Sunucu Güvenliğinde RKhunter ve Lynis ile Sistem Denetimi

Sunucu Güvenliğinde RKhunter ve Lynis ile Sistem Denetimi

Sunucu güvenliği, modern dijital altyapının temel taşlarından birini oluşturmaktadır. 2024 yılında gerçekleştirilen siber saldırıların %67'si önlenebilir sistem açıklarından kaynaklanmıştır. Bu istatistik, düzenli sistem denetimlerinin ne denli kritik olduğunu açıkça ortaya koymaktadır. Linux sunucu güvenliği konusunda kapsamlı bir koruma stratejisi oluşturmak isteyen sistem yöneticileri için RKhunter ve Lynis, en yaygın kullanılan açık kaynaklı güvenlik denetim araçları arasında yer almaktadır.

Sistem Denetimi Nedir ve Neden Gereklidir?

Sistem denetimi, sunuculardaki güvenlik açıklarını, yapılandırma hatalarını ve potansiyel tehditleri proaktif olarak tespit etmeyi amaçlayan sistematik bir değerlendirme sürecidir. Bu süreç, yetkisiz erişim girişimlerinden zararlı yazılımlara, yanlış yapılandırmalardan güncellenmemiş yazılımlara kadar geniş bir yelpazede güvenlik sorunlarını belirlemeye yardımcı olur. Düzenli denetimler, güvenlik ihlallerini önleyebilir ve sistem uptime'ını artırabilir.

RKhunter Nedir ve Nasıl Çalışır?

RKhunter (Rootkit Hunter), Linux ve Unix sistemlerinde rootkit, arka kapı ve potansiyel olarak tehlikeli dosyaları tespit etmek için tasarlanmış açık kaynaklı bir güvenlik tarama aracıdır. Araç, 2007 yılından bu yana aktif olarak geliştirilmekte olup, sunucu güvenlik ekosisteminde standart bir konuma sahiptir.

RKhunter'ın Temel Özellikleri

• Rootkit Tespiti: Bilinen rootkit imzalarını tarar ve şüpheli dosyaları belirler.
• Ağ İzleme: Şüpheli ağ bağlantılarını ve dinleme portlarını tespit eder.
• Yerel Güvenlik Kontrolleri: Sistem dosyalarındaki değişiklikleri hash karşılaştırmasıyla kontrol eder.
• Zayıf Parola Kontrolü: Sistem hesaplarındaki zayıf veya boş parolaları tarar.

RKhunter, çalıştırıldığında öncelikle sistem bilgilerini toplar, ardından SHA-256 hash değerleri kullanarak kritik dosyaları karşılaştırır. Bu yaklaşım, herhangi bir yetkisiz değişikliğin anında tespit edilmesini sağlar. Güvenlik header yapılandırması gibi ek önlemlerle birlikte kullanıldığında, kapsamlı bir güvenlik durumu oluşturulabilir.

Lynis Nedir ve Nasıl Çalışır?

Lynis, Unix ve Linux sistemleri için kapsamlı bir güvenlik denetim aracıdır. RKhunter'dan farklı olarak Lynis, sadece zararlı yazılım tespitine odaklanmak yerine, sistemin genel güvenlik durumunu değerlendiren kapsamlı bir denetim gerçekleştirir. Cisofy tarafından geliştirilen bu araç, hem uyumluluk denetimleri hem de güvenlik açığı taraması için kullanılmaktadır.

Lynis'in Temel Özellikleri

• Kapsamlı Güvenlik Taraması: İşletim sistemi, ağ yapılandırması, kullanıcı hesapları ve yazılımları tarar.
• Uyumluluk Kontrolleri: PCI-DSS, HIPAA gibi düzenleyici çerçevelere uygunluğu değerlendirir.
• Hardening Önerileri: Sistem güvenliğini artırmak için somut öneriler sunar.
• Modüler Yapı: İhtiyaca göre özelleştirilebilen test modülleri içerir.

Lynis, "Hardening Index" adı verilen 0-100 arası bir puanlama sistemi kullanarak sistemin güvenlik seviyesini ölçer. Bu puanlama, sistem yöneticilerinin güvenlik durumunu hızlıca anlamasını ve iyileştirme alanlarını belirlemesini kolaylaştırır.

RKhunter ve Lynis Karşılaştırması

Her iki araç da sunucu güvenliği için kritik öneme sahip olmakla birlikte, farklı amaçlara hizmet etmektedir. İşte temel farklılıklar:

Özellik	RKhunter	Lynis
Odak Noktası	Rootkit ve malware tespiti	Kapsamlı güvenlik denetimi
Kapsam	Dar kapsamlı, derinlemesine	Geniş kapsamlı, yüzeysel
Raporlama	Tehdit odaklı	Uyumluluk odaklı
Öneri Sistemi	Sınırlı	Kapsamlı hardening önerileri
Kaynak Kullanımı	Düşük	Orta
Çıktı Formatı	Metin tabanlı	Metin, JSON, CSV

Her iki aracın birlikte kullanılması önerilmektedir. RKhunter, derinlemesine tehdit tespiti için ideal iken, Lynis genel güvenlik durumunu değerlendirmek için daha uygundur. Bu kombinasyon, SSH güvenliği gibi spesifik alanlarda bile kapsamlı değerlendirme imkânı sunar.

RKhunter Kurulumu ve Kullanımı

Kurulum

RKhunter, çoğu Linux dağıtımının varsayılan deposunda bulunmaktadır. Debian/Ubuntu tabanlı sistemlerde kurulum için aşağıdaki komutlar kullanılır:

apt-get update
apt-get install rkhunter

CentOS/RHEL tabanlı sistemlerde ise EPEL deposu etkinleştirildikten sonra kurulum yapılabilir:

yum install epel-release
yum install rkhunter

Yapılandırma

Kurulum sonrasında RKhunter'ın veritabanı güncellemeleri yapılandırılmalıdır. /etc/rkhunter.conf dosyasında aşağıdaki ayarlar önerilmektedir:

UPDATE_MIRRORS=1
MIRRORS_MODE=0
WEB_CMD="/usr/bin/curl"

Bu yapılandırma, aracın otomatik güncelleme yapmasını ve en yeni tehdit imzalarını kullanmasını sağlar.

Tarama Çalıştırma

Sistemin taranması için aşağıdaki komut kullanılır:

rkhunter --check --all

Bu komut tüm taramaları çalıştırır ve sonuçları ekrana basar. Ayrıntılı log kaydı için --report-warn-only parametresi eklenebilir. Düzenli taramalar için cron job oluşturulması önerilmektedir:

0 3 * * * /usr/bin/rkhunter --check --cronjob --report-warn-only >> /var/log/rkhunter.log 2>&1

Bu cronjob, her gece saat 03:00'te otomatik tarama çalıştırır ve sonuçları log dosyasına kaydeder.

Lynis Kurulumu ve Kullanımı

Kurulum

Lynis, varsayılan depoların yanı sıra resmi GitHub reposundan da kurulabilir. Debian/Ubuntu için:

apt-get update
apt-get install lynis

En güncel sürüm için GitHub'dan indirme yapılabilir:

cd /opt
git clone https://github.com/CISOfy/lynis
cd lynis
lynis update info

Tarama Çalıştırma

Lynis ile tam sistem taraması başlatmak için:

lynis audit system --quick

--quick parametresi interaktif bekleme sürelerini atlar ve tam otomatik tarama sağlar. Detaylı rapor için:

lynis audit system

Rapor çıktısı JSON formatında kaydedilmek isteniyorsa:

lynis audit system --report-file /var/log/lynis-report.json --JSON