Linux Güvenliği ve Rootkit Kavramı
Linux güvenlik ve esneklik konusunda güçlü bir geçmişe sahiptir. Ancak siber saldırganlar rootkit adı verilen özel zararlı yazılımlarla bu güvenlik modelini hedef alırlar.
Rootkit Nedir?
Rootkit isminden de anlaşılacağı üzere root (yönetici yetkisi) elde etmiş saldırganların sistemde gizli kalmak için kullandıkları kötü amaçlı yazılımlardır.
Başlıca özellikleri:
- Gizlilik: Normal antivirüs ve güvenlik araçlarından saklanacak şekilde tasarlanır.
- Çekirdek Seviyesinde Çalışma: Kernel modüllerine sızarak görünmez hale gelir.
- Kalıcı Erişim: Sistemde arka kapılar açar ve yeniden başlatmalardan sonra bile aktif kalabilir.
- Manipülasyon:
ls,ps,topgibi temel Linux komutlarını değiştirerek sahte çıktılar gösterir.
Rootkit Çeşitleri
- User-mode rootkit: Normal kullanıcı seviyesinde çalışır, kolay tespit edilir.
- Kernel-mode rootkit: Çekirdeğe yerleşir, en tehlikeli olanıdır.
- Bootkit: İşletim sistemi açılışında devreye girer.
- Firmware rootkit: Donanım bileşenlerine bulaşır (örneğin BIOS/UEFI).
Tehlike: Rootkit bulaşmış bir sistem, saldırgan için tam kontrol noktası haline gelir.
rkhunter Nedir ve Nasıl Çalışır?
rkhunter (Rootkit Hunter) Linux sistemlerde rootkit backdoor ve şüpheli davranışları tespit eden açık kaynaklı bir güvenlik yazılımıdır.
rkhunter’ın Çalışma Mekanizması
- İmza Tabanlı Kontrol: Bilinen rootkit imzalarını karşılaştırır.
- Bütünlük Kontrolü: Sistem dosyalarının hash değerlerini (MD5/SHA1) kontrol eder.
- Davranış Analizi: Sistem süreçleri, portlar ve ağ bağlantılarını izler.
- Konfigürasyon Denetimi: Hatalı veya riskli ayarları işaretler.
- Gizli Dosya Taraması: Normal yöntemlerle görünmeyen dosya ve dizinleri listeler.
Avantajları
- Hafif, kolay kurulabilir.
- Çoğu Linux dağıtımı için paket depolarında bulunur.
- Log dosyaları üzerinden detaylı rapor verir.
Sınırlılıkları
- Yanlış pozitif üretebilir (zararsız dosyaları şüpheli görebilir).
- Rootkit’i kaldırmaz, sadece tespit eder.
- Düzenli çalıştırılması gerekir.
Debian/Ubuntu Sistemlerde rkhunter Kurulumu
Adım 1: Paket Listelerini Güncelleyin
sudo apt update
Adım 2: rkhunter Kurulumu
sudo apt install rkhunter -y
Adım 3: İmza Veritabanını Güncelleyin
sudo rkhunter --update
Öneri: Kurulumdan sonra rkhunter’ı cronjob ile günlük otomatik tarama yapacak şekilde ayarlamak en güvenli yaklaşımdır.
rkhunter ile Sistem Taramaları
Temel Tarama
sudo rkhunter --check
- Kısa sürer.
- Kullanıcıdan onay ister (E/H soruları çıkar).
Detaylı ve Otomatik Tarama
sudo rkhunter --check --sk
- –sk (skip keypress) parametresi sayesinde tüm soruları otomatik geçer.
- Daha kapsamlı ve kullanıcı müdahalesi olmadan tamamlanır.
Özelleştirilmiş Tarama
sudo rkhunter --check --system-language en --skip-keypress --enable all --disable none
- Dil ayarını sabitler.
- Tüm kontrolleri açar.
- Hiçbir bölümü devre dışı bırakmaz.
rkhunter Raporlarının İncelenmesi
Tarama sonucunda terminalde özet bilgi çıkar, ancak detaylı raporlar log dosyalarında saklanır.
Örnek çıktı:
[Rootkit Hunter version 1.4.6]
Checking system for rootkits...
Possible rootkit installed: Possible Linux/Ebury - Based SSH Trojan
Raporların Saklandığı Yer
cat /var/log/rkhunter/rkhunter.log
Sık Karşılaşılan Uyarılar
| Uyarı | Açıklama |
|---|---|
| Possible rootkit installed | Rootkit olabileceğini işaret eder. |
| Application ‘ps’ has been modified | ps komutu değiştirilmiş olabilir. |
| Hidden file found | Gizli dosya bulundu. |
| Suspicious shared library | Şüpheli paylaşımlı kütüphane bulundu. |
Tehdit Bulunduğunda Yapılması Gerekenler
Adım 1: Yanlış Pozitif Kontrolü
- rkhunter bazen normal dosyaları şüpheli işaretleyebilir.
- Hash değerlerini doğrulayın (
sha256sum).
Adım 2: Sistem Güncellemeleri
- Tüm paketleri güncelleyin:
sudo apt update && sudo apt upgrade -y
Adım 3: Ek Tarama Araçları Kullanın
- chkrootkit yükleyip çalıştırın:
sudo apt install chkrootkit -y
sudo chkrootkit
Adım 4: Ağ Bağlantılarını İnceleyin
ss -tulnp
Adım 5: Kritik Durumlarda Yeniden Kurulum
- Eğer çekirdek seviyesinde rootkit doğrulanırsa, en güvenli çözüm yedekten geri yüklemek veya işletim sistemini yeniden kurmaktır.
Ekstra Güvenlik Önlemleri
- Otomatik Tarama Planlamak (cronjob):
sudo crontab -e
Ve ekleyin:
0 3 * * * /usr/bin/rkhunter --check --sk
(Her gün sabaha karşı 03:00’te otomatik tarama yapar.)
- Logları düzenli incelemek:
journalctl -xe
- Dosya bütünlüğü takibi için ek araçlar:
- AIDE (Advanced Intrusion Detection Environment)
- Tripwire
- Gereksiz servisleri devre dışı bırakmak → saldırı yüzeyini daraltır.
Linux sistemleri doğası gereği güvenli kabul edilse de, rootkit gibi düşük seviyeli tehditler işletim sisteminin kontrolünü tamamen saldırgana bırakabilir. Bu yüzden:
- Düzenli olarak rkhunter taraması yapmak,
- Log dosyalarını incelemek,
- Ek araçlarla doğrulama yapmak,
- Kritik tehditlerde hızlı aksiyon almak
sistem güvenliğinin olmazsa olmaz parçalarıdır.
rkhunter, basit kurulumu, geniş kapsamlı kontrolleri ve açık kaynak desteği ile Linux sistem yöneticilerinin güvenlik kalkanlarından biri olmalıdır.
