Bir eğitimimde LVM’i fazla hızlı anlattığım için not alamayan öğrencilerim sayesinde, üşenmeyip tek sayfaya sığabilecek bir klavuz hazırladım. Klavuzun içeriği aşağıda, tek sayfalık pdf haline de buraya tıklayarak erişebilirsiniz:

Disklerin Bölümlenmesi

# fdisk /dev/hdb
(...)
Command (m for help): n
Command action
e extended
p primary partition (1-4)
p
Partition number (1-4): 1
First cylinder (1-1044, default 1):
Using default value 1
Last cylinder or +size or +sizeM or +sizeK (576-1044, default 1044):
Using default value 1044
Command (m for help): t
Partition number (1-4): 1
Hex code (type L to list codes): 8e
Changed system type of partition 3 to 8e (Linux LVM)
Command (m for help): w
(...)

Physical Volume Eklenmesi

• pvdisplay komutuyla varolan PV’ler listelenir.
• pvcreate /dev/hdb1 komutuyla yeni PV oluşturulur.
• pvremove /dev/hdb1 komutuyla boştaki (VG’ye dahil olmayan) bir PV silinebilir.

Volume Group Düzenlenmesi

• vgdisplay komutuyla varolan VG’ler listelenir.
• vgcreate datavg /dev/hdb1 komutuyla yeni VG oluşturulur.
• vgextend datavg /dev/sda1 komutuyla varolan VG’ye yeni PV eklenir.
• vgremove datavg komutuyla VG silinebilir.

Logical Volume Eklenmesi

• lvdisplay komutuyla varolan LV’ler listelenir.
• lvcreate -n lvhome datavg -l XXX komutuyla yeni LV oluşturulur. -l’den sonra gelen sayı, en fazla vgdisplay komutunda görülen ‘Free PE’ kadar olabilir.
• lvextend lvhome -l XXX komutuyla LV genişletilir. -l’den sonra gelen sayı, en fazla vgdisplay komutunda görülen ‘Free PE’ kadar olabilir.
• lvremove lvhome komutuyla LV silinebilir.

File System Oluşturulması

• mkfs -t ext3 /dev/datavg/lvhome komutuyla dosya sistemi oluşturulur.
• fsck /dev/datavg/lvhome komutuyla dosya sisteminde hata olup olmadığına bakılır.
• mount /dev/datavg/lvhome /home komutuyla dosya sistemi bağlanır.
• Açılışta da dosya sisteminin bağlanması için /etc/fstab dosyasına aşağıdaki satır eklenir:
  /dev/datavg/lvhome /home ext3 defaults 1 1

File System Genişletilmesi

• lvextend kullanılarak bölüm genişletilince resize2fs /dev/datavg/lvhome komutuyla dosya sistemi alttaki bölümün tamamını kaplayacak şekilde genişletilir. Bundan önce “fsck” komutuyla hatalar için kontrol edilmesi tercih edilir.

Henüz bu yazı puanlanmamış. Siz puanlasanız ne güzel olur, yıldızlara tıklamak yetiyor valla.

 Yükleniyor ...

Bir önceki yazıda, Ubuntu’da nasıl bir openvpn sunucusu kurduğum üzerine bir şeyler demiştim. Şimdi de sıra istemci ayarlarında.

İstemci sertifikalarını oluşturmak

Openvpn sunucusunun kurulu olduğu bilgisayarda, diyelim ki netice adında bir kullanıcının bağlanması için yapmamız gerekenler şöyle:

cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/
./build-key netice
cp keys/netice.* /etc/openvpn
cd /etc/openvpn
chmod go= *

build-key komutu yine ahiretlik sorular soracak, Netice arkadaşımızla çok samimi olduğumuz için anlamsız bilgiler girmemizde beis yoktur. Yanlız bağlanabilmesi için kendisinde netice.key, netice.crt ve ca.crt dosyalarının olması gereklidir. Bu dosyaların hepsi /etc/openvpn dizini altında bulunabilir ve flash disk marifetiyle kendisine iletilebilir.

Mac OS X istemcileri

Mekintoş için direkt openvpn kurulabilir, yapılandırma dosyalarıyla oynanarak bağlantı sağlanabilir. Ama bu türden bilgisayarların kullanıcıları nedense klavyeyi kül silkmekten başka bir iş için kullanmayı sevmediklerinden, grafik arabirim şarttır. Bu iş için ücretsiz yazılım olarak Tunnelblick, az paralı yazılım olarak da Viscosity kullanılmaktadır genelde. Ben önce Tunnelblick’i kurdum, sonra ilk verdiği hatada kendisini fütursuzca satarak Viscosity’ye geçtim. Aşağıda Viscosity ayarlarını bulacaksınız. Tunnelblick’i de fakirler anlatsın (Nıhahaha türünden bir kahkaha atacaktım ama daha parasını ödemediğimden her an Tunnelblick anlatır duruma düşebilirim). Neyse:

Viscosity’yi alıp kurduktan sonra (kurmasını anlattırmayın şimdi, indiriyorsun, tıklıyorsun, onu oraya bunu buraya taşıyorsun falan) çalıştırdığımızda sağ üst köşede şöyle bir şey çıkıyor:

Hah, ona tıklayıp menüden “Preferences” seçeneğini seçin:

Şimdi sol alt köşedeki “+” düğmesine tıklayıp “New Connection” seçeneğini seçiyoruz:

Burada “Bağlantı İsmi” yazan yere daha anlamlı bir isim girebiliriz. Sonra da adres olarak sunucunun adresini giriyoruz. Protokolü de “tcp” yapalım, sunucuda öyle ayarlamıştık zira. Sonra “Certificates” tabına tıklayalım:

Burada sunucudan almış olduğumuz sertifika dosyalarını seçiyoruz.

Başka ayara gerek yok “Save” düğmesine tıklayalım ve kaydedelim. Artık bağlantımız hazırdır:

“Connect Bağlantı İsmi” seçeneğine tıkladıktan sonra, ikon bir süre bağlanıyor dercesine dönüp duracak, bağlanınca da sevinçle size bu durumu bildirecektir:

Geçmiş olsun ve kolay gelsin. İyi çalışmalar, saygılar.

Henüz bu yazı puanlanmamış. Siz puanlasanız ne güzel olur, yıldızlara tıklamak yetiyor valla.

 Yükleniyor ...

Openvpn kurmaya her niyet edişimde kurulum belgelerinin gevezeliğinden dolayı canım sıkılırdı. Kolay kurulum anlatan yazılan yazılarınsa işi kolaylaştırmak yerine zorlaştırdığını acı tecrübelerle farkettim. Kendi ağlarına özel ayarları “kolay kurulum” diye anlatıp, ağ ayarlarını çorbaya çeviren ya da bilmemne dağıtımının yüzbeş sürüm öncesi için geçerli olan komutları her sistemde geçerliymiş gibi anlatan bir sürü yazı, google’da aramanızla birlikte arz-ı endam eylemekteler. Bir de sunucuyla istemci yapılandırmasını karıştırmıyorlar mı, tam ayar oluyorum.

Ben diğer açıklamalardan daha iyisini yazdığımı sanmıyorum, ama benim için bir güzel çalışan yolu burada anlatacağım. Yazının bu kısmı sadece sunucu kurulumu kısmına ait. Linux, windows ve os x için de istemci kurulumlarını anlatırım sonra.

Aşağıdaki açıklamaların hepsi Ubuntu 8.04 hardy heron için geçerli. Sonraki ve önceki sürümlerde geçerli olmama ihtimali var.

Buyrun:

Paketlerin kurulumu

En kolay ve ilk adım:

sudo aptitude update
sudo aptitude safe-upgrade
sudo aptitude install openvpn

Soru falan sorunca “yes yes olrayt” demeyi ihmal etmiyoruz tabi.

Sertifikaların üretilmesi

Burada sunucunun çalışması için gerekli sertifikaları oluşturuyoruz. Bu sertifika üretim işi her zaman karman çorman bir iş olduğu için, eğer önceden yapmadıysanız, robot gibi komutları girmenizi öneririm. Öbür türlü hangi dosyanın ne işe yaradığını anlamaya çalışmak, logaritma cetvelini ezberlemek kadar yararlı bir etkinlik.

cd /usr/share/doc/openvpn/examples/easy-rsa/2.0
. vars
./clean-all
./build-ca
./build-key-server server
./build-dh

Bu komutları çalıştırdığınızda, emin misiniz değil misiniz babında bir takım sorular gelecek ve tahmin ettiğiniz gibi yes yes (windows terminolojisindeki next next gibi) diyeceğiz. Ayrıca yeni anahtar üretirken adresinizi, isminizi falan soracak. Akılda kalacak bilgiler girerseniz (mesela common name sorunca sunucunun ismi, ülke sorunca Türkiye ya da Patagonya vb.) daha rahat edersiniz. Lazım falan olur. Bu arada, clean-all komutu bir sürü şeyi sileceğini belirtecek. İlk kurulum olduğu için sorun yok.

Yapılandırma dosyaları

İlk önce /etc/default/openvpn dosyasının içeriğini değiştiriyoruz. Şöyle olacak:

AUTOSTART="all"
STATUSREFRESH=10

Sonra da /etc/openvpn/server.conf diye bir dosya oluşturuyoruz. Onun da içeriği, başlangıç için şöyle olabilir:

port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh1024.pem
server 10.10.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push route 10.10.20.0 255.255.255.0
push route 10.10.30.0 255.255.255.0
push "redirect-gateway"
push "dhcp-option DOMAIN sunucualani.lokal"
push "dhcp-option DNS 10.0.0.1 "
keepalive 10 120
comp-lzo
max-clients 100
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Buradaki ayarların bazılarının açıklamaya ihtiyacı var. Şöyle ki:

1. server: Bu ayarda openvpn’in istemcilerle oluşturduğu sanal ağı tanımlıyoruz. Yerel ağınızda kullanmadığınız bir alan olmalı, yani sizin ağınızda zaten 10.10.10.0/24 diye bir alt ağ varsa, başka bir şeyler denemelisiniz. Mesela 192.168.72.0/24, ya da 172.16.16.0/24 gibi.
2. push route: Sunucunuzun olduğu ağda başka ağlar varsa ve bunların openvpn ile bağlanan kullanıcıların erişimine açmak istiyorsanız bu komutlardan ekliyorsunuz. Benim üstte verdiklerim sadece örnek. Başta bunlardan hiçbirini dosyaya yazmayın, sonra lazım oldukça eklersiniz.
3. push “dhcp option…”: İç ağınızın alan adını ve alan adı sunucusunun adresini buralarda veriyorsunuz, böylece iç ağdaki sistemlere IP adresi yerine isimlerini yazarak da ulaşabiliyorsunuz.

Sonra, bu dizine ihtiyacımız olan sertifika dosyalarını yığalım:

cd /etc/openvpn
cp /usr/share/doc/openvpn/examples/easy-rsa/2.0/keys/dh1024.pem .
cp /usr/share/doc/openvpn/examples/easy-rsa/2.0/keys/server.crt .
cp /usr/share/doc/openvpn/examples/easy-rsa/2.0/keys/server.key .
cp /usr/share/doc/openvpn/examples/easy-rsa/2.0/keys/ca.crt .

Son olarak, izinleri düzenleyelim:

cd /etc/openvpn
chown root:root *
chmod go= *


Güvenlik duvarı ayarları

Güvenlik duvarında yapılması gereken 1194′üncü kapıdan tcp erişimine izin vermek. Ben shorewall kullanıyorum, o yüzden burada onun örneğini vereceğim.

Shorewall için değiştirmemiz gereken bir kaç dosya var:

1. /etc/shorewall/interfaces: Aşağıdaki satırı ekledim:
   
rem tun0 detect dhcp,tcpflags,routeback

2. /etc/shorewall/policy: Aşağıdaki satırları, tanımların en başına eklemek gerekiyor:
   
$FW rem ACCEPT
net rem DROP
rem loc ACCEPT
rem net ACCEPT
rem $FW ACCEPT

   İstemcilerin sadece iç ağlara bağlanmasını istiyorsanız, rem->net politikasını da DROP olarak değiştirebilirsiniz.
3. /etc/shorewall/zones: Sadece şu satır:
   
rem ipv4

4. /etc/shorewall/rules: Buraya izin verdiğiniz tüm kuralları eklemek isteyebilirsiniz. Başlangıç için aşağıdakiler yeterli olacaktır:
   
ACCEPT rem $DNSSUNUCUSU tcp domain
ACCEPT rem $DNSSUNUCUSU udp domain
ACCEPT $DNSSUNUCUSU rem tcp - domain
ACCEPT $DNSSUNUCUSU rem udp - domain
ACCEPT rem loc tcp www
ACCEPT rem loc tcp ssh

   Yani dns, web ve ssh’a izin veriyoruz.
   Ayrıca openvpn için de kurallara ihtiyacımız var:
   
ACCEPT net:1.2.3.4 $FW tcp openvpn
ACCEPT net:5.6.7.8 $FW tcp openvpn

   Burada openvpn ile bağlanacak her IP için bir kural ekliyoruz, fazladan güvenlik için. Eğer güvenliği iplemem diyorsanız sadece şu da yeterli:
   
ACCEPT net $FW tcp openvpn

   Burada başka bir varsayımımız da, openvpn sunucusunun güvenlik duvarında olduğu. Eğer güvenlik duvarından başka bir yerde kuruluysa $FW yerine net:9.1.2.3 yazmak gerekli. Tabii eğer bunun adresi de sanalsa başka kurallara da ihtiyaç var ama ben işin o ayrıntısına girmeyeceğim.

Bunlar da tamamlandıktan sonra kuralları yeniden yüklemek, shorewall ile olan işinizi bitirecektir:

shorewall check && shorewall restart


Sunucu bakımı

Tüm bu ayarlar bittikten sonra sunucuyu aşağıdaki komutlar etkin hale getirebiliriz:

sudo invoke-rc.d openvpn start

Aynı şekilde, durdurmak için de:

sudo invoke-rc.d openvpn stop

Openvpn kayıtları /var/log/daemon.log dosyasında tutuluyor. Neler olup bittiğini görmek için:

fgrep ' ovpn-server\[' /var/log/daemon.log | less

Ya da bağlantı sırasında dosyayı izlemek için:

fgrep ' ovpn-server\[' /var/log/daemon.log | tail -f


Sonuç

Sunucu kurulumu bu kadar. İstemci kurulumları için ayrı yazılar bilahare geliyor. Yazdıktan sonra, aşağıdaki “ilgili yazılar” listesinde görebilirsiniz.

Henüz bu yazı puanlanmamış. Siz puanlasanız ne güzel olur, yıldızlara tıklamak yetiyor valla.

 Yükleniyor ...

Yabancılarda deyim gibi bir şey var: Şapka. Hangi şapkayla konuştuğunuzu sorduklarında birden fazla özelliği varmış da onlardan birini seçip diğerleri yokmuş gibi davranarak konuştuğunuzu varsaymış oluyorlar. Yani patronunuz gidip de “şimdi çalışan şapkamı takıyorum” gibisinden bir laf edince, patron sıfatıyla konuşmayı bir yana bırakıp, seviyenize inmeye karar vermiş anlamına geliyor.

Pek şapka takmam, alışkanlığım değil ama promosyon olsun, tatil yerinde aceleyle alınmış olsun, bir sürü kepim var çekmecemde. Gerektiğinde evde bırakmış olurum, gerekmediğinde de çekmecede yer kaplarlar. Tarafıma şimdiye kadar verilmiş ve “bu şapkamı takarak konuşuyorum” diyebileceğim tek şapka, şu ana kadar bu şapkaydı:

Tabii ki bu şapkamı takıp da insan içine çıkmadım, sadece eski şirketin bir etkinliğinde dağıtıldığı için hatıra diye sakladım – “Outing”i düzenleyen şirket, “hacker”dan kastedilenden ne anladıklarını bu promosyanlarında dışa vurmak istemişler, nasip.

Cuma itibariyle bir şapkam daha oldu:

“RedHat Certified Engineer“, kısaca “RHCE“. Aslında asıl mevzu RHCSS, ama bu önce şartmış. Ne yapalım.

Bu yazı 1 kişi tarafından oylandı, ortalama 5 üzerinden 5,00 puan aldı. Siz de oylamak ister misiniz, Sadece yıldızlara tıklayarak hem de?

 Yükleniyor ...

Smbmount ile bağlanmış dosyaları Apache ile kullanmak için Apache ayarlarında küçük bir değişiklik gerekiyormuş. İlgili dizin için şöyle bir ayar yapmak gerekli:


<Directory /mnt/sambali_dizin>
...
EnableSendFile Off
...
</Directory>


Öbür türlü dosyaların başı gelip sonu gelmiyor.

Çok kısa olduğundan unuturum diye buraya yazdım, eminim buraya yazdığımı da unutur, gerekince aranır dururum…

Bu yazı 1 kişi tarafından oylandı, ortalama 5 üzerinden 5,00 puan aldı. Siz de oylamak ister misiniz, Sadece yıldızlara tıklayarak hem de?

 Yükleniyor ...

Her ihtiyacım olduğundan yeni bir çözüm bulduğum bir soruna sonunda kesin çözüm bulmak amacıyla, aha da buraya çiziktiriyorum:

Sorun şu: Örneğin Redhat’in güncellemelerinin bulunduğu bir dizin var, dizinin içinde de aynı paketin farklı sürümleri. Sizin istediğiniz, o dizindeki tüm paketlerin sadece son sürümleri.

Çözüm de şu: Buradaki perl betiğini kullanıyoruz. İhtiyaç duyduğu modülü de önce “cpan -i Sort::Naturally” diye kuruyoruz. Sonra da:

• ls | ./getupdates.pl > updates.txt komutu bize kopyalanacak dosyalar listesini veriyor.
• cp -v `cat updates.txt|xargs` <hedef dizin> de kopyalama işini yapıyor.

Hele bir de “rsync over ftp” kullanıyorsanız, tadından yenmiyor.

Henüz bu yazı puanlanmamış. Siz puanlasanız ne güzel olur, yıldızlara tıklamak yetiyor valla.

 Yükleniyor ...

“Internet bir bilgi otobanıdır.”

Yine aynı klişe laf. Ne dediğinden bihaber bir akıllının lafı. Ağ hakkında zerre bilgisi yok. Internet’in otobana benzer hiç bir yanı yok. Bu artık suyu çıkmış bir metafor.

Tersinden düşünün bir de: Varsayın ki otobanlar Internet gibi…

Yüzlerce şeritten oluşan bir otoban, çoğu kasislerle ve tuzaklarla dolu.

Özel köprüler ve üst geçitler.

Otoban polisi yok, sadece ağızlarında kırık düdükleriyle bisikletlerine atlamış kiralık polisler. Üstüne vazife olmadığı halde düzeni sağlamaya yemin etmiş, ellerinde nükleer silahlarla gezinen 500 üyelik çeteler.

Her kavşakta en az 237 tane tali yol. Sıfır işaret levhası. Gelişigüzel trafik kuralları. Bazı şeritlerde arabanızda telefonla konuşmanın cezası, uyarılmadan vurulmak.

TTNET dediğiniz, diğer arabalara çürümüş lahana fırlatan, yüzlerce ebola kurbanıyla dolu kocaman, mazot kokulu bir otobüs. Diğer arabaların bazılarıysa maketten yapılmış, bazıları azami hızı saatte on kilometre olan, 2.5 hp gücünde çim biçme makinaları, diğerleriyse hızını saatte 120 kilometreye sabitlemiş, nitrogliserin yakan araçlar.

Plaka yerine kocaman dişleriyle vampir kartalları tasvir eden savaş boyaları. Tamponlarda makinalı tüfekler. Trafik helikopterini düşürmek için arkalarında karadan havaya füzeler taşıyan tırlar. İşaret vermeden şerit değiştirmekten çekinmeyen, içi hidroklorik asit dolu su tabancaları ellerinde, üç tekerli bisikletler süren çocuklar.

Bir tane bile tabela yok. Kesinlikle.

Otoban dediğin budur işte.

(Orijinali için: http://monster-island.org/tinashumor/humor/hiway.html)

Henüz bu yazı puanlanmamış. Siz puanlasanız ne güzel olur, yıldızlara tıklamak yetiyor valla.

 Yükleniyor ...

Her ne kadar mysql Sun’a satıldıktan sonra geleceği hakkında biraz şüpheye düşsem de, karmaşık sorunlara basit çözümler önermesi açısından hala favori veritabanı sunucum. Bu yazıda birden fazla bilgisayardan oluşan bir mysql kümesinin nasıl oluştuğunun tarifini vereceğim. Tabii ki Ubuntu sunucular üzerinde.

Mysql küme kurulumunda önceden tanımlamamız gereken bir kaç kavram var:

1. Node: Küme içindeki bilgisayar, ben buna üye diyeceğim.
2. Management Node:Kümenin yönetiminin yapıldığı üye. Her kümede sadece bir tane olur.
3. Data Node:Verilerin tutulduğu üye. Birden fazla olabilir.
4. API Node:Sorguların yapıldığı üye. Birden fazla olabilir.
5. Bir de adı pek konulmamış bir giriş noktası var. Kullanıcılar sorgu üyelerine direkt bağlanmak yerine giriş noktası olarak belirlenen bir adrese bağlanıyorlar, böylece sorgu üyelerinden biri ulaşılmaz hale gelirse düzgün bir şekilde yönlendirme yapılması durumunda sorun çıkmıyor.

Aşağıdaki reçetede iki tane üye hem veri hem sorgu için, bir üye de yönetim ve sorgu üyesi olarak kullanılıyor. Yönetim üyesi 10.0.0.1, diğerleri de 10.0.0.2 ve 10.0.0.3 olarak örneklendi.

Kurulum:

Üye bilgisayarların herbirine güncellemelerini yaptıktan sonra en güncel sunucuyu kuruyoruz:

# aptitude install mysql-server

Ayrıca deneme yapmak ya da üyeyi istemci olarak kullanmak niyetimiz varsa, mysql istemcisini de kuruyoruz:

# aptitude install mysql-client

İşin kurulum kısmı bu kadar. Ama tüm yapılandırma bitmeden mysql sunucularını çalıştırmamakta fayda var.

Yapılandırma – Yönetim Üyesi:

Yönetim üyesinin yapılandırma dosyası /etc/mysql/ndb_mgmd.cnf. Bu dosyanın içi aşağıdaki gibi oluyor:

[NDBD DEFAULT]
NoOfReplicas=2

[MYSQLD DEFAULT]

[NDB_MGMD DEFAULT]

[TCP DEFAULT]

# Management Server
[NDB_MGMD]
HostName=10.0.0.1

# Storage Engines
[NDBD]
HostName=10.0.0.2
DataDir= /var/lib/mysql-cluster

[NDBD]
HostName=10.0.0.3
DataDir=/var/lib/mysql-cluster

# SQL Engines
[MYSQLD]

[MYSQLD]

[MYSQLD]

Burada [NDBD_DEFAULT] kısmındaki NoOfReplicas girişine kaç tane veri üyemiz olduğunu yazıyoruz. Sonra [NDB_MGMD] kısmına da yönetim üyesinin adresi giriyor. Dosyanın sonun doğru da her veri üyesi için bir [NDBD] bölümü, her sorgu üyesi için de [MYSQLD] bölümü var. [MYSQLD] bölümüne de HostName yazabiliriz, ama şart değil. Üstteki dosyayla iki veri üyesi ve üç sorgu üyesi kaydetmiş oluyoruz. (Veri üyeleri aynı zamanda sorgu üyesi de olabilir.)

Yapılandırma – Veri Üyeleri:

Her veri üyesi üzerinde, /etc/mysql/my.cnf dosyasında değişiklik yapmamız gerekli. Editörle açıp [mysqld] kısmını buluyoruz ve altına şunları yazıyoruz:

ndbcluster

ndb-connectstring=10.0.0.1

default-table-type=NDBCLUSTER

Sonra yine aynı dosyanın sonuna şunları ekliyoruz:

[MYSQL_CLUSTER]

ndb-connectstring=10.0.0.1

Bu dosyayı kaydettikten sonra, aşağıdaki komutu vererek veritabanını hazırlıyoruz:

# ndbd --initial

Yapılandırma – Sorgu Üyeleri:

Her sorgu üyesi üzerinde, /etc/mysql/my.cnf dosyasını değiştiriyoruz, veri üyeleriyle aynı şekilde. Sadece bu üyelerde sonuncu komutu vermiyoruz, yani veritabanını hazırlamamıza gerek yok.

Sistemi başlatmak:

Önce yönetim üyesinde:

# invoke-rc.d mysql-ndb-mgm start

komutunu veriyoruz. Sonra her veri üyesinde

# invoke-rc.d mysql-ndb start

ve her sorgu üyesinde

# invoke-rc.d mysql start

komutlarını veriyoruz. Bundan sonra sorgu üyelerinden herhangi birinden bağlanarak kümeyi kullanmak mümkün olacak.

Dikkat Edilmesi Gerekenler:

1. Kümeye üye ekleyip çıkartınca, tüm üyelerin yeniden başlatılması gerekli. Yönetim üyesi dahil tüm üyeleri kapattıktan sonra, önce yönetim üyesini baştan başlatıp sonra da diğer üyeleri başlatmak en güvenli sıralama.
2. “HostName” vererek kümeye ekleme yaptığınızda, yapılandırma dosyasında en sona ekleyin. Batıl inanç olabilir ama başa ekleyince sanki sorunla karşılaştım.
3. Şema değişiklikleri (veritabanı ekleme-çıkarma, indeks ekleme-çıkarma, tablonun sütunlarıyla oynama vb.) üyeler arasında otomatik olarak güncellenmiyor. Maalesef tüm veri üyelerinde elle tekrarlanması gerekli.
4. Yönetim üyesinin herhangi bir güvenlik ayarı yok, erişimi olan herkes istediği gibi oynayabilir. O yüzden yönetim üyesi (hatta tüm küme) mutlaka güvenlik duvarıyla korunmalı.

Henüz bu yazı puanlanmamış. Siz puanlasanız ne güzel olur, yıldızlara tıklamak yetiyor valla.

 Yükleniyor ...

Tabii zargan var, sesli sözlük var ama, bazen masaüstünden hızlıca bir sözlük kullanası geliyor insanın (o insanınki de ne keyifmiş). Babylon, dediğim şeyi Windows’ta yapıyor, Ubuntu’da bir benzeri için vereceğimiz komutlar:

Sonra, menüde çıkan “Gnome dictionary” olsun, araç çubuğuna ekleyebileceğiniz “Dictionary applet” olsun, hepsi emrinize amade. Sözlükler o kadar büyük değil ama acelesi olana yeter gibi.

Bu yazı 1 kişi tarafından oylandı, ortalama 5 üzerinden 5,00 puan aldı. Siz de oylamak ister misiniz, Sadece yıldızlara tıklayarak hem de?

 Yükleniyor ...

Kişileri gizli bilgi vermeleri ya da erişim sağlamaları için aldatma süreci olarak tanımlanabilecek sosyal mühendislik, çoğu güvenli ağ için önemli bir tehdittir. Sosyal mühendislik hakkında yeteri kadar bilgi olmasına rağmen, savunma yöntemleri genelde yeterli olmaktan uzaktır. Etkileme, zorlama, aldatıcı ilişkiler geliştirme, sorumluluğu, etik değerleri, dürüstlüğü ya da bağlılığı azaltma amacını güden yöntemler kullanarak başarı sağlayan sosyal mühendislik saldırılarına karşı güvenlik politikalarında, eğitimlerinde ve olay müdahale yöntemlerinde önlemler alınması gerekmektedir.

Tanımlar

Bilgisayar güvenliği terimleriyle Sosyal Mühendislik, insanlar arasındaki iletişimdeki ve insan davranışındaki açıklıkları tanıyıp, bunlardan faydalanarak güvenlik süreçlerini atlatma yöntemine dayanan müdahalelere verilen isimdir. Bu tanım çerçevesinde iletişim kavramından kasıt, kişiler arasında, kişiyle kurum arasında ya da kurumlar arasındaki etkileşimdir. İnsan davranışlarındaki açıklıklarsa, insanların gündelik sergiledikleri, niyetlerinden bağımsız hareketlerin güvenlik açısından istenmeyen durumlara sebep olması ihtimalleridir.  Müdahale derken de güvenlik açısından kritik bilgileri elde etmek eylemini anlıyoruz.

Bir kuruma yönelik sosyal mühendislik saldırılarının tipik hedefleri, saldırganın suistimal edebileceği  durumdaki personeldir. Saldırılan profilleri aşağıdaki şekilde özetlenebilir:

1. Direkt ulaşılabilir personel (Servis elemanları, telefonlara yanıt veren çalışanlar): Kurumun dış yüzü olarak tanımlanabilecek, işi gereği müşteriler ve sağlayıcılarla iletişim kuran çalışanlar.
2. Önemli personel (Yöneticiler, gizli bilgiye erişim hakkı olan personel): Kurumdaki görevleri gereği zorunlu olarak ayrıcalıklı yetkiye sahip olan ya/ya da gizli bilgiye çeşitli nedenlerle erişim hakkı olan çalışanlar.
3. Sempati sahibi personel: Kurum içinde görevli olan, müşterilerine yardım ve destek için yetkisinden fazlasını ya da kurum içindeki itibarını kullanabilecek çalışanlar.
4. Destek ihtiyacındaki son kullanıcılar: Kurumun hizmetlerinden yararlandıklarından dolayı sistemlere erişimi bulunan fakat kurum hakkındaki bilgileri eksik olduğundan dolayı sistemlerle ilgili destek almaları gerektiğinde meşru destek personeliyle kötü niyetli saldırganı ayırt edemeyebilecek kullanıcılar.
5. Kandırılmış, aldatılmış ya da ikna edilmiş personel: Kurum içinde görevli olan ve kuruma ya da kurum çalışanlarına bağlılığı zayıflamış çalışanlar.

Saldıran profili ise, hedefe ve yönteme bağlı olarak değişebilir. Kullanılagelen yöntemlerin bazıları şöyledir:

1. Otoriter yaklaşım: Yetkili, üst düzey yönetici ya da ayrıcalıklı müşteri olduğuna ikna etmek.
2. Yardım önermek: Destek ihtiyacındaki müşteri ya da çalışanları yetkili personel olduğuna inandırmak.
3. Benzerlik ve ortak noktalar bulmak: Çalışanla arasında çeşitli sanal sosyal bağlantılar (akrabalık, ortak meslek, ortak arkadaş, aynı çevre v.s.) oluşturmak.
4. Mukabele etmek: İstenen bir iyilik için bir karşılık önermek.
5. Bağlılık ve dürüstlüğü suistimal etmek: Kuruma bağlı çalışanı, saldıranın isteğini yapmaması durumunda kurumun zarar göreceğine ikna etmek.
6. Düşük bağlılıktan yararlanmak: Kuruma bağlılığı zayıf çalışanları ikna, aldatma ya da  kandırma gibi yöntemlerle ayartmak.

Yöntemler

Sosyal mühendislik saldırılarının niteleyici özelliği, saldırganın hareketlerinin meşru olduğu görüntüsünün bozulmamaya çalışılmasıdır. Bu yüzden yöntemlerin doğası ve içeriği özel durumun şartlarına göre farklılaşabilir. Bu bölümde standart bir sınıflandırma yapılacaktır.

Sahte senaryolar uydurmak

Genellikle telefonla iletişim üzerinden gerçekleşen bir yöntemdir. Saldırganın amacına ulaşmak için sahte bir senaryo oluşturması ve bu senaryonun satırları arasından saldırılanın erişimindeki hassas bilgiye (bir sonraki adımda kullanmak üzere kişisel bilgiler ya da şifreler, güvenlik politikaları gibi erişim bilgileri) ulaşması şeklinde gelişir. Telefondaki işlemlerde yetkilendirme için ihtiyaç duyulan bilgiler genellikle başka kanallardan erişilebilir bilgiler (kimlik numarası, doğum tarihi v.b.) olduğu için sahte senaryolar uydurmak ve istenen bilgileri elde etmek çoğunlukla uygulanabilir bir saldırı yöntemi olmaya devam etmektedir. Saldırganın senaryonun ana hattı dışına çıkabilecek durumları da gözönüne alıp hazırlık yapması, başarı oranını artıran bir etkendir.

Güvenilir bir kaynak olduğuna ikna etmek

Son zamanlarda phishing olarak ünlenmiş bu yöntem, genellikle e-posta üzerinden ilerleyen bir sosyal mühendislik yöntemidir. Saldırgan, amacına ulaşmak için saldırılanı güvenilir ya da doğruluğu sorgulanamaz bir kaynaktan geldiğine inandırır. Örneğin saldırgan yolladığı iletinin bir bankanın bilgi işlem bölümünden geldiğine ikna etmek isterse, aynı bankanın önceden yolladığı iletilerdeki biçemi şablon olarak alabilir ve iletiden dışarıya giden bağlantıları kötü niyetli bir sayfaya yönlendirebilir. Saldırganın hedefleri arasında hassas bilgi vermeye zorlamak, ya da kullanıcıyı hatalı bir hareket yapmaya (sahte web sayfasına tıklamak, virüslü yazılım kurmak v. b.) yönlendirmektir.

Truva atları (trojan)‏

Zararsız bir işlevi varmış gibi görünen ama aslında zararlı olan yazılımlara truva atı denir. Kendi kendilerine yayılan virüslerden ya da solucanlardan farkı, yayılmak için kullanıcılardan yararlanmalarıdır. Truva atları, güvensiz kaynaklardan, bilinen bir yazılım görüntüsünde indirilen programlarla, paylaşma ağlarından indirilen dosyalarla ya da kimliği şüpheli kaynaklardan gönderilen yazılımlara güvenilmesi sonucunda, veya bilgisayar virüsleri aracılığıyla direkt olarak saldırılan kullanıcının erişimindeki sistemlere yerleşebilir.

Truva atlarının bir şekli de road apple (yol elması – İngilizce’de at gübresinin hüsn-ü talilidir) olarak bilinir. Bu tür truva atları, e-posta, web gibi elektronik ortamların açıklıklarıyla yayılmak yerine, fiziksel olarak yayılırlar. Örneğin saldırgan üzerinde merak uyandıracak bir etiket bulunan bir disket, CD ya da flash disk oluşturur ve saldırılanın tesadüfen görebileceği bir yere (çöp kutusu, koridorun kenarı, tuvalet) atılmış gibi yerleştirir. Aslında zararlı yazılım içeren bu ortam, saldırılanın dikkatini çeker ve kullanırsa, zararlı yazılım bilgisayarda çalışarak saldırıyı gerçekleştirir.

Güvenilir bilgi karşılığında yardım, para, eşantiyon, hediye, … önermek

Hassas bilgiye ulaşmak için kişinin zaafiyetlerini kullanmaya yönelik bir saldırıdır. Burada saldırılan sonunda karlı çıkacağı bir senaryoya ikna edilir. Örneğin hediyeli bir anket içinde şifresi ya da kişisel bilgileri sorulabilir, ya da şifresini söylemesi durumunda o sırada sistemle ilgili yaşadığı sorunun çözüleceği vaadedilebilir.

Güven kazanarak bilgi edinmek

Saldırganın hedefine, iş dışında ya da iş sırasında güvenini sağlayacak şekilde iletişime geçip ikna ederek bilgi vermesine ya da istediğini yaptırmasına dayanan bir yöntemdir. Saldırgan kuruma sağlayıcı olarak yaklaşıp erişim hakkı olan personelle güvene dayanan arkadaşlık kurma yoluna gidebilir, iş dışında oluşan ilişkileri suistimal edebilir, ya da saldırılanla ortak ilgileri ve beğenileri paylaşıyor izlenimi vererek güven sağlayabilir.

Diğer Yöntemler

Yukarıda maddelenmeye çalışılan yöntemler dışında, çalışanların ve kurumların yaptıkları tipik hatalardan istifade etmeye yönelik çeşitli bilgi toplama yöntemleri de bilinmektedir. Bunların arasında,

1. Omuz sörfü: Şifre yazılırken ya da erişim kısıtlı sistemlere erişilirken saldırılanın izlenmesi,
2. Çöp karıştırmak: Çöpe atılmış disket, CD, post-it, not kağıdı gibi, hassas bilgi içerebilecek eşyaları incelemek,
3. Eski donanımları kurcalamak: Hurdaya çıkmış, ikinci el satış sitelerinde satışa sunulmuş, çöpe atılmış, kullanılmadığı için hibe edilmiş donanımın içeriğini incelemek,

bulunmaktadır.

Sosyal mühendislikte saldırı yöntemleri, listelerle sınırlı olmaktan çok, saldıranın kararlılığıyla ve yaratıcılığıyla sınırlıdır. Ayrıca tipik dolandırıcılık yöntemlerinin de uygulanmasıyla, olası yöntemlerin sayısı ve tipleri de artacaktır.

Tehditler

Başarıyla yapılması durumunda, sosyal mühendislik saldırıları çeşitli risklerin gerçekleşmesine neden olabilmektedir. Bunlar aşağıdaki gibi sınıflandırılabilir:

1. Yetkisiz erişim: Saldırgan, erişim sağlamak için gerekli bilgileri ele geçirebilir. Bunun gerçekleşmesi için çoğu zaman yanlışlıkla söylenen bir kullanıcı şifresi yeterlidir.
2. Hizmet hırsızlığı: Ele geçirilmiş şifreyle saldırgan erişimi kısıtlı dosyaları indirebilir ya da bant genişliği, işlemci zamanı, disk alanı gibi sınırlı kaynakları kullanabilir.
3. İtibar ve güven kaybı: Sosyal mühendislik yoluyla zarara uğramış bir kurum, müşterilerinin ve kamunun gözünde değer kaybedebilir. Yeniden güven kazanmanın bedeli, çoğunlukla baştan önlem almaktan çok daha yüksektir.
4. Dağıtık hizmet engelleme: Ele geçirilen sistem ve kaynaklar, başka sistem ve kaynakların ele geçirilmesi ya da zarar verilmesi için kullanılabilir. Dolaylı olarak başka saldırılara sebep olunabilir; Bu durumda saldırının kaynağı aynı zamanda kurban olabilir.
5. Hassas bilgiye erişim ve veri kaybı: Saldırgan, başarılı olması durumunda kurumun ve müşterilerinin bilgilerini ele geçirebilir. Bu bilgileri satabilir, daha fazla suistimal için kullanabilir ya da kurum aleyhine kullanabilir. Saldırgan sadece kurumun zarar görmesini istiyorsa, bilgiye erişimi engelleyebilir. Silmek, şifreli bir şekilde kaydetmek gibi yöntemlerle bilginin erişimini imkansız kılabilir.
6. Yasal yaptırıma uğramak: Kurumun müşterileri ve ortaklarıyla yaptığı gizlilik ve güvenlik anlaşmalarının ve hassas bilgiyi korumak için önlem almamanın yasal yaptırımları olabilir.

Önlemler

Sosyal mühendislik saldırılarına karşı alınabilecek önlemler, diğer siber saldırılara karşı alınacak önlemlerle benzerlik göstermektedirler. Belirleyici özellikleri, alınacak önlemlerin sadece bilgisayar ve ağ altyapısı değil, çevresel güvenlik ve düzenli eğitim boyutlarını da içermesidir.

Fiziksel Güvenlik

Sistem güvenliği gözden geçirilirken, genellikle yerel ya da konsoldan erişim sonucunda oluşabilecek güvenlik açıklıkları, etkisinden ve riskinden bağımsız olarak olma olasılığı düşük olarak değerlendirilmektedir. Fakat bu olasılık hesaplanırken, bilgisayar sistemleri dışındaki faktörler de gözönünde bulundurulmalıdır. Örneğin, sistemlere fiziksel erişimi olan herkesin güvenilir olup olmadığı gözden geçirilmeli, duruma göre fiziksel tehditlerin olma olasılığı yüksek olarak değerlendirilip, önlemler alınmalıdır. Ayrıca sisteme erişimi olan kullanıcıların çeşitli profillerden olabildiği sistemlerde, kullanıcı güvenlik politikalarındaki sıkılaştırmalar ve denetlemeler uygulanmalı, tüm kullanıcı profillerinin yetkileri belirlenmelidir.

Etkili Güvenlik Politikaları

Kurumun oluşturduğu güvenlik politikaları açık, anlaşılır, mantığa uygun, uygulanabilir, erişilebilir ve kapsayıcı olmalıdır. Erişilebilirliği eksik, anlaşılır olmayan ya da uygulanması çok zahmetli politikalar, genellikle uygulanmamaya ya da ihmal edilmeye mahkumdurlar. Güvenlik politikaları sosyal güvenlik saldırılarını konu edindiklerinde rollerden çoğunu çalışanlar oynadığı için, kurumla çalışanlar arasındaki güven seviyesi belirlenmelidir. Burada belirlenen güvenin azlığı çalışanın bağlılığını etkileyecek, gereğinden fazla güven ise çalışanlardan ya da çalışanlar üzerinden gelecek saldırılara karşı sistemi savunmasız bırakacaktır.

Eğitim ve Yaptırımlar

Çalışanlar politikalar hakkında ne kadar bilgiliyse, güvenlik politikaları o kadar değerlidir. Bu yüzden sürekli ve güncel eğitim ve bilgilendirme çalışmaları, çalışanları konu hakkında bilgilendirmek ve bilinçlendirmek açısından hayati öneme sahiptir. Ayrıca üst yönetim verilen eğitimlerin ve uyarıların izlendiğinden emin olmalı, güvenlik yönergelerine uyulmaması durumunda yaptırım uygulamaya kararlı olmalıdır. Eğitime ek olarak uygulanan yaptırımlar, çalışanların güvenlik politikalarını izlemesine yardımcı olur.

Olay Müdahalesi

Bir sosyal mühendislik saldırısı sırasında yapılacakların belirlenmesi özellikle önemlidir, sadece varolan süreçler gözden geçirilerek bile bir çok açıklığın önlemi alınabilir. Kullanıcıların e-posta iletilerinin asıl kaynaklarını nasıl belirleyecekleri, şüpheli e-postaları nasıl işleyecekleri ve web adreslerinin kimlik doğrulama bilgilerini nasıl kontrol edecekleri gibi işlemler belgelenmeli ve iş süreçlerine eklenmelidir. Sosyal mühendislik saldırıları çoğu zaman kullanıcının zaafını kullanarak yapıldığından dolayı, kullanıcı olayın farkına varmayabilir ya da farketse bile kendi güvenilirliğini zedeleyeceğini düşündüğünden olayı ilgili kişilere iletmeyebilir. Bu yüzden olay meydana geldikten sonra durumun yetkili personele iletilmesi için gerekli altyapı oluşturulmalı, bunların kuralları belirlenmelidir.

Denetim

Sosyal mühendislik saldırısı kavramı, doğası itibarıyla sürekli değişebilen bir saldırı tipi olduğu için, oluşturulan önlemlerin ve güvenlik politikalarının düzenli olarak gözden geçirilmesi ve güncellenmesi, denetimlerle etkilerinin onaylanması gereklidir. Denetim süreci basitçe bir saldırganın yapması beklenenlerin tatbikatı şeklinde gelişmektedir. Saldırılar,

1. bilgi toplama,
2. ilişki kurma,
3. istismar ve
4. erişim

olmak üzere dört adım olarak modellenmektedir.

Bilgi toplama ve ilişki kurma adımlarında, iletişim kurulabilecek unsurlar belirlenir. Bunun için çoğu zaman edilgen bilgi toplamayla saldırıya yeterli bilgiye ulaşılabildiği görülmüştür. Kurumsal web sayfaları, arama motorları, haber grupları, forumlar, iş arama siteleri, sosyal ağ siteleri ve hatta sarı sayfalar yardımıyla kurum çalışanları ve kurum organizasyonu hakkında yeterli bilgi edinilebilir. Denetimler, bu ortamlar üzerinden ne kadar hassas bilginin alınabileceği üzerine yoğunlaşmalıdır.

Fiziksel erişim sağlamak için uygulanan yöntemler arasında, çalışan biri gibi davranmak (sahte kimlik kartı, giriş-çıkış saatleri arasında kalabalığa karışmak v.b.), çalışanların arkasından giriş yapmak (gerçek kartla açılan kapı kapanmadan girmek gibi), sağlayıcı ya da misafir gibi davranmak (postacı, tamirci v.b.), mesai saatleri dışında normal süreçlerin uygulanmadığı zamanlarda giriş yapmaya çalışmak bulunur. Bunun dışında, üstte belirtilen sosyal mühendislik yöntemleri de uygulanabilir. Bu tür denetimler çoğu zaman uygulanabilirlik açısından yasal sınırda gezindiğinden iyi tasarlanmış ve üst yönetimden onay alınmış olmalıdır.

Fiziksel erişimden sonra ya da ayrıca bilgiye erişim için de çeşitli metodlar uygulanabilir. Denetimciler tarafından sıkça uygulanan bilgiye erişim yöntemleri arasında çalışanları gizlice izlemek (omuz sörfü, kulak misafirliği v.b. ), ofis içindeki çöpleri karıştırmak, klavyelerin, telefonların altına, takvimlere ve ajandalara, post-it notlarına ve ortak kullanıma açık panolara göz atmak, ekranı kilitlenmemiş bilgisayarları kullanmak, kullanıcı bilgisayarlarını kullanıma açmaya ikna etmek vardır.

Sosyal Mayınlar

Yukarıda bahsedilen standart önlemlerin yanı sıra, bir sosyal mühendislik saldırısını meydana gelirken ya da meydana gelmeden önce belirleyebilecek önlemler vardır. Bunlar kurumun yapısına ve sistemlerin kurulumuna göre farklılık gösterebilirler. En yaygın kullanılan sosyal mayınlar arasında aşağıdaki önlemler sayılabilir:

1. Herkesi tanıyan tek bir kişinin ofiste bulunması, böylece içeriye giren şüpheli kişilerin erken tanımlanabilmesi,
2. Merkezi güvenlik kayıtları tutularak, teker teker bir şey ifade etmeyen kayıtların toplu halde izlenmesi, böyle korelasyon yapılabilmesi,
3. Telefonla hassas bilgi (unutulan şifre gibi) iletilmesi gerektiği durumlarda geri aramanın zorunlu kılınması ve geri aranan numaranın ilgili kişinin kayıtlarından alınması,
4. Kullanıcı kimliğinin doğrulanması gerektiğinde önceden belirlenmiş ve kayıtlarda yer alan anahtar soruların ve/veya kimlik ve personel bilgilerinin sorulmasının zorunlu kılınması,
5. Tuzak sorularla (örneğin kızı olmadığı bilinen bir personele kızının isminin sorulması) kimliğin doğrulanması,
6. Şüphe durumunda aceleci davranmamak, hatta bekletmek ya da e-postaya hemen yanıt vermemek, ancak emin olduktan sonra işleme devam etmek (bu uygulamanın olası bir saldırganın geri çekilme ihtimalini artırmak gibi bir yan etkisi de vardır).

Sonuç

Hiç bir sistem insandan bağımsız değildir. Bilgisayar sistemleri, insanlar tarafından tasarlanır, bakımı ve işletimi insanlar tarafından yapılır ve sistemden faydalanan ve sistemi kullananlar da insandır. İnsan bileşeni aynı zamanda bir güvenlik sisteminin en zayıf halkasıdır. Bundan dolayı insan faktörünün istismarına dayanan sosyal mühendislik saldırılarının gerçekleşme olasılığının her zaman olduğu ve gözardı edilemeyeceği açıktır. Sosyal mühendislik saldırılarının başarısı, bilgisayar ve ağ sistemlerindeki yerel zayıflıkların varlığına bağlı olduğundan, yerel açıklıklara verilmesi gereken önemi artırmaktadır. Sosyal mühendislik saldırılarının etkisini en aza indirgemenin yolu güvenlik politikalarının güncel tutulmasından ve personelin uygun bir şekilde bilgilendirilmesinden geçer.

Henüz bu yazı puanlanmamış. Siz puanlasanız ne güzel olur, yıldızlara tıklamak yetiyor valla.

 Yükleniyor ...