Fatih Ekrem Genç'in blogu » debian

proxy arkasinda ki ubuntu ya da BackTrack’i güncel tutmak

Fatih Ekrem Genc — Tue, 29 Jun 2010 06:43:40 +0000

Åžirkerletin büyük bir kisminin NTLM kimlik sorgulamali proxy kullandığını varsayarsak şirket içinde bir sebeple linux kullanmak zorunda olanlar için internete cikmak ek bir sorun olarak karşımıza çikiyor. Backtrack’in ya da ubuntu’nin apt-get depolarına proxy arkasından erişmek için.

/etc/apt/apt.conf dosyasi icine proxy ayarlarinizi şu sentaks ile giriniz.

ACQUIRE {
http::proxy “http://user name:passw@host:port/”
}

Linux sunuculari güvenlik püf noktalari

Fatih Ekrem Genc — Wed, 23 Jan 2008 01:56:40 +0000

Yeni bir güvenlik acigi duyruldugu an merakli crakerlerin ilgili programin güvenlik acigi olan versiyonunu bir yerlerde bulabilmek icin bas vurduklari ilk arac arama motorlaridir. Ayni sekilde degisik admin panelerine arama motorlari üzerinden ulasip Bruce-forceÂ atak denemeleri ile admin sifresini kirmayi denemek bilinen saldiri sekilerindendir.

Arada sirada /var/log/apache2/error.log
Dosyalarina göz atip durumun ne kadar ciddi oldugu konusunda ikna olabilirsiniz..
Asagida tipik bir deneme yanilma yönetimi ile phpmyadmin ara yüzü bulunmaya calisilmis..

[Sun May 06 14:24:35 2007] [error] [client 82.61.230.210] File does not exist: /var/www/phpMyAdmin
[Sun May 06 14:24:35 2007] [error] [client 82.61.230.210] File does not exist: /var/www/PHPMYADMIN
[Sun May 06 14:24:35 2007] [error] [client 82.61.230.210] File does not exist: /var/www/pma
[Sun May 06 14:24:35 2007] [error] [client 82.61.230.210] File does not exist: /var/www/PMA
[Sun May 06 14:24:36 2007] [error] [client 82.61.230.210] File does not exist: /var/www/PMA
[Sun May 06 14:24:37 2007] [error] [client 82.61.230.210] File does not exist: /var/www/mysql
[Sun May 06 14:24:37 2007] [error] [client 82.61.230.210] File does not exist: /var/www/admin
[Sun May 06 14:24:37 2007] [error] [client 82.61.230.210] File does not exist: /var/www/db
[Sun May 06 14:24:38 2007] [error] [client 82.61.230.210] File does not exist: /var/www/dbadmin
[Sun May 06 14:24:38 2007] [error] [client 82.61.230.210] File does not exist: /var/www/web
[Sun May 06 14:24:38 2007] [error] [client 82.61.230.210] File does not exist: /var/www/admin
[Sun May 06 14:24:39 2007] [error] [client 82.61.230.210] File does not exist: /var/www/admin
[Sun May 06 14:24:39 2007] [error] [client 82.61.230.210] File does not exist: /var/www/admin
[Sun May 06 14:24:39 2007] [error] [client 82.61.230.210] File does not exist: /var/www/mysql-admin
[Sun May 06 14:24:40 2007] [error] [client 82.61.230.210] File does not exist: /var/www/phpmyadmin2
[Sun May 06 14:24:40 2007] [error] [client 82.61.230.210] script â€˜/var/www/mysqladmin/main.phpâ€™ not found or unable to stat
[Sun May 06 14:24:40 2007] [error] [client 82.61.230.210] File does not exist: /var/www/mysql-admin
[Sun May 06 14:24:41 2007] [error] [client 82.61.230.210] script â€˜/var/www/main.phpâ€™ not found or unable to stat
[Sun May 06 14:24:41 2007] [error] [client 82.61.230.210] File does not exist: /var/www/phpMyAdmin-2.5.6
[Sun May 06 14:24:41 2007] [error] [client 82.61.230.210] File does not exist: /var/www/phpMyAdmin-2.5.4
[Sun May 06 14:24:42 2007] [error] [client 82.61.230.210] File does not exist: /var/www/phpMyAdmin-2.5.1
[Sun May 06 14:24:42 2007] [error] [client 82.61.230.210] File does not exist: /var/www/phpMyAdmin-2.2.3
[Sun May 06 14:24:42 2007] [error] [client 82.61.230.210] File does not exist: /var/www/phpMyAdmin-2.2.6
[Sun May 06 14:24:43 2007] [error] [client 82.61.230.210] File does not exist: /var/www/myadmin

DoS atagi engeliyebilecegimiz iptable yada pf gibi güvenlik duvarlari üzerinden yapabileceginiz gibi. Su sekilde de ssh servisini kismen güvence altina alabiliriz.
Bilindigi üzer ssh standart olarak 22 nolu portu dinler. Eger bu portu 1022 yaparsak
22 nolu porta baglanmaya calisan kullanici sonuc alamayinca vaz gecicektir.
Ilk önce 1022 portunuzun kullanilip kullanilmadigina göz atalim.

vs2052020:~# netstat -alnp | grep :22
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 29974/sshd
tcp 0 52 85.XX.XX.XX:22 89.56.XX.X:4392 ESTABLISHED18071/0

yukarida oldugu gibi 22 trafigi dinliyor. Hatta 4392â€™den ssh portuna uzaktan baglanmisim bilene.
Simdide 1022â€™ye bakalim. Evet orasi bos..

vs2052020:~# netstat -alnp | grep :1022
vs2052020:~#

vi /etc/ssh/sshd_config dosyasini acip
Port 22 yazili satirda gerekli degisikligi yaptikdan sonra ssh servisini yenden calistirmak kafi olucaktir.
/etc/init.d/sshd restart
bu arada ssh clientinizde standart 22 portunu 1022 yapmayi unutmayin.
Alernatif bir ssh güvenligi ise root kullanicisina ssh üzerinden baglanmayi engelemek süreci ile yapilabilir. Söyleki bir sisteme DoS atak ile ssh üzerinden baglanmaya calissaniz. Hangi kullanicin sifresini kirmayi denerdiniz tabiyki her sistemde olan ve en güclü kullanicinin yani rootâ€™un. Uzaktan erisimi sagliyabilmek icin ilk önce sisteminize 2. bir kullanici acin. sshâ€™ya daima bu kullanici ile baglanip sonra su â€“ komutu ile root haklarini alin.
sshâ€™ya root olarak baglanmayi engelemek icin
vi /etc/ssh/sshd_config dosyasini acip
PermitRootLogin yes anahtarini no olarak degistirip
/etc/init.d/sshd restart
ssh hizmetini yeniden calistirmaniz kafi gelicektir.
Gelgelelim ftp hizmetimize. Proftp gibi ftp serverleri virtual ftp kullanicisi kullanma sansi taniyor. Mümkünse ftp serverinizi virtual ftp kullanicilari ile kullanin. Sistem kullanicilari ile ftp kullanicilarini ayni ise birde root ftp üzerinden sisteme baglaniyorsa. Hic hos olmayan durumlarla karsilasabilirsiniz.
Bunun ne kadar tehlikeli olabilecegini ngrep ile yapacagimiz ufak bir testle göstereyim. ngrep ile port 21 yani ftp komut portunu dinliyelim..

ngrep port 21
interface: venet0 (127.0.0.1/255.255.255.255)
filter: ip and ( port 21 )
#######
T 85.XX.XX.XX:21 -> 89.YY.YY.YY:3480 [AP]
220 ProFTPD 1.2.10 Server (ProFTPD) [85.25.52.20]..
#
T 89.YY.YY.YY:3480 -> 85.XX.XX.XX:21 [AP]
USER kara..
##
T 85.XX.XX.XX:21 -> 89.YY.YY.YY:3480 [AP]
331 Password required for karaâ€¦
#
T 89.56.135.77:3480 -> 85.XX.XX.XX:21 [AP]
PASS lahana..
#
T 85.XX.XX.XX:21 -> 89.YY.YY.YY:3480 [AP]
230 User kara logged inâ€¦

Peki yukarida ne oldu. Sirasi ile

1. client servere baglandi
2. client kullanici ismini yani karaâ€™yi servere bildirdi
3. server parola talep etti
4. client parolayi yani lahana kelimesini bildirdi..
5. ve kara adli kullanici sisteme baglandi

Görüldügü gibi tüm sifre ve kullanici transferi acik olarak isliyor.
Client ile server arasindaki trafigi dinliyebilen herhangi birisi sisteminizin kullanici bilgileri ulasabilir. Dolayisi ile ftp ulasimi olan sistem kullanicilarini sisteme baglanmalarini engelememiz fayda var. Böylelikle ftp sifremiz bir sekilde ele gecirilmis olsa dahi budurum sistemimizin güvenligi icin sorun ihtiva etmez.
Simdi sistemimizin kullanici bilgilerini barindirildigi /etc/passwd dosyasini aciyoruz
Her kullanici icin bir satir oldugunu ve bagzi kullanicilarn /bin/false yada /bin/nologin gibi kabuklari kullandigini göreceksiniz. Bu kullanicilar sisteme baglanma haklari olmayan kullanicilardir. Ã–rnek ftp kullanicimiz olan karaâ€™nin da kabuk bilgisini asagida ki gibi /bin/false degistirince sisteme ssh üzerinden baglanmasini engelemis oluruz.
kara:x:65007:65007:,,,:/home/kara:/bin/false
Tabiyki sisteminize icin gerekli güvenlik önlemleri bunlarla sinirli degil. Bu yazida sadece kesinlikle bilinmesi gereken bir kac noktaya deyindim.
Fatih Ekrem Genc
Kaynakca:
http://www.fatihgenc.com/debian-uzerinde-apache2-icin-modsecurity-kurulumu/
http://www.sspace.de/archives/52-Mod-Security-Apache2-Debian-Sarge.html
http://www.google.com/support/webmasters/bin/topic.py?topic=8475
http://www.birumut.net/switch.php?modul=Parser

debian snort kurulumu..

Fatih Ekrem Genc — Mon, 24 Sep 2007 19:09:15 +0000

Kurulu olmadigini varsayarak sistemimize mysql kuruyoruz

apt-get install mysql

root kullanicisina sifre verelim

mysqladmin -u root password “benimsifrem”

mysql root ile baglanip snort log dosyalari icin kullanacagimiz mysql veritabanini olusturalim.
mysql -u root -p

mysql root sifresi ile mysql baglanin.

ilk önce snort veritabanmizi olusturalim

create database snort;

mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE \
on snort.* to snort@localhost;

olusturdugumuz veritabani icin snort adinda birde user ekliyelim ve gerekli haklari verelim.
hali hazirda olan root kullanicisini bu veritabani icin kullanabilirdik ancak gereksiz haklarla php üzerinde veritabanina ulasmak güvenlik acisindan daima bir riskdir.
mysql> grant CREATE, INSERT, SELECT, DELETE, UPDATE \
on snort.* to snort@localhost;

veritabanimiz ve ona ait bir kullanicimiz var. veritabanimizin gerekli olan yapisini olusturmak icin. snort ile birlikte gelen snort sql betigini kullanin.

cd /usr/share/doc/snort-mysql/

zcat create_mysql.gz | mysql -u root -p snort

mysql root sifresi sorulacaktir. sifreyi girin.

snort ciktilarini web arabiriminden incleyebilmek icin base paketini kurun.

apt-get install acidbase
acidbase kurulum esnasinda yardimci program size mysql root sifresini sorcaktir. sifreyi girdigiinzde snort user ve snort veritabani olsuturulmus oldugu icin islemi pass gecicektir.

php.ini icinde gerekli kisimlari aktif hale getirelim

vim /etc/php4/apache/php.ini

extension=mysql.so
extension=gd.so

acidbase dosyalari /usr/share/acidbase/ icine atilacaktir gerekli virtual host ayarlarini yapmayi unutmayin

http://localhost/acidbaseÂ sisteminize dogru olan saldirilari inceliyebilirsiniz.

Linux isletim sistemleri üzerinde hata diagnozu

Fatih Ekrem Genc — Thu, 19 Apr 2007 01:01:11 +0000

Bu yazi dahilinde degisik tekniklerle Linux üzerinde olasi sistem yada ag hatalarini nasil testip edebilecegimizden söz edecegim.

Sistem log dosyalari

Genelikle /var/log dizini altinda bulabileceginiz sistem üzerindeki degisikliklerin cetelesinin tutuldugu dosyalar size sisteminizdeki hatalar hakkinda fikir verecektir. Loglarda gördügünüz anormal satirlari google üzerinde arastirmanizda fayda var..
Ã–rnek olarak beli bir ftp kullanicisinin ftp server üzerindeki tüm faliyetlerini incelemek istiyorsunuz. ftp serverimiz proftd olsun. Grepâ€™e i parametesini yoluyarak ayrintili bir arama yapabiliriz grep fonksiyonlari hakkinda daha fazla bilgi edinmek icin man dosyalarini inceleyin.

grep â€“i fgenc /var/log/proftpd.xferlog
Sat Mar 31 12:12:57 2007 362 84.58.178.0 1815994 home/neu/update/15_neu_npm_ilan.pdf b _ o r fgenc ftp 0 * c
â€¦

aktif olarak loglari incelemek. Loglara enson eklenen bilgileri edinmek istiyorsaniz tailâ€™i -f secenegi ile kullanabilirsiniz. Bu sekilde shellâ€™inizi acik biraktiginizda surekli iligli logda bir degisiklik oldugunda bunu gözlemliyebilirsiniz..

tail â€“f /var/log/proftpd.xferlog

bu sekilde shellâ€™inizi acik biraktiginizda ftpserverinize olan herhangi bir aksiyondan direk habeeriniz olur.

Eger analize etiginiz proragmin yada serverin log sistemi syslog destegi varda ayarlanmamis ise bunu ayarlayin ilgili konfiguration dosyasi surada /etc/syslogd.conf bu konuda ayrintiya girmiyecegim syslogd ayarlanmasi kendi icinde bir konuyla ilgili surdaki yazidan faydanalabilirsiniz. http://fatihgenc.com/wiki/doku.php?id=syslog

dmesg
Sisteminiz boot ederken olusan hatalari dmesg programi ile gözlemliyebilirsiniz. Ã–zelikle ag kartiniz yada sürücülerle ilgili sorunlari gözlemlemek icin faydali olabiliyor.

Hangi program ne kadar ram yiyor zombi modunda calisan bir proses varmi bunlari top adli programla gözlemliyebilirsiniz. Windows dünyasindan CTRL+ALT+DEL tuslarina basgitimizda karsimiza cikan proses menüsünü andiran bir sema cikicak karsiniza.

lsof
Yine olducak faydali bir program bir dosyaya hangi proseslerin yada hangi prosesin hangi dosylari degistirdigini anlik olarak gösteren hos bir program lsof.

lsof DOSYADI

yada

lsof â€“p PROSESNUMAâ€™rasi seklinde kullanilabilir.

df
Bazen sabit diskimizde yer kalmadigi icin degisik hata mesajlari aliriz. Sabit diskimizde ne kadar yer kaldigini bilmke istiyorsaniz. df programini calistirin

Ã–rnek:
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/vzfs 41943040 3914988 38028052 10% /
tmpfs 4072388 4 4072384 1% /dev/shm

which
sisteminizde php kurulumu kuruluysa versiyonu ney yada filanci program varmi. Varsa kütühaneleri nerede seklinde bir sorunuz varsa which komutu size fikir verebilir..

which python
/usr/bin/python

daha ayrintili bir arama icin locateâ€™yi kullanabilirsiniz. Locate her gece sisteminizdeki dosyalarin bunulup bir dosyaya indexâ€™inin cikarilmasi sonucu olusturulan veritabanini kullanarak arama yapar. Dolayisi ile sisteminizde yeni olan bilgiler bu veritabaninda kayitli olmayabilir. Aktual aramalar icin find komutunu kullanin. Eger locateâ€™nin veritabanini aktualize etmek istiyorsaniz shellâ€™inize updatedb komutunu verin ve islemin sonlanmasini bekleyin.

strings
Sisteminizde süpelendiginiz calistirilabilir bir (trojana rootkit = redkit degil rootkit) dosya buldugunuzu varsayalim bu programin ne oldugu hakkin fikir edinmek istiyorsunuz string programi size bu konuda fikir verebilir. strings belibir binear dosya icindeki insan tarafadan okunabilir kisimlari bulur ve gösterir.

/proc dizini
/proc dizini bu dizin altinda sistemimizin donanimi hakkinda bilgi iceren bir cok dosya var. cpuinfo , version(linux ve dagilim versiyonunuz hakkinda fikir verir),uptime gibi eger domaniminizda acpi varsa ve bunu kullandiginiz kernel versiyonu destekliyorsa /proc dizin altinda acpi adi bir dizin ve donanimizi hakkinda bilgi iceren bir cok farkli dosya bulacaksiniz. Elimde kurulu acpi destegi olan sistem olmadigi icin bu konuda örnek veremeyecegim. Ancak islemcinin aktual isisindan ne kadar akkü bilgilerine kadar detayli bir cok bilgiye ulasabilirsiniz. Kisacasi donanimla ilgili bir bilgiye ulasmak istediginizde /proc dizinini aklinizda bulsun.

Ã–rnek olarak ide diskleriniz hakkinda ayrintili bilgi icin
cd ide/hd? Seklinde dizinlerin icine bakin gerek sabit diskin modeli, sürücüsü hakkinda degisik bilgilere ulasabilirsiniz.

ping
Gel gelelim agâ€™la ilgili sistem sorunsallarina. Ilk önce ilgili bilgisayarin orda olup olmadigina ping ile göz atalim.

# ping ceviz.net
PING ceviz.net (89.149.202.121) 56(84) bytes of data.
64 bytes from 89-149-202-121.internetserviceteam.com (89.149.202.121): icmp_seq=1 ttl=56 time=4.76 ms

hping
evet ceviz.net pingâ€™e acik. Ya pinge acik olmayan hostlari nasil pinglersiniz. Mesela superonline.com. Deneyin cevap vermedigini göreceksiniz. Ilk önce dig ile superonline.com ipye cevirelim.. Aranilan ip 62.146.28.82 (bu arada debian üzerinde hping yok hping3 var onu kurun). Superonline serverleri üzerinde www server oldugunu biliyoruz. Buda 80. portun acik olduguna isaret eder o halde su sekilde pingliyebiliriz.

hping3 62.146.28.82 -p 80
HPING 62.146.28.82 (venet0:0 62.146.28.82): NO FLAGS are set, 40 headers + 0 data bytes
len=40 ip=62.146.28.82 ttl=55 DF id=0 sport=80 flags=RA seq=0 win=0 rtt=8.0 ms
len=40 ip=62.146.28.82 ttl=55 DF id=0 sport=80 flags=RA seq=1 win=0 rtt=7.9 ms
len=40 ip=62.146.28.82 ttl=55 DF id=0 sport=80 flags=RA seq=2 win=0 rtt=7.2 ms

hping oldukca güclü bir programdir arastirin göreceksiniz.

bing
Birde pek bilinmeyen bing programi var. Buda ag üzerindeki biri yakin digeri uzak olmak üzere 2 nokta arasindaki baglanti bizini ölcmeye yarar. Tam bir sonuc vermesede hiz konusunda size fikir verebilir.

bing YAKINHOST UZAKHOST

Seklinde calistirin bir süre calistikdan sonra programi CRTL+C tuslari ile sonlandirin ve istatistikleri okuyun..

bing localhost web.de
BING localhost.localdomain (127.0.0.1) and web.de (217.72.195.42)
44 and 108 data bytes (1024 bits)
web.de: 3.241Mbps 0.316ms 0.308594us/bit
web.de: 6.206Mbps 0.165ms 0.161133us/bit
web.de: 13.128Mbps 0.078ms 0.076172us/bit
web.de: 15.515Mbps 0.066ms 0.064453us/bit
web.de: 16.000Mbps 0.064ms 0.062500us/bit
web.de: 17.965Mbps 0.057ms 0.055664us/bit
web.de: 5.689Mbps 0.180ms 0.175781us/bit
web.de: 15.284Mbps 0.067ms 0.065430us/bit
web.de: 16.254Mbps 0.063ms 0.061523us/bit
web.de: 16.787Mbps 0.061ms 0.059570us/bit
web.de: 14.629Mbps 0.070ms 0.068359us/bit
web.de: 11.770Mbps 0.087ms 0.084961us/bit
web.de: minimum delay difference is zero, can’t estimate link throughput
web.de: 19.321Mbps 0.053ms 0.051758us/bit
web.de: 22.261Mbps 0.046ms 0.044922us/bit
web.de: 20.480Mbps 0.050ms 0.048828us/bit

— localhost.localdomain statistics —
bytes out in dup loss rtt (ms): min avg max std dev
44 901 901 0% 0.026 0.035 0.097 0.009
108 901 901 0% 0.024 0.026 0.058 0.003

— web.de statistics —
bytes out in dup loss rtt (ms): min avg max std dev
44 900 900 0% 6.428 6.801 11.475 0.326
108 900 900 0% 6.478 6.837 12.249 0.358

— estimated link characteristics —
host bandwidth ms
warning: rtt big localhost.localdomain 0.024ms < rtt small localhost.localdomain 0.026ms
web.de 20.480Mbps 6.402

test etigim serverin web.de olan baglanti hizi 20.480Mbps â€¦

telnet ile hizmet analiz
beli bir serverin calisip calismadigini test etmek istiyorsunuz telnet ile serverin ilgili portuna ulasip deniyebilirsiniz. Yine www serveri icin 80 portu deniyelim. Ve ceviz.net baglanalim..

telnet www.ceviz.net 80
Trying 89.149.202.121…
Connected to 89-149-202-121.internetserviceteam.com.
Escape character is ‘^]’.

Eger baglantiginiz hizmetin komutlarini biliyorsaniz degisik testler yapabilirsiniz. Mesela http icin get index.html komutunu kullanabilir.

telnet www.ceviz.net 80
Trying 89.149.202.121…
Connected to 89-149-202-121.internetserviceteam.com.
Escape character is ‘^]’.
get index.html

Yada smtpâ€™ye (kimlik sorgulamali bir smtp sisteminizin oldugunu varsayaraktan) baglanip olasi kimlik sorgulamasinda ki sorunun tam olarak ne oldugunu adim adim inceleyerek tespit edebilirsiniz.

Linux üzerinde hata tespiti bu makale ile bitmez. Yüksek talep olursa bu makalenin 2. versiyonunuda kendimce yazmaya calisirim : )

snort debian kurulumu

Fatih Ekrem Genc — Thu, 12 Apr 2007 00:38:47 +0000

debian üzerine snort kurulumunu anlatmis. su aralar vaktim yok bir ara okur hatta kurarim dahi..

http://snort.org/docs/setup_guides/deb-snort-howto.pdf

easyubuntu ubuntu kurulum kolaylastirici

Fatih Ekrem Genc — Sun, 04 Mar 2007 00:52:14 +0000

hangi isletim sistemini kurarsaniz kurun. kurulum sonrasi yapmaniz gereken bir ton angarya is vardir. ubuntu kurdugunuzda bu konuda yükünüzü hafifleticek bir oyuncak gelistirmisler. easyubuntu. kurulumu oldukca kolay olan bu oyuncagi surdan tegmin edebilirsiniz.

http://easyubuntu.freecontrib.org/

su sekilde de kurabilirsiniz.

wget -q http://medibuntu.sos-sts.com/repo/medibuntu-key.gpg -O- | sudo apt-key add -

wget http://easyubuntu.freecontrib.org/files/easyubuntu_latest.deb

sudo dpkg -i easyubuntu_latest.deb

sonra shell'inizde asagidaki komutu calistirin

easyubuntu

acilan programda hangi oyuncaklarin kurulmasi gerektigi konusunda karar verin ve okeyleyin.

The following signatures the public key is not available: debian

Fatih Ekrem Genc — Thu, 15 Feb 2007 13:54:05 +0000

The following signatures couldn’t be verified because the public key is not available: diye baslayip devam eden debian sorunsalina en guzel cözüm..

apt-get install debian-keyring

apt-get update

buda kesmez ise su sekilde halledebilirsiniz..
cd /tmp/ wget http://ftp-master.debian.org/ziyi_key_2006.asc apt-key add ziyi_key_2006.ascÂ

finito….

filanci dizine sadece https’den ulasilsin. nasil mi?

Fatih Ekrem Genc — Sun, 15 Oct 2006 20:49:29 +0000

ilk önce apachemize ssl kuralim..

sertifika olustur. (karsiniza cikicak olan sorularda server ismini tam ve dogru olarak verin)

apache2-ssl-certificate

ssl mod'unu aktif hale getirelim.

a2enmod ssl

olan default http ayarlarini https icin kopyalayip degistirelim.

cp /etc/apache2/sites-available/default /etc/apache2/sites-available/default-ssl

ilgili kismi su sekilde degistirin

NameVirtualHost *:443 # SSL (START) SSLEngine on SSLCertificateFile /etc/apache2/ssl/apache.pem SSLCertificateKeyFile /etc/apache2/ssl/ZUFALLSNAME SSLProtocol all SSLCipherSuite HIGH:MEDIUM

apache2′yi port 443 dinleyecek sekilde ayarlayin. Bunun icin /etc/apache2/ports.confÂ dosyaya su satiri ekleyin.
Listen 443

yeni sitemizi aktif hale getirelim.

a2ensite default-ssl

ve apache'yi yeniden calistiralim.

apache2ctl restartÂ

akabinde hemen rewrite mod aktive edelim.

a2enmod rewrite

sadece https den erisilmesini istediginiz dizine su .httacces koyun

RewriteEngine On

RewriteCond %{SERVER_PORT} !^443$

RewriteRule (.*) https://%{SERVER_NAME}%{REQUEST_URI}hepsi bu

faydalanilan kaynak :

http://www.debianhowto.de/doku.php/de:howtos:sarge:lamp_suphpÂ

debian ubuntu ipuclari

Fatih Ekrem Genc — Mon, 09 Oct 2006 19:09:40 +0000

bir cok debian ubuntu kullanicisinin ilgisini cekecegine inandigim debian ipuclari sitesi

http://www.debuntu.org/

not: diger *nixcilerde tadabilir..

debian üzerinde apache2 icin modsecurity kurulumu

Fatih Ekrem Genc — Sun, 17 Sep 2006 14:54:24 +0000

debain icin modsecury kurulumu

apt-get install libapache2-mod-security

vi /etc/apache2/mods-available/mod-security.conf

# Only inspect dynamic requests
# (YOU MUST TEST TO MAKE SURE IT WORKS AS EXPECTED)
# SecFilterEngine DynamicOnly
# Turn the filtering engine On or Off

SecFilterEngine On

# Reject requests with status 404

SecFilterDefaultAction “deny,log,status:404″

# Some sane defaults

SecServerResponseToken Off

SecFilterScanPOST Off
SecFilterCheckURLEncoding On
SecFilterCheckCookieFormat On
SecFilterCheckUnicodeEncoding Off

# If you want to scan the output, uncomment these
# SecFilterScanOutput On
# SecFilterOutputMimeTypes “(null) text/html text/plain”
# Accept almost all byte values

SecFilterForceByteRange 1 255
# Only record the interesting stuff

SecAuditEngine RelevantOnly
SecAuditLog /var/log/apache2/audit_log
# You normally won’t need debug logging

SecFilterDebugLevel 0

SecFilterDebugLog /var/log/apache2/modsec_debug_log

# Include rules

Include /etc/apache2/modsecurity/filter.conf

kurallari include ile eklemis oldugumuz dosyanin icine yazicagiz bunun icin

mkdir /etc/apache2/modsecurity/

vi /etc/apache2/modsecurity/filter.conf

#
# —————————————————————————–
#
# Start Rules (Gerneric)
#
# —————————————————————————–

# Enforce proper HTTP requests

SecFilterSelective THE_REQUEST “!HTTP\/(0\.9|1\.0|1\.1)$”
# check for bad meta characters in User-Agent field

SecFilterSelective HTTP_USER_AGENT “.*\’”

# Require Content-Length to be provided with every POST request

SecFilterSelective REQUEST_METHOD “^POST$” chain

SecFilterSelective HTTP_Content-Length “^$”

# Don’t accept transfer encodings we know we don’t handle (and you don’t need it anyway)

SecFilterSelective HTTP_Transfer-Encoding “!^$”

# Don’t accept chunked encodings

SecFilterSelective HTTP_Transfer-Encoding “chunked”
# must have a useragent string

SecFilterSelective “HTTP_USER_AGENT|HTTP_HOST” “^$”

# Again, this is better protected by removing these functions in php.ini
SecFilterSelective ARGS “(system|exec|passthru|popen|shell_exec|proc_open|fopen|fwrite)\s*\(“

# Prevent path traversal (..) attacks

SecFilter “\.\./”
# generic recursion signature

SecFilterSelective THE_REQUEST “\.\./\.\./”
# generic attack sig

SecFilterSelective THE_REQUEST “cd\x20*\;(cd|\;|echo|perl|python|rpm|yum|apt-get|emerge|lynx|links|mkdir|elinks|cmd|pwd|wget|id|uname|cvs|svn|(s|r)(cp|sh)|rexec|smbclient|t?ftp|ncftp|curl|telnet|gcc|cc|g\+\+|\./)”

# generic filter to prevent SQL injection attacks

SecFilter “[[:space:]]+(select|grant|delete|insert|drop|alter|replace|truncate|update|create|rename|describe)[[:space:]]+[A-Z|a-z|0-9|*| |\,]+[[:space:]]+(from|into|table|database|index|view)[[:space:]]+[A-Z|a-z|0-9|*| |\,]“

# generic PHP remote file inclusion attack
SecFilter “\.php\?” chain

SecFilter “(http|https|ftp)\:/” chain

SecFilter “cmd=(cd|\;|perl|python|rpm|yum|apt-get|emerge|lynx|links|mkdir|elinks|cmd|pwd|wget|id|uname|cvs|svn|(s|r)(cp|sh)|rexec|smbclient|t?ftp|ncftp|curl|telnet|gcc|cc|g\+\+|\./)”

# generic sig for more bad PHP functions
SecFilterSelective THE_REQUEST “chr$([0-9]{1,3})$”
SecFilterSelective THE_REQUEST “chr$[0-9a-fA-Fx]+$”
# SQL injection attacks
SecFilter “delete[[:space:]]+from”
SecFilter “insert[[:space:]]+into”
SecFilter “select.+from”

# SQL injection in cookies
SecFilterSelective COOKIE_sessionid “.*(select|grant|delete|insert|drop|do|alter|replace|truncate|update|create|rename|describe)[[:space:]]+[A-Z|a-z|0-9|*||\,]+[[:space:]]+(from|into|table|database|index|view)”

# —————————————————————————–
# Start Rules (experimental)

# —————————————————————————–

# experimental generic remote download sig foo IP or FQDN or foo http/https/ftp://whatever

SecFilterSelective THE_REQUEST “(perl|t?ftp|links|elinks|lynx|ncftp|(s|r)(cp|sh)|wget|curl|cvs|svn).*\x20((http|https|ftp)\:/|[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}|.*[A-Za-z|0-9]\.[a-zA-Z]{2,4}/)”

SecFilterSelective THE_REQUEST “( |\;|/|\’|,|\&|\=|\.)((s|r)(sh|cp)) *(.*@.*|(http|https|ftp)\:/|[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}|.*[A-Za-z|0-9]\.[a-zA-Z]{2,4}/)”

enson olarak mod secury aktive edip apacheyi yeniden calistiralim.

a2enmod mod-security

/etc/init.d/apache2 restart
su url’yi kendi internet gezgininizden cagirip. apache error.log’larini inceleyin..

http://deineDomain.de/?query=”insert into users (id, name) values (1,’stefan’)”

mod secur calisiyor ise bunu loglardan konrtol edebilirsiniz. ayriyetten sayfa bulunamadi seklinde 404 hatasi verilir…
kaynak:

http://www.sspace.de/archives/52-Mod-Security-Apache2-Debian-Sarge.html

http://www.modsecurity.org/projects/rules/