C72.ORG

Juniper ex3200/ex4200 switchler default konfigürasyonda yönetim için kullanılan servislerin portlarını (http, https ya da SSH) filtrelemiyor. Özellikle SSH servisini aktif hale getirdiyseniz, cihaza atanmış tüm IP adresleri üzerinden ulaşılabilir durumda çalışıyor. HTTP servisinde olduğu gibi hangi Interface’i dinleyeceğini seçme olanağı yok. ( yani 0.0.0.0 dinliyor). Bu durumun yarattığı güvenlik riskini, yönetim servislerine ulaşımı sadece belirli IP adreslerinden yapılabilecek şekilde filtre yazarak ortadan kaldırabilirsiniz.

# x.x.x.x yerine yönetim için izin vermek istediğiniz IP adresini girmeniz gerekiyor.

set firewall family inet filter MGMT_Filter term permit-mgmt from source-address X.X.X.X/32

set firewall family inet filter MGMT_Filter term permit-mgmt from protocol tcp
set firewall family inet filter MGMT_Filter term permit-mgmt from destination-port ssh
set firewall family inet filter MGMT_Filter term permit-mgmt from destination-port https
set firewall family inet filter MGMT_Filter term permit-mgmt from destination-port http

set firewall family inet filter MGMT_Filter term permit-mgmt then accept
set firewall family inet filter MGMT_Filter term deny-mgmt from protocol tcp
set firewall family inet filter MGMT_Filter term deny-mgmt from destination-port ssh
set firewall family inet filter MGMT_Filter term deny-mgmt from destination-port https
set firewall family inet filter MGMT_Filter term deny-mgmt from destination-port http

set firewall family inet filter MGMT_Filter term deny-mgmt then discard
set firewall family inet filter MGMT_Filter term else-accept then accept

set interfaces lo0 unit 0 family inet filter input MGMT_Filter

Not: lo0 için yazdığınız filtreler tüm interface’ler için geçerli oluyor.

Bulunduğunuz networkü istatistik – loglama amaçlı sniffleyip, belirli verileri kayıt altında tutacağınızı düşünün. Bunun için en kısa yoldan, yapıyı hiç değiştirmeden transparan köprü kullanabilirsiniz.

2 adet network kartı olan bir PC ile OpenBSD kullanarak transparan köprü oluşturmak için izlemeniz gereken yol şu şekilde:

Elimizdeki Network Interface’ler (vr0 ve vr1).

Öncelikle IP forwarding’i aktif edin.

Bunun için /etc/sysctl.conf içinde şu satırın önünden # işaretini kaldırın.

net.inet.ip.forwarding=1

Oluşturacağınız köprünün her açılışta aktif olması için:

echo up > /etc/hostname.vr0
echo up > /etc/hostname.vr1
echo add vr0 add vrl1 up > /etc/hostname.bridge0

Dipnot: OpenBSD 4.7 den önce bu bilgiler “bridgename.bridgeX” dosyasına kaydediliyordu ve “brconfig” ile konfigüre edilebiliyordu. 4.7′den itibaren “hostname.bridgeX” dosyası ve “ifconfig” kullanılmaya başlandı.

Eğer siz de benim gibi Linux dağıtımı olarak Debian’ın Stable versiyonunu (şu an lenny) seçen ve uzun süredir kullananlardansanız, yüksek ihtimalle kullandığınız paketlerin eski olmasıyla ilgili sıkıntı yaşamışsınızdır. Birazdan bu sıkıntının çözümünü öğreneceksiniz.

Backports Nedir?

Backports, Debian için yapılmış bir paket yansısıdır. Testing ve Unstable sürümlerinde oluşturulmuş, yeni yazılımlara ait paketlerin, “stable” sürüm Debian Linux kurulu sistemlerde kütüphane ve paket bağımlılığı sorunu yaşamadan kurulmasını sağlamak amacıyla, stable sürümdeki kütüphanelerle tekrar derlenmiş halini sunar.

Örneklendirmek gerekirse;

Yazının yazıldığı şu tarihte roundcube web mail, stable sürüm Debian paket arşivinde yer almıyor. Fakat  ben “Roundcube Webmail” uygulamasını manuel olarak kurmak istemiyorum. Debian paket’ine ihtiyacım var. Eğer sid veya testing paket arşivinden indirip kurmayı denersem biliyorum ki, paket bağımlılıkları ile ilgili birçok sorun çıkacak, bir çoğunu update etmem gerekecek, daha sonra başka bir paket kurulumu sırasında da silmek zorunda kalacağım. Tüm bunlarla uğraşmak yerine “sources.list” dosyasına backports yansısını girip stable sürüm Debian için hazırlanmış paketlerden rahatlıkla kurulum yapabilirim.

Nasıl kullanılır?

/etc/apt/sources.list dosyanızı açıp, metin editörünüzle en alta şu satırı ekleyin:

deb http://www.backports.org/debian lenny-backports main contrib non-free

Dosyayı kaydedip kapattıktan sonra, “apt-get update” komutunu çalıştırarak sisteminizdeki paket listesini güncelleyin. Daha güncel sürümünü yüklemek istediğiniz paket’in adını biliyorsanız şu komutla backports paket arşivinden sorunsuzca yükleyebilirsiniz:

apt-get -t lenny-backports install “paketadı”

“Roundcube Webmail” örneğinden devam edersek şu şekilde:

apt-get -t lenny-backports install roundcube

Eğer update ve backports paket arşivinden kurulum yaparken aldığınız doğrulama hatalarını durdurmak isterseniz aşağıdaki yöntemlerden birini uygulayabilirsiniz:

apt-get install debian-backports-keyring

veya

gpg –keyserver hkp://subkeys.pgp.net –recv-keys 16BA136C
gpg –export 16BA136C | apt-key add -

veya

wget -O – http://backports.org/debian/archive.key | apt-key add -

Ayrıntılı bilgi için: http://www.backports.org (İngilizce)
Kaynak: http://www.backports.org

Gerekli olduğu durumlarda linux konsolundan bir dosyanın içeriğini e-mail ile göndermek için genellikle mailx kullanırız. Örnek vermek gerekirse:

# cat /etc/apache2/apache2.conf |mail -s apache2.conf emailadresi@alanadiniz.com

Client olarak kullandığınız bilgisayar üzerinde yüklü olan işletim sistemi Windows ise, e-mail’in içerisinde gönderdiğiniz dosya içeriğinin satır sonları ile ilgili sorun yaşayabilirsiniz. Bu gibi durumlarda dosyayı eklenti (attachment) olarak göndermeniz daha sağlıklı olacaktır. Bunun için sisteminizde uuencode var ise eğer (Debian’da içerisinde bulunduğu paket “sharutils”. ) Şu komutu kullanabilirsiniz.

#uuencode dosyaadi.uzanti dosyaadi.uzanti| mail -s “baslik” emailadresiniz@alanadiniz.com

Örnek kullanım:

#q:/usr/src/qmail/qmail-1.03# uuencode qmail-smtpd.c qmail-smtpd.c |mail -s “qmail-smptd.c ekte” maniaction@gmail.com

uuencode_mailx

Dosyayı bilgisayarınıza indirdikten sonra düzenlemek daha kolay olacaktır.

Aynı şekilde binary formatta çalıştırılabilir dosyaları ya da jpeg resim dosyalarını da gönderebilirsiniz.