Hazırlayan: [kazakherif]
Tarih: 2025-07-13
Amaç: Linux sistemlerde log dosyalarının güvenliğini sağlamak ve izleme süreçlerini daha etkin hâle getirmek.
Önemli log dosyalarına “immutable” özelliği vererek saldırganın logları değiştirmesini veya silmesini engelle.
Örnek:
chattr +i /var/log/auth.logLog dosyalarının yalnızca root tarafından okunabilmesi güvenlik açısından önemlidir.
Örnek:
chmod 600 /var/log/auth.logLog dosyaları zamanla büyür. Logrotate, eski logları arşivleyip disk doluluğunu önler.
Örnek:
logrotate /etc/logrotate.confAuditd, kullanıcı aktiviteleri ve sistem çağrılarını kaydederek şüpheli eylemleri tespit etmene yardımcı olur.
Örnek Kurulum:
apt install auditdSSH brute-force denemeleri veya şüpheli girişler sıkça auth.log içinde saklanır.
Örnek:
grep "Failed password" /var/log/auth.logFail2Ban, log dosyalarındaki başarısız giriş denemelerini tespit edip IP engellemesi yapar.
Örnek Kurulum:
apt install fail2banÇok sayıda sunucu varsa logları merkezi bir sunucuda toplamak analiz ve güvenlik açısından avantajlıdır.
Örnek:
syslog-ng-ctl statsLog dosyalarının bütünlüğünü sağlamak için hash veya checksum kullan. Değişiklikleri tespit edebilirsin.
Örnek:
sha256sum /var/log/auth.logGoAccess, ELK stack gibi araçlar logları grafiksel olarak analiz etmene yardımcı olur.
Örnek GoAccess:
goaccess /var/log/nginx/access.log -cBaşka bir sunucuya log gönderirken şifreli protokoller kullan. Özellikle uzak log sunucuları için önemlidir.
Rsyslog TLS Örneği:
$DefaultNetstreamDriverCAFile /etc/ssl/certs/ca-certificates.crt