diff options
Diffstat (limited to 'rubbos/app/apache2/manual/misc/security_tips.html.tr.utf8')
| -rw-r--r-- | rubbos/app/apache2/manual/misc/security_tips.html.tr.utf8 | 344 |
1 files changed, 0 insertions, 344 deletions
diff --git a/rubbos/app/apache2/manual/misc/security_tips.html.tr.utf8 b/rubbos/app/apache2/manual/misc/security_tips.html.tr.utf8 deleted file mode 100644 index 7257521f..00000000 --- a/rubbos/app/apache2/manual/misc/security_tips.html.tr.utf8 +++ /dev/null @@ -1,344 +0,0 @@ -<?xml version="1.0" encoding="UTF-8"?> -<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> -<html xmlns="http://www.w3.org/1999/xhtml" lang="tr" xml:lang="tr"><head><!-- - XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX - This file is generated from xml source: DO NOT EDIT - XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX - --> -<title>Güvenlik İpuçları - Apache HTTP Sunucusu</title> -<link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" /> -<link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" /> -<link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /> -<link href="../images/favicon.ico" rel="shortcut icon" /></head> -<body id="manual-page"><div id="page-header"> -<p class="menu"><a href="../mod/">Modüller</a> | <a href="../mod/directives.html">Yönergeler</a> | <a href="../faq/">SSS</a> | <a href="../glossary.html">Terimler</a> | <a href="../sitemap.html">Site Haritası</a></p> -<p class="apache">Apache HTTP Sunucusu Sürüm 2.0</p> -<img alt="" src="../images/feather.gif" /></div> -<div class="up"><a href="./"><img title="<-" alt="<-" src="../images/left.gif" /></a></div> -<div id="path"> -<a href="http://www.apache.org/">Apache</a> > <a href="http://httpd.apache.org/">HTTP Sunucusu</a> > <a href="http://httpd.apache.org/docs/">Belgeleme</a> > <a href="../">Sürüm 2.0</a> > <a href="./">Çeşitli Belgeler</a></div><div id="page-content"><div id="preamble"><h1>Güvenlik İpuçları</h1> -<div class="toplang"> -<p><span>Mevcut Diller: </span><a href="../en/misc/security_tips.html" hreflang="en" rel="alternate" title="English"> en </a> | -<a href="../ko/misc/security_tips.html" hreflang="ko" rel="alternate" title="Korean"> ko </a> | -<a href="../tr/misc/security_tips.html" title="Türkçe"> tr </a></p> -</div> - - <p>Bir HTTP Sunucusunu ayarlarken dikkat edilmesi gerekenler ve bazı - ipuçları. Öneriler kısmen Apache’ye özel kısmen de genel olacaktır.</p> - </div> -<div id="quickview"><ul id="toc"><li><img alt="" src="../images/down.gif" /> <a href="#uptodate">Güncel Tutma</a></li> -<li><img alt="" src="../images/down.gif" /> <a href="#serverroot"><code>ServerRoot</code> Dizinlerinin İzinleri</a></li> -<li><img alt="" src="../images/down.gif" /> <a href="#ssi">Sunucu Taraflı İçerik Yerleştirme</a></li> -<li><img alt="" src="../images/down.gif" /> <a href="#cgi">CGI Genelinde</a></li> -<li><img alt="" src="../images/down.gif" /> <a href="#nsaliasedcgi"><code>ScriptAlias</code>’sız CGI</a></li> -<li><img alt="" src="../images/down.gif" /> <a href="#saliasedcgi"><code>ScriptAlias</code>’lı CGI</a></li> -<li><img alt="" src="../images/down.gif" /> <a href="#dynamic">Devingen içerikli kaynaklar</a></li> -<li><img alt="" src="../images/down.gif" /> <a href="#systemsettings">Sistem Ayarlarının Korunması</a></li> -<li><img alt="" src="../images/down.gif" /> <a href="#protectserverfiles">Sunucu dosyalarının öntanımlı olarak korunması</a></li> -<li><img alt="" src="../images/down.gif" /> <a href="#watchyourlogs">Günlüklerin İzlenmesi</a></li> -</ul></div> -<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> -<div class="section"> -<h2><a name="uptodate" id="uptodate">Güncel Tutma</a></h2> - - <p>Apache HTTP Sunucusu iyi bir güvenlik sicilinin yanında güvenlik - konularıyla oldukça ilgili bir geliştirici topluluğuna sahiptir. Fakat, - bir yazılımın dağıtılmasının ardından küçük ya da büyük bazı sorunların - keşfedilmesi kaçınılmazdır. Bu sebeple, yazılım güncellemelerinden - haberdar olmak oldukça önem kazanır. HTTP sunucunuzu doğrudan - Apache’den temin ediyorsanız yeni sürümler ve güvenlik güncellemeleri - ile ilgili bilgileri tam zamanında alabilmek için <a href="http://httpd.apache.org/lists.html#http-announce">Apache - HTTP Sunucusu Duyuru Listesi</a>ne mutlaka üye olmanızı öneririz. - Apache yazılımının üçüncü parti dağıtımlarını yapanların da buna benzer - hizmetleri vardır.</p> - - <p>Şüphesiz, bir HTTP sunucusu, sunucu kodunda bir sorun olmasa da - tehlike altındadır. Eklenti kodları, CGI betikleri hatta işletim - sisteminden kaynaklanan sorunlar nedeniyle bu ortaya çıkabilir. Bu - bakımdan, sisteminizdeki tüm yazılımların sorunları ve güncellemeleri - hakkında bilgi sahibi olmalısınız.</p> - - </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> -<div class="section"> -<h2><a name="serverroot" id="serverroot"><code>ServerRoot</code> Dizinlerinin İzinleri</a></h2> - - - <p>Normalde, Apache root kullanıcı tarafından başlatılır ve hizmetleri - sunarken <code class="directive"><a href="../mod/mpm_common.html#user">User</a></code> yönergesi - tarafından tanımlanan kullanıcının aidiyetinde çalışır. Root tarafından - çalıştırılan komutlarda olduğu gibi, root olmayan kullanıcıların - yapacakları değişikliklerden korunmak konusunda da dikkatli - olmalısınız. Dosyaların sadece root tarafından yazılabilir olmasını - sağlamak yeterli değildir, bu dizinler ve üst dizinler için de - yapılmalıdır. Örneğin, sunucu kök dizininin - <code>/usr/local/apache</code> olmasına karar verdiyseniz, bu dizini - root olarak şöyle oluşturmanız önerilir:</p> - - <div class="example"><p><code> - mkdir /usr/local/apache <br /> - cd /usr/local/apache <br /> - mkdir bin conf logs <br /> - chown 0 . bin conf logs <br /> - chgrp 0 . bin conf logs <br /> - chmod 755 . bin conf logs - </code></p></div> - - <p><code>/</code>, <code>/usr</code>, <code>/usr/local</code> - dizinlerinde sadece root tarafından değişiklik yapılabileceği kabul - edilir. <code class="program"><a href="../programs/httpd.html">httpd</a></code> çalıştırılabilirini kurarken de benzer - bir önlemin alındığından emin olmalısınız:</p> - - <div class="example"><p><code> - cp httpd /usr/local/apache/bin <br /> - chown 0 /usr/local/apache/bin/httpd <br /> - chgrp 0 /usr/local/apache/bin/httpd <br /> - chmod 511 /usr/local/apache/bin/httpd - </code></p></div> - - <p>Diğer kullanıcıların değişiklik yapabileceği bir dizin olarak bir - <code>htdocs</code> dizini oluşturabilirsiniz. Bu dizine root - tarafından çalıştırılabilecek dosyalar konulmamalı ve burada root - tarafından hiçbir dosya oluşturulmamalıdır.</p> - - <p>Diğer kullanıcılara root tarafından yazılabilen ve çalıştırılabilen - dosyalarda değişiklik yapma hakkını tanırsanız, onlara root - kullanıcısını ele geçirilebilme hakkını da tanımış olursunuz. Örneğin, - biri <code class="program"><a href="../programs/httpd.html">httpd</a></code> çalıştırılabilirini zararlı bir programla - değiştirebilir ve o programı tekrar çalıştırdığınız sırada program - yapacağını yapmış olur. Günlükleri kaydettiğiniz dizin herkes - tarafından yazılabilen bir dizin olduğu takdirde, birileri bir günlük - dosyasını bir sistem dosyasına sembolik bağ haline getirerek root - kullanıcısının bu dosyaya ilgisiz şeyler yazmasına sebep olabilir. - Günlüklerin dosyaları herkes tarafından yazılabilir olduğu takdirde ise - birileri dosyaya yanıltıcı veriler girebilir.</p> - </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> -<div class="section"> -<h2><a name="ssi" id="ssi">Sunucu Taraflı İçerik Yerleştirme</a></h2> - - - <p>SSI sayfaları bir sunucu yöneticisi açısından çeşitli olası risklere - kaynaklık edebilir.</p> - - <p>İlk risk, sunucu yükündeki artış olasılığıdır. Tüm SSI sayfaları, SSI - kodu içersin içermesin Apache tarafından çözümlenir. Bu küçük bir artış - gibi görünürse de bir paylaşımlı sunucu ortamında önemli bir yük haline - gelebilir.</p> - - <p>SSI sayfaları, CGI betikleriyle ilgili riskleri de taşır. <code>exec - cmd</code> elemanı kullanılarak bir SSI sayfasından herhangi bir CGI - betiğini veya bir sistem programını Apache’nin aidiyetinde olduğu - kullanıcının yetkisiyle çalıştırmak mümkündür.</p> - - <p>SSI sayfalarının yararlı özelliklerinden yararlanırken güvenliğini de - arttırmanın bazı yolları vardır.</p> - - <p>Sunucu yöneticisi, bir başıbozuk SSI sayfasının sebep olabileceği - zararları bertaraf etmek için <a href="#cgi">CGI Genelinde</a> - bölümünde açıklandığı gibi <a href="../suexec.html">suexec</a>’i etkin - kılabilir.</p> - - <p>SSI sayfalarını <code>.html</code> veya <code>.htm</code> - uzantılarıyla etkinleştirmek tehlikeli olabilir. Bu özellikle - paylaşımlı ve yüksek trafikli bir sunucu ortamında önemlidir. SSI - sayfalarını normal sayfalardan farklı olarak <code>.shtml</code> gibi - bildik bir uzantıyla etkinleştirmek gerekir. Bu, sunucu yükünü asgari - düzeyde tutmaya ve risk yönetimini kolaylaştırmaya yarar.</p> - - <p>Diğer bir çözüm de SSI sayfalarından betik ve program çalıştırmayı - iptal etmektir. Bu, <code class="directive"><a href="../mod/core.html#options">Options</a></code> - yönergesine değer olarak <code>Includes</code> yerine - <code>IncludesNOEXEC</code> vererek sağlanır. Ancak, eğer betiklerin - bulunduğu dizinde <code class="directive"><a href="../mod/mod_alias.html#scriptalias">ScriptAlias</a></code> - yönergesiyle CGI betiklerinin çalışması mümkün kılınmışsa, - kullanıcıların <code><--#include virtual="..." --></code> ile bu - betikleri çalıştırabileceklerine dikkat ediniz.</p> - - </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> -<div class="section"> -<h2><a name="cgi" id="cgi">CGI Genelinde</a></h2> - - - <p>Herşeyden önce ya CGI betiğini/programını yazanlara ya da kendinizin - CGI'deki güvenlik açıklarını (ister kasıtlı olsun ister tesadüfi) - yakalama becerinize güvenmek zorundasınız. CGI betikleri esasen - sisteminizdeki komutları site kullanıcılarının izinleriyle - çalıştırırlar. Bu bakımdan dikkatle denenmedikleri takdirde oldukça - tehlikeli olabilirler.</p> - - <p>CGI betiklerinin hepsi aynı kullanıcının aidiyetinde çalışırsa diğer - betiklerle aralarında çelişkilerin ortaya çıkması ister istemez - kaçınılmazdır. Örneğin A kullanıcısının B kullanıcısına garezi varsa - bir betik yazıp B’nin CGI veritabanını silebilir. Bu gibi durumların - ortaya çıkmaması için betiklerin farklı kullanıcıların aidiyetlerinde - çalışmasını sağlayan ve 1.2 sürümünden beri Apache ile dağıtılan <a href="../suexec.html">suEXEC</a> diye bir program vardır. Başka bir yol - da <a href="http://cgiwrap.unixtools.org/">CGIWrap</a> kullanmaktır.</p> - - </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> -<div class="section"> -<h2><a name="nsaliasedcgi" id="nsaliasedcgi"><code>ScriptAlias</code>’sız CGI</a></h2> - - - <p>Kullanıcıların sitenin her yerinde CGI betiklerini çalıştırmalarına - izin vermek ancak şu koşullarda mümkün olabilir:</p> - - <ul> - <li>Kullanıcılarınızın kasıtlı ya da kasıtsız sistemi saldırıya açık - hale getirecek betikler yazmayacaklarına tam güveniniz vardır.</li> - <li>Sitenizin güvenliği zaten o kadar kötüdür ki, bir delik daha - açılmasının mahzuru yoktur.</li> - <li>Sitenizin sizden başka kullanıcısı yoktur ve sunucunuzu sizden - başka hiç kimsenin ziyaret etmesi mümkün değildir.</li> - </ul> - - </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> -<div class="section"> -<h2><a name="saliasedcgi" id="saliasedcgi"><code>ScriptAlias</code>’lı CGI</a></h2> - - - <p>CGI’yi belli dizinlerle sınırlamak yöneticiye bu dizinlerde daha iyi - denetim imkanı sağlar. Bu kaçınılmaz olarak <code class="directive"><a href="../mod/mod_alias.html#scriptalias">ScriptAlias</a></code>’sız CGI’den çok daha - güvenlidir, ancak bu dizinlere yazma hakkı olan kullanıcılarınız - güvenilir kişiler olması ve site yöneticisinin de olası güvenlik - açıklarına karşı CGI betiklerini ve programlarını denemeye istekli - olması şartıyla.</p> - - <p>Çoğu site yöneticisi <code>ScriptAlias</code>’sız CGI yerine bu - yaklaşımı seçer.</p> - - </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> -<div class="section"> -<h2><a name="dynamic" id="dynamic">Devingen içerikli kaynaklar</a></h2> - - - <p>Sunucunun bir parçası gibi çalışan, <code>mod_php</code>, - <code>mod_perl</code>, <code>mod_tcl</code> ve <code>mod_python</code> - gibi gömülü betik çalıştırma seçenekleri sunucuyu çalıştıran - kullanıcının aidiyetinde çalışırlar (<code class="directive"><a href="../mod/mpm_common.html#user">User</a></code> yönergesine bakınız). Bu bakımdan bu betik - yorumlayıcılar tarafından çalıştırılan betikler, sunucu kullanıcısının - eriştiği herşeye erişebilirler. Bazı betik yorumlayıcıların getirdiği - bazı sınırlamalar varsa da bunlara pek güvenmemek, gerekli sınamaları - yine de yapmak gerekir.</p> - - </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> -<div class="section"> -<h2><a name="systemsettings" id="systemsettings">Sistem Ayarlarının Korunması</a></h2> - - - <p>Güvenliği gerçekten sıkı tutmak istiyorsanız, kullanıcılarınızın - yapılandırmanızdaki güvenlik ayarlarını geçersiz kılmak için - <code>.htaccess</code> dosyalarını kullanabilmelerinin de önüne - geçmelisiniz. Bunu yapmanın tek bir yolu vardır.</p> - - <p>Sunucu yapılandırma dosyanıza şunu yerleştirin:</p> - - <div class="example"><p><code> - <Directory /> - <span class="indent"> - AllowOverride None - </span> - </Directory> - </code></p></div> - - <p>Böylece, belli dizinlerde özellikle etkinleştirilmedikçe bütün - dizinlerde <code>.htaccess</code> dosyalarının kullanımını engellemiş - olursunuz.</p> - - </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> -<div class="section"> -<h2><a name="protectserverfiles" id="protectserverfiles">Sunucu dosyalarının öntanımlı olarak korunması</a></h2> - - - <p>Apache’nin ister istemez yanlış anlaşılan yönlerinden biri öntanımlı erişim özelliğidir. Yani siz aksine bir şeyler yapmadıkça, sunucu normal URL eşleme kurallarını kullanarak bir dosyayı bulabildiği sürece onu istemciye sunacaktır.</p> - - <p>Örneğin, aşağıdaki durumu ele alalım:</p> - - <div class="example"><p><code> - # cd /; ln -s / public_html - </code></p></div> - - <p>Ve, tarayıcınıza <code>http://localhost/~root/</code> yazın.</p> - - <p>Böylece, istemcilerin tüm dosya sisteminizi gezmelerine izin vermiş olursunuz. Bu işlemin sonuçlarının önünü almak için sunucu yapılandırma dosyanıza şunları yazın:</p> - - <div class="example"><p><code> - <Directory /> - <span class="indent"> - Order Deny,Allow <br /> - Deny from all - </span> - </Directory> - </code></p></div> - - <p>Bu suretle, dosya sisteminize öntanımlı erişimi yasaklamış olursunuz. Erişime izin vermek istediğiniz dizinler için uygun <code class="directive"><a href="../mod/core.html#directory">Directory</a></code> bölümleri eklemeniz yeterli olacaktır. Örnek:</p> - - <div class="example"><p><code> - <Directory /usr/users/*/public_html> - <span class="indent"> - Order Deny,Allow <br /> - Allow from all - </span> - </Directory> <br /> - <Directory /usr/local/httpd> - <span class="indent"> - Order Deny,Allow <br /> - Allow from all - </span> - </Directory> - </code></p></div> - - <p><code class="directive"><a href="../mod/core.html#location">Location</a></code> ve <code class="directive"><a href="../mod/core.html#directory">Directory</a></code> yönergelerinin etkileşimine de özellikle önem vermelisiniz; örneğin <code><Directory /></code> erişimi yasaklarken bir <code><Location /></code> yönergesi bunu ortadan kaldırabilir.</p> - - <p><code class="directive"><a href="../mod/mod_userdir.html#userdir">UserDir</a></code> yönergesi de size buna benzer bir oyun oynayabilir; yönergeye <code>./</code> atamasını yaparsanız, root kullanıcısı söz konusu olduğunda yukarıda ilk örnekteki durumla karşılaşırız. Apache 1.3 veya üstünü kullanıyorsanız, sunucu yapılandırma dosyanızda aşağıdaki satırın mutlaka bulunmasını öneririz:</p> - - <div class="example"><p><code> - UserDir disabled root - </code></p></div> - - </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> -<div class="section"> -<h2><a name="watchyourlogs" id="watchyourlogs">Günlüklerin İzlenmesi</a></h2> - - - <p>Sunucunuzda olup biteni günü gününe bilmek istiyorsanız <a href="../logs.html">günlük dosyalarına</a> bakmalısınız. Günlük dosyaları sadece olup biteni raporlamakla kalmaz, sunucunuza ne tür saldırılar yapıldığını ve güvenlik seviyenizin yeterli olup olmadığını anlamanızı da sağlarlar.</p> - - <p>Bazı örnekler:</p> - - <div class="example"><p><code> - grep -c "/jsp/source.jsp?/jsp/ /jsp/source.jsp??" access_log <br /> - grep "client denied" error_log | tail -n 10 - </code></p></div> - - <p>İlk örnek, <a href="http://online.securityfocus.com/bid/4876/info/">Apache Tomcat - Source.JSP Bozuk İstek Bilgilerini İfşa Açığı</a>nı istismar etmeyi deneyen saldırıların sayısını verirken ikinci örnek, reddedilen son on istemciyi listeler; örnek:</p> - - <div class="example"><p><code> - [Thu Jul 11 17:18:39 2002] [error] [client falan.filan.dom] client denied - by server configuration: /usr/local/apache/htdocs/.htpasswd - </code></p></div> - - <p>Gördüğünüz gibi günlük dosyaları sadece ne olup bittiğini raporlar, bu bakımdan eğer istemci <code>.htpasswd</code> dosyasına erişebiliyorsa <a href="../logs.html#accesslog">erişim günlüğünüzde</a> şuna benzer bir kayıt görürsünüz:</p> - - <div class="example"><p><code> - falan.filan.dom - - [12/Jul/2002:01:59:13 +0200] "GET /.htpasswd HTTP/1.1" - </code></p></div> - - <p>Bu, sunucu yapılandırma dosyanızda aşağıdaki yapılandırmayı iptal ettiğiniz anlamına gelir:</p> - - <div class="example"><p><code> - <Files ~ "^\.ht"> - <span class="indent"> - Order allow,deny <br /> - Deny from all - </span> - </Files> - </code></p></div> - - </div></div> -<div class="bottomlang"> -<p><span>Mevcut Diller: </span><a href="../en/misc/security_tips.html" hreflang="en" rel="alternate" title="English"> en </a> | -<a href="../ko/misc/security_tips.html" hreflang="ko" rel="alternate" title="Korean"> ko </a> | -<a href="../tr/misc/security_tips.html" title="Türkçe"> tr </a></p> -</div><div id="footer"> -<p class="apache">Copyright 2009 The Apache Software Foundation.<br /><a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a> altında lisanslıdır.</p> -<p class="menu"><a href="../mod/">Modüller</a> | <a href="../mod/directives.html">Yönergeler</a> | <a href="../faq/">SSS</a> | <a href="../glossary.html">Terimler</a> | <a href="../sitemap.html">Site Haritası</a></p></div> -</body></html>
\ No newline at end of file |