CyberFlow Logo CyberFlow BLOG
Soc L1 Log Kaynaklari Veri Turleri

Linux Auth.log ve Secure Log Analizi: Siber Güvenlikte Kritik Adımlar

✍️ Ahmet BİRKAN 📂 Soc L1 Log Kaynaklari Veri Turleri

Linux sistemlerde auth.log ve secure.log kayıtlarının analiziyle siber güvenliğinizi artırın. SSH servisleri ve brute force saldırılarına dikkat edin.

Linux Auth.log ve Secure Log Analizi: Siber Güvenlikte Kritik Adımlar

Linux sistemlerdeki auth.log ve secure.log kayıtlarını analiz ederek siber güvenliğinizi üst düzeye çıkarın. Brute force saldırıları ve kullanıcı hareketlerini izleme hakkında bilgilere ulaşın.

Giriş ve Konumlandırma

Giriş

Siber güvenlik, günümüzün dijital ortamında her geçen gün daha fazla önem kazanan bir alan haline gelmiştir. Özellikle Linux tabanlı sistemlerin artan kullanımı, bu tür platformlarda meydana gelen olumsuzlukları izlemenin ve analizin gerekliliğini belirgin bir şekilde ortaya koymaktadır. Linux sistemlerde kullanıcıların oturum açma istekleri, parola değişiklikleri ve yetkilendirme süreçleri, syslog'un 'auth' veya 'authpriv' birimi aracılığıyla kaydedilmektedir. Bu kayıtlara genellikle kimlik doğrulama logları (authentication logs) denir.

Sistem yöneticileri ve güvenlik analistleri için bu logların analizi, siber tehditlerin tespit edilmesi ve olası saldırıların önlenmesi açısından kritik bir adımdır. Çünkü siber saldırılar genellikle zafiyetten yararlanarak başlatılır ve bu tür loglar, sistemdeki anormal davranışların ya da olası tehlikelerin izlenmesine olanak tanır.

Neden Önemlidir?

Bu loglar, saldırıların kaynağını belirlemek, güvenliğin sağlanması ve önceki olayların izlenmesi açısından çok değerlidir. Örneğin, bir saldırı gerçekleştirilmeden önce gerekli önlemlerin alınabilmesi için, sistem yöneticilerinin log dosyalarındaki hatalı oturum açma denemelerini analiz etmesi gerekmektedir. Çoğu zaman, internet üzerinden Linux sunucularına yapılan saldırıların %90’ından fazlası, uzaktan yönetim protokolü olan SSH üzerinden gelir. Bu nedenle, auth.log analizi yaparken 'sshd' servisinden gelen kayıtlara yoğunlaşmak, saldırının tespit edilmesi ve engellenmesi açısından önemli bir adım teşkil eder.

Siber Güvenlik ve Pentest Bağlantısı

Siber güvenlikte etkin bir önlem almak için log analizi kritik bir aşamadır. Penetrasyon testleri (pentest) sırasında, sistemlerin zafiyetleri keşfedilirken, logların analiz edilmesi de saldırganların sistem üzerindeki etkisini değerlendirmek için bir o kadar önemlidir. Bu analizler, tespit edilmiş açıklıkların, güvenlik zaafiyetlerinin ve saldırı tekniklerinin anlaşılmasına yardımcı olur. Loglardaki bilgilere dayanarak, bir analist siber tehditleri ortaya çıkarabilir ve sistemin güvenlik politikalarının yeniden düzenlenmesi gerektiği hususunu değerlendirebilir.

Bir SSH brute force (kaba kuvvet) saldırısını tespit etmek için auth.log verileri üzerinde oluşturulan korelasyon kuralları, belirli bir zaman dilimindeki hatalı denemelerin analiz edilmesiyle gerçekleştirilir. Örneğin, bir analistin 'failed password' loguna baktığında, iki temel bilgi içinde bulunur: Saldırganın IP adresi ve denediği kullanıcı adı. Bu bilgiler, potansiyel bir saldırıyı durdurmak için gereken en temel istihbarat verilerini sağlar.

Teknik İçeriğe Hazırlık

Bu yazının devamında, Linux sistemlerde auth.log ve secure log analizi yaparken dikkat edilmesi gereken kritik noktaları ele alacağız. Kullanıcı oturum açma denemeleri, yetkilendirme süreçleri ve sistem içindeki hareketler gibi detaylara değinerek, logların nasıl analiz edilmesi gerektiği ve hangi araçların bu süreçlerde kullanılabileceği üzerine bilgiler sunacağız.

Log analizi, yalnızca log dosyalarını okumaktan ibaret değildir; aynı zamanda, bu kayıtların yorumlanması, anormal aktivitelerin belirlenmesi ve gerekli önlemlerin alınması noktasında da kritik bir süreçtir. Tomatörsüz bir şekilde, logların dilini çözmek ve her bir kaydın ne anlama geldiğini anlamak, siber güvenlik uzmanlarının en önemli becerilerinden biridir.

Gelecek bölümlerde ele alacağımız konular, Linux sistemlerde log analizi konusunda sahip olduğumuz bilgi birikimini ve yeteneklerimizi artırmaya yönelik pratik bilgiler sunacaktır.

Teknik Analiz ve Uygulama

Giriş Kapısının Kayıtları

Siber güvenlikte sistemlerin güvenliğini sağlamak için log analizi kritik bir adımdır. Linux işletim sistemlerinde kullanıcıların kimlik doğrulama süreçleri, "/var/log/auth.log" veya "/var/log/secure" dosyalarına kaydedilir. Bu log dosyaları, kullanıcıların oturum açma girişimleri, parola değiştirme denemeleri ve yetkilendirme işlemleri gibi önemli olayları içermektedir.

Bu dosyalardaki verileri izlemek ve analiz etmek, potansiyel güvenlik tehditlerini tespit etmek ve sistemin güvenliğini artırmak için ilk adımlardan biridir. Kullanıcıların hangi denemelerde başarılı ya da başarısız olduğunu belirlemek için auth.log ve secure log dosyalarının incelenmesi kritik önem taşır.

auth.log vs secure

Linux dağıtımınıza göre kullanılacak log dosyasının adı değişir. Ubuntu veya Debian tabanlı sistemlerde "/var/log/auth.log", Red Hat, CentOS veya Fedora tabanlı sistemlerde ise "/var/log/secure" dosyasını incelemeniz gerekmektedir. Her iki dosya da benzer bilgilere sahip olsa da, kullanımda ve bazı detaylarda farklılıklar gösterebilir.

Log dosyalarında yer alan bilgileri anlama yeteneği, bir analistin siber güvenlikte etkin bir rol üstlenmesini sağlar. Herhangi bir olağandışı durumun tespit edilmesi, potansiyel bir saldırının önceden önlenmesine yardımcı olabilir.

Logların Dilini Çözmek

Linux sistemlerdeki log dosyaları, çeşitli anahtar kelimeler ve olay türleri içerir. Bir SOC (Security Operation Center) analisti, bu loglar üzerinde yaptığı analizle olayların mahiyetini hızlı bir şekilde anlayabilir. Örneğin, bir log satırı genellikle şu formatta olur:

Feb 24 10:12:00 server sshd[1234]: Failed password for invalid user admin from 192.168.1.10 port 22 ssh2

Burada, olayın zaman damgası, hizmet adı ve gerçekleşen işlemler belirtilmiştir. Logdaki anahtar kelimeleri tanımak, siber olayları izlemek ve analiz etmek için gereklidir.

Ana Hedef: SSH Servisi

SSH (Secure Shell) servisi, internet üzerinden uzaktan yönetim için yaygın olarak kullanılan bir protokoldür. İnternete açık Linux sunucularına yönelik saldırıların %90’ından fazlasının SSH üzerinden gerçekleşmesi, bu servisi saldırganların en çok hedef aldığı noktalardan biri haline getirmektedir. Kaba kuvvet saldırıları, genellikle birkaç “Failed password” izi bırakır.

Brute force saldırıları tespit etmek için, auth.log üzerinde belirli zaman dilimlerinde hatalı giriş denemelerinin sayısını analiz etmek mümkündür. Örneğin, bir sistemde 5 dakikalık bir zaman diliminde 20 adet "Failed password" kaydı tespit etmek, olası bir brute force saldırısının göstergesi olabilir.

Tespit Mantığı: Brute Force

Brute force saldırılarının tespiti için SIEM (Security Information and Event Management) sistemleri üzerinde korelasyon kurallarının yazılması önemlidir. Genellikle, belirli bir zaman diliminde gelen hatalı giriş denemeleri sayılarak bir alarm durumu oluşturulabilir. Aşağıdaki örnek kısa bir korelasyon kuralını göstermektedir:

rule BruteForce
when
    $event: Event(type == "Failed password") over Last5Minutes
then
    alert("Brute force attack detected!");
end

Bu tür bir yaklaşım, sistem yöneticilerini anında bilgilendirmek ve güvenlik tehditlerini hızlıca önlemek için önemlidir.

Sistem İçi Hareketler: Sudo ve Parola

Kayıtlarda sadece giriş denemeleri değil, aynı zamanda oturum açtıktan sonra gerçekleştiren kritik işlemler de bulunmaktadır. Örneğin, “sudo” kullanılarak yönetici haklarıyla bir işlem yapılmaya çalışıldığında, aşağıdaki gibi bir log kaydına rastlamak mümkün olabilir:

Feb 24 10:15:00 server sudo:   user : TTY=pts/0 ; PWD=/home/user ; USER=root ; COMMAND=/bin/bash

Bu log, kullanıcının "sudo" komutuyla başarılı bir şekilde yönetici haklarıyla bir işlem yaptığını belirtir. Böyle durumların analiz edilmesi, bir kullanıcının yanlış amaçlar için sistem üzerinde yetki kazanmaya çalışıp çalışmadığını görmek için önemlidir.

Müdahale Verisi: IP ve Kullanıcı

Başarılı veya başarısız giriş denemelerine ait logları analiz ederken, belirli anahtar bilgilere odaklanmak gerekmektedir. Bu bilgiler arasında saldırganın IP adresi, kullanılan port numarası ve hedeflenen kullanıcı adı bulunmaktadır. Örneğin bir log kaydında şu bilgileri görebiliriz:

Feb 24 10:12:00 server sshd[1234]: Failed password for user bob from 192.168.1.10 port 22 ssh2

Buradaki "from [IP]", saldırganın kaynak IP adresini gösterirken, "port [NO]", hangi portun kullanıldığını belirtir. Bu tür bilgiler, saldırganın tespit edilmesi ve engellenmesi için toplanan en temel istihbarat verilerini sunar.

Sonuç olarak, Linux auth.log ve secure log dosyalarının analizi, siber güvenlik açısından önemli bir kontrol mekanizmasıdır. Bu logları düzenli olarak izlemek ve analiz etmek, potansiyel tehditlerin erken tespit edilmesine ve sistem güvenliğinin artmasına yardımcı olacaktır.

Risk, Yorumlama ve Savunma

Linux sunucularında güvenlik büyük ölçüde doğru log analizine dayanır. auth.log ve secure logları, sisteme yapılan oturum açma denemeleri, yetkilendirme süreçleri ve kullanıcı aktiviteleri hakkında hayati bilgiler sağlar. Bu logları incelemek, olası güvenlik tehditlerini tespit etmek ve sistemin dayanıklılığını artırmak için kritik bir adımdır.

Elde Edilen Bulguların Güvenlik Anlamı

Log analizi, güvenlik durumu hakkında önemli veriler sunar. Örneğin, bir analist ilgili logları incelediğinde, "Failed password" mesajları, bir brute force saldırısının varlığını gösterebilir. Bu tür bir bilgi, saldırının kaynağını tespit etmekte ve zamanında müdahalede bulunmakta çok değerlidir.

Örnek:

Feb 22 10:15:32 server sshd[12345]: Failed password for invalid user admin from 192.168.1.100 port 22 ssh2

Yukarıdaki kayıtta, saldırganın IP adresi (192.168.1.100), hedef portu (22) ve denenen kullanıcı adı (admin) gibi bilgiler bulunmaktadır. Bu tür veriler, güvenlik duvarında ilgili IP adresini bloklamak için kullanılabilir.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Linux sistemlerinde yapılan yapılandırma hataları ve açık bırakılan servisler, siber saldırganlar için bir fırsat haline gelebilir. Eğer SSH servisi varsayılan ayarlarla çalışıyorsa, bu durum saldırganların şifre kırma denemelerini kolaylaştırır. Ayrıca sistemde zayıf parolalar veya tanınmayan kullanıcı hesapları da büyük risk taşır.

Zafiyet Yönetimi:

  • Şifre karmaşıklığı politikalarının uygulanması,
  • Yazılımların güncel tutulması,
  • Gereksiz servislerin devre dışı bırakılması.

Yanlış yapılandırma veya zayıflık durumları, yalnızca sistemin güvenliğini tehlikeye atmakla kalmaz, siber saldırılara da zemin hazırlar. Bu nedenle, log analizi sırasında yapılandırmaların gözden geçirilmesi önem taşır.

Sızan Veri, Topoloji ve Servis Tespiti

Sızan verilerin tespiti, bir güvenlik ihlalinin büyüklüğünü anlamak için kritik bir adımdır. sudo ve password changed gibi log girdileri, sistemdeki kritik işlemlerin kaydını tutar. Örneğin:

Feb 22 10:20:15 server sudo: pam_unix(sudo:session): session opened for user root by user (uid=1000)

Burada, bir kullanıcının sudo yetkisi ile root olarak oturum açtığı bilgisi yer almaktadır. Bu tür aktiviteler kurumsal güvenlik otoritesi açısından tespit edilmesi gereken olaylardır.

Profesyonel Önlemler ve Hardening Önerileri

  1. Güçlü Parola Poliçesi: Kullanıcı hesapları için karmaşık parolalar belirlenmelidir.
  2. İki Faktörlü Kimlik Doğrulama (2FA): SSH erişiminde iki faktörlü kimlik doğrulama kullanılmalıdır.
  3. SSH Konfigürasyonu: PermitRootLogin no ve PasswordAuthentication no ayarları yapılmalıdır.
  4. Firewall Kuralları: İnternete açık olan portlar dikkatle yönetilmelidir. Gereksiz portlar kapatılmalıdır.

Sonuç

Linux sistemlerde auth.log ve secure loglarının analizi, siber güvenliği sağlamak için kritik bir adımdır. Bu logların doğru bir şekilde yorumlanması, yapılandırma hatalarının ve zafiyetlerin tespitinde büyük öneme sahiptir. Ayrıca, elde edilen bulguların güvenlik stratejileri ve önlemleri üzerinde etkili bir şekilde kullanılabilmesi, sistemlerin güvenliğini artıracaktır. Profesyonel önlemlerin uygulanması, saldırıların önlenmesi ve sistemin dayanıklılığının artırılmasında büyük bir rol oynar. Böylece, siber tehditlere karşı daha güçlü bir savunma mekanizması oluşturulmuş olur.