22 Mayıs 2019 Çarşamba

Linux tabanlı bir sistem kurulumu yaparken nelere dikkat etmeliyim

Linux tabanlı bir işletim sistemi kurulurken, ilerleyen zamanlarda sorun çıktığında çözülmesini kolaylaştırmak veya sorunun etkisini azaltmak için genel amaçlar için kurulumu yapılacak sistemlerde  dikkat etmemiz gerekenler;

1. lvm  bir sistem düşünmemek gerekiyor(istisnalar hariç)

2. işletim sistemimiz btrf dosya sistemini destekliyorsa, root bölüm için btrfs kullanılmalı ve snapper aktif olacak şekilde ayarlanmalı.  Diger bölümler(home vs.) xfs olmalı.

3. boot bölümüne 1GB alan ayırın. Bu çok büyük gibi görünsede, bir kaç yıl sonra,
eski kernellerin otomatik temizlenmemesinden(genelde unutulur) dolayı, fazla değildir.
Şayet gönün birinde boot dolur ve güncellemede kernel güncellemesi yarım kalırsa, sistem yeniden başladığında başınız ağrıyabilir.

4.  /var, /var/log, /tmp ve home bölümleri  ayrı bir lv içinde tutulmalı.
     Bu şekilde kullanım, kontrol edilip temizlenmeyen günlük veya geçici dosyaların sistemi çalışamaz hale gelmesi olasılığını azaltır, en azından log dizini dolsa bile uygulamalarınız çalışır, sadece günlükler güncellenemez. 

ilave olarak arbt ve  kdump kullaniliyorsa, 

/var/spool/abrt/

/var/crash

bolumleri unutulmamali. abrt ve crash bölümlerini en az ram miktarı kadar yapılması gerekmektedir.

mail, squid gibi uygulamalar da

/var/spool  

dizini kullanir ve kullanilmakta olan disk bolumunu doldurabilirler.

Boyle bir olumsuzlugu onlemek icin spool ve/veya spol altındaki ilgili bölümü ayrı bir lv üzerine almak sistem sağlığı icin doğru olacaktir.

5. Volum grubun tamamın kullanıma verilmemeli, en azından %10 bir bölüm, beklenmedik ihtiyac ve durumlara karşı, boş tutulmalı.

6. Sistem ram kapasitesi yeterliyse, /tmp tmpfs olarak ram kullanacak şekilde ayarlanmalı.

7. sistem saatinin düzgünlüğünü sağlamak için ntp kullanılmalı (eski sistemlerde ntp, yeni sistemlerde chrony service ayarlanması )

8. root ile sisteme giriş önlenmeli, kullanıcıların root yetkisine ihtiyacı varsa, kendi kullanıcılarıyla giriş yaptıktan sonra sudo ile root yetkilerini kullanmaları

9. rhel 7 veya rhel 8 tabanli sistemlerde /var/log/journal dizini olusturulmali.

Varsayilan olarak journal/systemd loglari hafizada tutuluyor ve sistem yeniden baslatildiginda veya kapatildiginda loglara gule gule diyoruz.

journalctl ile gecmise yonelik loglari asagidaki gibi inceleyebiliriz.

 journalctl --since "2019-11-28 15:24" --until "2019-12-29 12:00"

Bu incelemeyi yapabilmemiz icin yukarida bahsettigimiz, /var/log/journal dizini olusturulmus ve sahiplik yetkileri duzgun ayarlanmis olmasi gerekiyor.

journaldir="/var/log/journal"
mkdir        ${journaldir}                                      
chown          root:systemd-journal ${journaldir}
chmod         2755                           ${journaldir}

Bu islemden sonra sistem yeniden baslatilma veya systemd-journald yeniden baslatilmali.

Alternatif  yöntem olarak; /etc/systemd/journald.conf  dosyasında storage modunu  persistent yapmaktır. Detaylı bilgiler için man journald.conf


10. Her ne kadar selinux kullanımı zor olsada, selinux kapatmamalı, selinux nasıl kullanacağımızı öğrenmemiz gerekir.

11. Sunucu, dış dünyaya direk açık ise, firewall + fail2ban kesinlikle ayarlanmalı, istekler firewalld/iptables/ipset gibi araçlar yardımıyla servise gelmeden sınırlandırılmalıdır.
      Sınırlandırma iyi görünmesede, sisteme aşırı yük gelmesi veya saldırı esnasında tamamen kullanılmaz olmasını önleyerek, sistemin çalışmasını devam ettirmesine yardımcı olacaktır.


Linux tabanlı bir sistem kurulumu yaparken nelere dikkat etmeliyim

Linux tabanlı bir işletim sistemi kurulurken, ilerleyen zamanlarda sorun çıktığında çözülmesini kolaylaştırmak veya sorunun etkisini azaltmak için genel amaçlar için kurulumu yapılacak sistemlerde  dikkat etmemiz gerekenler;

1. lvm'siz  bir sistem düşünmemek gerekiyor(istisnalar hariç)

2. işletim sistemimiz btrf dosya sistemini destekliyorsa, root bölüm için btrfs kullanılmalı ve snapper aktif olacak şekilde ayarlanmalı.  Diger bölümler(home vs.) xfs olmalı.

3. boot bölümüne 1GB alan ayırın. Bu çok büyük gibi görünsede, bir kaç yıl sonra,
eski kernellerin otomatik temizlenmemesinden(genelde unutulur) dolayı, fazla değildir.
Şayet gönün birinde boot dolur ve güncellemede kernel güncellemesi yarım kalırsa, sistem yeniden başladığında başınız ağrıyabilir.

4.  /var, /var/log, /tmp ve home bölümleri  ayrı bir lv içinde tutulmalı.
     Bu şekilde kullanım, kontrol edilip temizlenmeyen günlük veya geçici dosyaların sistemi çalışamaz hale gelmesi olasılığını azaltır, en azından log dizini dolsa bile uygulamalarınız çalışır, sadece günlükler güncellenemez. 

ilave olarak arbt ve  kdump kullaniliyorsa, 

/var/spool/abrt/

/var/crash

bolumleri unutulmamali. abrt ve crash bölümlerini en az ram miktarı kadar yapılması gerekmektedir.

mail, squid gibi uygulamalar da

/var/spool  

dizini kullanir ve kullanilmakta olan disk bolumunu doldurabilirler.

Boyle bir olumsuzlugu onlemek icin spool ve/veya spol altındaki ilgili bölümü ayrı bir lv üzerine almak sistem sağlığı icin doğru olacaktir.

5. Volum grubun tamamın kullanıma verilmemeli, en azından %10 bir bölüm, beklenmedik ihtiyac ve durumlara karşı, boş tutulmalı.

6. Sistem ram kapasitesi yeterliyse, /tmp tmpfs olarak ram kullanacak şekilde ayarlanmalı.

7. sistem saatinin düzgünlüğünü sağlamak için ntp kullanılmalı (eski sistemlerde ntp, yeni sistemlerde chrony service ayarlanması )

8. root ile sisteme giriş önlenmeli, kullanıcıların root yetkisine ihtiyacı varsa, kendi kullanıcılarıyla giriş yaptıktan sonra sudo ile root yetkilerini kullanmaları

9. rhel 7 veya rhel 8 tabanli sistemlerde /var/log/journal dizini olusturulmali.

Varsayilan olarak journal/systemd loglari hafizada tutuluyor ve sistem yeniden baslatildiginda veya kapatildiginda loglara gule gule diyoruz.

journalctl ile gecmise yonelik loglari asagidaki gibi inceleyebiliriz.

 journalctl --since "2019-11-28 15:24" --until "2019-12-29 12:00"

Bu incelemeyi yapabilmemiz icin yukarida bahsettigimiz, /var/log/journal dizini olusturulmus ve sahiplik yetkileri duzgun ayarlanmis olmasi gerekiyor.

journaldir="/var/log/journal"
mkdir        ${journaldir}                                      
chown          root:systemd-journal ${journaldir}
chmod         2755                           ${journaldir}

Bu islemden sonra sistem yeniden baslatilma veya systemd-journald yeniden baslatilmali.

Alternatif  yöntem olarak; /etc/systemd/journald.conf  dosyasında storage modunu  persistent yapmaktır. Detaylı bilgiler için man journald.conf


10. Her ne kadar selinux kullanımı zor olsada, selinux kapatmamalı, selinux nasıl kullanacağımızı öğrenmemiz gerekir.

11. Sunucu, dış dünyaya direk açık ise, firewall + fail2ban kesinlikle ayarlanmalı, istekler firewalld/iptables/ipset gibi araçlar yardımıyla servise gelmeden sınırlandırılmalıdır.
      Sınırlandırma iyi görünmesede, sisteme aşırı yük gelmesi veya saldırı esnasında tamamen kullanılmaz olmasını önleyerek, sistemin çalışmasını devam ettirmesine yardımcı olacaktır.

12. ssh/sssd gibi önemli servislerin OOM killerdan korumak OOMScoreAdjust değerini -1000 yapmak. -1000 ölümsüz (immutable) anlamına geliyor.

# mkdir /etc/systemd/system/sshd.service.d
# vi /etc/systemd/system/sshd.service.d/100-OOMscore.conf
[Service]
OOMScoreAdjust=-1000
# systemctl daemon-reload
# systemctl restart sshd

 

13. Mümkünse swap için farklı bir disk kullanmak. Özellikle uygulamlardan kaynaklanan ram tüketiminde, sisteme müdahale edebilmemiz için swap ayrı bir disk olurması faydalıdır. Ne olursa olsun swap kullanım sorunu çözülmesi gereken bir nokta olduğunuda unutmayalım.

 

Linux tabanlı bir sistem kurulumu yaparken nelere dikkat etmeliyim

Linux tabanlı bir işletim sistemi kurulurken, ilerleyen zamanlarda sorun çıktığında çözülmesini kolaylaştırmak veya sorunun etkisini azaltmak için genel amaçlar için kurulumu yapılacak sistemlerde  dikkat etmemiz gerekenler;

1. lvm'siz  bir sistem düşünmemek gerekiyor(istisnalar hariç)

2. işletim sistemimiz btrf dosya sistemini destekliyorsa, root bölüm için btrfs kullanılmalı ve snapper aktif olacak şekilde ayarlanmalı.  Diger bölümler(home vs.) xfs olmalı.

3. boot bölümüne 1GB alan ayırın. Bu çok büyük gibi görünsede, bir kaç yıl sonra,
eski kernellerin otomatik temizlenmemesinden(genelde unutulur) dolayı, fazla değildir.
Şayet gönün birinde boot dolur ve güncellemede kernel güncellemesi yarım kalırsa, sistem yeniden başladığında başınız ağrıyabilir.

4.  /var, /var/log, /tmp ve home bölümleri  ayrı bir lv içinde tutulmalı.
     Bu şekilde kullanım, kontrol edilip temizlenmeyen günlük veya geçici dosyaların sistemi çalışamaz hale gelmesi olasılığını azaltır, en azından log dizini dolsa bile uygulamalarınız çalışır, sadece günlükler güncellenemez. 

ilave olarak arbt ve  kdump kullaniliyorsa, 

/var/spool/abrt/

/var/crash

bolumleri unutulmamali. abrt ve crash bölümlerini en az ram miktarı kadar yapılması gerekmektedir.

mail, squid gibi uygulamalar da

/var/spool  

dizini kullanir ve kullanilmakta olan disk bolumunu doldurabilirler.

Boyle bir olumsuzlugu onlemek icin spool ve/veya spol altındaki ilgili bölümü ayrı bir lv üzerine almak sistem sağlığı icin doğru olacaktir.

5. Volum grubun tamamın kullanıma verilmemeli, en azından %10 bir bölüm, beklenmedik ihtiyac ve durumlara karşı, boş tutulmalı.

6. Sistem ram kapasitesi yeterliyse, /tmp tmpfs olarak ram kullanacak şekilde ayarlanmalı.

7. sistem saatinin düzgünlüğünü sağlamak için ntp kullanılmalı (eski sistemlerde ntp, yeni sistemlerde chrony service ayarlanması )

8. root ile sisteme giriş önlenmeli, kullanıcıların root yetkisine ihtiyacı varsa, kendi kullanıcılarıyla giriş yaptıktan sonra sudo ile root yetkilerini kullanmaları

9. rhel 7 veya rhel 8 tabanli sistemlerde /var/log/journal dizini olusturulmali.

Varsayilan olarak journal/systemd loglari hafizada tutuluyor ve sistem yeniden baslatildiginda veya kapatildiginda loglara gule gule diyoruz.

journalctl ile gecmise yonelik loglari asagidaki gibi inceleyebiliriz.

 journalctl --since "2019-11-28 15:24" --until "2019-12-29 12:00"

Bu incelemeyi yapabilmemiz icin yukarida bahsettigimiz, /var/log/journal dizini olusturulmus ve sahiplik yetkileri duzgun ayarlanmis olmasi gerekiyor.

journaldir="/var/log/journal"
mkdir        ${journaldir}                                      
chown          root:systemd-journal ${journaldir}
chmod         2755                           ${journaldir}

Bu islemden sonra sistem yeniden baslatilma veya systemd-journald yeniden baslatilmali.

Alternatif  yöntem olarak; /etc/systemd/journald.conf  dosyasında storage modunu  persistent yapmaktır. Detaylı bilgiler için man journald.conf


10. Her ne kadar selinux kullanımı zor olsada, selinux kapatmamalı, selinux nasıl kullanacağımızı öğrenmemiz gerekir.

11. Sunucu, dış dünyaya direk açık ise, firewall + fail2ban kesinlikle ayarlanmalı, istekler firewalld/iptables/ipset gibi araçlar yardımıyla servise gelmeden sınırlandırılmalıdır.
      Sınırlandırma iyi görünmesede, sisteme aşırı yük gelmesi veya saldırı esnasında tamamen kullanılmaz olmasını önleyerek, sistemin çalışmasını devam ettirmesine yardımcı olacaktır.

12. ssh/sssd gibi önemli servislerin OOM killerdan korumak OOMScoreAdjust değerini -1000 yapmak. -1000 ölümsüz (immutable) anlamına geliyor.

# mkdir /etc/systemd/system/sshd.service.d
# vi /etc/systemd/system/sshd.service.d/100-OOMscore.conf
[Service]
OOMScoreAdjust=-1000
# systemctl daemon-reload
# systemctl restart sshd

 

13. Mümkünse swap için farklı bir disk kullanmak. Özellikle uygulamlardan kaynaklanan ram tüketiminde, sisteme müdahale edebilmemiz için swap ayrı bir disk olurması faydalıdır. Ne olursa olsun swap kullanım sorunu çözülmesi gereken bir nokta olduğunuda unutmayalım.

 

Ubuntu dağıtımlarında yeni açılan kullanıcının home dizinin varsayılan yetkilerinin değiştirilmesi

Ubuntu tabanlı sistemlerde varsayılan olarak tüm kullanıcılar bir birlerinin dizinlerini ve dosyalarını görebilir fakat değiştiremez.
Bunun nedeni;
                         /etc/adduser.conf
dosyasındaki
                       DIR_MODE=0755

Şayet kullanıcılar bir birlerinin home dizinlerini görmemesini istiyorsak dir_mode değeri 0700

                      DIR_MODE=0700

olmalı.

İlave olarak kullanıcıların açtığı dizin ve dosyaları varsayılan olarak diğer kullanıcılar görebilir ve okuyabilir. Bunun önlemenin en basit yolu umask değerini 0077 yapmaktan geçer.

remzi@i7-7567:/tmp/test$ umask
0077
remzi@i7-7567:/tmp/test$ rm -rf *
remzi@i7-7567:/tmp/test$ ls -la
total 8
drwxrwxr-x  2 remzi remzi 4096 May 22 19:37 .
drwxrwxrwt 26 root  root  4096 May 22 19:33 ..
remzi@i7-7567:/tmp/test$ touch testfile
remzi@i7-7567:/tmp/test$ mkdir testdir
remzi@i7-7567:/tmp/test$ ls -al
total 12
drwxrwxr-x  3 remzi remzi 4096 May 22 19:38 .
drwxrwxrwt 26 root  root  4096 May 22 19:33 ..
drwx------  2 remzi remzi 4096 May 22 19:38 testdir
-rw-------  1 remzi remzi    0 May 22 19:38 testfile
remzi@i7-7567:/tmp/test$


umask değerinin tüm sistem değiştirmek istiyorsak  login.defs içindeki değeri düzenlememiz gerekmektedir.
/    etc/login.defs
# Varsayılan değer
# UMASK           022
# Güvenlik nedeniyle değiştirilen yeni değer
UMASK 0077


Ubuntu sürümlerini indirebileceğimiz ana sunucu:
http://releases.ubuntu.com/

ansible ile yerel quay sunucusu üzerinden execution environment kullanımı

 Yerel quay veya registry sunucularımızdaki ee leri ansible ile kullanabiliyoruz. Bunun için kendi yaptığımız ee leri veya hazır ee leri yük...