WeBMasteR
15.Haziran.2014, 23:11
Web sitenizin güvenliğini artırmak için yapmanız gerekenler
ÇözümTüm linux sunucularımız üst düzey güvenlik seviyesine sahiptir. Fakat sunucu güvenliğinin yanı sıra web sitelerinde kullanılan scriptlerinde güvenliğinin sağlanması gerekmektedir.
Web sitenizde kullandığınız bir scriptin kod açığından faydalanılarak dosyalarınızın olduğu alana erişilebilir ve siz gerekli önlemleri almadıysanız dosyalarınızda değişiklik yapılabilir.
Bu tür problemleri önlemeye yönelik aşağıdaki adımları incelemenizi tavsiye ediyoruz.
1) Dosyalarınızın chmod değerlerini gereksiz yere yükseltmeyin;
Tüm dosyaların chmod değerini 404
Tüm klasörlerin chmod değerini 505 yapmanız yeterlidir.
Sunucu tarafından üzerine veri girilmesi gereken bir dosya için chmod değerini 604, klasörler için chmod değerini 705 yapmanız yeterlidir.
Birçok kullanıcı tarafından verilen 777 değeri güvenlik açısından çok riskli ve gereksizdir. Chmod değeri 777 olan dosya yada klasör sunucu üzerindeki tüm istemciler tarafından yazma, okuma ve değiştirme yetkisine sahiptir.
Config ve .htaccess dosyalarınızın chmod değerinin 404 olması yeterlidir.
Avantajları: Kimse sizin dosyalarınızı değiştiremez
Dezavantajları: Dosyalarınızı düzenlemek istediğinizde chmod değerlerini değiştirmeniz gerekir. Değişiklik tamamlandıktan sonra tekrar eski halinize getirebilirsiniz. Bu işlem en fazla 5 dakikanızı alacaktır. Fakat güvenlik çok daha önemlidir.
Chmod neden çok önemlidir: Hackerlar sitenizin kontrolünü eline geçirmek için bazı dosyalar yüklemek ister (spam göndermek yada dosyalarınızı değiştirmek v.b.). Sitenize bir dosya göndermek için güvenlik açığı yakalamak isterler. Eğer sitenizde bir güvenlik açığı var ise hacker sitenize ulaşabilir fakat dosya ve klasörlere yazma hakkı olmadığı için hiçbir işlem yapamaz. Saldırısı gerçekleşmez.
Chmod Değerleri
Linux sunucularda dosyalarınıza verdiğiniz Chmod değerlerinin açıklaması;
1) Değerlerin anlamları:
000 yetki yok.
001 çalıştırılabilir.
010 değiştirilebilir.
011 değiştirilebilir ve çalıştırılabilir.
100 okunabilir.
101 okunabilir ve çalıştırılabilir.
110 okunabilir ve değiştirilebilir.
111 okunabilir, değiştirilebilir ve çalıştırılabilir.
2) Değerlerin yorumlanması:
Rakamları x,y ve z olarak isimlendirirsek;
x: Dosya sahibi (owner)
y: Dosyaların bulunduğu grubun kullanıcıları (group)
z: Diğer tüm kullanıcılar
çalıştırma = 1
değiştirme = 2
okuma = 4 puan olarak hesaplanmaktadır.
chmod 755 değeri üzerinde konuşursak;
x = 7 (4 + 2 + 1 = 7 , Dosya sahibine okuma, çalıştırma ve değiştirme yetkisi verilmiş)
y = 5 (4 + 1 = 5 , Dosyaların bulunduğu grubun kullanıcılarına okuma ve çalıştırma yetkisi verilmiş [değiştirme yetkisi verilmemiş])
z = 5 (4 + 1 = 5 , Dosyaların bulunduğu grubun kullanıcılarına okuma ve çalıştırma yetkisi verilmiş [değiştirme yetkisi verilmemiş])
Aşağıdaki programdan chmod hesaplamalarını basitçe yapabilirsiniz.
https://www.tamindir.com/program/18895/Calc_CHMOD.htm
2) Şifrelerinizin güvenliğini sağlayın;
İyi bir şifre, harf ve rakam kombinasyonlarından oluşmalıdır. Büyük küçük harf kullanımı şifrenizin gücünü artıracaktır.
Özellikle tek bir şifreyi birçok yerde kullanmamaya özen gösterin. FTP, MySQL ve Kontrol Paneli şifrelerinizin aynı olmamasına özen gösterin. Herhangi bir nedenle MySQL şifreniz ele geçirilir ise Kontrol Panelinize giriş yapılmasını engellemiş olursunuz.
3) Sitenizin ana dizini altına (directadmin kontrol paneli olan sunucularda public_html) bir .htaccess dosyası oluşturun. Bu dosya ile bir çok yasaklama işlemini gerçekleştirebiliriz;
** Önemli Not: Bu işlemleri yaparken aşama aşama gidin. Bir kodu .htaccess dosyanıze ekleyin, sitenize girmeye çalışın ve bir problem yok ise diğer aşamalara geçin. Hata veren kod satırını kaldırın ve diğer satırlardan eklemeye devam edin. Bu işlemlerin hepsi tavsiye niteliğindedir. Kodlar nedeni ile sitenizde meydana gelecek stabilite sorunları için bir sorumluluğumuz bulunmamaktadır.
3.1) Register global değerinin "on" olmasını isteyen scriptler kullanmayın. Sitenizin bulunduğu alan için register global değerini kapatın;
.htaccess dosyanıza eklemeniz gereken satır;
php_flag register_globals 0
php_flag register_globals off
3.2) Hackerlar taradından sitenizin içeriğini tarayan otomatik örümcekleri engelleyin. Böylece 350 ye yakın zararlı örümceğin sitenizi taramasını engellemiş olursunuz;
.htaccess dosyanıza aşağıdaki içeriği eklemeniz yeterlidir.
Kod:
###ZARARLI ORUMCEKLER SITENIZI INDEKSLEMESIN RewriteEngine On### ZARARLI ORUMCEKLER SADECE ASAGIDAKI DOSYALARA ERISEBILSIN## RewriteCond %{REQUEST_URI} !^/robots.txtRewriteCond %{REQUEST_URI} !^/sitemap.xml## PAYPALIN GERCEK ISTEKLERI HARIC HEPSINI ENGELLE RewriteCond %{REQUEST_URI} !^/paypal-ipn.php## ROBOT VE ORUMCEKLERI ENGELLEMEYE BASLAYALIM
RewriteCond %{HTTP_USER_AGENT} ^-?$ [OR]RewriteCond %{HTTP_USER_AGENT} ^[bcdfghjklmnpqrstvwxz\ ]{8,}|^[0-9a-z]{15,}|^[0-9A-Za-z]{19,} [OR]RewriteCond %{HTTP_USER_AGENT} ^
ÇözümTüm linux sunucularımız üst düzey güvenlik seviyesine sahiptir. Fakat sunucu güvenliğinin yanı sıra web sitelerinde kullanılan scriptlerinde güvenliğinin sağlanması gerekmektedir.
Web sitenizde kullandığınız bir scriptin kod açığından faydalanılarak dosyalarınızın olduğu alana erişilebilir ve siz gerekli önlemleri almadıysanız dosyalarınızda değişiklik yapılabilir.
Bu tür problemleri önlemeye yönelik aşağıdaki adımları incelemenizi tavsiye ediyoruz.
1) Dosyalarınızın chmod değerlerini gereksiz yere yükseltmeyin;
Tüm dosyaların chmod değerini 404
Tüm klasörlerin chmod değerini 505 yapmanız yeterlidir.
Sunucu tarafından üzerine veri girilmesi gereken bir dosya için chmod değerini 604, klasörler için chmod değerini 705 yapmanız yeterlidir.
Birçok kullanıcı tarafından verilen 777 değeri güvenlik açısından çok riskli ve gereksizdir. Chmod değeri 777 olan dosya yada klasör sunucu üzerindeki tüm istemciler tarafından yazma, okuma ve değiştirme yetkisine sahiptir.
Config ve .htaccess dosyalarınızın chmod değerinin 404 olması yeterlidir.
Avantajları: Kimse sizin dosyalarınızı değiştiremez
Dezavantajları: Dosyalarınızı düzenlemek istediğinizde chmod değerlerini değiştirmeniz gerekir. Değişiklik tamamlandıktan sonra tekrar eski halinize getirebilirsiniz. Bu işlem en fazla 5 dakikanızı alacaktır. Fakat güvenlik çok daha önemlidir.
Chmod neden çok önemlidir: Hackerlar sitenizin kontrolünü eline geçirmek için bazı dosyalar yüklemek ister (spam göndermek yada dosyalarınızı değiştirmek v.b.). Sitenize bir dosya göndermek için güvenlik açığı yakalamak isterler. Eğer sitenizde bir güvenlik açığı var ise hacker sitenize ulaşabilir fakat dosya ve klasörlere yazma hakkı olmadığı için hiçbir işlem yapamaz. Saldırısı gerçekleşmez.
Chmod Değerleri
Linux sunucularda dosyalarınıza verdiğiniz Chmod değerlerinin açıklaması;
1) Değerlerin anlamları:
000 yetki yok.
001 çalıştırılabilir.
010 değiştirilebilir.
011 değiştirilebilir ve çalıştırılabilir.
100 okunabilir.
101 okunabilir ve çalıştırılabilir.
110 okunabilir ve değiştirilebilir.
111 okunabilir, değiştirilebilir ve çalıştırılabilir.
2) Değerlerin yorumlanması:
Rakamları x,y ve z olarak isimlendirirsek;
x: Dosya sahibi (owner)
y: Dosyaların bulunduğu grubun kullanıcıları (group)
z: Diğer tüm kullanıcılar
çalıştırma = 1
değiştirme = 2
okuma = 4 puan olarak hesaplanmaktadır.
chmod 755 değeri üzerinde konuşursak;
x = 7 (4 + 2 + 1 = 7 , Dosya sahibine okuma, çalıştırma ve değiştirme yetkisi verilmiş)
y = 5 (4 + 1 = 5 , Dosyaların bulunduğu grubun kullanıcılarına okuma ve çalıştırma yetkisi verilmiş [değiştirme yetkisi verilmemiş])
z = 5 (4 + 1 = 5 , Dosyaların bulunduğu grubun kullanıcılarına okuma ve çalıştırma yetkisi verilmiş [değiştirme yetkisi verilmemiş])
Aşağıdaki programdan chmod hesaplamalarını basitçe yapabilirsiniz.
https://www.tamindir.com/program/18895/Calc_CHMOD.htm
2) Şifrelerinizin güvenliğini sağlayın;
İyi bir şifre, harf ve rakam kombinasyonlarından oluşmalıdır. Büyük küçük harf kullanımı şifrenizin gücünü artıracaktır.
Özellikle tek bir şifreyi birçok yerde kullanmamaya özen gösterin. FTP, MySQL ve Kontrol Paneli şifrelerinizin aynı olmamasına özen gösterin. Herhangi bir nedenle MySQL şifreniz ele geçirilir ise Kontrol Panelinize giriş yapılmasını engellemiş olursunuz.
3) Sitenizin ana dizini altına (directadmin kontrol paneli olan sunucularda public_html) bir .htaccess dosyası oluşturun. Bu dosya ile bir çok yasaklama işlemini gerçekleştirebiliriz;
** Önemli Not: Bu işlemleri yaparken aşama aşama gidin. Bir kodu .htaccess dosyanıze ekleyin, sitenize girmeye çalışın ve bir problem yok ise diğer aşamalara geçin. Hata veren kod satırını kaldırın ve diğer satırlardan eklemeye devam edin. Bu işlemlerin hepsi tavsiye niteliğindedir. Kodlar nedeni ile sitenizde meydana gelecek stabilite sorunları için bir sorumluluğumuz bulunmamaktadır.
3.1) Register global değerinin "on" olmasını isteyen scriptler kullanmayın. Sitenizin bulunduğu alan için register global değerini kapatın;
.htaccess dosyanıza eklemeniz gereken satır;
php_flag register_globals 0
php_flag register_globals off
3.2) Hackerlar taradından sitenizin içeriğini tarayan otomatik örümcekleri engelleyin. Böylece 350 ye yakın zararlı örümceğin sitenizi taramasını engellemiş olursunuz;
.htaccess dosyanıza aşağıdaki içeriği eklemeniz yeterlidir.
Kod:
###ZARARLI ORUMCEKLER SITENIZI INDEKSLEMESIN RewriteEngine On### ZARARLI ORUMCEKLER SADECE ASAGIDAKI DOSYALARA ERISEBILSIN## RewriteCond %{REQUEST_URI} !^/robots.txtRewriteCond %{REQUEST_URI} !^/sitemap.xml## PAYPALIN GERCEK ISTEKLERI HARIC HEPSINI ENGELLE RewriteCond %{REQUEST_URI} !^/paypal-ipn.php## ROBOT VE ORUMCEKLERI ENGELLEMEYE BASLAYALIM
RewriteCond %{HTTP_USER_AGENT} ^-?$ [OR]RewriteCond %{HTTP_USER_AGENT} ^[bcdfghjklmnpqrstvwxz\ ]{8,}|^[0-9a-z]{15,}|^[0-9A-Za-z]{19,} [OR]RewriteCond %{HTTP_USER_AGENT} ^