Ubuntu Server’da Intrusion Detection

Ubuntu Server ortamlarında güvenlik, modern kurumsal altyapıların temel taşlarından biridir. Intrusion Detection System (IDS) çözümleri, sunucularınıza yönelik yetkisiz erişim girişimlerini, şüpheli aktiviteleri ve potansiyel tehditleri gerçek zamanlı olarak tespit ederek proaktif savunma sağlar. Bu makalede, Ubuntu Server’a IDS entegre etmenin pratik yollarını ele alacağız. Özellikle açık kaynaklı araçlar olan Suricata ve AIDE gibi çözümleri odak noktasına alarak, adım adım kurulum, yapılandırma ve bakım süreçlerini inceleyeceğiz. Bu rehber, sistem yöneticilerine somut talimatlar sunarak sunucu güvenliğini güçlendirmeye yardımcı olacaktır.

Intrusion Detection Araçlarının Seçimi ve Önemi

Ubuntu Server’larda IDS seçimi, ağ trafiği analizi ve dosya bütünlüğü izleme gibi ihtiyaçlara göre yapılır. Suricata, yüksek performanslı bir ağ tabanlı IDS/IPS aracıdır ve çoklu çekirdek desteğiyle büyük veri akışlarını verimli şekilde işler. AIDE ise dosya bütünlüğünü denetleyen host tabanlı bir araçtır. Bu araçlar, kurumsal ortamlarda sıfır güncelleme maliyetiyle güçlü koruma sağlar.

IDS’lerin önemi, geleneksel antivirüs yazılımlarından farklı olarak davranışsal analiz yapmalarındadır. Örneğin, bir saldırganın exploit denemesi sırasında anormal trafik desenlerini yakalayarak loglara kaydederler. Ubuntu’nun kararlı paket yöneticisi sayesinde bu araçlar kolayca entegre edilir ve SELinux/AppArmor gibi yerel güvenlik katmanlarıyla uyumlu çalışır. Kurumsal kullanımda, IDS’ler uyumluluk standartlarını (örneğin GDPR veya ISO 27001) karşılamada kritik rol oynar.

Ubuntu Server’a Suricata Kurulum ve Yapılandırma

Paket Yükleme Adımları

Ubuntu 22.04 LTS gibi güncel bir sürümde başlamak için terminali yönetici haklarıyla açın. Önce depoları güncelleyin: sudo apt update && sudo apt upgrade -y. Ardından Suricata’yı yükleyin: sudo apt install suricata -y. Bu komut, temel bağımlılıkları (libnetfilter-queue, libyaml) otomatik çözer. Kurulum sonrası ethtool ve tcpdump gibi yardımcı araçları da ekleyin: sudo apt install ethtool tcpdump -y. Ağ arayüzünüzü belirleyin (ip link show ile) ve Suricata kurallarını indirin: sudo suricata-update. Bu işlem, Emerging Threats kurallarını depolar ve ilk veritabanını oluşturur. Toplam kurulum süresi 5-10 dakika sürer ve 200 MB disk alanı gerektirir.

Yapılandırma Dosyalarını Düzenleme

/etc/suricata/suricata.yaml dosyasını nano veya vim ile açın: sudo nano /etc/suricata/suricata.yaml. Ağ arayüzünü belirtin (örneğin default: enp0s3). RULE-PATH’i /var/lib/suricata/rules/ olarak ayarlayın ve HOME_NET’i yerel ağınıza göre tanımlayın (örneğin 192.168.1.0/24). Evebox gibi bir arayüz için EVE-JSON loglamayı etkinleştirin: outputs altında eve-log’u uncomment edin. Değişiklikleri kaydedin ve sözdizimini doğrulayın: suricata -T -c /etc/suricata/suricata.yaml. Hata yoksa servisi başlatın: sudo systemctl enable --now suricata@enp0s3. Logları /var/log/suricata/ altında izleyin.

Test ve Doğrulama

Kurulumun çalıştığını doğrulamak için test trafiği oluşturun. Bir tarayıcıdan kendi sunucunuza nmap taraması yapın: başka bir makineden nmap -sS sunucu_ip. Suricata loglarında (eve.json) SYN tarama uyarılarını arayın: grep "SYN scan" /var/log/suricata/eve.json. Performansı izlemek için suricata --stats kullanın; CPU kullanımı %10’un altında olmalıdır. Kurumsal ortamda, bu testleri cron job ile otomatikleştirin: 0 2 * * * /usr/bin/suricata-update && systemctl restart suricata@enp0s3.

AIDE ile Dosya Bütünlüğü İzleme ve Bakım

AIDE Kurulum ve İlk Taban Oluşturma

AIDE’yi yükleyin: sudo apt install aide aide-common -y. İlk veritabanını oluşturun: sudo aideinit. Bu, /var/lib/aide/aide.db.new.gz dosyasını üretir ve sistem dosyalarının hash’lerini (SHA-256) kaydeder. Dosyayı aktif hale getirin: sudo mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz. Yapılandırma dosyasını /etc/aide/aide.conf ile özelleştirin; örneğin /etc/, /bin/, /usr/sbin/ gibi kritik dizinleri izleyin. Kurumsal sunucularda, bu veritabanını haftalık yedekleyin.

Düzenli Kontroller ve Raporlama

Kontrol için sudo aide --check çalıştırın; değişiklikler /var/log/aide/aide.log’a yazılır. Yeni dosya eklemelerini manuel güncelleyin: sudo aide --update. Cron ile otomatize edin: sudo crontab -e ve 0 3 * * 0 /usr/bin/aide --check | mail -s "AIDE Raporu" [email protected] ekleyin. Bu, Pazar geceleri tam tarama yapar ve e-posta ile rapor gönderir. Değişikliklerde, false positive’leri filtrelemek için conf’ta pcre kuralları tanımlayın.

Ubuntu Server’larda IDS entegrasyonu, katmanlı savunma stratejisinin vazgeçilmez bir parçasıdır. Suricata ve AIDE gibi araçları düzenli güncelleyerek, logları merkezi bir SIEM’e (örneğin ELK Stack) aktararak ve ekip eğitimleriyle destekleyerek maksimum etkinlik elde edersiniz. Bu adımları uygulayarak sunucularınızı proaktif şekilde koruyun; güvenlik yatırımı, olası ihlallerin maliyetinden her zaman daha düşüktür. Sisteminizi sürekli izleyin ve tehdit istihbaratını takip edin.