RHEL8 İşletim Sisteminde SELinux Devre Dışı Bırakılması

Security Enhanced Linux veya SELinux, RHEL tabanlı işletim sistemleri tarafından kullanılan Linux çekirdeğinde yerleşik bir güvenlik mekanizmasıdır. SELinux, sistem yöneticilerin ve kullanıcıların politika kurallarına dayalı olarak nesnelere erişimini kontrol eden ve bu nesnelere izin vererek sisteme ek bir güvenlik katmanı sağlar. SELinux kuralları, süreçlerin ve kullanıcıların birbirleriyle nasıl etkileşime girdiğini, süreçlerin ve kullanıcıların dosyalarla nasıl etkileşimde bulunduğunu belirtir. Bir nesneye erişime açık bir şekilde izin veren bir kural olmadığında, örneğin bir dosyayı açan bir işlem gibi, erişim reddedilir.

SELinux, Mandatory Access Control (zorunlu erişim denetimi) (MAC) uygulayarak bir sistemi güvence altına alan bir mekanizmadır. SELinux, CentOS 8 sistemlerinde varsayılan olarak etkindir, ancak konfigürasyon dosyasını düzenleyerek ve sistemi yeniden başlatarak devre dışı bırakılabilir.

SELinux’un üç farklı çalışma modu vardır, Bunlar;

  • Enforcing: Bu seçenek ile SELinux politika kurallarına dayalı erişime izin verir. Bu modda, SELinux etkindir ve politikaların tamamı uygulanır. Bu SELinux’un izin vermeyeceği işlemlere izin verilemeyeceği anlamına gelir. Örneğin; bir uygulamada varsayılan olarak belirli bir network portları (mesela port 80’den çalışan) üzerinden çalışacak şekilde yapılandırılmış ve kullanılan bu portu başka bir şeye değiştirilmesi durumunda; SELinux uygulamanın çalışmasına izin vermeyecektir.
  • Permissive: SELinux, yalnızca zorlama modunda çalıştırıldığında reddedilecek eylemleri loglara kaydeder. Bu mode, hata ayıklamak ve yeni kuralları oluşturmak için kullanışlıdır.
  • Disabled: SELinux politikası yüklenmez ve hiçbir mesaj günlüğe kaydedilmez.
Okumaya devam et “RHEL8 İşletim Sisteminde SELinux Devre Dışı Bırakılması”

VMware ESXi Host’un Active Directory Ortamına Dahil Edilmesi

Bu makalede, bir Active Directory etki alanına bir ESXi ana bilgisayarı eklemek için adımlar sağlar.

VMware ESXi host’unuzu, Active Directory (AD) olmak üzere çeşitli kimlik doğrulama yöntemlerini destekleyen PAM veya Pluggable Authentication Module çerçevesi uygular. Bu, ActiveDirectory’nin vSphere ortamlarınıza bir kimlik doğrulama mekanizması olarak dahil edebileceğiniz anlamına gelir. Bu yöntem ile kullanmanın avantajları oldukça çoktur, ancak en çok öne çıkan kullanımda; bir Actrive Directory kullanıcı hesabını kullanarak kimlik doğrulaması yapabilmek ve bunu, Active Directory güvenlik grupları da dahil olmak üzere, vSphere nesnelerine izin vermek için kullanmaktır. Bu yöntemde, yerel ESXi kullanıcılarını ve gruplarını ESXi’nin çoklu örnekleri arasında koruma ve çoğaltma ihtiyacını ortadan kaldırır. Windows kimlik bilgilerini kullanarak ESXi hostları üzerinde oturum açmak pratik ve kontrolü sağlanabilir olacaktır. Active Directory kimlik doğrulaması aktif edildiğinde; kullanıcı yönetimi de kolaylaşacaktır. Örneğin; Active Directory ile, kullanıcı hesabını devre dışı bırakmak basit bir işlemdir ve sonrasında bu kullanıcı hesabının tanımlı olduğu her bir sistem üzerinde devre dışı bırakılması ile uğraşmanızda da gerek kalmayacaktır. Öte yandan, sistem yöneticilerinin root veya benzer şekilde ayrıcalıklı hesapların bilgilerini de paylaşıyor ve kullanıyorlarsa, bu güvensiz yöntem ile; güvenliğin önem verdiğiniz bir şey olduğunu varsayarak, size ek olarak parola değişikliği iş yükünü de gerektirecektir.

Bir ESXi hostunu, salt okunur bir etki alanı denetleyicisine (RODC) sahip bir Active Directory etki alanına dahile dilmesi desteklenmez. Bir ESXi hostu yalnızca yazılabilir bir etki alanı denetleyicisine sahip bir Active Directory etki alanına dahil edebilirsiniz.

Okumaya devam et “VMware ESXi Host’un Active Directory Ortamına Dahil Edilmesi”

Play-With-Docker Kullanımı

Docker ile denemelerinizi yaparken, o an internet bağlantımız yavaş olabilir, PoC, yeni bir özellik veya hatanın gösterilmesi için yada geçici olarak birkaç işlem yaparak sonra da imajımızı silmemiz gerekebilir. Bunun dışında bazende kendi bilgisayarımız üzerine Docker kurmadan/bozmadan üzerinde oynamalar yapabileceğimiz bir yere ihtiyacımız olabilir.

Play-with-Docker ile denemeler yapılırken kullanacağımız Alpine Linux veya üzerinde Docker kurulu sanal makineleri saniyeler içerisinde açıp, kapatabiliriz. Bu işlem için de bilgisayarınıza herhangi bir uygulama kurmadan, sadece internet tarayıcısından erişerek, kullanabilirsiniz.

Play-with-Docker kendi sunucu altyapımızı da kurmamıza olanak tanımaktadır. Güvenliğiniz açısından siteye giriş yaptığınızda makinelerinizi oluşturduğunuzda karşınıza gelen ekranlarda özel bilgi ve özel parola bilgilerinizi paylaşmamanız gerekir. Herkesin bu platform üzerine erişiyor olmasından dolayı özel bir kod veya bilgileri bu platforma üzerinde tutulmaması gerekmektedir.

https://labs.play-with-docker.com/ adresine giriş yaptığımızda karşılama ekranı açılacaktır.

Bu karşılama ekranında oturum açmak için Docker hesap bilgisiniz ile oturum açılır. Bu ekranda yeni bir Docker hesabı oluş

Bu ekranın sol üst köşesinde bir sayaç göreceksiniz. Play-with-docker oturumunu 4 saat süre ile açıyor. Yapılan bütün işlemleriniz 4 saat sonra silinecektir. Bu platform üzerindeki işlemimiz daha erken biterse; oturumu sonlandırmak için sayacın hemen altında yer alan “Close Session” butununa basabilirsiniz.

Bu ekranda makine eklemek için “+Add New Instance” linkine tıklayınız. Bu işlem ile sol kısımda bir makine eklenecek ve makinenin terminali ekranın sağ tarafına açılacaktır.

Ubuntu Server 20.04 LTS üzerine Docker Kurulumu

Docker, uygulamaları hemen hemen her yerde çalıştırılabilen taşınabilir konteynerler olarak hızla oluşturmanıza, test etmenize ve dağıtmanıza olanak tanıyan açık kaynaklı bir konteynerleştirme platformudur. Bir konteyner, tek bir uygulama için bir çalışma zamanını temsil eder ve yazılımın çalışması için gereken her şeyi içerir. Docker, modern yazılım geliştirmenin ve DevOps sürekli entegrasyon ve dağıtım işlem hatlarının ayrılmaz bir parçasıdır. Bu makalemde, Docker’ın en güncel sürümünü, Ubuntu Server 20.04 işletim sistemi üzerine kurulumunu açıklıyor olacağım.

Docker, standart Ubuntu 20.04 repositoriy’lerde kurulabilir, ancak her zaman en son sürüm olmayabilir. Bu makalemde resmi Docker’ın depolarından en son paketini yükleyeceğiz.

Sunucunuz üzerinde daha önceden kurulu docker uygulaması var ise kaldırılması için aşağıdaki komutu çalıştırınız.

apt-get remove docker docker-engine docker.io containerd runc

İlk olarak aşağıdaki komutları kullanarak işletim sisteminizi güncelleyiniz.

apt-update
apt-upgrade

apt paket dizinini güncelleyiniz ve apt’nin HTTPS üzerinden bir depo kullanmasına izin vermek için paketleri yükleyiniz. Bu işlem için aşağıdaki komutu kullanabilirsiniz.

Okumaya devam et “Ubuntu Server 20.04 LTS üzerine Docker Kurulumu”

Ubuntu Server 20.04 LTS Kurulumu

Merhabalar bu makalemde; Ubuntu’nun sunucu platformu için kullanılan ve en güncel sürümü olan 20.04 LTS nin kurulumuna değiniyor olacağım. Ubuntu işletim sistemi distrowatch.com verilerine göre en yaygın kullanılan 4. işletim sistemi dağıtımıdır. Ubuntu 20.04 Server Edition, dosya, print server, web server, e-posta barındırma, container mimarisi ve openstack projelerinde oldukça fazla tercih edilen bir sürümdür.

Ubuntu Server 20.04 LTS sürümü sunucu uygulamaları için ortak minimalist bir temel sağlar. Ubuntu Server ARM ve IBM PowerPC de dahil oldığu dört 64 bit mimariyi desteklemektedir.

  • amd64 (Intel / AMD 64 bit)
  • arm64 (64-bit ARM)
  • ppc64el (POWER8 ve POWER9)
  • s390x (IBM Z ve LinuxONE)

Önerilen sistem gereksinimleri şunlardır:

  • CPU: 1 gigahertz veya daha hızlı
  • RAM: 1 gigabayt veya daha fazlası
  • Disk: minimum 2,5 gigabayt boş disk alanı
  • Network: 100 Mbps veya daha hızlı ağ kartı

İşletim sistemi kurulumu için gerekli olan kurulum medyasını https://ubuntu.com/download/server adresinden 20.04 LTB için uygun olan platform seçildikten sonra indirebilirsiniz.

ISO dosyası indirme işlemi tamamlandıktan sonra fiziksel yada sanal makine üzerinde Ubuntu Server kurulum işlemine başlayabiliriz. Bilgisayarınızı (Fiziksel yada Sanal Makine) Ubuntu kurulum medyasından açılacak şekilde başlatınız.

Karşımıza ekranında işletim sistemi kurulum için dil seçimi yapılır. Genellikle Linux dağıtımlarını bireysel kullanım haricinde kullanım söz konusu ile tavsiye olarak “İngilizce” olarak kuruluma devam etmek olacaktır. Bu ekranda “English” seçilir ve kuruluma başlamak için Enter tuşuna basılır.

Okumaya devam et “Ubuntu Server 20.04 LTS Kurulumu”

“Deprecated VMFS (ver 3) volumes found. Upgrading such volumes to VMFS (ver 5) is mandatory for continued availability on vSphere 6.7 hosts” hatasının giderilmesi

Bir LUN,ESXi Node’a ilk kez bağlandığında, ESXi dosya sisteminin sürümünü algılayamaz ve bu nedenle bir eşleşme döndürmek için onu geçerli dosya sistemi listesiyle karşılaştıramaz. Bazende ESXi 5.5 sürümüne sahip ESXi hostlarının 6.0 sürümüne yükseltilmesi sonrasında da bu hata ile karşılabilirsiniz. Aslında Lun’larınızın tamamı VMFS 5.0 olmasına ragmen Lun’lar üzerinde VMFS upgrade seçeneği de gelmeyecektir.

VMware ESXi 6.0 Patch Release ESXi600-201608401 ile bu sorun giderilmiştir. Bu sürümden daha yeni ESXi sunucularında bu sorunun çıkması durumunda bu hatadan etkilenen ESXi sunucularınun servisleri yeniden başlatılarak sorun giderilir.

Not : Management ajanlarının yeniden başlatılması, sanal makine güç durumunu etkilemez. Ayrıca, ESXi sunucularnda herhangi bir yeniden başlatma işlemide gerektirmez.

Bu sorunun giderilmesi için yapmanız gereken ilk işlem VMware ESXi host üzerinden “Management Agent” servislerinin yeniden başlatılması olacaktır. Bu işlem için ESXi host’a SSH ile başlanılır ve terminal ekranında services.sh restart komutu çalıştırılır. ESXi host’un bütün servisleri yeniden başlayacaktır ve ESXi kullanımdan kaldırılmış VMFS birimleri hakkındaki uyarıları otomatik olarak temizleyecektir. Üstelik bu bir sorun değildir ve false-positve bir hatadır. Göz ardı edilebilir çünkü herhangi bir işlevsellik arızasına neden olmayacaktır.

Linux işletim sistemlerinde dig komutu kullanımı

DIG komutu Linux ve Windows işletim sisteminde DNS ve IDN (Internationalized Domain Name) kayıtlarını sorgulamak için kullanacağınız bir araçtır. Dig aracı BIND’in bir parçası olarak geliştirilmiş olup, nslookup’a göre daha fazla detay ve esneklik sağlar. Windows kullanıcıları bu aracı BIND’ın web sitesinden indirebilir, Linux ve Apple sistemlerinde terminal üzerinden kullanabilirsiniz.

DIG’in açılımı “Domain Information Gropher” dır. Bu açıklamanın Türkçe anlamı ise; alan adı bilgi yoklayıcısıdır. Bu araç ile alan adları üzerindeki dns kayıtları ve dns bilgilerini sorgulayarak kontrol edebilirsiniz.

dig “domain-name” komutu ile bir domain’deki A kayıtları görüntülenir. İsteğe bağlı olarak +short komutu ile daha kısa sonuçlar çıkması sağlanabilir.

dig kadirkozan.com.tr

Yukarıdaki çıktı, kadirkozan.com.tr adresinin A kayıtlarını göstermektedir. Bu çıktıda ilgilendiğimiz kısım “ANSWER SECTION” ile başlayan bölümdür. Bu kısımın altındaki satırın başında ; işareti olmadığını görebilirsiniz. Buradaki noktalı virgül işaretleri (;), ilgili satırın bir açıklama satırı olduğunu ifade etmesi bakımından kullanılmaktadır. Cevaptaki diğer bölümler, programın versiyonu, sorgu hakkında bir takım istatistikler paylaşmaktadır. “QUESTION SECTION” kısmında sorgunun aslında kadirkozan.com.tr IN A için yapıldığı görülebilir. Bu yüzden cevap olarak kadirkozan.com.tr. 14399 IN A 116.202.53.24 şeklinde gelmiştir cevap.

dig komutu ile NS (name server) kayıtlarını görüntülemek için “-t NS” parametrelerini kullanabilirsiniz.

dig kadirkozan.com.tr -t NS

dig komutu ile MX kayıtlarını görüntülemek için “-t MX” parametrelerini kullanabilirsiniz.

Okumaya devam et “Linux işletim sistemlerinde dig komutu kullanımı”

Centos/RHEL 8’de Docker ve Docker Compose Kurulumu

Merhabalar, bu makalemde Centos/RHEL 8 işletim sistemlerinde Docker’ın Community Edition sürümünün kurulumu anlatılacaktır. Docker versiyonunun son sürümü tek komutla sisteme kurulabilmektedir.

RHEL 8 ve CentOS 8’in piyasaya sürülmesiyle, docker paketi varsayılan paket depolarından kaldırıldı, docker podman ve buildah ile değiştirildi. RedHat, Docker için resmi destek sağlamamaya karar verdi. Ancak Redhat, bir sunucu kümesinde, daha özel olarak Buildah ve Podman’da konteyner görüntüleri oluşturmak ve yönetmek için çeşitli yerleşik araçlar sunmaktadır. Bu araçlar docker uyumludur, ancak bir sunucu/istemci mimarisi gerektirirler. Birçoğu Docker konteynerleştirmeyi kullanmayı tercih ediyor ve bu makalemde de  Docker’ın harici bir depo kullanarak CentOS/RHEL 8 sürümlerinde nasıl kurulacağını göstermek istiyoruz.

Ön Gereksinimler;

  • Sudo ayrıcalıklarına sahip bir kullanıcı hesabı
  • Terminal erişimi,
  • İnternet bağlantısı
  • DNF yazılım paketi yükleyicisi (varsayılan olarak CentOS 8’e dahildir)
  • Firewalld manager devre dışı bırakılmalıdır. Kritik güvenlik özelliklerinin devre dışı bırakılması önerilmez, ancak CentOS 8’deki Firewalld manager, Docker container içindeki DNS isim çözümlemesini engellemektedir.
  • Temiz bir kurulum kullandığımızdan emin olmak gerekir. Mevcut Docker uygulamalarını (şu anda kurulu olabilir) kaldırmalıyız. Emin olmak için aşağıdaki komutu çalıştırabilirsiniz.  

yum remove docker docker-client docker-client-latest docker-common docker-latest docker-latest-logrotate docker-logrotate docker-engine

yada dnf remove docker* komutunu kullanabilirsiniz.

Docker kurulumuna başlamadan önce; CentOS 8 paket deposu önbelleğini güncellenir. Bu işlem için “dnf makecache” komutunu kullanabilirsiniz.

Okumaya devam et “Centos/RHEL 8’de Docker ve Docker Compose Kurulumu”

Centos/RHEL 8’de Firewall Servisinin Devre dışı bırakılması veya kapatılması

Firewalld, ağ bölgelemesini destekleyen dinamik olarak yönetilen bir güvenlik duvarı çözümüdür. Sistem yöneticileri, gelen ve giden trafiğe dinamik olarak izin vermek ve izin vermemek için bunu kullanır. Hem IPv4 hem de IPv6 güvenlik duvarı ayarlarını destekler. CentOS 7’den itibaren firewalld (Dinamik Güvenlik Duvarı Yöneticisi), CentOS sunucularında varsayılan güvenlik duvarı aracı olarak gelmektedir.

Güvenlik duvarını her zaman etkin ve etkin tutmanızı tavsiye ederiz. Ancak, yöneticilerin test etmek veya iptables gibi başka bir güvenlik duvarı aracına geçmek için güvenlik duvarını devre dışı bırakması gerekebilir.

Firewalld Servis Durumunun Kontrol Edilmesi

Firewalld, her CentOS 7 ve Centos 8 işletim sistemlerinde varsayılan ayarlarda etkindir. Firewalld durumunu kontrol etmek için, komut satırından aşağıdaki komutu çalıştırınız.

systemctl status firewalld

firewalld çalışıyorsa, aşağıda görüldüğü gibi güvenlik duvarının etkin olduğunu belirten parlak yeşil metin göreceksiniz.

Okumaya devam et “Centos/RHEL 8’de Firewall Servisinin Devre dışı bırakılması veya kapatılması”

Centos/RHEL 8’de hangi servisin ne kadar RAM ve CPU kaynağı tükettiğini görüntülemek

Centos/RHEL 8 işletim sisteminde servislerin işlemci ve bellek kullanım oranı basit olarak görüntülemek için “ps -C” komutunu kullanabilirsiniz.

Komutu çalıştırmadan önce işletim sistemi üzerinde çalışan servisleri listelemek isteyebilirsiniz. Bu işlem için de; “systemctl” komutunu kullanabilirsiniz. Örnek kullanım senaryıları;

systemctl
systemctl | more
systemctl | grep named
systemctl list-units –type service
systemctl list-units –type mount

Centos işletim sistemi üzerinde bütün servislerin listelenmesi için aşağıdaki komutu kullanabilirsiniz;
systemctl list-unit-files

Belirli bir hizmetle (cgroup) ilişkili işlemleri görüntülemek için systemd-cgtop komutunu kullanabilirsiniz. En üstteki komut gibi systemd-cgtop da çalışan işlemleri hizmetlerine göre listeler:

listeyi daha da özetleştirip doğrudan bir servisin ne kadar ram ve cpu kaynağını tükettiğini görüntülemek için aşağıdaki komutu kullanabilirisniz.

ps -C “services-name” o %CPU,%MEM,cmd