yeni rehberler ve düzenlemeler

master
AA 4 years ago
parent 7fa9d238de
commit 0442779a08
Signed by untrusted user: AA
GPG Key ID: 471A839AB4DD8E6D
  1. 2
      src/SUMMARY.md
  2. 24
      src/beseri_guvenlik/yubikey_2fa.md
  3. 204
      src/cihaz_guvenligi/grapheneos.md
  4. 6
      src/cihaz_guvenligi/luks_optik.md
  5. 46
      src/cihaz_guvenligi/mobil_cihaz_tavsiyeler.md
  6. 16
      src/cihaz_guvenligi/mobil_cihaz_tercih.md
  7. 1
      src/cihaz_guvenligi/mobil_cihazlar.md
  8. 68
      src/cihaz_guvenligi/sunucu_2fa.md

@ -33,7 +33,7 @@
- [Optik Diskler](cihaz_guvenligi/luks_optik.md)
- [Uzak sunucu](cihaz_guvenligi/uzaksunucu.md)
- [SSH Güvenliği](cihaz_guvenligi/ssh.md)
- [2FA Erişimi](cihaz_guvenligi/sunucu_2fa.md)
- [SSH ile OTP Kullanımı](cihaz_guvenligi/sunucu_2fa.md)
- [Yönlendirici Güvenliği](cihaz_guvenligi/yonlendirici.md)
- [Librecmc](cihaz_guvenligi/librecmc.md)
- [Openwrt](cihaz_guvenligi/openwrt.md)

@ -56,6 +56,14 @@ Yukarıdaki seçenek en yaygın kabul gören standartları kullandığından ço
Şayet Yubikey'in kod üretmeden önce düğmesine basılmasını bir güvenlik ihtiyacı olarak isterseniz komutu `-t` parametresi ile verebilirsiniz. Böylece bilgisayarınıza takılı durumda Yubikey'den kod istendiğinde Yubikey sizden onay isteyecektir. Bu cihazdaki her yazılımın siz farkına varmadan kod talep edebilmesinin önüne geçer.
Şayet OTP kodlarınızın Yubikey'i eline geçirenlerde sorunsuzce elde edilmesinin önüne geçmek isterseniz bir pin ile koruma altına alabilirsiniz. Bunun için aşağıdaki komutu kullanıp pin belirleyebilirsiniz.
`ykman oath set-password`
Parola/pin'inizi iki kere girdikten sonra yubikey'den otp token almak için bu bilgiyi sunmanız gerekecektir. Dilerseniz güvendiğiniz cihazlarda bu parolanın hatırlanmasını sağlayabilirsiniz. Bilgisayarınızda bunun için aşağıdaki komutu çalıştırıp pin/parolanızı girin.
`ykman oath remember-password`
Token'i cihaza yazabildiğinizden emin olmak ve kod almak için aşağıdaki komutları kullanabilirsiniz:
Tüm token'ları almak için: `ykman oath code`
@ -104,7 +112,19 @@ Yubikey'inizi cihaza her okuttuğunuzda Yubico Authenticator çalışacak ve siz
## U2F kurulumu
[Bu bölüme katkı verebilirsiniz.](https://git.oyd.org.tr/oyd/guvenlik)
FIDO U2F tarayıcı temelli bir yetkilendirme sistemi. Kurulumu kolay olmakla birlikte ileriki zamanlarda bu durum değişebilecek olmakla birlikte daha az hizmet tarafından desteklenmekte. U2F kurulumu destekleyen bir hizmete Yubikey kurulumu yapmak çok basit. Güvenlik ayarlarında güvenlik anahtarı (security token) başlıklı bir bölüm bulunuyor ise Yubikey ile U2F kurulumu yapabilirsiniz.
![alt-text](yubikey_2fa/ga1.png)
![alt-text](yubikey_2fa/ga2.png)
Kurulumu başlattıktan sonra çeşitli şekillerde sizden Yubikey'inizi bağlamanız ve dokunarak etkinleştirmeniz istenecektir. Bu noktada Firefox size sitenin yetkilendirme talep ettiğine dair bir uyarı çıkaracaktır.
![alt-text](yubikey_2fa/uyari.png)
![alt-text](yubikey_2fa/bekleme1.png)
![alt-text](yubikey_2fa/bekleme2.png)
Kaydın başarılı olması üzerine hesabınıza anahtarınız tanımlanacaktır.
Bu durumda kaydettiğiniz yubikey'in kaybolması durumunda **hesabınıza erişemez** hale gelebilirsiniz. Bu neden ile ikinci bir güvenlik tedbirini daha kaydederek bu duruma engel olmanız mümkün. Bunun için [Akıllı cihaz üzerinden OTP kullanımını](andotp.png) tavsiye ederiz.
[Bu sayfaya katkı verebilirsiniz.](https://git.oyd.org.tr/oyd/guvenlik)
Yubikey'de U2F yetkilendirmesine pin veya parola ile tedbir koyulamamakta. Bu nedenle Yubikey'inizi elinde bulunduran biri herhangi bir sorun çekmeden ikinci faktör olarak cihazınızı kullanabilir. Bu sebepten **Yubikey'inizi iyi korumanız önerilir.** Bu tehdit modeli sizin için geçerli ise Yubikey ile TOTP OTP kullanımı pin ile korunabildiğinden daha güvenli olacaktır.

@ -1 +1,205 @@
# GrapheneOS Kurulumu
GrapheneOS güvenlik odaklı bir Android projesi. Proje Google Pixel cihazların donanımsal özellikleri ile birlikte güvenlik özelliklerinin varsayılan olarak geldiği bir dağıtım sağlamakta.
GrapheneOS'in kurulumu proje tarafından hazırlanan rehber ve betik sayesinde fazlasıyla kolay. Bu rehber [Grapheneos'in web sitesindeki](https://grapheneos.org/install) kurulum rehberinden çeviridir. Keza proje kısıtlı sayıda cihazda çalıştığından kurulum fazlasıyla belgelenmiş ve iyileştirilmiş durumda. Kimi değişiklikler ise kolaylık ve anlaşılırlık amacı ile eklenmiştir rehbere.
## Kurulum
Bu rehber GrapheneOS'in resmen desteklenen cihazlarına ilişkindir. Hem projenin hem de özel kurulumlar için kullanılabilir.
## Gereksinimler
En az 2GB boş hafızaya sahip olmalısınız.
Windows 10, macOS Catalina, Arch Linux, Debian buster ve Ubuntu 20.04 LTS GraphenOS'in kurulumu için desteklenen işletim sistemleridir. Bu işletim sistemlerinden birinin güncel haline kuruluma devam etmeden önce sahip olmalısınız. Eski sürümler ve diğer GNU/Linux dağıtımları genellikle çalışmakla birlikte bir sorunla karşılaşmanız durumunda desteklenen işletim sistemlerinden birini denemeniz önerilir.
Desteklenen cihazlardan birine sahip olmanız gerekli. Cihazınızın kilidinin açılıp GrapheneOS kurulabilmesini garanti etmek için operatörlerin sattığı cihazlardan uzak durmanız önerilir. Operatörler tarafından satılan cihazlar aynı işletim sistemi ve firmware'i içermekle birlikte cihazda operatöre özel ayarların açılabilmesi için bir ID ile birlikte gelmekte. Bu ayarlar bootloader'in kilidinin açılmasını engellemekte. Operatörler bunu devreden çıkarabilecek olsalar da destek ekibinin bunu bilmeme ihtimali yüksek ve olsa bile bunu yapmayabilirler. Operatörlerden bağımsız bir cihaz edinerek bu tehlikeden ve potansiyel dertlerden uzak kalabilirsiniz. Eğer operatör cihazının kilidini açabilirseniz bu GrapheneOS için bir sorun teşkil etmeyecektir.
Cihazın standart işletim sistemini güncellemek ve buradaki önergeleri takip etmeden önce en güncel firmware'i çalıştırdığından emin olmakta fayda var. Bu şekilde olası sorunlara, eksik özelliklere ve eski sürümlerdeki diğer değişikliklerle karşılaşmanın önüne geçilebilir. Dilerseniz cihazınızı online olarak güncelleyebilir veya Pixel cihazlara has tam güncelleme paketini yükleyebilirsiniz.
These instructions use command-line tools. On Windows, use PowerShell rather than the legacy Command Prompt.
Bu rehber komut satırı araçları kullanmakta. Windows'ta eski komut satırı yerine PowerShell kullanılmakta.
### Fastboot kurulumu
Fastboot'un güncel bir kopyasını edinmeniz ve işletim sisteminizde PATH çevresel değişkenine ekli olmalıdır. `fastboot --version` komutunu çalıştırarak hangi sürüme sahip olduğunuzu görebilirsiniz. Sürümünüz en az ** 29.0.6. ** olmalıdır. Dağıtımınızın paket yöneticisini kurulum için kullanabilirsiniz lakin pek çok paket deposu fastboot'un geliştirici sürümünü bulundurmakta, standart versiyon platform-tools (adb, fastboot, etc) kendilerine göre düzenleyip güncel tutmamakta.
Dağıtım paketlerinin listesi:
* __Arch Linux:__ `android-tools` fastboot ve diğer gerekli araçları getirmekte ve
android-tools provides fastboot and other useful tools not required for installation such as adb. android-udev provides udev rules allowing fastboot and adb to work in local sessions without root.
* __Debian:__ package is both broken and out-of-date, do not use (see paragraph above)
* __Ubuntu:__ package is both broken and out-of-date, do not use (see paragraph above)
Standalone platform-tools
If your operating system doesn't make a proper version of fastboot available, consider using the standalone releases of platform-tools from Google. If you have the Android SDK or intend to do development work, you install the platform-tools package via the Android SDK package manager which can be used to keep it up-to-date. The Android SDK is available by itself or can be obtained via Android Studio.
To download, verify and extract the standalone platform-tools on Linux:
curl -O https://dl.google.com/android/repository/platform-tools_r30.0.4-linux.zip
echo '5be24ed897c7e061ba800bfa7b9ebb4b0f8958cc062f4b2202701e02f2725891 platform-tools_r30.0.4-linux.zip' | sha256sum -c
unzip platform-tools_r30.0.4-linux.zip
To download, verify and extract the standalone platform-tools on macOS:
curl -O https://dl.google.com/android/repository/fbad467867e935dce68a0296b00e6d1e76f15b15.platform-tools_r30.0.4-darwin.zip
echo 'SHA256 (fbad467867e935dce68a0296b00e6d1e76f15b15.platform-tools_r30.0.4-darwin.zip) = e0db2bdc784c41847f854d6608e91597ebc3cef66686f647125f5a046068a890' | shasum -c
tar xvf fbad467867e935dce68a0296b00e6d1e76f15b15.platform-tools_r30.0.4-darwin.zip
To download, verify and extract the standalone platform-tools on Windows:
curl.exe -O https://dl.google.com/android/repository/platform-tools_r30.0.4-windows.zip
(Get-FileHash platform-tools_r30.0.4-windows.zip).hash -eq "413182fff6c5957911e231b9e97e6be4fc6a539035e3dfb580b5c54bd5950fee"
tar xvf platform-tools_r30.0.4-windows.zip
Next, add the tools to your PATH in the current shell so they can be used without referencing them by file path, enabling usage by the flashing script.
On Linux and macOS:
export PATH="$PWD/platform-tools:$PATH"
On Windows:
$env:Path = "$pwd\platform-tools;$env:Path"
Sample output from fastboot --version afterwards:
fastboot version 30.0.4-6686687
Installed as /home/username/downloads/platform-tools/fastboot
This is a temporary change to PATH for the current shell and will need to be done again if you open a new terminal. Make sure that the fastboot command works in the current shell before trying to run the flashing script.
Obtaining signify
To verify the download of the OS beyond the security offered by HTTPS, you can use the signify tool. If you do not have a way to obtain signify from a package repository you're already trusting, it does not make sense to use it. GrapheneOS releases are hosted on our servers and we do not have third party mirrors. A compromised signify would be able to compromise your OS and the GrapheneOS download due to the lack of an application security model on traditional operating systems. It would be worse than not trying to verify the signatures. It's far less likely that our servers would be compromised than someone's GitHub account or GitHub itself. You're already trusting these installation instructions from our site, which is hosted on the same static web server infrastructure as the releases.
List of distribution packages:
Arch Linux: signify
Debian: signify-openbsd with the command renamed to signify-openbsd
Ubuntu: signify-openbsd with the command renamed to signify-openbsd
On Debian-based distributions, the signify package and command are an unmaintained mail-related tool for generating mail signatures (not cryptographic signatures) with the final releases from 2003-2004 made directly by the developer via the Debian package without upstream releases. Please pressure them to correct this usability issue.
Enabling OEM unlocking
OEM unlocking needs to be enabled from within the operating system.
Enable the developer options menu by going to Settings ➔ About phone and pressing on the build number menu entry until developer mode is enabled.
Next, go to Settings ➔ System ➔ Advanced ➔ Developer options and toggle on the 'Enable OEM unlocking' setting. This requires internet access on devices with Google Play services as part of Factory Reset Protection (FRP) for anti-theft protection.
Unlocking the bootloader
First, boot into the bootloader interface. You can do this by turning off the device and then turning it on by holding both the Volume Down and Power buttons.
Unlock the bootloader to allow flashing the OS and firmware:
fastboot flashing unlock
The command needs to be confirmed on the device and will wipe all data.
Obtaining factory images
You need to obtain the GrapheneOS factory images for your device to proceed with the installation process.
You can either download the files with your browser or using a command like curl. It's generally easier to use the command-line since you're already using it for the rest of the installation process, so these instructions use curl.
On Windows, remove PowerShell's legacy curl alias for the current shell to avoid needing to reference it as curl.exe instead of curl:
Remove-Item Alias:Curl
Download the factory images public key (factory.pub) in order to verify the factory images:
curl -O https://releases.grapheneos.org/factory.pub
This is the content of factory.pub:
untrusted comment: GrapheneOS factory images public key
RWQZW9NItOuQYJ86EooQBxScfclrWiieJtAO9GpnfEjKbCO/3FriLGX3
The public key has also been published via the official @GrapheneOS Twitter account, the /u/GrapheneOS Reddit account and is available on GitHub. When the current signing key is replaced, the new key will be signed with it.
Download the factory images for the device from the releases page. For example, to download the 2020.05.05.02 release for the Pixel 3 XL (crosshatch):
curl -O https://releases.grapheneos.org/crosshatch-factory-2020.05.05.02.zip
curl -O https://releases.grapheneos.org/crosshatch-factory-2020.05.05.02.zip.sig
Verify the factory images using the signature if you were able to obtain signify from trusted package repositories (see above):
signify -Cqp factory.pub -x crosshatch-factory-2020.05.05.02.zip.sig && echo verified
This will output verified if verification is successful. If something goes wrong, it will output an error message rather than verified.
Flashing factory images
The initial install will be performed by flashing the factory images. This will replace the existing OS installation and wipe all the existing data.
Reboot into the bootloader interface to begin the flashing procedure.
Next, extract the factory images.
On Linux:
unzip crosshatch-factory-2020.05.05.02.zip
On macOS and Windows:
tar xvf crosshatch-factory-2020.05.05.02.zip
Move into the directory:
cd crosshatch-factory-2020.05.05.02
Flash the images with the flash-all script in the directory.
On Linux and macOS:
./flash-all.sh
On Windows:
./flash-all.bat
Wait for the flashing process to complete and proceed to locking the bootloader before using the device as locking wipes the data again.
Troubleshooting
A common issue on Linux distributions is that they mount the default temporary file directory /tmp as tmpfs which results in it being backed by memory and swap rather than persistent storage. By default, the size is 50% of the available virtual memory. This is often not enough for the flashing process, especially since /tmp is shared between applications and users. To use a different temporary directory if your /tmp doesn't have enough space available:
mkdir tmp
TMPDIR="$PWD/tmp" ./flash-all.sh
A majority of failed flashes tend to be caused by substandard USB connectors, plugging in via hubs or bad cables which aren't properly up to the USB standard. The scrollback from a failed flash will contain valuable diagnostic information which is essential in knowing where and how the process went wrong.
Front I/O ports on desktop computer cases and USB 3.1 or USB C on many laptops often aren't implemented properly or are broken in subtle ways, which may cause flashing to fail even on a USB port that works for other peripherals. Older Linux kernels that predate version 5 may have inadequate or patchwork support for USB C or USB 3. If you are installing from a Linux distribution, ensure your distribution uses a modern kernel.
Always use a high quality USB A to USB C cable with a rear USB port directly on your motherboard, and never use a USB hub for flashing. Never install from a virtual machine; USB passthrough in software emulation may be broken or inadequate and this can cause the flashing to fail.
Locking the bootloader
Locking the bootloader is important as it enables full verified boot. It also prevents using fastboot to flash, format or erase partitions. Verified boot will detect modifications to any of the OS partitions (vbmeta, boot/dtbo, product, system, vendor) and it will prevent reading any modified / corrupted data. If changes are detected, error correction data is used to attempt to obtain the original data at which point it's verified again which makes verified boot robust to non-malicious corruption.
In the bootloader interface, set it to locked:
fastboot flashing lock
The command needs to be confirmed on the device since it needs to perform a factory reset.
Unlocking the bootloader again will perform a factory reset.
Disabling OEM unlocking
OEM unlocking can be disabled again in the developer settings menu within the operating system after booting it up again.
Verifying installation
Verified boot authenticates and validates the firmware images and OS from the hardware root of trust. Since GrapheneOS supports full verified boot, the OS images are entirely verified. However, it's possible that the computer you used to flash the OS was compromised, leading to flashing a malicious verified boot public key and images. To detect this kind of attack, you can use the Auditor app included in GrapheneOS in the Auditee mode and verify it with another Android device in the Auditor mode. The Auditor app works best once it's already paired with a device and has pinned a persistent hardware-backed key and the attestation certificate chain. However, it can still provide a bit of security for the initial verification via the attestation root. Ideally, you should also do this before connecting the device to the network, so an attacker can't proxy to another device (which stops being possible after the initial verification). Further protection against proxying the initial pairing will be provided in the future via optional support for ID attestation to include the serial number in the hardware verified information to allow checking against the one on the box / displayed in the bootloader. See the Auditor tutorial for a guide.
After the initial verification, which results in pairing, performing verification against between the same Auditor and Auditee (as long as the app data hasn't been cleared) will provide strong validation of the identity and integrity of the device. That makes it best to get the pairing done right after installation. You can also consider setting up the optional remote attestation service.
Replacing GrapheneOS with the stock OS
Installation of the stock OS via the stock factory images is the same process described above. However, before locking, there's an additional step to fully revert the device to a clean factory state.
The GrapheneOS factory images flash a non-stock Android Verified Boot key which needs to be erased to fully revert back to a stock device state. After flashing the stock factory images and before locking the bootloader, you should erase the custom Android Verified Boot key to untrust it:
fastboot erase avb_custom_key
[Bu bölüme katkı verebilirsiniz](https://git.oyd.org.tr/oyd/guvenlik)

@ -30,7 +30,7 @@ Optik disklerin mekanik parçalar içermemesi ve dış etmenlere olan dayanıkl
* Offline tutulması gereken hassas verilerin yedeklenmesi ve saklanması
### Optik disklern taşıma kullanımı
### Optik disklerin taşıma kullanımı
Optik disklerin en değerli kullanımlarından biri veri taşıma ihtiyacında ortaya çıkmaktadır. Optik disklerin ucuz olmaları ve ince yapıları sebebi ile gözden çıkarılabilir şekilde çeşitli aracılar veya riskli alanlardan taşınması mümkün olmaktadır.
@ -52,9 +52,9 @@ Veri güvenliğinin operasyonel koşullarında bir verinin optik disk üzerinde
## Şifreli optik disk oluşturmak
Bir optik diskteki verileri şifrelemenin pek çok yolu bulunmakta. [GPG kullanarak tüm dosyaları şifreleyip](yazisma_guvenligi/gpg/gui_gpg.md) diske yazmak mümkün olduğu gibi [uzak sunucudaki dosyaların şifrelendiği](cihaz_guvenligi/uzaksunucu.md) şekilde şifrelenne dizini olduğu gibi diske yazdımak mümkün.
Bir optik diskteki verileri şifrelemenin pek çok yolu bulunmakta. [GPG kullanarak tüm dosyaları şifreleyip](yazisma_guvenligi/gpg/gui_gpg.md) diske yazmak mümkün olduğu gibi [uzak sunucudaki dosyaların şifrelendiği](cihaz_guvenligi/uzaksunucu.md) şekilde şifrelenen dizini olduğu gibi diske yazdımak da mümkün.
Bu rehber Luks ile bir optik diskin şifrelenmesini anlatacaktır. Bu yöntemin yukarıdaki seçeneklere göre birkaç faydası bulunmakta.
Bu rehber [Luks](https://en.wikipedia.org/wiki/LUKS) ile bir optik diskin şifrelenmesini anlatacaktır. Bu yöntemin yukarıdaki seçeneklere göre birkaç faydası bulunmakta.
* Tüm GNU/Linux sistemler Luks aygıtları otomatik olarak açabilmekte ve dosya sistemini gösterebilmekte. Bu sebepten diskin kullanımı çok kolaylaşmakta.

@ -1,58 +1,50 @@
## Genel tavsiyeler
# Mobil Cihaz Kullanımına İlişkin Genel Tedbirler
### Cihazlarınızı yanınızdan ayırmayın
## Cihazlarınızı yanınızdan ayırmayın
Cihazlarınızı fiziksel olarak yanınızda tutmak her zaman iyi bir fikirdir. Aksi takdirde bir saldırganın cihazınıza girmek, verilerinizi ele geçirmek ve gelecekteki etkinliklerinizi izlemek amacı ile kötücül yazılım yüklemesine fırsat doğabilir.
Cihazlarınızı fiziksel olarak yanınızda tutmak her zaman iyi bir fikirdir. Aksi takdirde bir saldırganın cihazınıza müdahale etmek, verilerinizi ele geçirmek ve gelecekteki etkinliklerinizi izlemek amacı ile kötücül yazılım yüklemesine fırsat doğabilir.
Cihazlarınızın zafiyeti tavsiye edilen donanımları kullanıp kullanmadığınıza, [şifrelemenin](cihaz_sifreleme.md) etkinleştirilip etkinleştirilmediğine ve cihazınızı bir parola veya PIN ile koruyup korumadığınıza bağlıdır.
Cihazlarınızın zafiyeti tavsiye edilen donanımları kullanıp kullanmadığınıza, [şifrelemenin](cihaz_sifreleme.md) etkinleştirilip etkinleştirilmediğine ve cihazınızı bir parola veya PIN ile koruyup korumadığınıza bağlıdır. Tüm bunlara rağmen bilinmeyen güvenlik açıkları çeşitli seviyedeki saldırılara cihazınızı açık kılabilir. Bu duruma karşı alınabilecek en iyi tedbir cihazlarınızı her halde göz önünden ayırmamaktır.
**Bir saldırganın cihazınıza girebilme olasılığı:**
| Cihazınız | Yetkin saldırgan | Eğitimli saldırgan | Olağan saldırgan |
| ---: | --- | --- | --- |
| Tavsiye edilen cihaz + Şifrelenmiş + Kilitli | DÜŞÜK | ÇOK DÜŞÜK | HİÇ |
| Tavsiye edilen cihaz + Kilitli | ORTA | DÜŞÜK | ÇOK DÜŞÜK |
| Normal cihaz + Şifreli + Kilitli | YÜKSEK | ORTA | DÜŞÜK |
| Normal cihaz + Kilitli | ÇOK YÜKSEK | YÜKSEK | ORTA |
| Kilitsiz | KESİN | KESİN | KESİN |
Saldırgan tipleri:
Temel olarak saldırı kaynağını aşağıdaki gibi sınıflamak mümkündür:
* **Yetkin saldırganlar** Kilitli telefonlara girmekte uzmanlaşmış büyük devletleri ve uluslararası şirketleri kapsar.
* **Eğitimli saldırganlar** Yerel kolluk kuvvetlerini ve telefon kıran adli tıp şirketlerini kapsar.
* **Olağan saldırganlar** Özel donanım sahibi olmayan yetenekli teknoloji meraklılarını kapsar.
Eğer cihazınızdan uzak kalacaksanız ve cihazınıza girilme ihtimali var ise verilerinizi yedeklemeli, fabrika ayarlarına dönüş yapmalısınız (veya yeni bir cihaz almayı düşünebilirsiniz).
Cihazınızın kimin eline geçtiğine, sizin tedbirlerinize, süreye bağlı olarak riskiniz de değişir. Bu bakımdan olağan saldırganlar olarak tanımlayabileceğimiz özel bir eğitimi bulunmayan çevrenizdeki insanlar doğal olarak basit bir pin/parola tedbiri ile kontrol altına alınabilirken diğer saldırganlar için çabanızı ve tedbirlerinizi de arttırmanız gerekir.
Her zaman cihazlarınızı elinizde tutma imkanınız olmayabilir. Eğer cihazınızdan riskin yüksek olduğu bir koşulda, mesela bir uluslararası sınırı geçerken, uzak kalma ihtimaliniz var ise cihazınızı yedekleyip tüm verileri sıfırlamak gibi üst bir tedbire başvurabilirsiniz.
### Ekran kilidinde PIN veya parola kullanın - biyometrik kullanmayın
## Ekran kilidinde PIN veya parola kullanın - biyometrik kullanmayın
Bilgisayarlarımızın aksine mobil cihazlarımız neredeyse sürekli açık kalırlar. Bu sebeple tüm diskiniz şifreli bile olsa açık bulunan cihazınıza her isteyen erişebiliyorsa muhtemelen pek de güvende sayılmazsınız. Ekran kilidinizi 4-6 haneli bir PIN olarak belirleyip kabaca 3 ayda bir [Zarola](https://zarola.oyd.org.tr) yöntemi ile değiştirin veya bir parola belirleyip daha uzun aralıklarla değiştirin.
Parmak izi, yüz tanıma gibi biyometrik yetkilendirme sistemleri doğaları gereği güvensizdir. Her ne kadar şirketler bunların aşılamaz olduklarını iddia etseler de çoğu zaman bu tip sistemlere karşı etkili saldırılar yapılmıştır ve en başarılısı [ebeveyninin parmağına uyuduğu sırada telefonunu dokundurup binlerce dolarlık oyun satın alan çocuğun zekasını aşamaz.](https://www.usatoday.com/story/news/nation/2016/12/28/girl-uses-sleeping-moms-thumbprint-pokemon/95907370/) Bu sebeple biyometrik giriş yöntemleri kullanacaksanız bunları ikinci aşama olarak değerlendirip hem PIN/parola hem biyometrik kullanın. Şayet biyometrik verileriniz bir şekilde bir gün çalınırsa yeni bir parmak veya yüz alamayacağınızı unutmayın.
Parmak izi, yüz tanıma gibi biyometrik yetkilendirme sistemleri doğaları gereği güvensizdir. Her ne kadar şirketler bunların aşılamaz olduklarını iddia etseler de çoğu zaman bu tip sistemlere karşı etkili saldırılar yapılmıştır ve en başarılısı [ebeveyninin parmağına uyuduğu sırada telefonunu dokundurup binlerce dolarlık oyun satın alan çocuğun zekasını aşamaz.](https://www.usatoday.com/story/news/nation/2016/12/28/girl-uses-sleeping-moms-thumbprint-pokemon/95907370/) Bu sebeple biyometrik giriş yöntemleri kullanacaksanız bunları ikinci aşama olarak değerlendirip mümkün ise hem PIN/parola hem biyometrik kullanın. Şayet biyometrik verileriniz bir şekilde bir gün çalınırsa yeni bir parmak veya yüz alamayacağınızı unutmayın.
**Yüksek risk taşıdığınızı düşünüyorsanız, cihazınızı size açtıracak kişinin Avrupa İşkencenin Önlenmesi Komitesi'nin kararlarını umursamayacağını asla unutmayın.**
### Ekranınızı saklayın
## Ekranınızı saklayın
En büyük ihlaller en küçük tedbirsizliklerden yaşanabilir. Muhtemelen yüksek bütçeli kırma girişimleri yakınlarımızın telefonlarımızı kurcalamasından daha az olası. Bu sebeple ekran parolanızı veya PIN'inizi girerken ve genel olarak cihazınızı kullanırken telefonunuzun ekranını omzunuzun üstünden bakacak kişilerden sakının. Buna kanıksadığınız güvenlik kameraları da dahildir. Paranoyakça gelebilir ama cihazınızı koruyan en önemli veriyi bu şekilde ortalığa saçmanız muhtemelen her şeyi riske atmanızla eşdeğerdir.
### Kapkaça karşı tedbir alın
## Kapkaça karşı tedbir alın
Her türlü tedbiri almış olabilirsiniz ama bir an vardır ki cihazınız olabildiğince korunaksızdır. Telefonunuzu kullandığınız an! Bu noktada hem cihazınız açık hem de ekran kilidi yok. Pratik olarak o anda telefonu elinde bulunduran herkes neredeyse her işlemi cihazınız ile yapabilir, [bu bir şaka değil](https://www.bbc.com/news/uk-38183819). Haliyle telefonunuzun elinizden kapılması durumunda tedbir almak için [Privatelock](https://f-droid.org/en/packages/com.wesaphzt.privatelock/) kullanabilirsiniz.
### Bildirimlerin kilit ekranında görülmesine izin vermeyin
## Bildirimlerin kilit ekranında görülmesine izin vermeyin
Bankanızdan gelen 2FA kodları, sevdiklerinizden gelen yazışmalar, en güncel dedikodular ve hepsi açıkça cihazınızın kilit ekranında görünüyorsa mahremiyetiniz ile birlikte güvenliğiniz de olduğu gibi çöpe gidebilir. Ayarlarınızdan kilit ekranında görülecekleri sınırlayın.
### Bilmediğiniz cihazlara bağlamayın
## Bilmediğiniz cihazlara bağlamayın
Bu öneri hem tanınmadık Wi-Fi ağlarını hem de artık her yerde bulunan USB şarj çıkışlarını kapsar. Cihazınızı bu bilinmeyen ortamlara maruz bırakmak sizi riske sokabilir. Ya kendi şarj cihazınızı kullanın ya da bu tip çıkışları kullanmak zorundaysanız [USB kondom](https://en.wikipedia.org/wiki/Juice_jacking#Mitigation) kullanın. Ayrıca yeni Android sürümlerinde "Şarj için USB" diye bir seçenek de vardır.
### Kablosuz aygıtlarınızı kullanmıyorsanız kapatın
## Kablosuz aygıtlarınızı kullanmıyorsanız kapatın
Wi-Fi ve Bluetooth gibi teknolojiler kablosuz olarak sizinle ilgili pek çok veriyi ortalığa saçabilirler. Bunun yanı sıra takip edilmeniz için de elverişli bir araç olarak kullanılabilirler. Bu sebeple kullanmadığınız her zaman bu donanımları kapatın.
Wi-Fi ve Bluetooth gibi teknolojiler kablosuz olarak sizinle ilgili pek çok veriyi ortalığa saçabilirler. Bunların arasında en önemlisi cihazınızın kablosuz aygıtlarını tanımlayan MAC adresi gelir. Bu bilgi cihazınızla birlikte sizi de tanımlamakta ve takip edilmeniz için de elverişli bir araç olarak kullanılabilirler. Bu sebeple kullanmadığınız her zaman bu donanımları kapatın. Şayet cihazınız [MAC adresi rastgeleleştirebiliyor](grapheneos.md) ise bu imkanı kullanın.
### Signal kullanın
## Signal kullanın
**Signal** özgür bir anlık yazışma yazılımı olarak telefonunuzla gelen normal yazışmaya güvenli bir alternatif oluşturmaktadır. WhatsApp veya Telegram gibi çalışsa da çok daha güvenlidir.
@ -65,11 +57,11 @@ Neden Signal kullanmalısınız?
Daha fazla bilgi için, [Security Planner / Signal](https://securityplanner.org/#/tool/signal)'e bakın.
### Silence kullanın
## Silence kullanın
**[Silence](https://silence.im/)**, Android için geliştirilmiş bir SMS (kısa mesaj servisi) yazılımıdır. Silence'ı kurduktan sonra telefonunuzun standart SMS programı olarak atarsınız ve tüm SMS'leriniz Silence'e gelir. Normal koşullarda her SMS programı gibi SMS'leriniz gelir ve gider ama Silence kullanan kişilerle anahtar değişimi yaptıktan sonra tamamen uçtan uca şifreli SMS yazışması yapabilirsiniz.
### Fotoğraf çekerken güvenlik
## Fotoğraf çekerken güvenlik
Telefonunuzun kamerası, çektiğiniz her fotoğrafa yüksek olasılıkla hassas çokça veriyi eklemektedir. İnternet'te paylaştığınız bir gönderinin nasıl kullanılacağını bilemeyeceğinizden, fotoğrafların taşıdığı kişisel veriyi paylaşmadan önce silmek iyi bir fikirdir.

@ -1,14 +1,18 @@
### Hangi mobil cihaz benim için uygun?
# Mobil Cihaz Tercihi
Cihazınızı içinde bulunduğunuz duruma göre seçmelisiniz:
* **Yüksek Risk**: Bir devletin veya uzman ajanlık şirketlerinin hedefi olacağınızdan şüpheleniyorsanız.
* **Orta Risk**: Hali hazırda hedef olmadığınız halde bir saldırganın cihazlarınıza fiziksel erişim sağlaması durumunda kolay lokma olmayı tercih etmiyorsanız.
* **Düşük Risk**: Taşınabilir cihazlarınızı hassas veriler için kullanmıyorsanız.
* **Yüksek Risk**: Şayet ulus devletler ve şirketler gibi yüksek bütçeli bir grubun hedefi olduğunuzu veya olabileceğinizi öngörüyorsanız.
* **Orta Risk**: Hali hazırda hedef olmadığınız ve ihtimal görmediğiniz halde bir görece yüksek kabiliyetlere sahip saldırgana karşı kolay lokma olmayı tercih etmiyorsanız.
* **Düşük Risk**: Taşınabilir cihazlarınızı hassas veriler için kullanmıyor veya düşük miktarda veri işliyorsanız.
#### Yüksek risk
## Yüksek risk
Eğer riskiniz yüksek ise, **cep telefonunuzu hassas hiç bir şey için kullanmayın**. Bunun sebebi, tüm telefonların sizi kablosuz telefon ağına (hücresel ağ) bağlayan, "[baseband modem][]" olarak adlandırılan bir donanım içermesidir. Bu modemler özel mülktür ve uzaktan kötüye kullanılabilecek pek çok güvenlik açığı içermektedir. Bir kere aşıldıktan sonra, [baseband modem] iletişiminizi takip etmek ve kişisel verilerinizi elde etmek için kullanılabilir.
Eğer riskiniz yüksek ise, **telefonları hassas hiç bir şey için kullanmamanız tavsiye edilir**. Bunun pek çok sebebi bulunmakta:
1. Sorunların başında tüm telefonların sizi kablosuz telefon ağına (hücresel ağ) bağlayan, "[baseband modem][]" olarak adlandırılan bir donanım içermesi ve bu cihazların doğal olarak bir takip sistemi olmasıdır. Bu modemler özel mülktür ve uzaktan kötüye kullanılabilecek pek çok güvenlik açığı içerme ihtimalini taşımaktadır. Bu açıklar takip edilmenizden, tüm iletişiminizin ve ortamınızın dinlenmesine kadar ilerleyebilir.
2.
[Replicant][] tamamen özgür bir Android dağıtımı olarak sadece belirli cihazlar üzerinde çalışmaktadır. Çalıştığı cihazların temel özelliği [baseband modem]'i işlemciden izole etmenin bir imkanı olmasıdır. [Replicant] aynı zamanda, cihaz üzerindeki, Wi-Fi, Bluetooth, GPS gibi donanımları özgür sürücüleri bulunmadığı için çalıştırmaz. Şayet mobil cihaz kullanmanız gerekiyorsa ve bu cihaz ile önemli veriler işleyecekseniz [Replicant] kurulu bir telefon iyi bir tercih olabilir.

@ -64,3 +64,4 @@ Modern cihazlardaki GSM modem izolasyonunun sıkıntısı ve wifi bulunmayan ala
[Hangi Mobil Cihaz](cihaz_guvenligi/mobil_cihaz_tercih.md)
[Mobil Cihaz Genel Tavsiyeler](cihaz_guvenligi/mobil_cihaz_tavsiyeler.md)

@ -1 +1,67 @@
[Bu bölüme katkı verebilirsiniz](https://git.oyd.org.tr/oyd/guvenlik)
# SSH Erişiminde OTP Kullanımı
[Nextcloud](https://nextcloud.com/) veya [OpenVPN](ag_guvenligi/vpn.md) gibi hizmetleri kişisel kullanımınız için kendiniz barındırıyorsanız veya bir sebepten sunucu yönetimindeyseniz uzak sunucunuzun güvenliği tüm sisteminizin güvenliği anlamına gelmekte.
[SSH güvenliği](ssh.md) cihazınıza uzaktan sistem erişimine tek imkan olduğundan tüm güvenliğin de düğüm noktasını oluşturmakta. SSH kullanımına ilişkin genel tedbirleri aldıktan sonra yetkilendirme bakımından gereklilikleri bir adım daha ileri taşıyarak bir saldırganın sisteminize erişmek için sahip olması gereken kaynakları arttırabilirsiniz. Bu bakımdan SSH anahtarı ve parolanın yanında bir üçüncü faktör olarak [OTP](beseri_guvenlik/2fa.md) kullanmanız mümkün.
OTP gerekliliğini iki şekilde uygulamanız mümkün. Bu SSH kullanımınızı nasıl yönettiğinize bağlı olarak.
1. SSH Anahtarı + parola --> PAM + OTP ile sudo/su yetkilendirmesi
2. SSH Anahtarı + OTP
PAM + OTP ile sudo/su yetkilendirmesi için uzak sunucuda google-authenticator kurulumu yapıp dilediğiniz kullanıcıya PAM üzerinden OTP yetkilendirme zorunluluğu getirebilirsiniz. Yerel bir bilgisayardan farklı olmayan bu işlem için [Google Authenticator ile PAM Rehberimizden](ga_pam.md) yararlanabilirsiniz.
**Buradaki ayarlarda hata yapmanız durumunda sunucuya erişiminizi kaybedebilirsiniz. Çok dikkatli olun**
## SSH girişinde OTP kullanımı
Bu rehberdeki kurulumu takip edebilmek için öncelikle uzak sunucunuzda SSH erişimine sahip olmanız gerekli. Bunun için [SSH güvenliği rehberimizden](ssh.md) yardım alabilirsiniz.
SSH ile sunucuya bağlandıktan sonra aşağıdaki komut ile gerekli paketleri kurun:
Debian: `sudo apt-get install libpam-google-authenticator`
RPM: `sudo yum install libpam-google-authenticator`
Google-authenticator'ü yapılandırmak için aşağıdaki komutu yetkilendirmede giriş yaptığınız kullanıcının hesabından çalıştırın:
`google-authenticator`
Ardından Karşınıza gelecek karekodu [andOTP](beseri_guvenlik/andotp.md) ile tarayıp kodu kullanılabilir hale getirin ve acil durum kodlarını güvenli şekilde saklamak üzere yazdırıp kaldırın.
![alt-text](ga/qrcode.png)
Kalan sorulara evet cevabını verip kurulumu tamamlayın.
## SSH ayarlarının yapılması
SSH girişinde OTP yetkilendirmesi için öncelikle sshd pam modülüne gerekli ayarların girilmesi gerekli. Bunun için dilediğiz bir metin düzenleyci ile veya aşağıdaki şekilde nano ile ilgili dosyayı açın.
`sudo nano /etc/pam.d/sshd`
Ardından açılan dosyanın içinde aşağıdaki şekilde satırı düzenleyin:
```
# PAM configuration for the Secure Shell service
# Standard Un*x authentication.
@include common-auth
auth required pam_google_authenticator.so
```
Bunun ardından aşağıdaki komut ile sshd yapılandırmasına gerekli satırı ekleyin:
`sudo echo ChallengeResponseAuthentication yes >> /etc/ssh/sshd_config`
Son olarak ssh servisini aşağıdaki komut ile yeniden başlatın:
`sudo service ssh restart`
## Yapılandırmanın test edilmesi
**Yukarıdaki ayarlarda bir hata yapmış olmanız durumunda sunuya erişiminizi kaybedebilirsiniz**
Bu sebepten ötürü hali hazırda açık olan ssh erişiminizi açık bırakarak bir başka uçbirimden sunucuya tekrar ssh çekerek OTP kurulumunuzun çalışıp çalışmadığını deneyebilirsiniz.

Loading…
Cancel
Save