alan servislere ek olarak DC’lerde aşağıdaki servislerin de başlama şeklinin otomatik olması gereklidir.
- Distributed File System
- File Replication Service
- Intersite messaging
- Kerberos Key Distribution Center
- Remote Procedure Call (RPC)

Bir sistemde güvenliğin sağlanabilmesi için uyulması gereken en önemli kurallardan biri de “Gereken en az yetkiyi verme prensibiyle çalışmak”tır. Bu prensibin başarıyla uygulanabilmesi için aşağıdaki detaylara dikkat etmek gerekir :

- Güçlü bir şifre politikası uygulamak
- Yetkileri kısıtlamak (özellikle logon yetkilerini).
- Yetkisiz erişimleri engellemek için güvenlik ayarlarını kullanmak.
- Dosya ve kayıt defterleri için Access Control Lists (ACL)’ ler oluşturmak.
- Önemli grupların üyeliklerini Group Policy ile düzenlemek.
- Kullanılmayan tüm servisleri kapatmak ve hangi servisi kimin kullanabileceğini tespit etmek.
- Her bilgisayar rolü için br güvenlik şablonu tespit etmek ve uygulamak.
- Anlaşılabilir ve takip edilebilir düzeyde bir denetim stratejisi uygulamak.

Güvenli ayarlarının GPO ile düzenlenmesi
Güvenlik ayarlarının her sunucu ve PC için teker teker elle uygulanmaya çalışılması pratik bir yöntem değildir. Bu durumda Group Policy’nin yeteneklerinden faydalanmak ve merkezi bir uygulama en doğrusudur.

Windows 2003 server tüm bilgisayar nesnelerini AD’de Computers Container (Konteyner) altına yerleştirir. Konteyner özel bir AD nesnesidir. AD’de Computers dışında, Users, Builtin ve ForeignSecurityPrincipals adında üç özel nesne daha bulunur. Bu nesneler silinemez ve benzer özelliklerde konteynerler oluşturulamaz.

Group Policy nesneleri Site, domain veya OU’ lara bağlanabilir ancak Konteynerlerle ilişkilendirilemezler.

Tüm sunucuları bağlayacak bir temel GP ayarlar seti oluşturmak için yapılabilecek en iyi hareketlerden biri, kök AD dizininde bir sunucu OU’ su oluşturmak ve sunucuları bu OU altına kaydırmaktır. Daha spesifik hareket etmek isteyen sistem yöneticileri, farklı rollerdeki sunucular için farklı OU’ lar ve GP setleri oluşturabilirler.

Özellikle aynı ayar setlerine sahip olduklarından emin olmadıkça PC’ler ve sunucuları aynı OU altında toplamak doğru olmayacaktır.

Bir GPO’ nun birden fazla OU’ ya bağlanması (link) sonucunda GPO’ nun birden çok kopyası oluşturulmaz. Hala tek bir kopyası vardır ancak GPO da yapılan değişiklikler bağlı olduğu tüm OU’lardaki tüm nesneleri eşit derecede etkileyecektir.

GPO Link listesinde birden fazla GPO görülüyorsa sıralama olarak daha üstte olan GPO daha etkindir ve ayarları baskın olacaktır.

GPO ayarlarının uygulama öncelikleri aşağıdaki açıklamaya göre hesaplanabilir.

- Eğer üst seviye OU’ daki GPO ayarı tanımlanmamış ve altındaki OU’ daki aynı ayar tanımlanmış ise, geçerli ayar alt OU’ daki olacaktır.
- Eğer üst seviye OU’ daki GPO ayarı tanımlı ve altındaki OU’ daki aynı ayar tanımlanmamış ise, geçerli ayar üst OU’ daki olacaktır.
- Eğer üst ve alt seviye OU’ ların her ikisinde de aynı ayar tanımlanmış ise, geçerli ayar alt OU’ daki olacaktır.

Güvenlik ayarlarının şablon dosyalar ile yapılması
Windows 2003, güvenlik ayarlarının tek elden yapılabilmesi için daha önceden tanımlı ayarların bulunduğu şablon (template) dosyalarına sahiptir. Şablon dosyaları (.inf) uzantılı metin dosyalarıdır.

Şablon dosyaları ile aşağıdaki güvenlik ayarları düzenlenebilir :

- Hesap yönetim kuralları (Account policies)
- Yerel Kurallar (Local Policies)
- Olay Günlüğü Kuralları (Event Log Policies)
- Kısıtlı Gruplar (Restricted Groups)
- Sistem servisleri
- Kayıt defteri yetkileri (Registry permissions)
- Dosya sistemi yetkileri (File System permissions)

Şablon dosyaları Group Policy, GP Security Configuration and Analysis MMC veya secedit.exe ile uygulanabilir.

Metin tabanlı şablon dosyaları ile çalışmanın en büyük avantajlarından biri, sisteme yapılan düzenlemelerin geri alınması istendiğinde, yapılan tüm ayarları hatırlamanın zor olacağı varsayılarak bir dosya kullanarak geri dönmenin daha basit olacağının varsayılmasıdır.

Şablon dosyaları Windows\Security\templates klasörü altında bulunmaktadır.

Setup Security.inf : Bilgisayarı Windows 2003 setup programının hazırladığı temel güvenlik ayarlarına döndürür. Bu ayarlar, daha sonradan yüklenen tüm yazılımların hazırladığı güvenlik ayarlarını ezebileceğinden, bu yazılımların yeniden yüklenmesi gerekebilir.

DC Security.inf : Bu ayarlar dosyası, bir W2K3 sunucusu DC’ye dönüştürüldüğünde ortaya çıkar. DC’ lerin varsayılan dizin ve kayıt defteri güvenlik ayarları bulunmaktadır.

Securedc.inf : DC’ nin güvenlik seviyesini yükseltecek ayarlar içerir. Anonim hesaplar ve LAN Manager sistemleri için yüksek güvenlik ayarları bulunur.

Hisecdc.inf : Securedc.inf’den daha da yüksek seviye güvenlik ayarları içerir. Sayısal olarak işaretlenmiş iletişim (digitally signed communication) ve şifrelenmiş güvenli kanal iletişimi (encrypted secure channel communication) ayarlarının zorunlu uygulanmasını sağlar. Bazı servisleri pasif hale getirir ve Power Users grubunu boşaltır.

Compatws.inf : Varsayılan ayar olarak yerel Users grubunun üyeleri sadece Windows uyumluluğu test edilip onaylanmış yazılımları çalıştırabilirler. Uyumsuz yazılımları sadece Power Users grubu üyeleri çalıştırabilir. Bazı durumlarda kullanıcılara bu yazılımları kullanabilmeleri için Power users grubu yetkileri verilir. Compatws.inf ayarları uygulandığında Power users grubu boşaltılır ve Users grubu için bazı dizin ve kayıt defteri yetki değişiklikleri yapılır. Bu şablon DC’lerde kullanılmaz.

Securews.inf : Üye sunucular veya PC’ler için güvenlik ayarları içerir. Anonim hesapların erişimine dair yetki kısıtlamaları ve Sayısal olarak işaretlenmiş iletişim (digitally signed communication) ayarları içerir.

Hisecws.inf : Daha yüksek derecede güvenlik ayarları içerir. Local Administrators grubu üyeleri sadece Domain Admins ve yerel Administrator hesabı olur. NTLM güvenlik seviyesini arttırır.

Rootsec.inf : Windows 2003 işletim sistemi kullanan sistemler için varsayılan dosya sistemi güvenlik ayarlarını içerir. Bir sistem sürücüsüne (C:, D: vb.) varsayılan yetkileri geri yüklemek için kullanılabilir.

Şablon dosyaları metin tabanlı olduklarından üzerlerinde kolayca değişiklik yapmaya uygundurlar. Ancak değiştirmeden önce yedeklerinin alınmasında fayda vardır.

Security Configuration and Analysis aracı, şablon ayarlarının uygulanmasına imkan sağladığı gibi mevcut ayarlarla bir şablon dosyasını karşılaştırmayı ve o anki ayarların üzerinde değişiklik yapılıp yapılmadığını öğrenmeyi sağlar.

Bir sistemin analiz edilebilmesi için araç ile öncelikle bir veritabanı oluşturulmalıdır. Bu veritabanına bir şablon dosyası aktarılır ve bilgisayardaki aktif ayarlar ile aralarındaki farklılıklar analiz edilir.
Farklılıklar bazı özel işaretlerle belirtilir :

- Kırmızı daire içindeki X : Ayarın hem veritabanı hem de bilgisayarda olduğunu ancak değerlerin aynı olmadığını gösterir.
- Beyaz daire içindeki yeşil işaret : Ayarın hem veritabanı hem de bilgisayarda olduğunu ve değerlerin aynı olduğunu gösterir.
- Beyaz daire içindeki soru işareti : Ayarın veritabanında bulunmadığını ya da yetki kısıtlamaları nedeniyle aracın ayarları sorgulayamadığını gösterir.
- Beyaz daire içindeki ünlem işareti : Ayarın veritabanında bulunduğunu ancak bilgisayar ayarlarında bulunmadığını gösterir.
- İşaret yok : Ne bilgisayarda ne de veritabanında ayarın bulunmadığını gösterir.

Ayarlar incelendikten sonra istenirse değişiklik yapılıp bilgisayara uygulanabilir ya da bu ayarlardan yeni bir şablon dosyası oluşması sağlanabilir.

Oluşturulan şablon dosyası, mevcut veritabanı içindeki değiştirilmiş şablondan üretilir. Aktif bilgisayar ayarlarından üretilmez.

Secedit.exe
Bu araç ile Security Configuration and Analysis aracının yaptıklarının tamamı ve hatta daha fazlası komut satırından yapılabilir. En büyük avantajlarından biri de bir şablonun sadece bir kısmını uygulamak gibi bir esnekliğe sahip olmasıdır. Tıpkı grafik tabanlı diğer araç gibi bir veritabanı oluşturur, karşılaştırır, analiz eder ve ayarları uygulayabilir. Ayrıca uygulanan ayarların geriye alınabilmesi için bir “Rollback” şablonu da oluşturabilir.

Gönderen Cem Ünsal zaman: 17:09