Blog | 48K Bilişim ve Internet Teknolojileri

Linuxta tüm dosyalarda bul değiştir komutu

Mayıs 29, 2020/0 Yorumlar/in Centos 7, debian, E-mail Sunucuları, Linux Dağıtımları, Linux Hosting, Linux Sunucu Yönetimi, Linux Web Hosting, ubuntu /tarafından 48k

Örnek olarak tüm eposta hesaplarının spamassassin config dosyalarında puan değişikliği aşağıdaki şekilde yapılabilir.

find . -name user_prefs -exec sed -i ‘s/required_score 0.0/required_score 5.0/g’ {} \;

Ip adreslerini dosyadan ayırmak

Mayıs 28, 2020/0 Yorumlar/in Centos 7, E-mail Sunucuları, Linux Hosting, Linux Server Kurulumu, Linux Sunucu Kurulumu, Linux Sunucu Yönetimi, Linux Web Hosting, Web Sunucuları /tarafından 48k

grep -Eo ‘([0-9]{1,3}\.){3}[0-9]{1,3}’ maillog | sort | uniq

Konsolda çok satırlı dosyayı tek satıra dönüştürmek.

Mayıs 28, 2020/0 Yorumlar/in Linux Eğitim, Linux Hosting, Linux Masaüstü, Linux Sunucu Kurulumu, Linux Sunucu Yönetimi, Linux Web Sunucu Problemleri ve Çözümleri, Ubuntu Linux /tarafından 48k

Aşağıdaki komutla birden fazla satır veri olan dosyanızı tek satır haline çevirebilirsiniz.

tr -d ‘\n’ < dosyaniz.txt

Iptables Geoip Eklentisinin Kurulumu ve Kullanımı

Mayıs 27, 2020/0 Yorumlar/in Ağ uygulamaları, Centos 7, Web Sunucuları /tarafından 48k

Belli bir ülkeden gelen ip trafiğini kısıtlamak veya engellemek için kullanabileceğiniz bir iptables eklentisidir.Eklenti standart Linux distrolarında eklenmiş,hazır halde değildir.Ayrıca bu eklentiyi kullanabilmeniz için güncel bir geoip veritabanına ihtiyaç duyarsınız.Bu veritabanını da maxmind.com’a üyelik yaparak ücretsiz kullanabileceksiniz.

Debian veya Ubuntu türevleri için öncelikle gerekli paketleri sisteminize kurun.

apt-get install iptables-dev xtables-addons-common libtext-csv-xs-perl pkg-config

Redhat ve Centos için ise;

yum install gcc-c++ make automake kernel-devel-`uname -r` wget unzip iptables-devel perl-Text-CSV_XS

Daha sonrasında addons paketini proje sitesinden indirelim.(Not: Dkms modulu olarak veya src paketi olarak da debian/ubuntu depolarından indirebilirsiniz.)

Örneğin (sizin için uygun versiyon işletim sisteminizin kerneline göre farklılık gösterebilir.)

wget http://downloads.sourceforge.net/project/xtables-addons/Xtables-addons/xtables-addons-2.3.tar.xz

Sıkıştırılmaz paketi açıp paketi derliyoruz.

# tar xf xtables-addons-2.3.tar.xz
# cd xtables-addons-2.3
# ./configure
# make
# make install

Kullanacağımız eklenti maxmind’ın eski yapıdaki (Geoip Legacy Databases) veritabanını destekliyor.Öyle görünüyor ki maxmind eski yapıdaki veritabanın da indirme linkini kaldırmış.Yine de Geoip2 veritabanını bir script yazarak eski yapıya dönüştürmek mümkün görünüyor.Nette biraz araştırınca şöyle bir websitesiyle karşılaşıyoruz.

https://mailfud.org/geoip-legacy/

Websitesin sahibi, güncel v2 db yi alıp eski tip db ye sadece çevirmekle kalmamış aynı zamanda bunu sık sık güncelliyor da.

Iptables için uygun olan geoip db linki aşağıdadır.

https://mailfud.org/geoip-legacy/GeoIP-legacy.csv.gz

Linkten dosyayı download ettikten sonra sunucunzda bir yere gz dosyayı açın.

Açılan dosyayı önceden derlenmiş kodda hazır halde olan xt_geoip_build aracı ile iptables’a uygun hale getiriyoruz.

./xt_geoip_build GeoIP-legacy.csv

Ardından gerekli klasörü oluşturup bu db yi içine kopyalıyoruz.

mkdir -p /usr/share/xt_geoip/

cp -r {BE,LE} /usr/share/xt_geoip/

Artık dilediğimiz geoip tabanlı iptables kurallarını yazabiliriz.Son olarak dilerseniz ülke kodlarına https://en.wikipedia.org/wiki/ISO_3166-1 sayfasından bakabilirsiniz.

Örnek olarak Hindistan ve USA ‘dan gelen tüm istekleri engelleyebiliriz.

iptables -I INPUT -m geoip –src-cc IN,US -j DROP

Veya sadece TR dışındaki tüm talepleri engelleyebiliriz.

iptables -I INPUT -m geoip ! –src-cc TR -j DROP

Bir başka örnek ise sadece tcp port 587 e gelen istekleri Türkiye içi ağlarla sınırlandırabiliriz.

iptables -A INPUT -p tcp -m geoip ! –src-cc TR –dport 587 -j DROP

Uygulama Alananları ve Karşılaşabileceğiniz Problemler…

Bu eklentilerin kurulumunu Ubuntu 16.04 ve Ubuntu 14.04 de gerçekleştirdim.Esasen 14.04 de gerekliydi ve hem kaynaktan derleme hem de dkms şeklinde linux çekirdeğine ilavede sorun yaşadım.Sorun yaşamamın sebebini xtables-addons paketindeki başka eklentilerin kullanmakta olduğum kernel ile uyumsuz olduğunu (daha açık olarak belirtmek gerekirse Linux 3.16 da bu bazı eklentilerin desteğinin yeni başladığını) okudum.O yüzden bazı eklentileri mconfig dosyasından iptal ettip.Çünkü bana özellikle geoip modulu gerekiyordu.

Örnek mconfig dosyam aşağıdadır.Karşılıkları boş olanlar sistemde derlenemedi malesef.

# -*- Makefile -*-
#
build_ACCOUNT=m
build_CHAOS=
build_DELUDE=m
build_DHCPMAC=m
build_DNETMAP=m
build_ECHO=m
build_IPMARK=m
build_LOGMARK=m
build_RAWNAT=m
build_STEAL=m
build_SYSRQ=m
build_TARPIT=
build_condition=m
build_fuzzy=m
build_geoip=m
build_gradm=m
build_iface=m
build_ipp2p=m
build_ipv4options=m
build_length2=m
build_lscan=m
build_pknock=
build_psd=m
build_quota2=m

Ancak Ubuntu 16.04 de bunlara hiç gerek duymadan dkms ile tümünü kernele eklemeyi başardım.

Geoip & Iptables kullanmaktaki amacım,mail sunucunun (postfix) email kullanıcı şifre doğrulaması yapılan portlarını kısıtlamak idi.

Tcp Port 25 i sadece email sunucularından gelen isteklere yanıt verir hale getirirken port 587 (submission) ve port 465’i (smtps) sadece TR içinde izin vermek amaç..

Her ne kadar “en mantıklı/iyi çözüm” olmasa da sunucuları brute force ataklarından ve şifresini çaldıran eposta kullanıcılarının başıma açtığı dertlerden kurtardı.

Cloudlinuxta ortak tüm php ayarlarının yönetimi

Ekim 31, 2019/0 Yorumlar/in Linux Hosting, Linux Sunucu Kurulumu, Linux Sunucu Yönetimi, Linux Web Hosting /tarafından 48k

Cloudlinux sunucunuzda kurulu olan tüm php versiyonları için ortak tek dosyada bir kereliğine php ayarlarını değiştirebilirsiniz.Üstelik bu,güncellemelerden etkilenmeyecektir.Çünkü her paket güncellemesinde paket içersinndeki php.ini dosyası sizin dosyasınızın üzerine yazılmaktadır.

Bunu yapmak için öncelikle ssh login olup /etc/cl.selector/ dizinine geçin.

global_php.ini isimli dosyayı nano veya vi gibi bir editorle açın.

[Global PHP Settings] tagı altında tıpkı php.ini standart formatında olduğu gibi kendi direktiflerinizi yazın.Örneğin date.timezone veya disable_functions gibi.Altta sizin için bir örnek;

[Global PHP Settings]

disable_functions= proc_open,escapeshellcmd,escapeshellarg, show_source,
posix_mkfifo, ini_restore, mysql_list_dbs, get_current_user, getmyuid,pconnect, link, symlink, fin, exec, fileread, shell_exec, pcntl_exec, leak, apache_child_terminate, ch
own, posix_kill, posix_setpgid, posix_setsid, posix_setuid, proc_terminate, syslog, fpassthru, execute, shell, chgrp, stream_select, passthru, socket_select, socket_create,
socket_create_listen, socket_create_pair, socket_listen, socket_accept, socket_bind, socket_strerror, pcntl_fork, pcntl_signal, pcntl_waitpid, pcntl_wexitstatus, pcntl_wif
exited, pcntl_wifsignaled, pcntl_wifstopped, pcntl_wstopsig, pcntl_wtermsig, openlog, apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, vir
tual, eval, allow_url_fopen, pconnect, p_connect,posix_getpwuid,fileowner,sym

Dosyanızı kaydedip editorden çıkın.Tekrar konsola geldiğinizde şu komutla işlemi onaylayın.

[root@srv ~]# selectorctl –apply-global-php-ini

Bunu dilerseniz herhangi bir web hosting altına yükleyebileceğiniz phpinfo ile yaptığınız değişiklikleri görebilirsiniz.

Maxmind Apache eklentisi ile geoip url filtreleme

Temmuz 14, 2018/0 Yorumlar/in Centos 7, Linux Hosting, Linux Sunucu Yönetimi, Ubuntu Linux, Web Sunucuları /tarafından 48k

Maxmind geoip servisinin Apache eklentisinin Centos/Cloudlinux 7.2 ve Ubuntu 14.x LTS üzerine kurulumunu anlatıyoruz.

İlk kurulumumuz Centos/Cloudlinux için.Öncelikle yapmanız gereken maxmind kütüphanesini kurup ardından Apache extension tool (apxs) kurulumunun ardından maxmind apache modülünü sistemimize eklemek olacak.Bunun ardından örnek bir apache/maxmind konfigurasyon dosyası ile wordpress kurulu websitelerin wp-login.php dosyasına Türkiye dışından erişimi engelleyeceğiz.

Centos kurulum derleme aşamalarını biraz sadeleştirmek amacıyla önceden bir Cloudlinuxta derlemiş olduğum MaxMind Apache modülünü (.so dosyasını) kullanacağız.

Centos / Cloudlinux Kullananlar İçin hazır batch dosyayı sistemimize indirip çalıştırıyoruz.

wget https://www.linux-destek.com/maxmind/maxmind.sh

Sunucunuza indirdiğiniz maxmind.sh dosyasını çalıştırıyorsunuz.

/bin/bash maxmind.sh

Kurulum işte bu kadar.Sunucunuzda host ettiğiniz bir wordpress siteyi, örneğin www.abc.com/wp-login.php vey xmlrcp.php dosyasının yurt dışından erişilemediğini test etmek size kalıyor.

Debian/Ubuntu Kullanalar için ise kurulum aşamalarımız şöyle;

İlk olarak maxmind kütüphanesini (sistem için gerekli olan) bir apt deposunu ekleyerek kuruyoruz;

sudo add-apt-repository ppa:maxmind/ppa

apt deposunu ekledikten sonra

apt-get update komutunu çalıştırın ve aşağıdaki gerekli paketleri sisteminize kurun

sudo apt install libmaxminddb0 libmaxminddb-dev mmdb-bin apache2-devel automake autoconf libtool git

Paketler sisteminize kurulduktan sonra git client ile sisteminize indirip kurmak için aşağıdaki komutları sırasıyla uygulayın;

git clone –recursive https://github.com/maxmind/mod_maxminddb.git

cd mod_maxminddb/

./bootstrap

./configure –with-apxs=/usr/bin/apxs

make install

Bu aşamadan sonra önceden maxmind ücretsiz servisinden indirmiş olduğumuz dosyayı sunucuda bir klasöre yerleştiriyoruz.

mkdir /usr/local/share/GeoIP/ && cd /usr/local/share/GeoIP/

wget https://www.linux-destek.com/maxmind/modmaxmind/GeoLite2-Country.mmdb

Herşey yolunda giderse artık sistemimizde maxmind kütüphanesi ve apache modülü kurulmuş olacak.Sıra apache için örnek bir konfigurasyon oluşturmakta.Bu örnekte belirttiğimiz gibi wordpress wp-login.php ve xmlrpc.php dosyalarına erişimi geoip tabanlı engelliyoruz.Erişim sadece Türkiye Ip adreslerinden olacak.

Örnek Apache Konfigurasyonu;

#<IfModule mod_maxminddb.c>
LoadModule maxminddb_module modules/mod_maxminddb.so
MaxMindDBEnable On
MaxMindDBFile DB /usr/local/share/GeoIP/GeoLite2-Country.mmdb
MaxMindDBEnv MM_COUNTRY_CODE DB/country/iso_code

<FilesMatch “wp-login.php|xmlrpc.php”>
SetEnvIf MM_COUNTRY_CODE ^(TR) AllowCountry
#Deny from env=BlockCountry
Allow from env=AllowCountry
Deny from All

#RewriteEngine on
#RewriteCond %{ENV:MM_COUNTRY_CODE} !^(RU|DE|FR)$
#RewriteRule ^(.*)$ – [F,L]

</FilesMatch>

#</IfModule>

Üzerinde bazı değişlikler ve iptal edilen satırlar var.Sadece size farklı bir fikir verebilir.Bu şekilde kullanabilirsiniz de.Dosya içeriği bu şekilde.Apache Web sunucusunun dosyayı /etc/apache2/conf-enabled/maxmind.conf ismiyle oluşturmanız ve bu içeriği yapıştırmanız gerekecek.

Dosyanızı kaydettikten sonra service apache2 restart komutu ile webservisini yeniden başlatın.Herhangi bir error seviyesinde hata almaz iseniz kurulum tamam demektir.

Aynı şekilde bir wordpress sitenizdeki wp-login.php dosyanıza yurt dışından erişimi deneyerek testinizi yapınız.Eğer herşey çalışıyorsa Forbidden mesajı ile karşılacaksınız.

Son Söz;

Elbette wordpress veya başka bir website kodunu bu şekilde korumak en iyi yol değildir.Güvenlik kodda başlar.Sistem de güncel kaldığı sürece her bakımdan güvendesiniz demektir.

Burada yapılan çalışma,internet dünyasında bir gerçekten yola çıkılarak düşünülmelidir.O gerçek ise, günümüze wordpress gibi kodlara yapılan bruteforce gibi atakların tamamına yakını Rusya,Çin,Amerika vs gibi ülkelerden gelmekte olduğudur.Şifreniz kırılamasa dahi bu yapılan bot,bruteforce saldırıları sunucuları yormaktadır.

İkinci gerçek ise webmasterları ve sunucu yöneticilerini ilgilendirmekte.Düşünün ki 500 websitesi host ediyorsunuz ve bunun tamamına yakını wordpress.Her gün yüzbinlerce şifre kırma saldırısı host ettiğiniz websitelerinize yapılıyor.Bundan korunmanın en iyi yolu nedir?

Bir vatandaş ücret karşılığı bir websitesi yaptırmış.Webmaster parayı almış,iş bitmiş.Kime neyi anlatacaksınız?Müşterinize nispeten eski kalan wordpressin güvenlik açıklarından bahsetseniz sizi muhtemelen roket bilimi ile uğraşıyorsunuz filan sanır.Ona webmasterin nerde olduğunu sorsanız,adını bile hatırlamayacaktır.

Ancak kötü şeyler herşeyi sorgusuz sualsiz değiştirir.Müşterinizin sitesi gerçekten hackenirse bu sefer sizden bir açıklama bekleyecek,sizi suçlayacak hatta güvenlik açıklarınızın olduğunu söyleyip belki kötü reklamınızı yapacaktır.

Ne yazıkki Internet Sektörü son derece zır cahil seviyesinde yürümekte.O yüzden sunduğumuz çözüm de biraz Türk İşi oldu.Söz de uzadı.Kalın sağlıcakla.

Plesk Onyx bozulan dosya izinlerini onarma

Mart 17, 2018/0 Yorumlar/in Linux Sunucu Yönetimi, Linux Web Hosting, Plesk Küçük İpuçları /tarafından 48k

Bazen migrasyon sonucu bazen yanlışlıkla bozulan hosting dosya izinlerinini kolayca onarmak için pleskin hazır komutlarını kullanabilirsiniz.

Sunucuya ssh üzerinden root olarak login olduktan sonra şu komutu uygulayın

plesk repair fs sizin_alanadınız.com

dogurdan ana alanadınızı yazabileceğiniz gibi alt alan adlarınızı onarmak için de kullanabilirsiniz.

İlgili sistem hata mesajı

Unable to open the directory: Unable to find the directory /var/www/vhosts/example.com/httpdocs/dir/: filemng failed: filemng: opendir failed: Permission denied System error 13: Permission denied

Apache SSL açıklarını kapatın

Mart 10, 2018/0 Yorumlar/in Ağ uygulamaları, Centos 7, E-Mail Kurulum ve Yapılandırılması, E-mail Sunucuları, Linux Dağıtımları, Linux Eğitim, Linux Hosting, Linux Server Kurulumu, Linux Sunucu Kurulumu, Linux Sunucu Yönetimi, Linux Web Hosting, Plesk Küçük İpuçları, Uncategorized @tr, Web Sunucuları /tarafından 48k

Son dönemde ortaya çıkan openssl ve zayıf şifreleme methodlarını kapatın.Özellikle bankalardan sanal pos talep etmeden önce sunucunuzda uygulamanızı tavsiye ederim.

Centos sunucular için

/etc/httpd/conf.d/ssl.conf dosyasının en altına aşağıdaki satırları yerleştirin.Httpd servisini yeniden başlatın.Nispeten güncellenmemiş sunucular için yum update yapmanızı öneriririm.

<IfModule mod_ssl.c>
SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 -SSLv2 -SSLv3
</IfModule>
<IfModule mod_ssl.c>
#SSLCipherSuite HIGH:!aNULL:!MD5:!RC4-SHA:!RC4
#SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RS
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5::!RC4
</IfModule>

Sitenizi saldırgan botlardan engelleyin

Nisan 12, 2017/0 Yorumlar/in Linux Server Kurulumu, Linux Sunucu Kurulumu, Linux Sunucu Yönetimi, Linux VDS, Linux Web Hosting, Linux Web Sunucu Problemleri ve Çözümleri /tarafından 48k

Linux tabanlı herhangi bir web sunucunuzda websitenize atak yapan saldırgan botları engellemek için aşağıdaki adımları uygulayın.

/etc/rc.local dosyanızı açın.İçine uygun bi yere şu satırları yerleştirin.

iptables -F

for x in $(cat /root/bad_bot.txt)
do
iptables -A INPUT -p tcp -s $x –dport 80 -j DROP
iptables -A INPUT -p tcp -s $x –dport 443 -j DROP
done

daha sonra kaydedip çıkın.bu sefer yukarıdaki döngüde satır satır okumasını istediğimiz dosyayı oluşturun

nano /root/bad_bot.txt

bad_bot.txt dosyası

Son olarak /etc/rc.local olarak çağırdığınızda ve her sunucu açılışında bu ip adreslerinin web sunucu portlarınıza erişimi engellenecektir.

Plesk Onyx php fpm limitlerini arttırmak

Nisan 2, 2017/0 Yorumlar/in Linux Hosting, Linux Sunucu Yönetimi, Linux Web Hosting, Linux Web Sunucu Problemleri ve Çözümleri, Plesk Küçük İpuçları /tarafından 48k

Bir websitenin fpm pool ayarlarında karşınıza çıkabilecek birkaç method vardır.Bunlardan ondemand tipi en çok önerilen yöntemdir.Aşağıda bir websitenin nasıl pool ayarlarının yapılacağını göreceksiniz.

Öncelikle

/opt/plesk/php/5.6/etc/php-fpm.d/alanadiniz.com.conf

dosyasından bahsedelim.Bu hostinginize özel fpm konfigurasyon dosyasıdır.

; By default use ondemand spawning (this requires php-fpm >= 5.3.9)
pm = ondemand
pm.max_children = 5
pm.process_idle_timeout = 10s
; Following pm.* options are used only when ‘pm = dynamic’
pm.start_servers = 1
pm.min_spare_servers = 1
pm.max_spare_servers = 1

Deneme yapmak için bu dosyada değişiklik yapabilirsiniz.Ancak httpmng çalıştırdığınızda veya plesk hosting ayarlarından birini değiştirip ok butonuna tıkladığınız anda yaptığınız değişikliklerin yok olacağını unutmayın.Kalıcı konfiguraston için zaten dosyanın en başında ne yapmanız gerektiği yazıyor.

; ATTENTION!
;
; DO NOT MODIFY THIS FILE BECAUSE IT WAS GENERATED AUTOMATICALLY,
; SO ALL YOUR CHANGES WILL BE LOST THE NEXT TIME THE FILE IS GENERATED.

; If you need to customize this file, use either custom PHP settings tab in
; Panel or override settings in /var/www/vhosts/system/alanadiniz.com/conf/php.ini.
; To override pool configuration options, specify them in [php-fpm-pool-settings] ; section of /var/www/vhosts/system/alanadiniz.com/conf/php.ini file.

Yapmanız gereken

/var/www/vhosts/system/alanadiniz.com/conf/php.ini dosyasını nano veya vi ile açıp en alta indikten sonra örnek olarak;

[php-fpm-pool-settings] pm.max_children = 100

yazmak olacaktır.Max children zaten ondemand methoduyla ilgili olduğundan dolayı diğer parametreleri yazma gereği duymuyorum.Onlar zaten fpm conf dosyasında var.Dosyayı kaydettikten sonra son olarak yapılan değişikliğin uygulanmasını sağlıyorum.

/usr/local/psa/bin/php_settings -u

Hepsi bu kadar.İlaveten bu ayarlar cloudlinux ile gelen cagefs-lve için geçerli değildir.Cloudlinux php-fpm yi an itibariyle hala desteklemiyor.

Eğer whm/cpanel kullanıyorsanız web arayüzden yapılabiliyor.Plesk Onyx ‘de bunu web arabirimine taşıyacağını duyursa da hala böyle bir kolaylık görememekteyiz.