Pardus Linux’ta /etc/security/ Dizini Sistem Güvenliği ve Kullanıcı Politikalarının Merkezi

Pardus (Debian tabanlı) sistemlerde /etc/security/, kullanıcıların kaynak kullanım sınırları, parola politikaları, oturum/erişim kısıtları gibi kritik güvenlik ayarlarının tutulduğu dizindir. Bu ayarlar, PAM (Pluggable Authentication Modules) altyapısı üzerinden uygulanır.

🎯 Özetle: /etc/security/ → Kim, ne kadar kaynak kullanabilir? Ne kadar sık/karmaşık parola gerekir? Kim nereden/ nasıl oturum açabilir?

1) PAM ile İlişki (Kısa Arka Plan)

PAM yapılandırmaları genelde /etc/pam.d/ altındadır; davranış ve politika dosyaları ise /etc/security/ içindedir.
Örn: pam_limits.so modülü, /etc/security/limits.conf ve limits.d/ içeriğini uygular.

2) `/etc/security/` Altındaki Temel Dosyalar

2.1 `limits.conf` – Kullanıcı Kaynak Limitleri

Kullanıcı/grupların açabileceği süreç sayısı, dosya tanımlayıcıları, bellek, CPU zamanı gibi limitleri tanımlar.

Söz dizimi:


<domain> <type> <item> <value>

domain: kullanıcı adı (ogrenci), grup (@ogretmen), *
type: soft (kullanıcı artırabilir), hard (kesin sınır)
item: nofile, nproc, memlock, cpu vb.

Okul Senaryosu (ETAP/İstemci):


@ogrenci hard nproc 300
@ogrenci hard nofile 1024

@ogretmen soft nofile 4096
@ogretmen hard nofile 8192

✔️ Amaç: Öğrencilerin sistemi kilitlemesini önlemek, öğretmene daha esnek alan tanımak.

2.2 `limits.d/` – Parçalı Limit Dosyaları

limits.conf yerine paket/rol bazlı dosyalarla yönetim önerilir.

Örnek: /etc/security/limits.d/99-okul.conf


@ogrenci hard nproc 300
@ogrenci hard nofile 1024
@ogretmen hard nofile 8192

💡 İyi Uygulama: Büyük ortamlarda (Samba AD + LiderAhenk) merkezi ve okunur yapı.

2.3 `pwquality.conf` – Parola Kalitesi Politikası

Parolaların uzunluk, karmaşıklık, tekrar kurallarını belirler.
(Pardus’ta pam_pwquality.so kullanılır.)

Örnek Güvenli Politika:


minlen = 10
minclass = 3
retry = 3
maxrepeat = 3
dictcheck = 1

Eğitim Kurumu İçin Denge:


minlen = 8
minclass = 2
retry = 5

🎯 Hedef: Aşırı zorlamadan güvenliği yükseltmek.

2.4 `access.conf` – Oturum Açma Kontrolü

Kimlerin hangi kullanıcı/terminal/host üzerinden giriş yapabileceğini tanımlar.

Söz dizimi:


permission : users : origins

Örnek:


- : ogrenci : ALL
+ : ogretmen : LOCAL

❗ Not: Etkin olması için ilgili PAM dosyasında pam_access.so çağrılmalıdır.

2.5 `namespace.conf` – Kullanıcı İzolasyonu (İleri Seviye)

Kullanıcıların izole dosya alanları (namespace) ile çalışmasını sağlar.
Genelde masaüstü/ETAP için kapalı tutulur; kiosk/özel güvenlik gereksinimlerinde açılabilir.

2.6 `time.conf` – Zamana Bağlı Erişim (Opsiyonel)

Belirli kullanıcıların gün/saat bazında oturum açmasını sınırlar.

Örnek:


login;*;ogrenci;Wk0800-1600

🕒 Kullanım: Ders saatleri dışında öğrenci girişini kısıtlama.

3) PAM Tarafında Etkinleştirme Kontrolü

Ayarların çalışması için ilgili PAM servislerinde modüller çağrılmalıdır:

limits: /etc/pam.d/common-session


session required pam_limits.so

pwquality: /etc/pam.d/common-password


password requisite pam_pwquality.so retry=3

access: ilgili servis dosyasında


account required pam_access.so

4) Samba AD / LiderAhenk ile Birlikte Kullanım

Domain grupları (@domain^ogrenci) limits/access dosyalarında kullanılabilir.
LiderAhenk ile merkezi politika, istemcide yerel enforcement sağlanır.
ETAP tahtalarda öğrenci profilleri için sıkı, öğretmen profilleri için esnek limitler önerilir.

5) Yaygın Hatalar & İpuçları

❌ Değişiklikten sonra oturumu kapatmadan test etmek
❌ limits.conf + limits.d/ çakışması
✔️ ulimit -a ile doğrulama
✔️ Testi öğrenci hesabıyla yapma

6) Özet Tablo

Dosya	Amaç
`limits.conf`	Kaynak kullanım sınırları
`limits.d/`	Modüler limit yönetimi
`pwquality.conf`	Parola karmaşıklığı
`access.conf`	Oturum erişim kontrolü
`namespace.conf`	Kullanıcı izolasyonu
`time.conf`	Zamana bağlı erişim

Sonuç

/etc/security/ dizini, Pardus sistemlerde güvenlik, performans ve disiplinin kesişim noktasıdır.
Özellikle okul, ETAP, Samba AD ve LiderAhenk kullanılan ortamlarda doğru yapılandırma;
🔒 güvenlik, 🚀 stabilite ve 🧑‍🏫 kullanıcı deneyimini birlikte iyileştirir.

1) TSOMTAL hazır `limits.d` şablonu

Dosya: `/etc/security/limits.d/99-tsomtal-etap23.conf`

Bu dosya, tüm limitleri tek yerden yönetmenizi sağlar.


# TSOMTAL - ETAP 23 Politika Paketi (Limits)
# Yerel gruplar:  ogrenci, ogretmen
# Domain grupları için örnekler aşağıda ayrıca var.

# --- GENEL GÜVENLİ TABAN (herkes) ---
*       hard    core        0
*       hard    fsize       1048576     # 1 GB tek dosya üst limit (isteğe göre arttır/0 yapma)
*       hard    nofile      8192

# --- ÖĞRENCİ (daha sıkı) ---
@ogrenci        soft    nproc       200
@ogrenci        hard    nproc       300
@ogrenci        soft    nofile      1024
@ogrenci        hard    nofile      2048
@ogrenci        hard    nice        10

# --- ÖĞRETMEN (daha esnek) ---
@ogretmen       soft    nproc       800
@ogretmen       hard    nproc       1200
@ogretmen       soft    nofile      4096
@ogretmen       hard    nofile      16384
@ogretmen       hard    nice        0


# ---------- Samba AD / Domain grup örnekleri ----------
# Not 1: Domain grubu yazımı ortama göre değişebilir.
# - winbind kullanıyorsanız tipik:  @DOMAIN\ogrenci  (kaçış gerekebilir)
# - sssd/ad kullanıyorsanız:        @ogrenci@tsomtal.com  veya @ogrenci
#
# Aşağıdaki satırları kendi sisteminizde "getent group" çıktısına göre uyarlayın:

#@TSOMTAL\\ogrenci   soft    nproc   200
#@TSOMTAL\\ogrenci   hard    nproc   300
#@TSOMTAL\\ogretmen  soft    nofile  4096
#@TSOMTAL\\ogretmen  hard    nofile  16384

Hızlı kurulum


sudo nano /etc/security/limits.d/99-tsomtal-etap23.conf

Uygulanıyor mu? (Oturum yenilemesi gerekir)

Kullanıcı çıkış-giriş yapsın (veya tahta reboot).
Kontrol:


ulimit -a
ulimit -n   # nofile
ulimit -u   # nproc

Kritik not (olmazsa olmaz)

pam_limits aktif olmalı:

Dosya: /etc/pam.d/common-session içinde şu satır bulunmalı:


session required pam_limits.so

Yoksa ekleyin:


grep -n "pam_limits.so" /etc/pam.d/common-session || echo "session required pam_limits.so" | sudo tee -a /etc/pam.d/common-session

2) TSOMTAL hazır `pwquality.conf` şablonu (parola kalitesi)

Dosya: `/etc/security/pwquality.conf`

Öğretmen hesabını yormayan ama “123456 / adsoyad” gibi parolaları engelleyen dengeli politika.


# TSOMTAL - Parola Kalitesi (ETAP 23 için dengeli)
# pam_pwquality.so tarafından kullanılır.

minlen = 10          # Minimum uzunluk
minclass = 3         # 3 farklı sınıf: büyük/küçük/rakam/özel
dcredit = -1         # En az 1 rakam
ucredit = -1         # En az 1 büyük harf
lcredit = 0          # küçük harf şartını minclass zaten çoğu kez sağlar
ocredit = 0          # özel karakter şart değil (istersen -1 yap)
retry = 3

maxrepeat = 3        # AAAA1111 gibi tekrarı sınırla
maxsequence = 4      # 12345 gibi ardışıklığı kısıtla
dictcheck = 1        # sözlük kontrolü (paket varsa)
usercheck = 1        # kullanıcı adını içermesin
enforcing = 1

PAM tarafı (parola değiştirirken devreye girmesi için)

Dosya: /etc/pam.d/common-password içinde şu satır benzeri olmalı:


password requisite pam_pwquality.so retry=3

Kontrol:


grep -n "pam_pwquality.so" /etc/pam.d/common-password

Yoksa (genelde vardır), ekleme gerekir; ancak eklerken dosyanın sırasını bozmak istenmez. En güvenlisi: satırı mevcut yapıya göre uygun yere koymak.

Test


sudo passwd <kullanici_adi>

Zayıf parola denediğinizde reddetmesi gerekir.

3) ETAP 23 “öğrenci/öğretmen politika paketi” önerilen standartlar

Öğrenci (sıkı):
- nproc 300 hard (chrome/edge açıp sistemi şişirmeyi engeller)
- nofile 2048 hard (dosya handle şişirmeyi engeller)
Öğretmen (esnek):
- nofile 16384 hard (tarayıcı + EBA + pdf + ekran paylaşımı vs. rahat)
- nproc 1200 hard (normal kullanımda sorun çıkarmaz)

Eğer tahtalarda sık kullanılan uygulamalar çok sekme açıyorsa ve öğretmenlerde sorun görürseniz, öğretmen nofile hard değerini 32768’e çıkarabilirsiniz.

4) İsteğe bağlı: Yerel grup isimleri yoksa oluşturma

Eğer TSOMTAL istemcilerde yerel grup kullanacaksanız:


sudo groupadd -f ogrenci
sudo groupadd -f ogretmen

Bu Blogda Ara

Bilişim Teknolojileri