Güvenliğin ve kararlılığın ön planda olduğu sistemlerde, root dosya sisteminin değiştirilemez (immutable) olarak yapılandırılması son derece etkili bir yöntemdir. Immutable root filesystem, özellikle saldırı yüzeyini azaltmak, yanlış yapılandırmaları önlemek ve sistem bütünlüğünü korumak için tercih edilir.
Peki, bir Linux sunucuda değiştirilemez kök dosya sistemi nasıl kurulur? Hangi araçlar ve yöntemler kullanılmalıdır?
1. Immutable Filesystem Nedir?
Immutable (değiştirilemez) filesystem, sistem çalışırken kök dosya sistemi üzerinde dosya oluşturma, silme ya da değiştirme işlemlerinin engellendiği bir yapıdır. Özellikle kritik sistem dosyalarının sabit kalmasını sağlar.
2. Kullanım Senaryoları
- Sertifikalı güvenlik ortamları (ör. PCI DSS, ISO 27001)
- IoT cihazları ve gömülü sistemler
- Honeypot sistemleri
- Kritik veri sunucuları (DNS, SMTP, CDN cache vb.)
3. Hazırlık: Gereksinimler
- Bir Linux dağıtımı (Debian, CentOS, Fedora gibi)
- Ayrı
/(root) bölümü olan disk yapılandırması - Root erişimi
- GRUB yapılandırmasına müdahale yetkisi
4. Yöntem 1: overlayfs ile Root’u Sadece Okunabilir Yapma
OverlayFS, üstte yazılabilir (tmpfs gibi) bir katman, altta ise salt okunur root imajı kullanarak sistemi çalıştırmanıza olanak tanır.
Adımlar:
/ro dizinine salt-okunur root imajını mount edin.
/rw dizinine tmpfs mount edin:
mount -t tmpfs tmpfs /rwOverlay’i mount edin:
mount -t overlay overlay -o lowerdir=/ro,upperdir=/rw/upper,workdir=/rw/work /mntchroot veya pivot_root ile yeni kök olarak kullanın (kernel argümanlarına entegre edilebilir).
5. Yöntem 2: Systemd read-only root Özelliği
Systemd tabanlı sistemlerde, root’u salt-okunur yapmak için aşağıdaki parametre eklenebilir:
/etc/fstab örneği:
LABEL=root / ext4 ro 0 1Veya GRUB’a şunu ekleyin:
GRUB_CMDLINE_LINUX="ro"Ardından:
update-grubUyarı: Sistemin başlatılması için bazı dizinlerin (ör. /var, /tmp) yazılabilir olması gerekebilir. Bu nedenle bunlar ayrı bölümlerde olmalıdır.
6. Ekstra Güvenlik: chattr +i
Bazı dosyaların kullanıcı ya da servis tarafından silinmemesi için immutable bayrağı verilebilir:
chattr +i /etc/passwdBu komutla dosya silinemez, düzenlenemez hale gelir.
7. Otomatik Geri Yükleme: OSTree, NixOS, Immutable Distro’lar
Daha ileri seviye senaryolarda aşağıdaki sistemler tercih edilebilir:
- NixOS: Tüm sistem yapılandırması deklaratif ve immutable’dır.
- Fedora Silverblue: Tamamen salt okunur root ile gelir.
- OSTree: Immutable versiyonlanabilir sistem görüntüleri sağlar.
8. Dezavantajlar ve Dikkat Edilmesi Gerekenler
- Güncellemeler manuel işlem gerektirir (salt okunur diski yeniden remount etme gibi).
- Uygulama günlükleri (
/var/log) ayrı olarak yazılabilir kalmalıdır. - Backup ve restore işlemleri öncesi
rwmoda geçilmesi gerekir.
Sonuç
Linux sunucularda immutable root filesystem kullanmak, güvenliği ve sistem kararlılığını önemli ölçüde artırır. OverlayFS gibi araçlarla mevcut sisteminize entegre edebilir veya Fedora Silverblue, NixOS gibi dağıtımlarla bu yapıyı doğrudan kullanabilirsiniz.