Linux Saldırı Tespiti

Linux sistemlerinde saldırı tespiti için daha detaylı bir yaklaşım şu adımları içerir:

Log Dosyalarını İnceleme:
- /var/log/ dizini altında genellikle şu log dosyalarını inceleyebilirsiniz:
  - auth.log: Yetkilendirme ve oturum açma ile ilgili bilgileri içerir.
  - syslog veya messages: Sistem olaylarını, hataları ve uyarıları kaydeder.
  - secure veya auth.log: SSH oturumları ve güvenlik ile ilgili bilgileri içerir.
- Log dosyalarını inceleyerek anormal aktiviteleri, başarısız giriş denemelerini, yasaklanan IP adreslerini, ve diğer potansiyel saldırı göstergelerini belirleyebilirsiniz.
Güvenlik Yazılımları Kullanma:
- Fail2ban gibi güvenlik yazılımları, başarısız giriş denemelerini izleyerek otomatik olarak IP adreslerini engelleyebilir.
- OSSEC gibi HIDS (Host-based Intrusion Detection System) yazılımları, sistemdeki değişiklikleri ve anormal aktiviteleri izleyebilir ve bildirimler sağlayabilir.
Network Monitoring Araçları:
- Nagios, Zabbix, veya Prometheus gibi network monitoring araçları kullanarak ağ trafiğini izleyebilir ve anormal trafiği tespit edebilirsiniz.
- Snort veya Suricata gibi IDS (Intrusion Detection System) yazılımları kullanarak ağ trafiğini izleyebilir ve saldırı girişimlerini belirleyebilirsiniz.
Güvenlik Açıkları ve Zafiyetlerin İzlenmesi:
- CVE (Common Vulnerabilities and Exposures) veritabanını takip ederek sistemdeki güvenlik açıklarını ve zafiyetleri belirleyebilirsiniz.
- Sistemdeki yazılım ve paketlerin güncel olduğundan emin olun ve düzenli olarak güvenlik yamalarını uygulayın.
Güvenlik İmzaları ve IPS/IDS Sistemleri:
- Snort veya Suricata gibi IDS yazılımları, belirli saldırı imzalarını (signature) izleyerek saldırıları tespit edebilir ve engelleyebilir.
- IPS (Intrusion Prevention System) yazılımları, saldırı tespiti yapmanın yanı sıra saldırıları otomatik olarak engelleyebilir.
Log Analiz ve SIEM Çözümleri:
- Logstash, Splunk, veya ELK Stack gibi SIEM (Security Information and Event Management) çözümleri kullanarak log dosyalarını analiz edebilir ve güvenlik olaylarını tespit edebilirsiniz.
- Bu tür çözümler, birden çok kaynaktan gelen verileri analiz ederek anormal aktiviteleri ve saldırıları belirler ve bildirimler sağlar.
Güvenlik Politikaları ve İzleme Süreçleri:
- Sistem üzerinde güvenlik politikaları oluşturun ve uygulayın. Örneğin, karmaşık şifre gereksinimleri, güvenlik duvarı kuralları, ve erişim yetkilendirme kontrolleri gibi.
- Kullanıcıların ve sistem aktivitelerinin izlenmesi, yetkilendirme kontrolleri ve oturum izleme gibi önlemler alarak saldırıları tespit edebilirsiniz.

Bu adımları detaylı olarak takip ederek Linux sistemlerinizde saldırıları tespit edebilir ve güvenlik önlemleri alabilirsiniz. Ancak, her adımda dikkatli olmanız ve güvenlik uzmanlarından destek almanız önemlidir.

Linux sistemlerinde saldırı tespiti için kullanılabilecek bir Bash script örneği aşağıdaki gibidir. Bu script, belirli bir log dosyasını (örneğin auth.log) inceleyerek başarısız giriş denemelerini izleyecek ve belirli bir sayıda (örneğin 3) başarısız giriş denemesi yapıldığında ilgili IP adresini engelleyecektir.

bash

#!/bin/bash

# Log dosyası yolunu belirtin (örneğin, auth.log)
LOG_FILE="/var/log/auth.log"

# Başarısız giriş denemesi sayısı
FAIL_LIMIT=3

# Engellenme süresi (saniye cinsinden)
BLOCK_TIME=600  # 10 dakika

# Log dosyasını izleme ve başarısız giriş denemelerini kontrol etme
tail -n0 -F "$LOG_FILE" | while read LINE
do
    if [[ "$LINE" == *"authentication failure"* ]]; then
        IP=$(echo "$LINE" | awk '{print $(NF-3)}')
        COUNT=$(grep "$IP" "$LOG_FILE" | grep "authentication failure" | wc -l)
        if [ $COUNT -ge $FAIL_LIMIT ]; then
            echo "IP $IP $FAIL_LIMIT defa başarısız giriş denemesi yaptı. Engelleniyor..."
            iptables -A INPUT -s "$IP" -j DROP
            sleep $BLOCK_TIME
            iptables -D INPUT -s "$IP" -j DROP
            echo "IP $IP engel kaldırıldı."
        fi
    fi
done

Bu script, belirli bir log dosyasını izleyecek ve herhangi bir "authentication failure" ifadesi içeren satırları kontrol edecektir. Eğer bir IP adresi, belirli bir süre içinde (scriptte FAIL_LIMIT ve BLOCK_TIME olarak belirlenen değerlere göre) belirli bir sayıda başarısız giriş denemesi yaparsa, o IP adresini otomatik olarak engelleyecektir.

Scripti çalıştırmadan önce izinlerini düzgün şekilde ayarlayarak çalıştırabilirsiniz. Ayrıca, scriptin doğru çalışması için kullanılan log dosyasını ve engelleme işlemlerinde kullanılan firewall (örneğin iptables) kurallarını kontrol etmelisiniz. Bu scripti kullanırken dikkatli olun ve gerektiğinde güvenlik politikalarınıza uygun şekilde özelleştirin.

0 Bu dökümanı faydalı bulan kullanıcılar:

Diğer Dökümanlar

Linux Sunucularda Ping (İCMP) devre Dışı Bırakma
Linux sunucunuzu ping erişimini kesmeniz sunucunuzu başkaları tarafından izlenebilir olmasını engellemektir. Basit güvenlik önlemidir. 1- “nano /etc/sysctl.conf” Config dosyasını açıyoruz. 2-...