Linux Sunucu’da Kullanıcı Davranış Modelleme ile Otomatik Erişim İptali

yazar

Linux sunucuların güvenliği yalnızca kullanıcı adı ve şifre denetimi ile sınırlı değildir. Özellikle kritik sistemlerde, sistem yöneticileri kullanıcı davranışlarını sürekli izleyerek anormal aktiviteleri tespit etmeli ve buna göre otomatik müdahalelerde bulunmalıdır. Bu kapsamda kullanıcı davranış modelleme (User Behavior Modeling) yaklaşımı öne çıkar.

1. Davranış Modelleme Nedir?

Kullanıcı davranış modelleme, bir kullanıcının tipik hareketlerini (komut sıklığı, IP adresi, erişim zamanı, klasörler arası gezinme vb.) analiz ederek bir “normal davranış profili” çıkarma sürecidir. Bu profil dışında kalan davranışlar “anormal” olarak sınıflandırılır ve güvenlik riski olarak değerlendirilir.

2. Linux Ortamında Davranış Takibi Nasıl Yapılır?

Aşağıdaki araçlar bu tür analizler için yaygın olarak kullanılır:

Auditd (Linux Audit Daemon):

Kullanıcının sistemde yaptığı tüm kritik işlemleri (dosya açma, komut çalıştırma, servis başlatma vb.) log’lar.

sudo apt install auditd

Psacct / Acct:

Kullanıcıların çalıştırdığı komutları ve sistem kaynaklarını takip eder.

sudo apt install acct

Wazuh:

Elastic Stack (ELK) ile entegre olarak çalışan gelişmiş bir güvenlik izleme çözümüdür. Anomalileri algılayabilir.

3. Otomatik Anomali Tespiti ve Erişim İptali

Kullanıcı davranışı anormal bulunduğunda erişimin otomatik iptal edilmesi için aşağıdaki yapı kurulabilir:

a) Log Verilerinin Toplanması ve Analizi:

  • Tüm kullanıcı aktiviteleri /var/log/secure, audit.log vb. loglardan alınır.
  • Belirli eşik değerlerinin dışında kalan hareketler (örneğin; root yetkisiyle ilk defa gece 03:00’te login olmak) anomali kabul edilir.

b) Basit Shell Script ile Otomasyon:

#!/bin/bash
user="kullaniciadi"
log="/var/log/auth.log"

if grep -q "$user" $log | grep "03:00"; then
    usermod -L $user
    echo "$user hesabı anormal saat erişimi nedeniyle kilitlendi" | mail -s "Erişim Engeli" admin@example.com
fi

c) Gelişmiş Yöntem: Makine Öğrenmesi

Python ile çalışan bir sistem, geçmiş loglara göre model oluşturup gerçek zamanlı olarak karar verebilir. Örnek kütüphaneler:

  • scikit-learn
  • pandas
  • pyAudit

4. Pratik Senaryo

Bir Linux sunucuda, normalde yalnızca mesai saatlerinde erişim yapan analizci adlı bir kullanıcı, gece 02:30’da sisteme giriş yapıyor. Sistem, bu davranışı geçmiş kayıtlarla eşleştiriyor ve uygunsuz buluyor. Sonrasında:

  • Giriş oturumu sonlandırılır,
  • Kullanıcı hesabı kilitlenir (usermod -L analizci)
  • Sistem yöneticisine e-posta ile bildirim gönderilir.

5. Faydalar

  • Proaktif Güvenlik: Saldırılar gerçekleşmeden engellenebilir.
  • Denetlenebilirlik: Hangi kullanıcı ne zaman neden erişim kaybetti, şeffaf şekilde kayıt altına alınır.
  • Uyumluluk: KVKK, ISO 27001 gibi standartlar çerçevesinde kullanıcı takibi yapılabilir.

Vps.com.tr