Toplantıya gideceğim.Baktım geç kalma ihtimalim var,bindim bir taksiye,muhabbetçi bir arkadaş. O anlatıyor, ben dinliyorum.Tam işyerinin önüne geldik.Ankara'da Bakanlıklar. Diyelim ki. taksi parası 9.75 TL tuttu, ben 10 TL uzattım. Hani hepimizin yaşadığı sahne vardır ya,taksici üstünü arıyormuş gibi yapar, siz de para üstünü alabılmek için bir ayak dışarda, inmemek için debelenirsiniz.Tam o sahne olacak. Şoför, para üstü varmı diye aranmaya başladı.
"Üstü kalsın kardeşim" dedim.
Döndü bana doğru
"Vaktin var mı ağabey ?" dedi.
"Evet" dedim (tek ayağım hala dışarda)
Dörtlülere bastı, trafik dört şerit akıyor, indi araçtan. Önde bir büfe var. Gitti oraya, bir şeyler konuşup geldi. Bana 25 krş uzattı. Belli ki para bozdurmuş.
"Birader" dedim,"9.75 değil,10.50 yazssa ister miydin 50 krş. benden?"
-"Ne alacağım ağabey 50 krş.u"
-"Peki niye gittin 25 krş. için o kadar uğraştın. Üstü kalsın demiştim."
Döndü bana,attı kolunu arkaya :
-Vaktin varmı ağabey
-Var
-Çek kapıyı o zaman
Muhabbetçi bir taksici ile karşı karşıyayız.
5 dk.konuştuk. İngiltere'de profösüründen, bilmem kiminden eğitimler aldım. O taksicinin 5 dk.da öğrettiklerini, İngiliz hocalar haftalarca verdikleri derslerde öğretemediler.
"Ağabey biz Keçiören'de 5 kardeşiz. Babam rençberdi benim, günlük yevmiyeye giderdi; artık inşaat falan bulursa çalışır gelir, o gün iş bulamamışsa, biz eve gelişinden, yüzünden anlardık. Durumumuz hiç iyi olmadı. Akşam yer sofrasında yemek yerdik. Yemek bitince babam bize "Durun kalkmayın" derdi. Önce dua ederdik sonra babam bize sofrada konuşma yapardı.
"Aha" dedim,"Bizim meslek seminerci".
- Ne anlatırdı baban?
- Hayattta nasıl başarılı olunur ?
O gün inşaata çağırmazlarsa eve para getiremiyor, sonra çocuklara hayatta başarı teknikleri anlatıyor.
-Babam işe gidince büyük ağabeyimiz onu taklit ederdi, delik bir çorapla pantalonun ceplerini çıkarır, dört kardeşi karşısına alıp "Dürüst olun, evinize haram lokma sokmayın" diye anlatırken, biz de gülerdik.Annem kızardı, "Babanızla alay etmeyin. O, hem dürüst hem de çalışkandır" derdi.
Yan evde iki kardeş var, onların babası zengin. Babaları birahane işletiyor, ama adamda her numara vardı, kumar falan oynatırdı. Bizim yeni hiç bir şeyimiz olmadı, hep o ikisinin eskilerini kullandık. O amca mahalleden geçerken biz 5 kardeş ayağa kalkardık, çünkü bize bahşiş verirdi. Babam eve gelince ayağa kalkmazdık. Çünkü hediye, para falan hak getire. Ağabey, biz babamı kaybettik. Altı ay içinde yandaki baba da öldü. Yandaki baba iki çocuğa 5 katlı bir apartıman, işleyen birahane, dövizler ve araziler bıraktı. Bizim baba ne bıraktı biliyor musunuz ?
-Ne bıraktı ?
-Bakkal veresiyesi ve konuşmalarını bıraktı : "Evladım işinizi dürüst yapın, hakkınız olmayan parayı almayın..." falan filan. Ağabey aradan 15 yıl geçti, diğer 2 kardeş cezaevindeler, ne ev kaldı ne birahane. Ailesi dağıldı.
Biz 5 kardeş,beşimizin Keçiören de taksi durağında birer taksisi var hepimizin birer ailesi, çoluk çocuğu, hepimizin birer dairesi var. Geçenlerde büyük ağabeyimiz bizi topladı ve dedi ki:
"Asıl mirası bizim baba bırakmış."
Hepimiz ağladık. 5 kardeş taksiciliğe başladığımızdan beri, taksimetrenin yazmadığı 10 krş.u evimize sokmadık. Her şeyimiz var Allah'a şükür.
Çok duygulandım, veda ettim, tam ineceğim:
-Dur ağabey, asıl bomba şimdi.
-Nedir bomban ?
-Nerede oturuyoruz biliyor musun ? O iki kardeşin oturduğu 5 katlı apartmanı biz aldık. 5 kardeş orada oturuyoruz.
Evladınıza ne araba bırakırsınız, ne ev, ne de başka bir miras. Evlada sadece değer kavramları bırakırsınız. Bakın iki baba da evlatlarına değer kavramları bırakmışlar.
(A.Şerif İzgören kitabından)
15 Nisan 2012 Pazar
19 Eylül 2011 Pazartesi
Olsun istersin…
Hatta olsun diye yapılması gerekenden daha da fazla üstelersin.
Aşktır ; değer verirsin, ödün verirsin, sevgiden de öte saygı gösterirsin, olmayacak kaç şey varsa bir araya bile getirirsin…
Bakarsın, ne anlattığını anlayabilmiş (?) ne de çözüm için bi’şeyler yapma gayretinde.
İştir ; sabahlarsın, “olsun” diye ailenden çaldığın zamanı oraya verirsin…
Dosttur ; hayatta kimseyi dinlemediğin kadar dinler, kendine ayırmadığın onca şeyi “O’na” ayırmaya çalışırsın…
Sonra olayın içinden kendini çıkartır şöyle karşıdan yaptıklarına bir bakarsın… Bakarsın ki her şey başladığın gibi!
Olmuyorsa, olmuyordur!
Gönlün rahat mı?
Elinden geleni yaptın mı?
Cidden olmuyorsa zorlamayacaksın…
Hatta olsun diye yapılması gerekenden daha da fazla üstelersin.
Aşktır ; değer verirsin, ödün verirsin, sevgiden de öte saygı gösterirsin, olmayacak kaç şey varsa bir araya bile getirirsin…
Bakarsın, ne anlattığını anlayabilmiş (?) ne de çözüm için bi’şeyler yapma gayretinde.
İştir ; sabahlarsın, “olsun” diye ailenden çaldığın zamanı oraya verirsin…
Dosttur ; hayatta kimseyi dinlemediğin kadar dinler, kendine ayırmadığın onca şeyi “O’na” ayırmaya çalışırsın…
Sonra olayın içinden kendini çıkartır şöyle karşıdan yaptıklarına bir bakarsın… Bakarsın ki her şey başladığın gibi!
Olmuyorsa, olmuyordur!
Gönlün rahat mı?
Elinden geleni yaptın mı?
Cidden olmuyorsa zorlamayacaksın…
Can Baba
8 Haziran 2011 Çarşamba
Nacinin Acısı
bir tartışma sonrası,
-seni dedi artık istemiyorum.... herşey bitti...
naci yıkılmıştı, duyduklarına inanamıyordu...
-olamaz dedi, bu basit tartışma bizi bu noktaya getiremez.. gerginsin hep bu dedi..
-hayır naci dedi kız,gözlerine dik dik bakarak.. sevgisiz.. bitti dedim, zorlaştırma lütfen...
-neden diye sordu naci?
-nedeni yok, sıkıldım artık senden anlıyormusun... boğuyorsun beni..
-peki dedi naci, dediğin gibi olsun.
naci masadan kalktı, çok sevdiği kahvesine dokunamamıştı bile...kalbinde çok büyük bir sızı hissediyordu.
olamaz diyordu kendi kendine, herşey bir anda böylesine bitemez bitmemeli.. ben onsuz yaşayamam.
arabasına bindi, nereye gittiğini bilmiyordu... sahil yolunda bir cepe park etti, arabadan indi ve bir banka oturdu.
kafasını ellerinin arasına aldı. bir boğaza bir yere doğru bakarken ordan bir ses işitti...
-yeğen biraz yana kayarmısın. olta atıyorum, sana gelmesin.
naci balık tutanları farketmemişti bile... sessizce yana kaydı..
adam oltayı güzelce sabitledikten sonra nacinin yanına oturdu...
-bugun pek balık yok
-nasip dayı dedi naci, nasipten öte köy yok. canı pek konuşmak istemiyordu. sık sık telefonuna bakıyordu belki bir mesaj gelir ümidiyle...
-emekli olduktan sonra sık sık buraya gelir balık tutarım. can sıkıntısına, yalnızlığa çok iyi gelir.sende canını sıkma, gençlikde olur böyle şeyler.
-naci hafifçe tebessüm etti. dayı sendende bir şey kaçmıyor..
-ee evlat bizde yaşadık senin yaşadıklarını...artık ömrümüzün sonbaharındayız, günlerimiz sayılı...ne oldu ayrıldınız mı?
-evet dedi, ayrıldık. sıkılmış benden .. boğuyormuşum onu..
-çok mu seviyorsun ?
-evet be dayı. içim yanıyor.
-bak dedi evlat... adın neydi?
-naci...
-naci bir büyük tavsiyesi ister misin? kendine birkaç gün süre ver.bu süre zarfında kendini dinle.. sonra ona bir mesaj at.
-evet dedi naci
-aslında o güne kadar zaten seni aramamışsa bunun pek bir faydası da olmaz.
-dayı çok seviyorduk birbirimizi bildiğin gibi değil..
-öyledir yeğen..bu işler böyle başlar..çok seversin aşık olursun gözün ondan başkasını görmez.hep o olsun istersin yanında.
bunun yanına saygı, emek ve sabır koyarsan işte o sevgi olur. aşk geçer gider belki ama sevgi daimdir.
ve dayı devam etti...
-naci rahat bırak onu.. hani derler ya dönerse sonsuza dek senindir, giderse zaten hiç senin olmamıştır.daha gençsin..unutursun.
-haklısın dayı.. haklısın... ben şöyle 1 haftalığına avrupaya gideyim en iyisi... kafam rahat eder.
-oo dedi dayı, para gani desene...
-çok şükür durumumuz iyi dedi naci..
-ilginç dedi dayı, paran var yakışıklıda adamsın.ama kız istememiş.. bu işte bir tuhaflık var dedi dayı...
-daha zenginini bulmuştur kahpe dedi naci...
o arada olta sallanmaya başlamıştı. balık vurmuştu oltaya.
dayı yerinden kalkerken ekledi.
-naci dedi, kız seni bırakmakla çok iyi yapmış.sen gerçekten sevseydin ona kıyıpda bu kelimeyi etmezdin. için acırdı..kadınlar hisseder naci...
dayı senin isim neydi
-ramiz...
-sendemi dedi naci.. kartvizini bıraktı.ihtiyacın olursa ara beni dayı...arabasına bindi ve uzaklaştı...
erencan - 2011
7 Haziran 2011 Salı
Gitmek İstiyorum
Neden bilmiyorum ama gitmek istiyorum,
Nedensizce, sorgulamaksızın...
Tüm duygularımdan, düşüncelerimden...
Tüm benliğimden, tüm benden...
Kurtulmak istercesine...
Neden bilmiyorum ama gitmek istiyorum.
Belki uzaya marsa, hayat geldimi yoksa diye,
Belki buzullara kutup ayılarına sarılmaya,
Ne bileyim penguenlerle dertleşmeye,
Çöle belkide bizzat develere sormaya,
Boynunuz neden eğri acaba diye,
Çöldeki yılanlara, görünmeden kumun altındalar ya,
Burdaki çift ayaklı akrabalarınıza mesajınız var mı diye,
Okyanusun ortasına gidebilirim belkide,
Dev balinaların yanına, neden intihar ediyorsunuz hayat güzel diye,
Bir akrep bulursam onun yanına,
Utanmıyor musun sokmaktan insanları diye doğasına aldırmadan,
Bir kartal yuvasına çıkarım belkide,
Birşey konuşmayız yukardan bakarız öylece yerdeki karıncalara,
Sonra o karıncaların yanına bırakır beni,
Onlar çalışırken izlerim zevkli olur,
Arada da akıl veririm şöyle taşırsanız daha iyi olur diye,
Antenler çanak mı yoksa çatı mı diye eklerim ardından,
Onlar beni kovalarken bir bakmışımki,
Bir çiftlikdeyim, at, köpek, horoz, tavuk ...
Gözlerim metini arar,
Yakışıklı horozum benim...
Kısaca,
Neden bilmiyorum ama gitmek istiyorum,
Nedensizce, sorgulamaksızın...
Tüm duygularımdan, düşüncelerimden...
Tüm benliğimden, tüm benden...
Kurtulmak istercesine...
Erencan, Haziran 2011
16 Aralık 2010 Perşembe
Bir Delikanlının Pskilojik Travması
delikanlı kaldırımdan karşı geçmek üzereydi.
birden karşıdan gelen pembe belediye otobüsünü gördü.
o an, işte o anda kendini otobüsün önüne attıı....
koca otobüs tam çarpmak üzereyken güçlükle durabildi...
şöfor sadık korkuyla karışık kızmıştı haliyle... bağırdı...
-önüne baksana kör müsün koca otobüsü görmüyor musun?
delikanlıya bir şey olmuşmu diye aşağı indi.
yine bağırdı
-görmüyormusun koca otobüsü?
delikanlının gözleri dolmuştu..bir anda şöfor sadıka sarıldı..
-siz dedi, siz... otobüsü durdurdunuz, hemde benim için...
-evet dedi şöfor sadık ...
-siz dedi beni adam yerine koydunuz ve bana çarpmamak için otobüsü durdunuz.bugüne dek beni adam yerine koyan olmamıştı biliyormusunuz.
şöfor sadık delikanlıya baktı
-hasbinallah.. bütün gerizekalılarda beni bulur. ve ardından şu cevabı verdi...
-aslında bakarsan bende seni adam yerine koymazdım.ama gelgörki kanun var nizam var. senin bi tc kimlik numaran var. var dimi?
-evet var
-devlet seni adam sanırda başıma iş açarım diye korktum... yoksa ne işim olur seninle...tohumuna para mı saydım?
delikanlı büsbütün yıkılmıştı...
-içerden seslendiler, kaptan bırak şu salağı geç kaldık gidelim artık...
o anda boynunda fularıyla bir adam indi otobüsten aşağıya...bu psikolog ahmet beyden başkası değildi.
-durun dedi, ben psikologum... psiko analiz sentezlerler yapmak için zaman zaman otobüse binerim dedi.
-sordukmu dedi şöfor sadık , ister bin ister binme... ekime kadar binebilirsin serbest,sonrası için birşey diyemem.
-olsun dedi ahmet bey..aranızda merak edenler olabilir. konuyu dağıtma diyerek ekledi şöfor sadıka...
şöfor sadıkdelikanlıya dönerek
-aha dedi, şanslıymışsın.. tam adamına denk geldin. deli doktoru...
ahmet bey delikanlının eline omuzuna attı..
-evlat dedi, senin bu yaşadığın travmayı sentezleyebilir ve bir çözüm yolu bulabiliriz dedi.
delikanlı ahmet beye bakarak
-gerçekten mi dedi? hemen ahmet beyin boynuna sarıldı.
-benim için otobüsden aşağı indiniz ve bana yardımcı olmaya çalışıyorsunuz.bugüne dek beni adam yerine koyan olmamıştı biliyormusunuz.
-biliyorrum dedi ahmet bey, az önce duydum söylediklerini ve o nedenle aşağıya indim.
delikanlı
-sentezlemek dediğiniz nedir bu arada? tam anlayamadım dedi?
ahmet bey
-çocukluğuna ineceğiz yani dedi.
delikanlı
-anlaşıldı dedi,peki çocukluğuma inerken kaç para isteyeceksiniz dedi.
ahmet bey
-saati 150 lira ama sana bu günün anısına 100 liraya olur dedi...
çocuk önce doktora sonra şöfor sadıka baktı.
-size dedi söyleyecek hiçbirşey bulamıyorum. yüzünüze tükürsem tükürüğüme yazık olur...
sonra koşarak uzaklaştı.
şöfor sadık ve ahmet bey arkasından bakakaldılar.
sonra yolculardan birkaçı indi aşağıya...
-delikanlı haklıydı dedi...
şöfor sadık
-evet sanırım haklıydı... ve ekledi.. gidelim artık... hareket amirliğinden bekliyorlar.. geç kalmayalım durağa...
ahmet bey
-boşuna mı okuduk ulan bunca sene! herhalde para isteceğim dedi.
şöfor sadık ahmet beye dönerek
-sanırım boşa okumuşsun dedi..
-inen yolculardan biri bu sözün üzerine şöfor sadıkın yanağına bir buse kondurdu ve ellerini omuzlarına atarak usulca otobüse bindiler...
giden otobüsün arkasından psikolog ahmet beyin sesi yankılanıyordu.
-topsunuz olum top... içinizdeki topu ortaya çıkardınız!
topitoşlar diye söylenerek oradan uzaklaştı...
erencan - 2011
5 Eylül 2010 Pazar
220-telnet-cgi-yasaklama.html
Merhaba arkadaşlar,
Telnet cgi yasaklama ile ilgili forum dökümanına buradan ulaşabilirsiniz.
Apache’yi Güvenli Hale Getirmenin 20 Yolu
Apache’yi Güvenli Hale Getirmenin 20 Yolu
Peter Freitag’in apache konfigürasyonunda yapilacak bazi düzenlemeler hakkindaki, Apache Security kitabindan da alintilar iceren önerileri.
Not: Önerilerin bir garantisi yoktur. Sunucunuzu daha siki yapacaktir fakat bütün önerileri yaptiktan sonra sunucunuz %100 güvenli olacak diye bir garanti yok. Ayrica önerilerin bazilari sizin ortaminizda performansi düsürebilir veya problemlere yol acabilir. Önerilen degisikliklerin ortaminiza uyup uymayacagina karar vermek size kaliyor.
1) ilk olarak en son yamalari gectiginize emin olun
Eger kapiniz acik ise pencerelere kilit koymanin bir mantigi yoktur. Ayni sekilde, eger gerekli yamalari kurmadiysaniz, diger önerilere yamalari gectikten sonra bakin.
2) Apache sürüm numarasini ve diger bilgileri gizleyin
Varsayilan olarak, bütün Apache kurulumlari bütün dünyaya hangi Apache sürümünü, isletim sistemini calistirdiginizi ve hatta hangi Apache modüllerinin sunucuda kurulu oldugunu söyleyecektir. Saldirganlar bu bilgileri kullanirlar. Ayrica varsayilan ayarlari ellemediginizi belirten bir mesaj da verilmis olur.
httpd.conf dosyasinda asagidaki iki direktifi vermeniz gerekiyor:
ServerSignature Off
ServerTokens Prod
ServerSignature direktifi 404 sayfalari, klasör listeleri gibi apache tarafindan yaratilan sayfalarin en altinda bilgilerin görüntülenmesi ile ilgilidir.
ServerTokens direktifi ise Apache’nin HTTP cevap basliginda Server kismina ne yazacagini belirler. Bunu Prod’a set ederek HTTPcevabinda asagidaki sekilde cevap verdirmek mümkün:
Server: Apache
Eger fazla paranoyaksaniz bunu da kaynak kodunda degisiklik yaparak veya mod_security kullanarak (asagida anlatiliyor) degistirebilirsiniz.
3) Apache’yi kendi kullanici hesabi ve grubunda calistirin
cesitli apache kurulumlari nobOdy kullanici hesabi ile calisir. Eger hem Apache hem de Eposta sunucunuzun da nobOdy kullanici hesabi ile calistirildigini varsayarsak, Apache’ye yapilan basarili bir saldiri sonrasi eposta sunucusunun da ele gecirilmesi veya bunun tersi mümkün olabilir.
User apache
Group apache
4) Web klasörünün disindaki dosyalara erisimi engelleyin
Apache’nin web ana klasörü disindaki dosyalara erisimini istemeyiz. Bütün web sitelerinizin ayni klasör altinda oldugunu varsayarsak (örnekte /web olarak geciyor) asagidaki gibi bir ayar yapmalisiniz:
Order Deny,Allow
Deny from all
Options None
AllowOverride None
Order Allow,Deny
Allow from all
Not: Options None ve AllowOverride None set ettigimiz icin bu sunucunun tüm override islemlerini kapatacaktir. Bu sebeple Option veya Override gerektiren her bir klasör icin elle ekleme yapmaniz gerekir.
5) Klasör icerigi görüntülemeyi kapatin
Bunu bir Directory tag’i icerisinde Options ile yapabilirsiniz. Options’i None veya -Indexes olarak set edin:
Options -Indexes
6) Sunucu tarafi dahil etmeleri (server side include) kapatin
Bu da Directory tag’i icerisinde Options ile yapiliyor. Options’i None veya -Includes olacak sekilde ayarlayin:
Options -Includes
7) CGI calistirmayi kapatin
Eger CGI kullanmiyorsaniz Directory tag’i icerisinde Options’da set ederek kapatin. Options’i None veya -ExecCGI olarak set edin:
Options -ExecCGI
8) Apache’nin sembolik link’leri takip etmesine izin vermeyin
Bu da Directory tag’i icerisinde Options ile yapiliyor. Options’i None veya -FollowSymLinks olacak sekilde ayarlayin:
Options -FollowSymLinks
9) Bütün Options özelliklerinin kapatilmasi
Bütün Options’lari kapatmak istiyorsaniz,
Options None
olarak set edin. Birden fazla özellik kapatmak isterseniz ayni satir icerisinde bosluk vererek belirtin:
Options -ExecCGI -FollowSymLinks -Indexes
10) .htaccess dosyalari icin destegin kaldirilmasi
Bu Directory tag’i icerisinde AllowOverride direktifi ile yapiliyor. None olacak sekilde ayarlayin:
AllowOverride None
Eger Overrides’a ihtiyaciniz varsa indirilemediklerinden (download) ve/veya isimlerini .htaccess’den baska bir seye degistirin. Örnegin .httpdoverride olarak degistirelim ve .ht ile baslayan bütün dosyalarin indirilmesini engelleyelim:
AccessFileName .httpdoverride
Order allow,deny
Deny from all
Satisfy All
11) mod_security calistirin
mod_security, Apache Security kitabinin da yazari olan Ivan Ristic tarafindan hazirlanmis yararli bir Apache modülüdür.
mod_security ile asagidakileri yapabilirsiniz:
* Basit filtreleme
* Regular Expression tabanli filtreleme
* URL kodlama kontrolü
* Unicode kodlama kontrolü
* Denetim (Auditing)
* Null byte saldirisi önleme
* Upload hafiza sinirlari
* Sunucu kimligi maskeleme
* Dahili chroot destegi
* ve dahasi
12) Gereksiz modülleri kapatin
Apache tipik olarak cesitli modüllerle birlikte kurulmaktadir. Apache modül dokümantasyonuna göz atarak hangi modülün ne yaptigini ögrenin. Aktif durumda olan bazi modüllere ihtiyaciniz olmayabilir.
httpd.conf dosyasinda LoadModüle iceren satirlara bakin. Bir modülü devre disi birakmak icin basitce satirin basina bir # isareti koyun (comment out). Modülleri aratmak icin
grep LoadModule httpd.conf
komutunu calistirin.
Genelde aktif olan fakat ihtiyac duyulmayan modüllere örnek olarak,
mod_imap, mod_include, mod_info, mod_userdir, mod_status, mod_cgi, mod_autoindex
verilebilir.
13) Apache’nin konfigürasyon ve calistirilabilir dosyalarina sadece root’un okuma izni olsun
Eger Apache kurulumunuzun /usr/local/apache oldugunu varsayarsak:
chown -R root:root /usr/local/apache
chmod -R o-rwx /usr/local/apache
14) Timeout degerini düsürün
Timeout (zaman asimi) süresi varsayilan olarak 300 saniyeye ayarlidir. Servis kullanimi engelleme saldirilarinin (DoS) potansiyel etkilerini azaltmak icin bunu düsürebilirsiniz:
Timeout 45
15) Büyük boyutlu isteklerin sinirlanmasi
Apache bir http isteginin boyutunu sinirlamaniza izin veren cesitli direktifler sunar. Bu özellik de servis kullanimi engelleme saldirilarinin etkilerini azaltmak icin kullanilabilir.
Baslangic olarak LimitRequestBOdy direktifi kullanilabilir. Bu direktif varsayilan olarak unlimited/sinirsiz olarak ayarlidir. Eger 1mb’in üzerinde dosya gönderimine izin vermiyorsaniz bunu:
LimitRequestBOdy 1048576
olarak set edebilirsiniz. Eger dosya gönderimlerine (upload) izin vermiyorsaniz daha da düsük tutabilirsiniz.
Bakilabilecek diger direktifler ise LimitRequestFields, LimitRequestFieldSize ve LimitRequestLine. Bu direktifler cogu sunucu icin varsayilan olarak makul degerlere ayarlidir fakat ihtiyaclariniza göre degisiklik yapabilirsiniz. Detayli bilgi icin Apache dokümanina göz atin.
16) XML BOdy boyutunu sinirlamak
Eger mod_dav kullaniyorsaniz bir XML isteginin gövedesinin maksimum boyutunu sinirlamak isteyebilirsiniz. LimitXMLRequestBOdy sadece Apache 2’de var ve varsayilan degeri 1 milyon byte (yaklasik 1mb). cogu makalede eger WebDAV kullaniyor ve büyük dosyalar upload ediliyorsa, bu degeri 0’a set ederek boyut sinirlamasinin kaldirilmasindan bahsedilir. Fakat sadece kaynak (source) kontrol icin kullaniyorsaniz bu degeri 10mb gibi bir degerle sinirlayabilirsiniz:
LimitXMLRequestBOdy 10485760
17) Ayni anda kullanim (concurrency) sinirlamasi
Apache ayni anda yapilan istekleri isleme ile ilgili olarak cesitli konfigürasyon ayarlari sunar. MaxClients isteklere hizmet icin maksimum olarak kac child process’in yaratilacagini belirler. Eger sunucunuzun cok sayida concurrent istegi karsilayacak kadar hafizasi yoksa bu degeri yüksek tutmak isteyebilirsiniz.
MaxSpaceServer, MaxRequestsPerChild ve Apache2 deki ThreadsPerChild, ServerLimit, ve MaxSpareThreads direktifleri de isletim sistemi ve donaniminiza uyacak sekilde ayarlanabilir.
18) Erisimleri IP’ye göre kisitlama
Eger sadece belirli bir agdan veya IP adresinden erisilmesi gereken kaynaklariniz varsa bunu apache konfigürasyonunda ayarlayabilirsiniz. Örnegin intranet’inize sadece 176.16 agindan erisim yapilmasini istiyorsaniz:
Order Deny,Allow
Deny from all
Allow from 176.16.0.0/16
veya IP kisitlamasi:
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
19) KeepAlive ayarlari
Apache dokümantasyonuna göre HTTP Keep Alive özelligi istemci performansini %50 oraninda artirmaktadir. Bu sebeple bu ayarlari degistirirken dikkatli olun, servis kullanimi engelleme saldirisina karsi az bir koruma saglarken performans’dan önemli ölcüde ödün verebilirsiniz.
KeepAlive varsayilan olarak aktiftir ve acik birakabilirsiniz, fakat varsayilan olarak 100 olan MaxKeepAliveRequests degerini ve 15’e ayarli olan KeepAliveTimeout degerini degistirebilirsiniz.Log dosyalarinizi analiz ederek uygun degerleri bulmaya calisin.
20) Apache’yi chroot ortaminda calistirin
chroot programlari kendi ayristirilmis hapishanelerinde (jail) calistirmanizi saglar. Bu da bir servisin kirilma durumunda sunucudaki diger seyleri etkilemesini engeller.
Yukarida mod_security modülünün kendisinin chroot destegi oldugunu söylemistim. Bu modül sayesinde asagidaki direktifi eklemek yeterli:
SecChrootDir /chroot/apache
Yazar & Kaynak: modsecurity.org
Peter Freitag’in apache konfigürasyonunda yapilacak bazi düzenlemeler hakkindaki, Apache Security kitabindan da alintilar iceren önerileri.
Not: Önerilerin bir garantisi yoktur. Sunucunuzu daha siki yapacaktir fakat bütün önerileri yaptiktan sonra sunucunuz %100 güvenli olacak diye bir garanti yok. Ayrica önerilerin bazilari sizin ortaminizda performansi düsürebilir veya problemlere yol acabilir. Önerilen degisikliklerin ortaminiza uyup uymayacagina karar vermek size kaliyor.
1) ilk olarak en son yamalari gectiginize emin olun
Eger kapiniz acik ise pencerelere kilit koymanin bir mantigi yoktur. Ayni sekilde, eger gerekli yamalari kurmadiysaniz, diger önerilere yamalari gectikten sonra bakin.
2) Apache sürüm numarasini ve diger bilgileri gizleyin
Varsayilan olarak, bütün Apache kurulumlari bütün dünyaya hangi Apache sürümünü, isletim sistemini calistirdiginizi ve hatta hangi Apache modüllerinin sunucuda kurulu oldugunu söyleyecektir. Saldirganlar bu bilgileri kullanirlar. Ayrica varsayilan ayarlari ellemediginizi belirten bir mesaj da verilmis olur.
httpd.conf dosyasinda asagidaki iki direktifi vermeniz gerekiyor:
ServerSignature Off
ServerTokens Prod
ServerSignature direktifi 404 sayfalari, klasör listeleri gibi apache tarafindan yaratilan sayfalarin en altinda bilgilerin görüntülenmesi ile ilgilidir.
ServerTokens direktifi ise Apache’nin HTTP cevap basliginda Server kismina ne yazacagini belirler. Bunu Prod’a set ederek HTTPcevabinda asagidaki sekilde cevap verdirmek mümkün:
Server: Apache
Eger fazla paranoyaksaniz bunu da kaynak kodunda degisiklik yaparak veya mod_security kullanarak (asagida anlatiliyor) degistirebilirsiniz.
3) Apache’yi kendi kullanici hesabi ve grubunda calistirin
cesitli apache kurulumlari nobOdy kullanici hesabi ile calisir. Eger hem Apache hem de Eposta sunucunuzun da nobOdy kullanici hesabi ile calistirildigini varsayarsak, Apache’ye yapilan basarili bir saldiri sonrasi eposta sunucusunun da ele gecirilmesi veya bunun tersi mümkün olabilir.
User apache
Group apache
4) Web klasörünün disindaki dosyalara erisimi engelleyin
Apache’nin web ana klasörü disindaki dosyalara erisimini istemeyiz. Bütün web sitelerinizin ayni klasör altinda oldugunu varsayarsak (örnekte /web olarak geciyor) asagidaki gibi bir ayar yapmalisiniz:
Order Deny,Allow
Deny from all
Options None
AllowOverride None
Order Allow,Deny
Allow from all
Not: Options None ve AllowOverride None set ettigimiz icin bu sunucunun tüm override islemlerini kapatacaktir. Bu sebeple Option veya Override gerektiren her bir klasör icin elle ekleme yapmaniz gerekir.
5) Klasör icerigi görüntülemeyi kapatin
Bunu bir Directory tag’i icerisinde Options ile yapabilirsiniz. Options’i None veya -Indexes olarak set edin:
Options -Indexes
6) Sunucu tarafi dahil etmeleri (server side include) kapatin
Bu da Directory tag’i icerisinde Options ile yapiliyor. Options’i None veya -Includes olacak sekilde ayarlayin:
Options -Includes
7) CGI calistirmayi kapatin
Eger CGI kullanmiyorsaniz Directory tag’i icerisinde Options’da set ederek kapatin. Options’i None veya -ExecCGI olarak set edin:
Options -ExecCGI
8) Apache’nin sembolik link’leri takip etmesine izin vermeyin
Bu da Directory tag’i icerisinde Options ile yapiliyor. Options’i None veya -FollowSymLinks olacak sekilde ayarlayin:
Options -FollowSymLinks
9) Bütün Options özelliklerinin kapatilmasi
Bütün Options’lari kapatmak istiyorsaniz,
Options None
olarak set edin. Birden fazla özellik kapatmak isterseniz ayni satir icerisinde bosluk vererek belirtin:
Options -ExecCGI -FollowSymLinks -Indexes
10) .htaccess dosyalari icin destegin kaldirilmasi
Bu Directory tag’i icerisinde AllowOverride direktifi ile yapiliyor. None olacak sekilde ayarlayin:
AllowOverride None
Eger Overrides’a ihtiyaciniz varsa indirilemediklerinden (download) ve/veya isimlerini .htaccess’den baska bir seye degistirin. Örnegin .httpdoverride olarak degistirelim ve .ht ile baslayan bütün dosyalarin indirilmesini engelleyelim:
AccessFileName .httpdoverride
Order allow,deny
Deny from all
Satisfy All
11) mod_security calistirin
mod_security, Apache Security kitabinin da yazari olan Ivan Ristic tarafindan hazirlanmis yararli bir Apache modülüdür.
mod_security ile asagidakileri yapabilirsiniz:
* Basit filtreleme
* Regular Expression tabanli filtreleme
* URL kodlama kontrolü
* Unicode kodlama kontrolü
* Denetim (Auditing)
* Null byte saldirisi önleme
* Upload hafiza sinirlari
* Sunucu kimligi maskeleme
* Dahili chroot destegi
* ve dahasi
12) Gereksiz modülleri kapatin
Apache tipik olarak cesitli modüllerle birlikte kurulmaktadir. Apache modül dokümantasyonuna göz atarak hangi modülün ne yaptigini ögrenin. Aktif durumda olan bazi modüllere ihtiyaciniz olmayabilir.
httpd.conf dosyasinda LoadModüle iceren satirlara bakin. Bir modülü devre disi birakmak icin basitce satirin basina bir # isareti koyun (comment out). Modülleri aratmak icin
grep LoadModule httpd.conf
komutunu calistirin.
Genelde aktif olan fakat ihtiyac duyulmayan modüllere örnek olarak,
mod_imap, mod_include, mod_info, mod_userdir, mod_status, mod_cgi, mod_autoindex
verilebilir.
13) Apache’nin konfigürasyon ve calistirilabilir dosyalarina sadece root’un okuma izni olsun
Eger Apache kurulumunuzun /usr/local/apache oldugunu varsayarsak:
chown -R root:root /usr/local/apache
chmod -R o-rwx /usr/local/apache
14) Timeout degerini düsürün
Timeout (zaman asimi) süresi varsayilan olarak 300 saniyeye ayarlidir. Servis kullanimi engelleme saldirilarinin (DoS) potansiyel etkilerini azaltmak icin bunu düsürebilirsiniz:
Timeout 45
15) Büyük boyutlu isteklerin sinirlanmasi
Apache bir http isteginin boyutunu sinirlamaniza izin veren cesitli direktifler sunar. Bu özellik de servis kullanimi engelleme saldirilarinin etkilerini azaltmak icin kullanilabilir.
Baslangic olarak LimitRequestBOdy direktifi kullanilabilir. Bu direktif varsayilan olarak unlimited/sinirsiz olarak ayarlidir. Eger 1mb’in üzerinde dosya gönderimine izin vermiyorsaniz bunu:
LimitRequestBOdy 1048576
olarak set edebilirsiniz. Eger dosya gönderimlerine (upload) izin vermiyorsaniz daha da düsük tutabilirsiniz.
Bakilabilecek diger direktifler ise LimitRequestFields, LimitRequestFieldSize ve LimitRequestLine. Bu direktifler cogu sunucu icin varsayilan olarak makul degerlere ayarlidir fakat ihtiyaclariniza göre degisiklik yapabilirsiniz. Detayli bilgi icin Apache dokümanina göz atin.
16) XML BOdy boyutunu sinirlamak
Eger mod_dav kullaniyorsaniz bir XML isteginin gövedesinin maksimum boyutunu sinirlamak isteyebilirsiniz. LimitXMLRequestBOdy sadece Apache 2’de var ve varsayilan degeri 1 milyon byte (yaklasik 1mb). cogu makalede eger WebDAV kullaniyor ve büyük dosyalar upload ediliyorsa, bu degeri 0’a set ederek boyut sinirlamasinin kaldirilmasindan bahsedilir. Fakat sadece kaynak (source) kontrol icin kullaniyorsaniz bu degeri 10mb gibi bir degerle sinirlayabilirsiniz:
LimitXMLRequestBOdy 10485760
17) Ayni anda kullanim (concurrency) sinirlamasi
Apache ayni anda yapilan istekleri isleme ile ilgili olarak cesitli konfigürasyon ayarlari sunar. MaxClients isteklere hizmet icin maksimum olarak kac child process’in yaratilacagini belirler. Eger sunucunuzun cok sayida concurrent istegi karsilayacak kadar hafizasi yoksa bu degeri yüksek tutmak isteyebilirsiniz.
MaxSpaceServer, MaxRequestsPerChild ve Apache2 deki ThreadsPerChild, ServerLimit, ve MaxSpareThreads direktifleri de isletim sistemi ve donaniminiza uyacak sekilde ayarlanabilir.
18) Erisimleri IP’ye göre kisitlama
Eger sadece belirli bir agdan veya IP adresinden erisilmesi gereken kaynaklariniz varsa bunu apache konfigürasyonunda ayarlayabilirsiniz. Örnegin intranet’inize sadece 176.16 agindan erisim yapilmasini istiyorsaniz:
Order Deny,Allow
Deny from all
Allow from 176.16.0.0/16
veya IP kisitlamasi:
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
19) KeepAlive ayarlari
Apache dokümantasyonuna göre HTTP Keep Alive özelligi istemci performansini %50 oraninda artirmaktadir. Bu sebeple bu ayarlari degistirirken dikkatli olun, servis kullanimi engelleme saldirisina karsi az bir koruma saglarken performans’dan önemli ölcüde ödün verebilirsiniz.
KeepAlive varsayilan olarak aktiftir ve acik birakabilirsiniz, fakat varsayilan olarak 100 olan MaxKeepAliveRequests degerini ve 15’e ayarli olan KeepAliveTimeout degerini degistirebilirsiniz.Log dosyalarinizi analiz ederek uygun degerleri bulmaya calisin.
20) Apache’yi chroot ortaminda calistirin
chroot programlari kendi ayristirilmis hapishanelerinde (jail) calistirmanizi saglar. Bu da bir servisin kirilma durumunda sunucudaki diger seyleri etkilemesini engeller.
Yukarida mod_security modülünün kendisinin chroot destegi oldugunu söylemistim. Bu modül sayesinde asagidaki direktifi eklemek yeterli:
SecChrootDir /chroot/apache
Yazar & Kaynak: modsecurity.org
Kaydol:
Kayıtlar (Atom)