CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

Linux/Unix Sistem Logları: Syslog, Auth.log ve Güvenlik Loglarını Anlama

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

Linux/Unix sistem logları hakkında detaylı bir inceleme. Syslog ve güvenlik logları ile siber güvenlik analizlerinizi geliştirin.

Linux/Unix Sistem Logları: Syslog, Auth.log ve Güvenlik Loglarını Anlama

Linux ve Unix sistemlerde log yönetimi, sistem güvenliği için kritik öneme sahiptir. Syslog, Auth.log ve Secure logları hakkında bilmeniz gereken her şey burada.

Giriş ve Konumlandırma

Siber güvenlik alanında kullanıcı, bilgisayar ve ağ sistemleri üzerinde yaşanan olayları ve bunların sonuçlarını izlemek, analiz etmek ve etkili yanıtlar geliştirmek temel öneme sahiptir. Bu bağlamda, Linux ve Unix tabanlı sistemlerde log yönetimi, sistem yöneticileri ve güvenlik profesyonelleri için kritik bir görev haline gelmektedir. Loglar, sistemin durumunu, kullanıcı etkinliklerini ve potansiyel güvenlik ihlallerini güncel olarak takip etmemizi sağlar.

Linux/Unix Log Yönetimi

Linux ve Unix sistemlerinde, log yönetimi genellikle "Syslog" adı verilen standart bir uygulama tarafından gerçekleştirilir. Syslog, sistemden gelen logları toplar, sınıflandırır ve belirli bir yapıda saklar. Bu yapı, sistem yöneticilerinin logları kolaylıkla okuyabilmesini ve analiz edebilmesini sağlar. Linux'un açık kaynak doğası, farklı dağıtımların (Ubuntu, CentOS, RedHat gibi) varlığını doğurmuş olsa da, loglama prensipleri genel olarak benzerlik göstermektedir. Ancak, log dosyalarının isimlendirilmesi dağıtım türüne göre farklılık gösterebilir.

Sistem loglarının bulunduğu dizin, genellikle /var/log olarak tanımlanır. Bu dizin altında farklı log dosyaları, sistemin durumunu, kullanıcı aktivitelerini ve olası güvenlik tehditlerini takip etmek amacıyla düzenlenmiştir. Bir güvenlik analisti için bu dizin, olaylara dair en iyi kaynaklardan biridir. Örneğin, kimlerin sisteme giriş yaptığına dair bilgilere ulaşmak için auth.log veya secure dosyaları incelenebilir.

Logların Önemi ve Güvenlik Bağlamı

Siber güvenlik açısından loglar, bir savunma mekanizmasının yapı taşlarını oluşturur. Olayları güncel olarak izlemek, potansiyel tehditlerin tespit edilmesine ve saldırılara karşı önlem alınmasına olanak tanır. Örneğin, bir “brute-force” saldırısının belirtilerini auth.log dosyasından tespit etmek mümkündür. Eğer bu log dosyasında ‘Failed password for root from’ gibi bir ifade bulunuyorsa, bu güçlü bir güvenlik tehdidi algılandığı anlamına gelir.

Log analizleri, sadece geçmiş olayları incelemekle kalmaz, aynı zamanda sistemdeki anormal aktiviteleri de ortaya çıkartmaya yardımcı olur. Bir sistemde yetkisiz giriş denemeleri, beklenmedik kullanıcı etkinlikleri veya olağandışı işlem süreleri gibi durumlar, saldırganların sisteme girmeye çalıştığını gösterebilir.

Eğitim İçin Hazırlık

Güvenlik analistleri, log yönetimi sürecinde çeşitli araç ve teknikler kullanarak verileri analiz eder. Bu süreç, kullanıcı eylemlerini, sistem durumu güncellemelerini ve ağ aktivitelerini anlamak için bir temel sağlar. Loglar arasındaki ilişkileri incelemek ve potansiyel tehditleri ortaya çıkarmak, siber savunmanın en önemli bileşenlerinden biridir.

Örneğin, syslog formatındaki bir log satırı, aşağıdaki gibi bir yapıda olabilir:

May 14 10:22:01 srv-web01 sshd[1453]: Failed password for root

Bu satırda, zaman damgası, cihaz adı, süreç (daemon) bilgisi ve mesaj bileşenleri düzenli bir yapı ile sıralanmıştır. Log analizi yaparken, bu bileşenlerin doğru bir şekilde yorumlanması, etkili bir siber güvenlik uygulaması için kritik öneme sahiptir.

Sonuç olarak, sistem logları, Linux ve Unix tabanlı platformlarda siber güvenliğin gözardı edilemeyecek unsurlarıdır. Logların etkin bir şekilde yönetilmesi ve analiz edilmesi, potansiyel tehditlerin hızlıca tespit edilmesine ve sistem güvenliğinin sağlanmasına yönelik önemli bir adımdır. Bu yazıda ele alacağımız konular, log yönetim sistemlerinin nasıl çalıştığını, hangi dosyaların ne anlama geldiğini ve güvenliği artırmak için nasıl kullanılabileceğini anlamanıza yardımcı olacaktır.

Teknik Analiz ve Uygulama

Linux Log Mimarisinin Kalbi: Syslog

Linux sistemlerinde log yönetimi, genellikle arka planda çalışan bir servis (daemon) tarafından düz metin dosyalarına yazılarak gerçekleştirilir. Bu sistemin belkemiğini oluşturan syslog, loglama işlemini merkezi bir sistem üzerinden yönetir. Syslog, uygulamalar, sistem bileşenleri ve çekirdek tarafından üretilen logları toplar ve yapılandırılan dosyalara yönlendirir. Syslog servisi rsyslog veya daha yeni sistemlerde systemd-journald olarak adlandırılabilir.

Syslog'un başlıca faydaları arasında, logların merkezi bir yerde toplanması ve belirli bir düzende düzenli bir şekilde saklanması yer alır. Syslog yapılandırmasını rsyslog.conf dosyasında değiştirerek, hangi logların nereye yazılacağı tanımlanabilir. Örneğin, kritik hataların /var/log/error.log dosyasına yönlendirilmesi gibi.

sudo nano /etc/rsyslog.conf

Yapılandırma dosyasını güncelledikten sonra, syslog servisini yeniden başlatmak gereklidir:

sudo systemctl restart rsyslog

Logların Saklandığı Ev

Linux log dosyaları standart olarak /var/log dizininde saklanır. Bu dizin altında, her uygulama veya sistem bileşeni için özelleşmiş log dosyaları bulunur. Örneğin, sistem güncellemeleriyle ilgili loglar /var/log/apt/ dizini altında, SSH ile ilgili oturum logları ise Debian tabanlı sistemlerde /var/log/auth.log, RedHat tabanlı sistemlerde ise /var/log/secure dosyasında tutulur.

Logların yönetimi, sadece dosya yollarını bilmekle sınırlı değildir; log dosyalarının boyutlarını ve içeriğini izlemek de önemlidir. logrotate gibi araçlar, log dosyalarının boyutlarını kontrol altında tutarak, sistem performansını koruma görevini üstlenir.

Güvenlik Loglarının İsimlendirilmesi (Dağıtım Farkı)

Farklı Linux dağıtımları, güvenlik loglarını farklı dosya isimleri altında saklar. Örneğin, bazı sistemlerde kullanıcı girişleri /var/log/auth.log, diğerlerinde ise /var/log/secure dosyasında tutulur. Bunun dışında, genel sistem mesajları ve uygulama logları genellikle /var/log/syslog veya /var/log/messages dizinlerinde bulunur.

Aşağıda birkaç örnek verilmiştir:

  • Debian/Ubuntu:
    • Kullanıcı girişleri: /var/log/auth.log
  • RedHat/CentOS:
    • Kullanıcı girişleri: /var/log/secure
  • Genel mesajlar:
    • Tüm dağıtımlar: /var/log/syslog veya /var/log/messages

Bir Linux Logunun Anatomisi

Log dosyalarında her bir kayıt belirli bir formatı takip eder. Örneğin, klasik bir syslog satırı şu şekildedir:

May 14 10:22:01 srv-web01 sshd[1453]: Failed password for root

Bu satırın elemanları şu şekildedir:

  • Zaman Damgası: May 14 10:22:01
  • Cihaz Adı: srv-web01
  • Süreç: sshd[1453]
  • Mesaj: Failed password for root

Log kaydının bu bileşenlerini doğru bir şekilde analiz etmek, SIEM araçları kullanırken (örneğin, Splunk) kritik öneme sahiptir. Logların ayrıştırılması (parsing) aşamasında her bir bileşenin tanımlanması, güvenlik olaylarının tespiti için gereklidir.

En Yetkili Kullanıcı: Sudo Aktiviteleri

Linux sistemlerinde, en yetkili kullanıcı root olarak adlandırılır. Ancak, gündelik kullanımda çoğu kullanıcı, sudo komutu ile belirli yetkileri geçici olarak devralmaktadır. Bu durum, normal kullanıcıların badigard gibi hareket etmeden sistemde belirli görevleri gerçekleştirmesine olanak tanır. Tüm sudo aktiviteleri, auth.log veya secure dosyasına kaydedilir.

Örneğin, bir kullanıcının sudo ile yetki kazanma denemesi yapıldığı zaman ilgili log kaydı şu şekilde olabilir:

May 14 10:22:01 srv-web01 sudo:   username : TTY=pts/0 ; PWD=/home/username ; USER=root ; COMMAND=/bin/bash

Buradan; kullanıcı adı, çalıştırılan komut ve hangi terminal üzerinden bu işlemin yapıldığı bilgisi elde edilebilir.

Diğer Kritik Linux Log Dosyaları

Bir Linux sunucu üzerinde yalnızca auth.log ve secure dosyası üzerinden tehdit avcılığı yapmak yeterli değildir. Diğer önemli log dosyaları da göz önünde bulundurulmalıdır:

  • /var/log/kern.log: Çekirdek loglarıdır; donanım sorunları ve Rootkit belirtilerini içerir.
  • /var/log/cron: Zamanlanmış görev logları, sistemde kalıcılık sağlamak isteyen saldırganların bıraktığı izleri bulmak için önemlidir.
  • /var/log/httpd/ veya /var/log/apache2/: Web sunucularına ait loglar; internetten gelen kullanıcı isteklerini ve potansiyel web tabanlı saldırıları kaydeder.

SSH Kaba Kuvvet (Brute-Force) Tespiti

Linux sunucular çoğunlukla SSH (Secure Shell) ile uzaktan yönetilmektedir. Özellikle port 22 açık olduğunda, saldırganların sürekli olarak farklı şifre denemeleri yaparak sisteme sızma girişimleri olasıdır. Bir SIEM üzerinde SSH Brute-Force tespiti yapmak için, log dosyalarında belirli anahtar kelimelerin aranması gereklidir. Örneğin, auth.log dosyasında aşağıdaki ifade aranarak kaba kuvvet saldırıları tespit edilebilir:

Failed password for root from

Bu ifadenin sıkça tekrarı, bir kaba kuvvet saldırısının işareti olabilir. Log dosyalarını düzenli olarak gözden geçirmek, sistemin güvenliğini sağlamak açısından önemlidir.

Risk, Yorumlama ve Savunma

Risk Değerlendirme: Güvenlik Loglarının Yorumu

Linux ve Unix sistemlerinde loglar, sistemin güvenliği için kritik bir araçtır. Bu loglar, anormal olayları ve potansiyel saldırıları tespit etmek amacıyla analiz edilmelidir. Syslog ve diğer güvenlik logları, sistemin durumuna dair çok sayıda bilgi içermektedir. Özellikle auth.log ve secure log dosyaları, kimlik doğrulama ve yetki artırma girişimlerini takip etmek için önemlidir. Bu logların yorumlanması, sistemdeki olası zafiyetleri belirlemek için hayati öneme sahiptir.

Yapılandırma hataları veya güvenlik zafiyetleri, genellikle bu loglarda belirgin bir şekilde kendini gösterir. Örneğin, sürekli başarısız giriş denemeleri ya da sudo komutunun aşırı kullanımı, bir saldırganın yetki kazanmayı denediği anlamına gelebilir. Bu tür durumlar, sistemin risk profilini artırarak, saldırı yüzeyini genişletir.

Zafiyetlerin Tespiti

Olası zafiyetlerin belirlenmesi, loglarda araştırma yaparak mümkündür. Örneğin, bir log kaydında şifre denemelerinin sıklığı ve kaynağı dikkatlice incelenmelidir. Aşağıda, bu tür bir durumu analiz etmek için kullanılabilecek örnek bir log satırı verilmiştir:

May 14 10:22:01 srv-web01 sshd[1453]: Failed password for root from 192.168.1.10 port 22 ssh2

Bu satır, 192.168.1.10 IP adresinden root kullanıcısı için başarısız bir şifre deneme girişimini gösterir. Bu tür bir aktivite, eğer sürekli olarak tekrarlanıyorsa, bir kaba kuvvet (brute force) saldırısının işareti olabilir. Doğru IP adresi ve şifre denemelerinin sayısı analiz edilerek, saldırganın güvenlik açıklarından yararlanıp yararlanmadığı tespit edilebilir.

Profesyonel Önlemler

Logların doğru bir şekilde yorumlanması sonrasında, uygun savunma stratejilerinin geliştirilmesi gerekmektedir. Aşağıdaki önlemler, sistemdeki riskleri azaltmaya yardımcı olacaktır:

  1. Sistem Güncellemeleri: Tüm yazılımların ve işletim sistemlerinin güncel tutulması, bilinen zafiyetlerin kapatılmasını sağlar.

  2. Güçlü Parola Politikaları: Kullanıcıların güçlü parolalar seçmesi teşvik edilmeli ve parolaların düzenli olarak değiştirilmesi sağlanmalıdır.

  3. Erişim Kontrolü: sudo komutunun kullanımını sınırlamak ve sadece yetkili kullanıcıların erişmesine izin vermek, sistemin güvenliğini artıracaktır.

  4. SSH Güvenliği: SSH bağlantılarında, port numarasını değiştirerek ve yalnızca belirli IP adreslerine erişim izni vererek kaba kuvvet saldırılarına karşı koruma sağlanabilir.

  5. Firewall ve IDS/IPS Kullanımı: Gelişmiş güvenlik duvarı ve Saldırı Tespit/Saldırı Önleme Sistemleri (IDS/IPS) kullanmak, kötü amaçlı trafiğin belirlenmesine ve engellenmesine yardımcı olur.

  6. Logların Düzenli İncelenmesi: Logların düzenli olarak analiz edilmesi, potansiyel tehditlerin erken tespit edilmesine olanak tanır. Otomatik sistemler ve SIEM çözümleri kullanılarak log analizi ve güvenlik olayı yönetimi (SIEM) süreçleri güçlendirilebilir.

Sonuç Özeti

Linux/Unix sistem logları, güvenlik durumunu değerlendirmek ve sistemin sağlamlığını artırmak için kritik öneme sahiptir. auth.log, secure ve diğer log dosyaları, potansiyel tehditleri tespit etme ve doğru önlemleri alma konusunda önemli bilgiler sunar. Yanlış yapılandırmalar ve zafiyetler, belirli log kayıtları ile tespit edilebilir. Bununla birlikte, proaktif savunma stratejileri, sistemin güvenliğini artırarak, olası saldırılara karşı direnç geliştirilmesine yardımcı olur. Log analizi, bu noktada siber güvenlik uzmanlarının ellerindeki önemli bir araçtır.