Merhaba
Veeam Backup & Replication Hardened Repository (Immutability) ile Linux’tan yararlanan değiştirilemez yedeklemelere sahip olma olanağı sağlıyor.
Veeam Backup & Replication 10’da yedekleri Object Lock etkinken Object Storage S3’te depolamak için kullanıma sunulan Immutability özelliği, yedeklemelerinizi üzerine yazmaya, yanlışlıkla silmeye, fidye yazılımı saldırılarına ve dahili davetsiz misafirlere karşı koruma sağlamaktaydı.
İşletmeyi etkileyebilecek olası veri kaybını önlemek için başarılı bir veri koruma stratejisinin anahtarı iyi bir yedekleme tasarımıdır. Veriler iyi korunmuyorsa, bir fidye yazılımı saldırısı yöneticiler için bir kabus olabilir.
Hardened Repository (Immutability) yapılandırması için özelliği aktif edebilmeniz için bazı gereksinimlere ihtiyacınız bulunmaktadır.
Virtual Machine ( Sanal Makine ) olarak yapılandırabilirseniz ancak güvenlik nedeniyle Physical ( Fiziksel ) bir sunucu üzerinde yapılandırmanız önemle önerilmektedir. Hatta Veeam Backup & Replication üzerinde yapacağınız Security & Compliance adımlarından biride Hardened Repository (Immutability) yapılandırdığınız sunucunuzun Physical ( Fiziksel ) bir sunucu olmasıdır.
Hardened Repository (Immutability) yapılandırmak için x64 bir Linux işletim sistemi gerekmektedir.
- CentOS 7.x
- Debian 10.0 to 11.0
- Oracle Linux 7 (UEK3) to 9 (UEK R7)
- Oracle Linux 7 to 9 (RHCK)
- RHEL 7.0 to 9.1
- SLES 12 SP4 or later, 15 SP1 or later
- Ubuntu: 18.04 LTS, 20.04 LTS ve ya 22.04 LTS üstü bir Linux işletim sistemi kullanabilirsiniz.
Veeam Backup & Replication yönetim aracısını dağıtmak için Bash Shell ve SSH servisi gereklidir ( Veeam bileşenlerini güncellemek için SSH bağlantısı gerekli değildir ve daha sonra devre dışı bırakılmalıdır. )
Linux sunucunuz xfs’yi desteklemelidir ( Veeam Fast Cloning teknolojisinin kullanımını etkinleştirileceğinden) önerilen dosya sistemidir.
Gelişmiş XFS entegrasyonu (hızlı klon) için yalnızca aşağıdaki 64 bit Linux dağıtımları desteklenir.
- Debian 10.x, and 11
- RHEL 8.2 to 9.1
- SLES 15 SP2, SP3, SP4
- Ubuntu 18.04 LTS, 20.04 LTS, 22.04 LTS
Linux sunucumuzu Veeam Backup & Replication konsoluna yönetilen sunucu olarak eklemelisiniz.
Hardened Repository (Immutability) yapılandırması için, Veeam Backup & Replication bileşenleri Linux Repository yalnızca non-root kimlik bilgileriyle erişir ve proxy ile depolama yapısı arasındaki iletişim için yalnızca TCP 6162 portunu kullanır. ( Gerektiğinde TCP 2500 – 3300 kullanılır ).
Immutability nedeniyle yedeklemeler değiştirilemediğinden, yalnızca periyodik sentetik veya etkin tam yedeklemelerle incremental desteklenir. Yedek kopyalama işleri, NAS yedekleme, Log gönderimi, Oracle yedeklemelerindeki RMAN / SAP HANA / SAP değişmezlik seçeneğinden yararlanamaz, ancak aynı depoda saklanabilir.
Yedekleme verilerini daha iyi korumak için, güvenliği zorlamak için bazı yönergelere uymalısınız:
- Kalıcı kimlik bilgileri kullanılabilse de, kimlik bilgilerinin Veeam Backup & Replication’da saklanmasını önlemek için dağıtım sırasında Hardened Repository (Immutability) için Single-use credentials for hardened repository seçeneği kullanılması önerilir.
- SSH servisi devre dışı bırakılmalıdır.
- Depo sunucunuzda bulunan iDRAC, ILO ve ya XClarity Controller gibi uzaktan yönetim çözümleri devre dışı bırakılmalı ve ya güvenliği sağlanmalıdır.
- Potansiyel bir saldırganın zaman değişikliklerini önlemek için zaman güvenilir bir NTP Sunucusuyla senkronize edilmelidir. Zaman değişiklikleri Değişmezlik korumasını değiştirebilir.
Veeam kısa süre önce Veeam Availability Suite’in bir parçası olan Veeam Backup and Replication 12.3 versiyonunu yayınladı. Yedekleme hedefi olarak Linux’u kullanan Immutable Repository adlı yeni özellik ilgimizi çekti. Bu, özelliği Veeam Hardened Repository ile test ederek bu kurulumu doğrulamak için mükemmel bir fırsattı.
Her zaman bir Veeam Hardened Repository kurabilir ve bir Veeam Backup and Replication repository ekleyebilirsiniz, Bu yüzden bunun ne gibi farklılıkları olduğunu ve BT çalışanlarının yalnızca fidye yazılım saldırılarını yenmeye yardımcı olmakla kalmayan sağlam bir yedekleme hedefine sahip olmalarına nasıl yardımcı olabileceğini görmek istedim.
Birçok altyapı, ortamlarını desteklemek için bulut ya da Hypervisor kullanmaktadır; bunun Microsoft Hyper-V ya da VMware vSphere olması fark etmez. Kolaylık sağlamak için VMware vSphere’i kullandık çünkü birçok operasyon ekibi zaten bu platformu kullanıyor. vSphere ve Veeam hakkında biraz bilgi sahibi olunduğu varsayılmaktayım, bu nedenle bazı adımlar ayrıntılı olarak ele alınmamış veya atlanmıştır.
Linux sistem yöneticileri için bu yazıdaki bazı faaliyetler standart günlük faaliyetlerdir. Windows yöneticileri için SSH anahtarı kurulumu yeni olabilir, ancak arka cebinizde bulundurmanız gereken iyi bir beceridir.
Daha önceki yazımızda
Veeam Backup & Replication 12.3 Hardened Repository Oracle Linux 9.5 Kurulumu
Oracle Linux 9.5 Kurulumu tamamladık.
Bu yazımızda Hardened Repository (Immutability) yapılandırması öncesinde Oracle Linux 9.5 sunucumuz üzerinde gerekli yapılandırmayı ve Veeam Backup & Replication 12.3 üzerinde Hardened Repository (Immutability) yapılandırmasını anlatıyor olacağız.
Oracle Linux 9.5 sunucumuza PuTTY SSH Client uygulaması ile bağlantı sağlıyoruz.
PuTTY Security Alert ekranında ilk defa bağlantı sağladığımız için Accept diyerek devam ediyoruz.
login as ekranın da Oracle Linux 9.5 sunucumuzun kurulumunda oluşturduğumuz veeamadmin kullanıcısı ile bağlantı sağlıyoruz.
login as ekranın da veeamadmin kullanıcısını yazıyoruz ve Enter tuşuna basıyoruz.
login as ekranın da veeamadmin kullanıcısının Password ( Parola ) yazıyoruz ve Enter tuşuna basıyoruz.
Oracle Linux 9.5 sunucumuza bağlantı sağlıyoruz.
/mnt /veeamrepo dizinindeki izinler, boyut, sahip gibi detaylı bilgilerle dosyaları ve dizinleri listeliyoruz.
Bunun için
ls -la /mnt
komutunu çalıştıyoruz.
ls -la /mnt
komutunun tamamlandığını görüyoruz.
/mnt /veeamrepo dizinindeki izinler, boyut, sahip gibi detaylı bilgilerle dosyaları ve dizinleri listeliyoruz.
veeamadmin isimli kullanıcımız /mnt /veeamrepo dizinindeki tüm dosyalar ve alt dizinlerdeki erişim izinlerini yapılandırmamız gerekiyor.
Bunun için
sudo chown -R veeamadmin:veeamadmin /mnt/veeamrepo/
komutunu çalıştıyoruz.
[sudo] password for administrator satırına administrator kullanıcısının Password ( Parola ) yazıyoruz ve Enter tuşuna basıyoruz.
sudo chown -R veeamadmin:veeamadmin /mnt/veeamrepo/
komutunun tamamlandığını görüyoruz.
/mnt /veeamrepo dizin altındaki tüm dosyalar ve dizinler için veeamadmin isimli kullanıcımıza izin vermiş oluyoruz.
veeamadmin isimli kullanıcımız /mnt /veeamrepo dizinindeki tüm dosyalar ve alt dizinlerde grup ve diğer kullanıcılar için okuma, yazma ve çalıştırma erişim izinlerini kaldırıyoruz.
Bunun için
sudo chmod 700 /mnt/veeamrepo
komutunu çalıştıyoruz.
sudo chmod 700 /mnt/veeamrepo
komutunun tamamlandığını görüyoruz.
veeamadmin isimli kullanıcımız veeamrepo dizinindeki tüm dosyalar ve alt dizinlerde grup ve diğer kullanıcılar için okuma, yazma ve çalıştırma erişim izinlerini kaldırmış oluyoruz.
[sudo] password for administrator satırına administrator kullanıcısının Password ( Parola ) yazıyoruz ve Enter tuşuna basıyoruz.
Veeam Backup & Replication 12.3 konsolunu Connect diyerek açıyoruz.
Veeam Backup & Replication 12.3 konsulu geliyor karşımıza.
Veeam Backup & Replication 12.3 konsolu üzerinde Backup Infrastructure menüsü altında bulunan Managed Servers menüsünden Oracle Linux 9.5 sunucumuzu ekleyeceğiz.
Veeam Backup & Replication 12.3 konsolu üzerinde Backup Infrastructure menüsü altında bulunan Managed Servers menüsünde Oracle Linux 9.5 sunucumuzu eklemek için sağ tuş Add server ya da Manage Server menüsünde bulunan Add server seçeneğine tıklıyoruz.
New Backup Repository ekranın da Server adımında Repository server bölümünde Add New diyerek sunucu ekleme işlemini gerçekleştirebilirsiniz. Ancak biz buradaki ekrandan gerekli yapılandırmayı tamamlıyoruz.
Add Server ekranın da Veeam Backup & Replication 12.3 üzerine Oracle Linux 9.5 sunucumuzu eklemek için Linux seçeneğini seçiyoruz.
Name ekranın da DNS name or IP address bölümüne Veeam Backup & Replication 12.3 üzerine ekleyeceğimiz Oracle Linux 9.5 sunucumuzun DNS Name ( Domain Name Server İsmi ) ya da IP address ( IP Adresi ) bilgisini yazıyoruz.
NOT : Ortamımızdaki DNS Server üzerinde Host ( A ) kaydı oluşturduğumuz için bu şekilde bir işlem yaptık. Eğer ortamımızda DNS Server üzerinde Host ( A ) kaydı oluşturmadıysanız IP Address ( IP Adresi ) ile gerekli yapılandırmayı devam edebilirsiniz.
Name ekranın da gerekli yapılandırmayı tamamladıktan sonra Next diyerek devam ediyoruz.
SSH Connection ekranın da Add diyerek Oracle Linux 9.5 kurulumu yazımızda oluşturmuş olduğumuz veeamadmin kullanıcımızı yapılandırmamız gerekiyor.
SSH Connection ekranın da Add seçeneği altında bulunan Single-use credentials for hardened repository seçeneğini seçiyoruz.
Credentials ekranın da Username ve Password bölümlerine Oracle Linux 9.5 kurulumu yazımızda oluşturmuş olduğumuz veeamadmin kullanıcı bilgilerini yazmamız gerekiyor.
Credentials ekranın da Username ve Password bölümlerine Oracle Linux 9.5 kurulumu yazımızda oluşturmuş olduğumuz veeamadmin kullanıcı bilgilerini yazıyoruz ve OK diyoruz.
SSH Connection ekranın da Credentials bölümüne Oracle Linux 9.5 kurulumu yazımızda oluşturmuş olduğumuz veeamadmin kullanıcısının geldiğini görüyoruz.
Credentials ekranın da gerekli yapılandırmayı tamamladıktan sonra Next diyerek devam ediyoruz.
Veeam Backup and Replication ekranın da Oracle Linux 9.5 sunucumuz üzerinde SSH Key bağlantı sağlaması için Yes diyerek kabul ediyoruz.
Review ekranın da Oracle Linux 9.5 sunucumuz üzerine kurulacak olan Veeam Backup & Replication 12.3 bileşenlerini görüyoruz.
Review ekranın da Apply diyerek yapılandırmayı başlatıyoruz.
Apply ekranın da Oracle Linux 9.5 sunucumuz üzerinde Veeam Backup & Replication 12.3 bileşenlerinin kurulumu ve gerekli yapılandırmanın başladığını görüyoruz.
Apply ekranın da Oracle Linux 9.5 sunucumuz üzerinde Veeam Backup & Replication 12.3 bileşenlerinin kurulumu ve gerekli yapılandırma işleminin başarılı bir şekilde tamamlandığını görüyoruz.
Apply ekranın da Veeam Backup & Replication 12.3 bileşenlerinin kurulumu ve gerekli yapılandırma işlemi tamamlandıktan sonra Next diyerek devam ediyoruz.
Summary ekranın da Oracle Linux 9.5 sunucumuz üzerinde Veeam Backup & Replication 12.3 bileşenlerinin kurulumu ve gerekli yapılandırma ile ilgili bilgileri görüyoruz.
Summary ekranın da gerekli yapılandırma bilgisini kontrol ettikten sonra Finish diyerek yapılandırmayı sonlandırıyoruz.
Veeam Backup & Replication 12.3 konsolu üzerinde Backup Infrastructure menüsü altında bulunan Managed Servers menüsü altında veeamoracle9 isimli Oracle Linux 9.5 sunucumuzun eklendiğini görüyoruz.
Veeam Backup & Replication 12.3 konsolu üzerinde Backup Infrastructure menüsü altında bulunan Managed Servers menüsü altında veeamoracle9 isimli Oracle Linux 9.5 sunucumuzun ekledikten sonra Veeam Backup & Replication 12.3 konsolu üzerinde Backup Infrastructure menüsü altında bulunan Backup Repositories menüsüne geliyoruz.
Veeam Backup & Replication 12.3 sunucumuz üzerinde Hardened Repository (Immutability) olarak Oracle Linux 9.5 sunucumuz üzerinde Hardened Repository Oracle Linux Harddisk yapısını ekleyeceğiz.
Veeam Backup & Replication 12.3 konsolun da bulunan Backup Repositories üzerinde sağ tuş Add backup repository… ya da Manage Repository menüsün de bulunan Add Repository tıklayarak Veeam Backup & Replication 12.3 üzerinde Hardened Repository (Immutability) yapılandırma işlemini başlatabilirsiniz.
Add Backup Repository ekranın da Direct attach storage seçeneği seçiyoruz.
Add Backup Repository ekranın da Direct attach storage seçeneği altında bulunan Linux (Hardened Repository) seçeneğini seçiyoruz.
Linux (Hardened Repository) seçeneği Veeam Backup & Replication 12 ile birlikte gelen bir özelliktir.
Name ekranın da yapılandıracağımız Hardened Repository (Immutability) için bir Name ( İsim ) yapılandırıyoruz ve Next diyerek devam ediyoruz.
Server ekranın da Repository server bölümünde veeamoracle9 isimli Oracle Linux 9.5 sunucumuzu görüyoruz.
Server ekranın da Repository server bölümünde Add New diyerek sunucu ekleme işlemini gerçekleştirebilirsiniz Ancak biz bu işlemleri Backup Infrastructure menüsü altında bulunan Managed Servers menüsünden Add server ya da Manage Server menüsünde bulunan Add server seçeneği ile ekleyerek gerçekleştirdik.
Server ekranın da veeamoracle9 isimli Oracle Linux 9.5 sunucumuz üzerinde bulunan Harddisk dizinlerini görüntülememiz gerekiyor.
Server ekranın da Populate diyerek veeamoracle9 isimli Oracle Linux 9.5 sunucumuz üzerinde bulunan Harddisk dizinlerini görüntülüyoruz.
Server ekranın da veeamoracle9 isimli Oracle Linux 9.5 sunucumuz üzerinde bulunan Harddisk dizinlerini görüyoruz.
/mnt/veeamrepo (dev/sdb) isimli Harddisk dizinini daha önceki Veeam Backup & Replication 12.3 Hardened Repository Oracle Linux 9.5 Kurulumu yazımızda anlatmıştık.
Server ekranın da veeamoracle9 isimli Oracle Linux 9.5 sunucumuz üzerinde bulunan /mnt/veeamrepo (/dev/nvme0n2p1) isimli 1000 GB ( Gigabyte ) boyutundaki Harddisk dizinini seçiyoruz ve Next diyerek devam ediyoruz.
Location altında bulunan
- Patch to folder bölümünde /mnt/veeamrepo (/dev/nvme0n2p1) isimli 1000 GB ( Gigabyte ) boyutundaki Harddisk dizini altında otomatik olarak /backups isimli bir dizin oluşturulacaktır.
- Capacity bölümünde /mnt/veeamrepo (/dev/nvme0n2p1) isimli 1000 GB ( Gigabyte ) boyutundaki Harddisk dizininin kapasitesi görüntülenecektir.
- Free space bölümünde /mnt/veeamrepo (/dev/nvme0n2p1) isimli 1000 GB ( Gigabyte ) boyutundaki Harddisk dizininin boş kapasitesi görüntülecektir.
Use fast cloning on XFS volumes (to take benefit of Fast Cloning technology) : xfs birimlerinde hızlı klonlamayı kullanmak için seçili olarak geldiğini görüyoruz. ( Fast Cloning Technology yararlanmak için )
Make recent backups immutable for : Alınan Backup ( Yedek ) dosyalarının, belirlediğiniz saklama süresi belirlediğiniz gün boyunca değiştiremeyecek şekilde saklayabilirsiniz.
Load Control bölümü altında bulunan
- Limit maximum concurrent task to : Bu seçenek ile oluşturacağınız Hardened Repository (Immutability) üzerinde aynı anda kaç tane Backup Job görevinin çalışacağını yapılandırabilirsiniz. Default olarak 4 olarak gelmektedir.
- Limit read and write data rates to : Bu seçenek ile oluşturacağınız Hardened Repository (Immutability) üzerinde Read ( Okuma ) ve Write ( Yazma ) hızlarını yapılandırabilirsiniz.
Reporsitory ekranında Populate seçeneğine tıklıyoruz Capacity ( Kapasite ) ve Free space ( Boş Alan ) sorgulamasını yapıyoruz.
Reporsitory ekranın da Capacity ( Kapasite ) ve Free Space ( Boş Alan ) bilgilerini görüyoruz.
Reporsitory ekranın da Advanced diyoruz.
Storage Compatibility Settings ekranın da
- Align backup file data blocks : Sabit blok boyutu kullanan depolama sistemleri için Yedekleme dosyası veri bloklarını hizala onay kutusunu işaretleyin. Veeam Backup & Replication, bir yedekleme dosyasına kaydedilen sanal makine verilerini 4 KB blok sınırında hizalar.
- Decompress backup data blocks before storing : Bir yedekleme işi için sıkıştırmayı etkinleştirdiğinizde Veeam Backup & Replication, VM verilerini kaynak tarafında sıkıştırır ve ardından hedef tarafa taşır. Sıkıştırılmış verilerin tekilleştirici bir depolama aygıtına yazılması, eşleşen blok sayısı azaldıkça tekilleştirme oranlarının düşük olmasına neden olur. Bu durumun üstesinden gelmek için, Depolamadan önce yedek veri bloklarını aç onay kutusunu seçin. Bir iş için veri sıkıştırma etkinleştirilirse Veeam Backup & Replication kaynak taraftaki sanal makine verilerini sıkıştıracak, hedef tarafa taşıyacak, hedef taraftaki sanal makine verilerini sıkıştıracak ve daha yüksek tekilleştirme oranı elde etmek için ham sanal makine verilerini depolama aygıtına yazacaktır.
- This repository is backed by rotated drives : Bu seçenek etkinleştirildiğinde Veeam Backup & Replication, yedekleme hedefini döndürülmüş sürücülere sahip bir yedekleme deposu olarak tanır ve bu sürücülerde oluşturulan yedekleme zincirinin bozulmadığından emin olmak için belirli bir algoritma kullanır.
- User per-VM backup files (recommended) : İşteki her makine için ayrı bir yedekleme dosyası oluşturmak için, Makine başına kullanıcı yedekleme dosyaları onay kutusunu seçin. Tekilleştirici depolama aygıtını yedekleme deposu olarak kullanıyorsanız bu ayar önerilir. Veeam Backup & Replication, makine verilerini çeşitli akışlarda yedekleme deposuna yazacak ve bu da yedekleme işi performansını artıracaktır. Ancak bu durumda Veeam Yedekleme ve Çoğaltma, işe eklenen sanal makineler arasındaki verileri tekilleştirmez
Storage Compatibility Settings ekranın da herhangi bir yapılandırma yapmıyoruz OK diyerek devam ediyoruz.
Repository ekranın da gerekli yapılandırmayı tamamladıktan sonra Next diyerek devam ediyoruz.
Mount Server ekranın da Mount Server bölümün de yapılandıracağımız Backup Repository hangi sunucu üzerinden bağlanacağını seçiyoruz. Eğer ortamınız da Mount Server sunucumuzu başka bir sunucu üzerinde yapılandırmışsanız Add New diyerek onu ekleyeyerek yapılandırabilirsiniz.
Veeam Backup & Replication 10 ile birlikte Instant recovery write cache folder bölümünün geldiğini görüyoruz. Veeam Backup & Replication 9.5 versiyonunda bulunan Folder bölümünün artık olmadığını görüyoruz.
Instant recovery write cache folder bölümünde Instant VM Recovery önbellek dosyalarının depolanabileceği dizini yapılandırabilirsiniz. Bu dizinin en az 10 GB boş Disk alanı olan bir dizin üzerinde yapılandırmanız gerekmektedir. Bu dizin için genellikle SSD Disklerin bulunduğu disk yapısı önerilmektedir. Maksimum boş alan miktarına sahip bir birimdeki IRCache klasörüdür. IRCache klasörü, kurtarma doğrulaması veya geri yükleme işlemleri sırasında yedeklemelerden başlatılan suncuların yazma önbelleğini depolanır. Yazma önbelleğini depolamak için en az 10 GB boş disk alanınız olduğundan emin olmanız gerekmektedir.
Enable vPower NFS service on the mount server (recommended) bölümünde ise Veeam firmasına patentli bir teknolojisi olan vPower NFS özelliğini aktif edebiliyoruz.
vPower NFS : Veeam Backup & Replication 11 ile tekilleştirilmiş ve sıkıştırılmış olan Backup ( Yedek ) dosyalarının VMDK dosyası olarak ESXi host’una eklenmesini sağlar. Bu sayede ESXi host Backup ( Yedek ) alınmış olan Virtual Machine ( Sanal Makine ) dosyalarına erişim sağlayabilir.
Mount Server ekranın da gerekli yapılandırmayı tamamladıktan sonra Next diyerek devam ediyoruz.
Review ekranın da Oracle Linux 9.5 sunucumuzu Hardened Repository (Immutability) olarak yapılandırmak için kurulacak olan Veeam Backup & Replication 12.3 bileşenlerini görüyoruz.
Review ekranın da Search the repository for existing backups and import them automatically seçeneğini işaretlererek yapılandıracağınız Hardened Repository (Immutability) içinde eğer daha önceden alınan Backup ( Yedek ) dosyaları varsa Import guest file system index data to the catoalog seçeneğini işaretleyerek Import edebilirsiniz.
Review ekranın da Apply diyerek yapılandırmayı başlatıyoruz.
Apply ekranın da Hardened Repository (Immutability) yapılandırma işlemlerinin başarılı bir şekilde tamamlandığını görüyoruz.
Apply ekranın da Veeam Backup & Replication 12.3 üzerinde Hardened Repository (Immutability) yapılandırma işlemi tamamlandıktan sonra Next diyerek devam ediyoruz.
Summary ekranın da Veeam Backup & Replication 12.3 üzerinde yapılandırmış olduğumuz Hardened Repository (Immutability) yapılandırma bilgilerini görüyoruz.
Summary ekranın da gerekli yapılandırma bilgilerini kontrol ettikten sonra Finish diyerek yapılandırmayı sonlandırıyoruz.
Veeam Backup & Replication 12.3 konsolu üzerinde Backup Infrastructure menüsü altında bulunan Backup Repositories menüsünde BAKICUBUK_Oracle_HardenedRepository isimli Hardened Repository (Immutability) yapılandırmasını görüyoruz.
veeamadmin isimli kullanıcımıza sunucumuz üzerinde Reboot ( Yeniden Başlatma ) ve Shutdown ( Kapatma ) işlemleri için yetki vereceğiz.
Linux Sudo Yetkilendirmesi. Linux sunucularda root yetkisi dışında kullanıcılara yetki vermenin yolu sudo yetkilendirmesi kullanmaktır. Bunu da sağlayan visudo komutudur. Kısaca, Visudo Linux sistemlerinde kullanıcıların belirli komutları root haklarıyla çalıştırmalarına izin veren bir programdır. Visudo aracı, sudo yapılandırma dosyasını düzenlemenize izin verir. Bu dosya, sudo kullanarak çalıştırılacak komutları ve hangi kullanıcıların bu komutları çalıştırabileceğini tanımlar.
Bunun için
sudo visudo
komutunu çalıştıyoruz.
veeamadmin kullanıcımıza Oracle Linux 9.5 sunucumuz üzerinde Reboot ( Yeniden Başlatma ) ve Shutdown ( Kapatma ) işlemleri için yetki vereceğiz.
Visudo üzerinde i tuşuna basarak INSERT moduna geçiyoruz.
veeamadmin kullanıcımıza Oracle Linux 9.5 sunucumuz üzerinde Reboot ( Yeniden Başlatma ) ve Shutdown ( Kapatma ) işlemleri için yetki vereceğiz.
Visudo üzerinde Read drop-in files from /etc/sudoers.d bölümü altına
veeamadmin ALL = (root) NOEXEC: /usr/sbin/reboot
veeamadmin ALL = (root) NOEXEC: /usr/sbin/shutdown
satırlarını ekliyoruz.
Visudo üzerinde Esc tuşuna basarak INSERT modundan çıkıyoruz.
Visudo üzerinde :wq yazarak Enter tuşuna basıyoruz ve gerekli yapılandırmayı kaydedip kapatıyoruz.
Visudo üzerinde gerekli yapılandırmanın tamamlandığını görüyoruz.
Oracle Linux 9.5 sunucumuz üzerinde DNF Automatic ile Fedora ve RHEL gibi DNF paket yöneticisine sahip GNU/Linux dağıtımlarındaki güncelleme işlemini gerçekleştireceğiz.
Bunun için
sudo dnf install dnf-automatic -y
komutunu çalıştıyoruz.
[sudo] password for administrator satırına administrator kullanıcısının Password ( Parola ) yazıyoruz ve Enter tuşuna basıyoruz.
Oracle Linux 9.5 sunucumuz üzerinde DNF Automatic ile Fedora ve RHEL gibi DNF paket yöneticisine sahip GNU/Linux dağıtımlarındaki güncelleme işlemini tamamlıyoruz.
Oracle Linux 9.5 sunucumuz üzerinde DNF Automatic ile Fedora ve RHEL gibi DNF paket yöneticisine sahip GNU/Linux dağıtımlarındaki gevenlik güncelleme işlemlerinin yapılması için yapılandırıyoruz.
Bunun için
sudo vi /etc/dnf/automatic.conf
komutunu çalıştıyoruz.
[sudo] password for administrator satırına administrator kullanıcısının Password ( Parola ) yazıyoruz ve Enter tuşuna basıyoruz.
automatic.conf üzerinde
- upgrade_type: Bu alanda default veya security seçeneklerini kullanabilirsiniz. default seçeneği tüm güncellemeleri, security seçeneği ise yalnızca güvenlik güncellemelerini seçer. Sunucularımzıda ve Desktop üzerinde en azından security seçeneğini seçmek çok faydalı olacaktır. Bu sayede, güvenlik güncellemelerini hızlı ve otomatik bir şekilde yükleyebilirsiniz.
- random_sleep: Güncellemeleri indirmeden önce uygulanacak maksimum gecikme (delay). Dakika cinsinden yazmanız gerekiyor. Systemd timerları zaten 1 saate kadar, rastgele bir gecikme uyguladığı için varsayılan 0 değerini değiştirmenize gerek yok.
- network_online_timeout: Saniye cinsinden, internete bağlı olup olunmadığının kontrol edileceği süre. 0 bu kontrolü kapatır. Varsayılan olarak kalmasını tavsiye ederim.
- download_updates: Güncelleme mevcut olduğunda, bunları otomatik olarak indirir.
- apply_updates: Güncelleme mevcut olduğunda, bunları otomatik olarak yükler.
automatic.conf üzerinde i tuşuna basarak INSERT moduna geçiyoruz ve upgrade_type bölümünü security olarak yapılandırıyoruz.
automatic.conf üzerinde Esc tuşuna basarak INSERT modundan çıkıyoruz.
automatic.conf üzerinde :wq yazarak Enter tuşuna basıyoruz ve gerekli yapılandırmayı kaydedip kapatıyoruz.
automatic.conf üzerinde gerekli yapılandırmanın tamamlandığını görüyoruz.
Oracle Linux 9.5 sunucumuz üzerinde DNF Automatic ile Fedora ve RHEL gibi DNF paket yöneticisine sahip GNU/Linux dağıtımlarındaki gevenlik güncelleme işlemlerini otomatik olarak yapılandırıyoruz.
dnf-automatic-notifyonly : Güncelleme olduğunda, yalnızca bildirir.
sudo systemctl enable --now dnf-automatic-notifyonly.timer
dnf-automatic-download : Güncellemeleri indirir.
sudo systemctl enable --now dnf-automatic-download.timer
dnf-automatic-install : Güncellemeleri yükler.
sudo systemctl enable --now dnf-automatic-install.timer
Oracle Linux 9.5 sunucumuz üzerinde DNF Automatic ile Fedora ve RHEL gibi DNF paket yöneticisine sahip GNU/Linux dağıtımlarındaki gevenlik güncelleme işlemlerini otomatik olarak yapılandırıyoruz.
Bunun için
sudo systemctl enable dnf-automatic-download.timer
komutunu çalıştıyoruz.
[sudo] password for administrator satırına administrator kullanıcısının Password ( Parola ) yazıyoruz ve Enter tuşuna basıyoruz.
sudo systemctl enable dnf-automatic-download.timer
komutunun tamamlandığını görüyoruz.
Oracle Linux 9.5 sunucumuz üzerinde Chrony servisini yapılandırıyoruz.
Chrony : Ağınızdaki ntp sunucusu ile senkronize olmanızı sağlar. Sunucu olarak yapılandırılır ise kendisine zamanı soran istemcilere saat sunucusu olarak hizmet verir. Ağırlıklı olarak, masaüstü bilgisayarlarda veya günün 24 saati çalışmayan sistemlerde yararlıdır. Kararsız saatleri olan sanal sunucular veya saat frekansını sabit tutmayan güç tasarrufu teknolojileri ile donatılmış diz üstü sistemlerde saat frekansındaki hızlı değişikliklere alternatiflere göre daha iyi yanıt verebildiği için tercih edilir. Buna rağmen RHEL 7 ve üstü sistemlerde chrony ön tanımlı zaman çözümü olarak ntp nin yerini almıştır.
Bunun için
sudo vi /etc/sysconfig/chronyd
komutunu çalıştıyoruz.
[sudo] password for administrator satırına administrator kullanıcısının Password ( Parola ) yazıyoruz ve Enter tuşuna basıyoruz.
Chrony üzerinde OPTIONS=” -F 2″ bölümünü düzenliyor olacağız.
Chrony üzerinde i tuşuna basarak INSERT moduna geçiyoruz ve OPTIONS=”-R -F 2″ olarak düzenliyoruz.
Zaman sunucularının manipüle edildiği Hardened Repository yeniden başlatmalarını etkileyecek şekilde gerçekleştiği bir senaryoyu önlemek için /etc/sysconfig/chronyd dosyasında -R seçeneğini ayarladık.
Chrony üzerinde Esc tuşuna basarak INSERT modundan çıkıyoruz.
Chrony üzerinde :wq yazarak Enter tuşuna basıyoruz ve gerekli yapılandırmayı kaydedip kapatıyoruz.
Chrony üzerinde gerekli yapılandırmanın tamamlandığını görüyoruz.
Chrony servisinin yeniden başlatıyoruz.
Bunun için
sudo systemctl restart chronyd
komutunu çalıştıyoruz.
[sudo] password for administrator satırına administrator kullanıcısının Password ( Parola ) yazıyoruz ve Enter tuşuna basıyoruz.
sudo systemctl restart chronyd
komutunun tamamlandığını görüyoruz.
Oracle Linux 9.5 sunucumuza SSH erişimini devre dışı bırakıyoruz.
Bunun için
sudo systemctl disable sshd
komutunu çalıştıyoruz.
[sudo] password for administrator satırına administrator kullanıcısının Password ( Parola ) yazıyoruz ve Enter tuşuna basıyoruz.
sudo systemctl disable sshd
komutunun tamamlandığını görüyoruz.
Oracle Linux 9.5 sunucumuza SSH erişimini devre dışı bırakıyoruz.
Oracle Linux 9.5 sunucumuza SSH servisini durduruyoruz.
Bunun için
sudo systemctl stop sshd
komutunu çalıştıyoruz.
[sudo] password for administrator satırına administrator kullanıcısının Password ( Parola ) yazıyoruz ve Enter tuşuna basıyoruz.
sudo systemctl stop sshd
komutunun tamamlandığını görüyoruz.
Oracle Linux 9.5 sunucumuza SSH servisini durduruyoruz. Aktif oturumlar Oracle Linux 9.5 sunucumuz yeniden başlayana kadar sonlanmayacaktır.
veeamadmin kullanıcımızın Oracle Linux 9.5 sunucumuz üzerinde hangi gruplara dahil olduğunu kontrol edeceğiz.
id komutu kullanıcının hangi gruplara dahil olduğunu öğrenmek için id komutunu çalıştırabiliriz. uid(kullanıcı numarası), guid(group numarası) ve dahil olduğu gruplar listelenmiş oldu. uid ve guid numara aralıkları kullanıcı hesaplarına göre değişiklik gösterir.
Bunun için
id
komutunu çalıştıyoruz.
id
komutunun tamamlandığını görüyoruz.
veeamadmin kullanıcımızın Oracle Linux 9.5 sunucumuz üzerindeki Wheel grubu yetkisini görüyoruz.
veeamadmin kullanıcımızın Oracle Linux 9.5 sunucumuz üzerindeki Wheel grubu yetkisini kaldıracağız.
Bir kullanıcıya sudo/wheel grubuna eklenerek veya sudoers dosyasına /etc/sudoers.conf eklenerek sudo ayrıcalıkları verilebilir. Sudo/wheel grubu, sudoers dosyasında tanımlananlara dayalı olarak sahip olduğu ayrıcalıklara sahiptir.
- -a : –add user Kullanıcıyı adlandırılmış gruba ekleyin.
- -d : –delete user Kullanıcıyı adlandırılmış gruptan çıkarın.
- -A : –administrators user, Grup yöneticisi atamak için kullanılır.
- -M : –members user, Gruba birden fazla üye tanımlayabilirsiniz.
Bunun için
sudo gpasswd -d veeamadmin wheel
komutunu çalıştıyoruz.
[sudo] password for administrator satırına administrator kullanıcısının Password ( Parola ) yazıyoruz ve Enter tuşuna basıyoruz.
sudo gpasswd -d veeamadmin wheel
komutunun tamamlandığını görüyoruz.
veeamadmin kullanıcımızın Oracle Linux 9.5 sunucumuz üzerindeki Wheel grubu yetkisi kaldırıldı.
Oracle Linux 9.5 sunucumuz üzerindeki gerekli yapılandırmaları tamamladıktan sonra sunucumuzu yeniden başlatıyoruz.
Bunun için
sudo reboot
komutunu çalıştıyoruz.
[sudo] password for administrator satırına administrator kullanıcısının Password ( Parola ) yazıyoruz ve Enter tuşuna basıyoruz.
sudo reboot
komutunun tamamlandığını görüyoruz.
Oracle Linux 9.5 sunucumuz yeniden başladı SSH bağlantısının sonlandığını görüyoruz.
Oracle Linux 9.5 sunucumuz yeniden başladı SSH bağlantısının sonlandığını görüyoruz.
Başka bir yazımızda görüşmek dileğiyle…