Olay Müdahalesi, bir bilgisayar veya ağ güvenlik olayı meydana geldiğinde izlenen bir eylem süreci olarak tanımlanabilir. Bir Olay Müdahale Uzmanı olarak, sistemlerinizde neyin bulunması gerektiği ve neyin bulunmaması gerektiği konusunda her zaman bilinçli olmalısınız.
Güvenlik olayları şu yöntemlerle aşılabilir:
– Çalışan süreçleri inceleyerek
– Fiziksel bellek içeriğine dair bilgi sahibi olarak
– Ana bilgisayar adı, IP adresi, işletim sistemi gibi detayları toplayarak
– Sistem servisleri hakkında bilgi toplayarak
– Sisteme giriş yapmış tüm bilinen ve bilinmeyen kullanıcıları tespit ederek
– Ağ bağlantılarını, açık portları ve herhangi bir ağ etkinliğini kontrol ederek
– Mevcut çeşitli dosyaları belirleyerek
Kullanıcı Hesapları
Bir Olay Müdahale Uzmanı olarak, kullanıcı hesaplarının aktivitelerini araştırmak çok önemlidir. Bu, giriş yapmış kullanıcıları, mevcut kullanıcıları, olağan veya olağan dışı girişleri, başarısız giriş denemelerini, izinleri, sudo erişimlerini anlamanıza yardımcı olur.
Kullanıcı hesap aktivitesini kontrol etmek için çeşitli komutlar:
/etc/passwd
Sisteminizde şüpheli görünebilecek bir hesap girişi olup olmadığını belirlemek için kullanılır. Bu komut genellikle kullanıcı hesabıyla ilgili tüm bilgileri getirir. Bunu yapmak için şunu yazın:
cat /etc/passwd
Örnek çıktı:
root@ubuntu:z = Cat /etc/passwd root:x:0 src=x:/root:/blu/bash deconrx:1:1:deconrx:/usr/sbtn:/usr/sbtn/nologin bln:x:22:2:btn:/btn:/usr/sbtn/nologin sysr:3:33:sysr:/dev:/usr/sbtn/nologin sync:x:5:65534:sync:/bsn:/blu/sync games:x:5:68 games:/usr/games:/usr/sbtn/nologin nBN:x:6:12:nBN:/usr/cache/nan:/usr/sbtn/nologin lp:x:7:7:8:p:/var/spool:/gb:/usr/sbtn/nologin na1l:x:8:ne:la:f:/var/na1l:/usr/sbtn/nologin news:x:9:9:news:/var/spool/news:/usr/sbtn/nologin upe9:x:10:10:news:/var/spool/user:/usr/sbtn/nologin proxy:x:13:13:proxy:/blu:/usr/sbtn/nologin new-data:x:31:33:new-data:/var/new:/usr/sbtn/nologin backup:x:34:34:backup:/var/packups:/usr/sbtn/nologin list:x:33:38:na1l:ll:x:4:Manner:/var/list:/usr/sbtn/nologin trc:x:39:39:trcd:/var/run/trcd:/usr/sbtn/nologin gnat:x:44:41:Gnats:Big-Peeporting System (admin):/var/lib/gnats:/usr joboby:x:65534:65534:mobody:/home:dcten:t:/usr/sbtn/nologin
Linux’ta Kullanıcı Hesap İnceleme Komutları
passwd -s Komutu
Linux’ta ‘Setuid’ seçeneği, özel bir dosya iznidir. Bir kullanıcı şifre değiştirmek istediğinde ‘passwd’ komutunu çalıştırabilir. Root hesabı setuid olarak işaretlendiği için geçici izinler elde edebilirsiniz.
passwd -s raj
Örnek çıktı:
root@ubuntu:~# passwd -s raj raj P 07/05/2020 0 99999 7 -1 root@ubuntu:~#
## grep Komutu
Grep, düz metin içinde bir düzenli ifadeyle eşleşen satırları aramak için kullanılır. `:0:` ifadesi, /etc/passwd dosyasındaki ‘UID 0’ (root) kayıtlarını göstermek için kullanılır.
Örnek kullanım:
grep :0: /etc/passwd
Örnek çıktı:
root@ubuntu:~# grep :0: /etc/passwd root=x:0:0:root:/root:/bin/bash
find / -nouser Komutu
Bir saldırganın saldırı gerçekleştirmek için geçici bir kullanıcı oluşturup oluşturmadığını belirlemek ve görüntülemek için kullanılır (sistemde tanımlı olmayan sahipsiz dosyaları bulur).
Örnek kullanım:
find / -nouser -print
Örnek çıktı:
root@ubuntu:~# find / -nouser -print find: '/run/user/1000/doc': Permission denied find: '/run/user/1000/gvfs': Permission denied /var/cache/private/fwupdngr /var/cache/private/fwupdngr/fwupd /var/cache/private/fwupdngr/fwupd/lvfs-netadata.xml.gz.asc /var/cache/private/fwupdngr/fwupd/lvfs-netadata.xml.gz
cat /etc/shadow
Örnek çıktı:
root@ubuntu:~# cat /etc/shadow root1::18448:0:99999:7::: daemon:*:18375:0:99999:7::: bin:*:18375:0:99999:7:::
**Açıklama:**
– `/etc/shadow` dosyası şifrelenmiş parolaları ve parola detaylarını içerir
– Sadece **root** kullanıcıları tarafından erişilebilir
– Her satır bir kullanıcıyı temsil eder ve `:` ile ayrılmış 9 alan içerir
**Alanların Anlamı:**
1. Kullanıcı adı
2. Şifrelenmiş parola (`*` hesabın kilitli olduğunu, `!!` parola olmadığını gösterir)
3. Son parola değişikliği tarihi (Unix zaman damgası)
4. Minimum parola ömrü (gün)
5. Maksimum parola ömrü (gün)
6. Parola değişikliği uyarı süresi (gün)
7. Hesap inaktivite süresi (gün)
8. Hesap son kullanma tarihi
9. Rezerve alan
**Örnek Format:**
username:encrypted_password:last_change:min:max:warn:inactive:expire:reserved
cat /etc/group root@ubuntu:~# cat /etc/group root:x:0: daemon:x:1: bin:x:2: sys:x:3: adm:x:4:syslog,raj,mtsp ttw:x:5:
Açıklama:
– `/etc/group` dosyası, sistemdeki **kullanıcı gruplarının bilgilerini** içerir.
– Her satır bir grubu temsil eder ve `:` ile ayrılmış 4 alandan oluşur:
1. **Grup adı** (ör. `root`, `adm`)
2. **Grup şifresi** (genellikle `x` ile gösterilir, şifre `/etc/gshadow`’da saklanır)
3. **Grup ID (GID)** (ör. `0` root grubu için)
4. **Gruba ait kullanıcılar** (virgülle ayrılmış liste, ör. `syslog,raj,mtsp`)
Önemli Gruplar:
– `root` (GID 0): Süper kullanıcı grubu.
– `adm` (GID 4): Sistem loglarına erişimi olan kullanıcılar (ör. `syslog`).
– `sudo`: Sudo komutunu kullanabilen kullanıcılar (bu örnekte görünmüyor ancak genellikle bulunur).
Kullanım Senaryoları:
1. **Bir gruptaki kullanıcıları listelemek**:
grep adm /etc/group
Çıktı: `adm:x:4:syslog,raj,mtsp`
2.Kullanıcının ait olduğu grupları görmek:
groups raj
Çıktı: `raj : adm …` (raj kullanıcısının `adm` grubunda olduğunu gösterir).
sudo yapılandırması:
`/etc/sudoers` dosyasının içeriği görüntüleniyor. Bu dosya, sudo komutunun kimin hangi yetkilerle kullanabileceğini belirleyen yapılandırma dosyasıdır.
çalıştırılan komut:
cat /etc/sudoers
Dosyanın içeriği şunları gösteriyor:
– Dosyanın sadece ‘visudo’ komutu ile düzenlenmesi gerektiği konusunda uyarı
– Yerel değişikliklerin doğrudan bu dosyaya değil, `/etc/sudoers.d/` dizini altındaki dosyalara eklenmesi önerisi
– Varsayılan ayarlar: env_reset, mail_badpass, secure_path
– Kullanıcı yetkileri:
– root kullanıcısı tüm komutları çalıştırabilir: `root ALL=(ALL:ALL) ALL`
– admin grubunun üyeleri root yetkilerine sahip olabilir: `%admin ALL=(ALL) ALL`
– sudo grubunun üyeleri herhangi bir komutu çalıştırabilir: `%sudo ALL=(ALL:ALL) ALL`
– /etc/sudoers.d dizinindeki diğer dosyaların da dahil edildiğini gösteren satır
Bu dosya, sistem yöneticisi tarafından dikkatle düzenlenmesi gereken kritik bir sistem dosyasıdır.
..to be continued
