dns-caveats.xml.tr revision c68aa7f213d409d464eaa6b963afb28678548f4f
<?xml version="1.0" encoding="UTF-8" ?>
<!-- English Revision: 788974:922709 (outdated) -->
<!-- =====================================================
Translated by: Nilgün Belma Bugüner <nilgun belgeler.org>
Reviewed by: Orhan Berent <berent belgeler.org>
========================================================== -->
<!--
Licensed to the Apache Software Foundation (ASF) under one or more
contributor license agreements. See the NOTICE file distributed with
this work for additional information regarding copyright ownership.
The ASF licenses this file to You under the Apache License, Version 2.0
(the "License"); you may not use this file except in compliance with
the License. You may obtain a copy of the License at
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<manualpage metafile="dns-caveats.xml.meta">
<title>Apache ve DNS ile ilgili Konular</title>
<summary>
<p>Bu sayfanın konusu şöyle özetlenebilirdi: Yapılandırma dosyalarınızda
DNS sorguları yapılmasını gerektirecek ayarlamalardan kaçınınız. Eğer
yapılandırma dosyalarınızda DNS sorgusu yapılarak çözümlenebilecek
adresler bulunursa sunucunuz beklenmedik davranışlar (hiç
başlamayabilir) gösterebileceği gibi hizmet reddi veya hizmet
hırsızlığı (bazı kullanıcıların diğerlerine giden sayfaları çalma
olasılığı dahil) saldırılarına açık hale gelebilir.</p>
</summary>
<section id="example">
<title>Basit Bir Örnek</title>
<example>
# Bu yetersiz bir yapılandırma örneğidir, sunucunuzda kullanmayın. <br />
<VirtualHost falan.fesmekan.dom>
<indent>
ServerAdmin filanca@fesmekan.dom <br />
</indent>
</VirtualHost>
</example>
<p>Apache’nin beklendiği gibi işlemesi için her sanal konak için iki
veriye mutlaka ihtiyacı vardır: <directive module="core"
>ServerName</directive> ve sunucunun bağlantı kabul edip hizmet
sunacağı en az bir IP adresi. Yukarıdaki örnekte IP adresi
adresi için bir DNS sorgusu yapmak zorundadır. Eğer sunucu,
yapılandırma dosyasını çözümlediği sırada bir sebeple DNS sunucusuna
erişemezse bu sanal konak <em>yapılandırılmayacak</em> (hApache 1.2
öncesinde sunucu hiç başlatılmazdı) ve bu sanal konağa yapılan
isteklere yanıt verilemeyecektir.</p>
olduğunu varsayarsak yapılandırma şöyle olurdu:</p>
<example>
# Bu yetersiz bir yapılandırma örneğidir, sunucunuzda kullanmayın. <br />
<VirtualHost 192.168.2.1> <br />
<indent>
ServerAdmin filanca@fesmekan.dom <br />
</indent>
</VirtualHost>
</example>
<p>Ancak, bu sefer de bu sanal konağın sunucu ismini öğrenmek için
Apache’nin bir ters DNS sorgusu yapması gerekecektir. Eğer bu sorgu
başarısız olursa kısmi bir yapılandırmaya gidilir (Apache 1.2 öncesinde
sunucu hiç başlatılmazdı). Eğer sanal konak isme dayalı ise sanal konak
kısmen bile yapılandırılmaz. IP’ye dayalı sanal konaklar büyük oranda
çalışır, fakat sunucu ismini içeren tam bir adres üretilmesini
gerektiren bir durumda, sunucu geçerli bir adres üretemez.</p>
<p>Her iki sorunu da çözen yapılandırma şöyle olurdu:</p>
<example>
<VirtualHost 192.168.2.1> <br />
<indent>
ServerName falan.fesmekan.dom <br />
ServerAdmin filanca@fesmekan.dom <br />
</indent>
</VirtualHost>
</example>
</section>
<section id="denial">
<title>Hizmet Reddi</title>
<p>Hizmet reddinin meydana gelebilecek (en az) iki türü vardır.
Apache’nin 1.2 öncesi bir sürümünü kullanıyorsanız sanal
konaklarınızdan herhangi biri için yukarıdaki iki sorgudan biri
başarısız olursa sunucunuzu asla başlatamazsınız. Bazı durumlarda, DNS
sorgularından alınacak yanıtlar sizin denetiminizde olmayabilir;
silerek sunucunuzun hiç başlatılamamasına (1.2 öncesi) sebep
olabilirler.</p>
<p>Diğer türü biraz daha sinsidir. Şöyle bir yapılandırmanız olsun:</p>
<example>
<VirtualHost falan.fesmekan.dom><br />
<indent>
ServerAdmin filanca@fesmekan.dom <br />
</indent>
</VirtualHost><br />
<br />
<VirtualHost misal.mesela.dom><br />
<indent>
ServerAdmin falanca@mesela.dom<br />
</indent>
</VirtualHost>
</example>
getirirsiniz. Bunu gerçekleştirmek için DNS kaydında
yeterlidir. Kendi DNS’lerine sahip olduklarından dolayı
onları alıkoyamazsınız.</p>
<p>192.168.2.1’e gelen isteklerin hepsine
sunulacaktır. Apache’nin gelen istekleri sunduğu sanal konaklarla nasıl
eşleştirdiğini bilirseniz bunun sebebini kolayca anlarsınız. Bunu
kabataslak açıklayan <a href="vhosts/details.html">bir belgemiz
mevcuttur</a>.</p>
</section>
<section id="main">
<title>"Ana Sunucu" Adresi</title>
desteği</a>ne ek olarak, Apache’nin, <program>httpd</program>’nin
çalıştığı makinenin IP adres(ler)ini de bilmeye ihtiyacı vardır. Bu
adresi elde etmek için sunucu, ya sunucu genelinde geçerli <directive
module="core">ServerName</directive> yönergesine bakar ya da bir C
işlevi olan <code>gethostname</code>’i kullanır (işlev, komut
isteminden <code>hostname</code> komutuna dönen yanıtın aynısını
döndürür) ve ardından bu adresle ilgili olarak bir DNS sorgusu yapar.
Bu sorgudan kaçınmanın henüz bir yolu yoktur.</p>
<p>Eğer bu sorgunun (DNS sunucusunun çökmüş olması gibi bir nedenle)
başarısız olabileceğinden korkuyorsanız, makine ismini ve IP adresini
olarak açılabilmesi için zaten bu kaydı yapmış olmanız gerekir).
Kullandığınız işletim sistemine bağlı olarak bu kaydın
dosyasında bulunması gerekebilir.</p>
<p>Herhangi bir nedenle sunucunuz bir DNS sorgusu yapmıyorsa veya
yapmamalıysa, Apache’yi <code>HOSTRESORDER</code> ortam değişkenine
"<code>local</code>" değerini atadıktan sonra çalıştırabilirsiniz. Bu
tamamen işletim sistemine ve kullandığınız çözümleyici kütüphanelere
bağlıdır. Ayrıca, ortamı denetlemek için <module>mod_env</module>
kullanmıyorsanız, CGI’ler de bundan etkilenir. En iyisi işletim
sisteminizin SSS belgelerini ve kılavuz sayfalarını okumaktır.</p>
</section>
<section id="tips">
<title>Bu Sorunlardan Kaçınmak için İpuçları</title>
<ul>
<li><directive module="core">VirtualHost</directive> yönergelerinizde
IP adresleri kullanınız.</li>
<li><directive module="mpm_common">Listen</directive> yönergelerinizde
IP adresleri kullanınız.</li>
<li>Tüm sanal konakların ayrı birer <directive module="core"
>ServerName</directive> yönergesi olsun.</li>
<li>Hiçbir sayfa sunulmayan bir <code><VirtualHost
_default_:*></code> sanal konağınız olsun.</li>
</ul>
</section>
<section id="appendix">
<title>Ek: Ufuk Turu</title>
<p>DNS ile ilgili durum hiç de arzu edildiği gibi değildir. Apache 1.2
için, DNS sorguları başarısız olsa bile sunucunun başlatılabilmesini
sağlamaya çalıştık, fakat belki yapabildiğimizden daha da iyisi
mümkündür. Günümüz Genel Ağ’ında IP adresleri sık sık değiştiğinden
yapılandırma dosyasına doğrudan IP adresini yazma gerekliliği asla arzu
edilen davranış değildir.</p>
<p>Yukarıda nasıl yapıldığı açıklanan hizmet hırsızlığı saldırısına karşı
önlem olarak, normal sorgudan dönen IP adresine bir ters DNS sorgusu
yapıp bu iki sonucu karşılaştırmak ve eşleşmeme durumunda sanal konağı
iptal etmek bir çözüm olabilir. Fakat bunun mümkün olabilmesi için
uygun bir ters DNS kaydına ihtiyaç vardır. (FTP sunucuları ve TCP
sarmalayıcılar tarafından yapılan çifte ters DNS sorgusu kullanımından
dolayı çoğu ağ yöneticisi bu konuda zaten bilgi sahibidir.)</p>
<p>Her halükarda, IP adreslerinin kullanılmaması nedeniyle yapılan DNS
sorgularının başarısız olması durumunda sanal konaklı bir sunucuyu
düzgün bir şekilde başlatmak olası görünmektedir. Yapılandırmayı kısmen
iptal etmek gibi kısmi çözümler, sunucudan beklentinizin ne olduğuna
bağlı olarak sunucuyu hiç başlatmamaktan daha iyi olabilir.</p>
işlem yapabilen tarayıcılar ve vekiller IP’ye dayalı sanal konak
kullanımını tamamen ortadan kaldırmanın mümkün olabileceğini
göstermektedir. Bu durumda yapılandırmanın çözümlenmesi aşamasında DNS
sorgusu yapma gereği kalmayacaktır. Fakat 1997 Mart’ından beri önemli
sunucular üzerinde bunların yeterince geniş bir uygulama alanı
bulmadığı görülmektedir.</p>
</section>
</manualpage>