Tek Bir Klasör İçin Güvenlik Duvarı İzni (Örnek Senaryo)
Senaryo: Belirli Bir Uygulama İçin Port Açma
Uygulama Bağımsız Güvenlik Yaklaşımı
SELinux ile İzin Verme (Ekstra Güvenlik)
Öneriler
Sonuç
Tek Bir Klasör İçin Güvenlik Duvarı İzni (Örnek Senaryo)
Linux’ta güvenlik duvarı yapılandırmaları genellikle port ve servislere göre ayarlanır. Ancak bazen yalnızca belirli bir uygulamanın ya da dizinde çalışan bir servisin ağ trafiğine izin vermek istenebilir. Bu rehberde örnek bir senaryo anlatıyoruz.
Senaryo: Belirli Bir Uygulama İçin Port Açma
Örneğin /opt/uygulama dizininde çalışan bir web sunucusunun 8080 portunu açmak için:
firewall-cmd --permanent --add-port=8080/tcp firewall-cmd --reload
Uygulama Bağımsız Güvenlik Yaklaşımı
Linux güvenlik duvarı, dosya sistemi tabanlı değil port/protokol tabanlı çalışır. Dolayısıyla doğrudan bir dizine izin vermek mümkün değildir. Bunun yerine:
- Uygulamanın kullandığı portları belirleyip bu portlara izin verirsiniz.
- Uygulamayı SELinux/AppArmor profilleriyle kısıtlayarak güvenliği güçlendirebilirsiniz.
SELinux ile İzin Verme (Ekstra Güvenlik)
SELinux aktif sistemlerde uygulama dizininin ağa erişmesine izin vermek için ek politika tanımları yapılabilir. Örneğin:
semanage port -a -t http_port_t -p tcp 8080
Öneriler
- Hangi portların gerçekten açık olması gerektiğini kontrol edin.
- Uygulamanın çalıştığı kullanıcı hesabının yetkilerini sınırlandırın.
- Gerekiyorsa SELinux/AppArmor profillerini düzenleyerek en az yetki prensibini uygulayın.
Sonuç
Güvenlik duvarı yapılandırmalarında port/protokol temelli izinler verilir. Belirli bir klasör ya da uygulama özelinde izin vermek için ek güvenlik katmanları (SELinux, AppArmor) kullanılmalıdır.
Daha fazla bilgi için Sunucu hizmetleri kategorimize göz atabilirsiniz.
