================================================================================
        PARDUS 25.1 (YIRMIBES) - DETAYLI GÜVENLİK DENETİM RAPORU v1.1
================================================================================
Tarih       : 18 Haziran 2026
Sistem      : Pardus GNU/Linux 25.1 (yirmibes)
Kernel      : 6.12.90+deb13.1-amd64 (Debian 6.12.90-2)
Mimari      : x86-64
Sanallaştırma: Oracle VirtualBox
Kullanıcı   : pardus (UID=1000, sudo yetkili)
Kurulu Paket: 1.947
================================================================================


==============================================================================
[1] ÇEKİRDEK (KERNEL) GÜVENLİK AÇIKLARI
==============================================================================

[KRİTİK] 1.1 - Çekirdek Komut Satırında Güvenlik Modülü EKSİK
   - Mevcut: "ro quiet splash"
   - Olması Gereken: "apparmor=1 security=apparmor" veya "selinux=1"
   - Etki: AppArmor profilleri var ancak HİÇBİRİ yüklenmiyor.
     Tüm süreçler "unconfined" (korumasız) çalışıyor.
   - /sys/kernel/security/apparmor/enabled -> AppArmor not enabled
   - /proc/1/attr/current -> "unconfined"

[YÜKSEK] 1.2 - AppArmor Servisi Çalışıyor Ancak Pasif
   - apparmor.service: active (exited) - başarılı görünüyor
   - Ancak çekirdek parametresi eksik olduğu için HİÇBİR kural uygulanmıyor
   - 130+ profil dosyası (/etc/apparmor.d/) mevcut ama işe yaramıyor
   - Düzeltme: /etc/default/grub'a "apparmor=1 security=apparmor" eklenmeli,
     update-grub çalıştırılmalı ve yeniden başlatılmalı

[YÜKSEK] 1.3 - kptr_restrict = 0 (KERNEL POINTER'LARI AÇIK)
   - Tüm kullanıcılar çekirdek bellek adreslerini görebilir
   - ASLR'yi by-pass etmeye yardımcı olur
   - Öneri: sysctl -w kernel.kptr_restrict=2 (ve en az 1)

[YÜKSEK] 1.4 - ptrace_scope = 0 (SÜREÇLERARASI İZLEME AÇIK)
   - HERHANGİ bir süreç, diğer HERHANGİ bir süreci ptrace ile izleyebilir
   - Bu, kullanıcı düzeyinde credential çalmayı mümkün kılar
   - Öneri: sysctl -w kernel.yama.ptrace_scope=1 (veya /etc/sysctl.d/)

[YÜKSEK] 1.5 - rp_filter = 0 (IP SPOOFING KORUMASI KAPALI)
   - net.ipv4.conf.all.rp_filter = 0 (TÜM arayüzlerde ters yol filtreleme KAPALI)
   - net.ipv4.conf.enp0s3.rp_filter = 2 (loose) ancak "all = 0" geçersiz kılıyor
   - IP spoofing saldırılarına karşı savunmasız
   - Öneri: /etc/sysctl.d/99-hardening.conf dosyasına eklenmeli

[ORTA] 1.6 - Network DoS Koruması Eksik
   - net.ipv4.tcp_rfc1337 = 0 (TCP TIME-WAIT assassination koruması KAPALI)
   - net.ipv4.conf.all.log_martians = 0 (şüpheli paketler loglanmıyor)
   - net.ipv4.conf.all.accept_redirects = 1 (ICMP yönlendirme kabul EDİLİYOR)
   - net.ipv4.conf.all.send_redirects = 1 (ICMP yönlendirme GÖNDERİLİYOR)
   - net.ipv6.conf.all.accept_redirects = 1 (IPv6 yönlendirme kabul EDİLİYOR)

[DÜŞÜK] 1.7 - kexec Yüklemeye İzin Veriliyor
   - kernel.kexec_load_disabled = 0
   - Çekirdek değişikliği yapılmasına izin verir (yüksek ayrıcalık gerektirir)

[DÜŞÜK] 1.8 - kallsyms Tamamen Açık
   - CONFIG_KALLSYMS_ALL=y (çekirdek sembol tablosu açık)
   - Exploit geliştirmeyi kolaylaştırır

[DÜŞÜK] 1.9 - /dev/mem Erişimi Açık
   - CONFIG_DEVMEM=y (doğrudan fiziksel bellek erişimi mümkün)


==============================================================================
[2] AĞ GÜVENLİK AÇIKLARI
==============================================================================

[KRİTİK] 2.1 - Güvenlik Duvarı (Firewall) TAMAMEN EKSİK
   - UFW: KURULU DEĞİL
   - iptables: HİÇBİR KURAL YOK (tüm gelen/giden trafik izinli)
   - nftables: KURULU DEĞİL
   - hosts.allow: YAPILANDIRILMAMIŞ
   - hosts.deny: YAPILANDIRILMAMIŞ
   - hosts.allow/hosts.deny'de "ALL: PARANOID" bile etkin değil

[ORTA] 2.2 - Avahi/mDNS Servisi Gereksiz Çalışıyor
   - avahi-daemon.service aktif ve çalışıyor
   - UDP 5353'te yayın dinliyor (tüm arayüzlerde)
   - Sıfır yapılandırma ağı için, genelde masaüstünde gereksiz
   - Bilgi sızıntısına ve servis reddi saldırılarına açık olabilir

[DÜŞÜK] 2.3 - CUPS Yazdırma Servisi
   - Yalnızca localhost:631'de dinliyor (güvenli)
   - Ağ yazıcı keşfi için cups-browsed çalışıyor

[DÜŞÜK] 2.4 - SSH Sunucusu Kurulu Değil (güvenli)
   - Sadece SSH istemcisi mevcut, sunucu yok
   - Uzak erişim gerektiğinde kurulmalı

[ORTA] 2.5 - APT HTTP Kullanıyor (HTTPS DEĞİL)
   - Tüm depolar HTTP üzerinden erişiliyor
   - MITM saldırılarına teorik olarak açık (imzalı paketler ile korunuyor olsa da)
   - Pardus güvenlik deposu: http://depo.pardus.org.tr/guvenlik

[ORTA] 2.6 - SSH İstemci Yapılandırması Güvensiz
   - /etc/ssh/ssh_config.d/20-systemd-ssh-proxy.conf:
     - StrictHostKeyChecking no (anahtar doğrulaması YOK)
     - UserKnownHostsFile /dev/null (bilinen anahtarlar KAYDEDİLMİYOR)
   - Bu, machine/, unix/, vsock/ bağlantılarında MITM'ye izin verir

[ORTA] 2.7 - NetworkManager Dış Ağ Bağlantıları
   - 10.0.2.0/24 NAT ağında (VirtualBox)
   - DNS: DHCP üzerinden alınıyor
   - IPv6 etkin (fd17:625c:f037:2::/64 global IPv6 adresi mevcut)


==============================================================================
[3] KULLANICI VE ERİŞİM YÖNETİMİ AÇIKLARI
==============================================================================

[KRİTİK] 3.1 - PAM nullok Etkin (BOŞ ŞİFREYE İZİN)
   - /etc/pam.d/common-auth: "auth pam_unix.so nullok"
   - nullok: boş şifre ile girişe izin verir
   - Kaldırılmalı: "auth pam_unix.so" olarak değiştirilmeli

[KRİTİK] 3.2 - Şifre Politikası TAMAMEN EKSİK
   - PASS_MAX_DAYS = 99999 (şifreler asla süresi dolmaz)
   - PASS_MIN_DAYS = 0 (şifre hemen değiştirilebilir)
   - /etc/security/pwquality.conf: TÜMÜ YORUM SATIRI (hiçbir kural yok)
   - /etc/security/pwhistory.conf: TÜMÜ YORUM SATIRI (şifre geçmişi YOK)
   - /etc/security/faillock.conf: TÜMÜ YORUM SATIRI (hesap kilidi YOK)
   - Şifre: minimum uzunluk, karmaşıklık, süre, geçmiş kontrolü YOK

[ORTA] 3.3 - /etc/shadow Şifre Hash'i
   - Şifre hash'leri /etc/shadow'da saklanıyor (standart)
   - Yescrypt algoritması kullanılıyor (güvenli)
   - /etc/shadow izinleri: rw-r----- (root:shadow) - GÜVENLİ

[ORTA] 3.4 - GNOME Keyring Hataları
   - Sistem loglarında gnome-keyring başlatılamama hataları:
     - pkcs11, secrets, ssh bileşenleri FAILED
   - Kullanıcı oturumunda kilitlenme/sorun potansiyeli


==============================================================================
[4] POLKIT / YETKİLENDİRME AÇIKLARI
==============================================================================

[YÜKSEK] 4.1 - Yetkilendirmesiz Polkit Eylemleri (allow_any=yes)
   Aşağıdaki eylemler için HİÇBİR yetkilendirme GEREKMİYOR:

   - org.freedesktop.accounts.change-own-user-data
     (kullanıcı kendi verilerini değiştirebilir)
   - org.freedesktop.accounts.change-own-password
     (kullanıcı kendi şifresini sorgusuz değiştirebilir)

   - tr.org.pardus.pkexec.pardus-update-aptupdateaction
     (herkes "apt update" çalıştırabilir)
   - tr.org.pardus.pkexec.pardus-update-systemsettingswrite
     (herkes sistem ayarlarını değiştirebilir)

   - org.freedesktop.login1.inhibit-delay-shutdown
   - org.freedesktop.login1.inhibit-delay-sleep
   - org.freedesktop.login1.inhibit-block-idle
     (kullanıcı kapanma/uyku engelleyebilir)

   - com.endlessm.ParentalControls.* (birçok eylem)
     (ebeveyn kontrol ayarları sorgusuz okunabilir/değiştirilebilir)

[ORTA] 4.2 - Polkit Oturum Önbellekleme (auth_admin_keep)
   - auth_admin_keep: kimlik doğrulama bir kez yapılır, oturum boyunca geçerli
   - 30+ eylem bu modu kullanıyor (kullanışlı ancak riskli)
   - Örnek: paket yükleme, sistem güncelleme, disk yönetimi
   - Oturum açıkken yetkisiz kullanım riski

[DÜŞÜK] 4.3 - DBus Sistem Soketi
   - /run/dbus/system_bus_socket: srwxrwxrwx (world-writable - standart)


==============================================================================
[5] DOSYA SİSTEMİ GÜVENLİK AÇIKLARI
==============================================================================

[YÜKSEK] 5.1 - /proc/1/attr/ Güvenlik Dosyaları World-Writable
   - /proc/1/attr/current: rw-rw-rw- (HERKES YAZABİLİR)
   - /proc/1/attr/exec: rw-rw-rw- (HERKES YAZABİLİR)
   - /proc/1/attr/fscreate: rw-rw-rw-
   - /proc/1/attr/keycreate: rw-rw-rw-
   - /proc/1/attr/sockcreate: rw-rw-rw-
   - Bu dosyalar process 1'in güvenlik bağlamını değiştirmek için kullanılabilir

[YÜKSEK] 5.2 - /dev/shm noexec EKSİK
   - /dev/shm: tmpfs (rw,nosuid,nodev) - noexec YOK
   - Paylaşılan bellekten kod çalıştırılmasına izin verir
   - Exploitler ve zararlı yazılımlar tarafından sıkça kullanılır
   - Düzeltme: /etc/fstab'a "tmpfs /dev/shm tmpfs defaults,nosuid,nodev,noexec 0 0"

[ORTA] 5.3 - SUID/SGID Binary'ler
   22 adet SUID/SGID dosyası tespit edildi, tümü standart:
   - sudo, su, passwd, chsh, chfn, gpasswd, newgrp, mount, umount
   - pkexec, fusermount3, ntfs-3g, pppd, ssh-keysign
   - crontab, expiry, chage, unix_chkpwd, ssh-agent
   - dotlockfile, dbus-daemon-launch-helper, Xorg.wrap
   - camel-lock-helper-1.2, polkit-agent-helper-1
   - Özellikle ntfs-3g, pkexec/polkit son dönemde CVE almıştır

[ORTA] 5.4 - /tmp noexec EKSİK
   - /tmp: tmpfs (rw,nosuid,nodev,size=5.5G) - noexec YOK
   - Geçici dizinden kod çalıştırılmasına izin verir
   - Düzeltme: /etc/fstab'a noexec eklenmeli (bazı paketler çalışmayabilir)

[ORTA] 5.5 - /var/log/wtmp World-Readable
   - wtmp: rw-rw-r-- (tüm kullanıcılar oturum geçmişini görebilir)
   - Bilgi sızıntısı (oturum açma zamanları, süreleri)

[ORTA] 5.6 - /dev/shm'de World-Writable LTTng Dosyası
   - /dev/shm/lttng-ust-wait-8: rw-rw-rw- (Debian-gdm kullanıcısına ait)
   - LTTng izleme dosyası herkes tarafından yazılabilir
   - /dev/shm'deki diğer iz dosyaları da aynı kullanıcıya ait

[DÜŞÜK] 5.7 - /etc/apt/trusted.gpg.d/ Eski Debian Anahtarları
   - Bookworm, Bullseye gibi eski Debian sürümlerinin GPG anahtarları mevcut
   - Bunlar gereksiz yere güven zincirini genişletiyor
   - Yalnızca Pardus ve mevcut Debian sürüm anahtarları tutulmalı

[DÜŞÜK] 5.8 - Firefox Profil Dizini
   - /home/pardus/.mozilla/firefox/ - şifreler, çerezler, form geçmişi içerir
   - cookies.sqlite, formhistory.sqlite, storage/ (chatgpt, google, manus)
   - Kullanıcı parolaları Firefox'a kaydedilmiş olabilir (logins.json kontrolü)
   - Firefox profil dizini herkese açık değil (drwx------) - GÜVENLİ

[DÜŞÜK] 5.9 - SSH Anahtarı Yok
   - /home/pardus/.ssh/ dizini mevcut DEĞİL
   - GPG anahtarı da mevcut değil (pubring.kbx: 32 byte)


==============================================================================
[6] GÜVENLİK ARAÇLARI VE İZLEME EKSİKLİKLERİ
==============================================================================

[KRİTİK] 6.1 - Güvenlik Araçları KURULU DEĞİL
   - lynis (güvenlik denetimi): KURULU DEĞİL
   - rkhunter (rootkit tespiti): KURULU DEĞİL
   - chkrootkit (rootkit tespiti): KURULU DEĞİL
   - clamav (antivirüs): KURULU DEĞİL
   - aide/tripwire (dosya bütünlüğü): KURULU DEĞİL
   - fail2ban (brute-force koruması): KURULU DEĞİL
   - snort/suricata (IDS): KURULU DEĞİL
   - needrestart: KURULU DEĞİL
   - debsums: KURULU DEĞİL
   - auditd: KURULU DEĞİL

[ORTA] 6.2 - Güncellenmemiş Paketler
   - 64 paket güncellenmeyi bekliyor:
     - apache2-bin (2.4.67-1~deb13u2 -> 2.4.67-1~deb13u3)
     - firefox-esr (140.11.0esr -> 140.12.0esr)
     - libreoffice (25.2.3-2+deb13u4 -> 25.2.3-2+deb13u5)
     - çeşitli güvenlik yamaları
   - Düzeltme: sudo apt upgrade


==============================================================================
[7] ÖNYÜKLEME / GRUB GÜVENLİĞİ
==============================================================================

[ORTA] 7.1 - GRUB Şifre Koruması YOK
   - GRUB menüsünde "superusers" tanımlanmamış
   - "password" veya "password_pbkdf2" ayarı YOK
   - Fiziksel erişimi olan herkes GRUB'a tek kullanıcı modunda girebilir
   - Düzeltme: grub-mkpasswd-pbkdf2 ile şifre oluşturulmalı

[ORTA] 7.2 - Eski Çekirdek (6.12.74) Hala Mevcut
   - /boot/vmlinuz-6.12.74+deb13+1-amd64 ve initrd.img de mevcut
   - Eski çekirdekler güvenlik açığı içerebilir
   - Düzeltme: sudo apt autoremove (kullanılmayan çekirdekleri temizler)

[DÜŞÜK] 7.3 - Önyükleme Parametrelerinde Güvenlik Modülü YOK
   - Çekirdek komut satırı: "ro quiet splash"
   - "apparmor=1 security=apparmor" veya "selinux=1" EKSİK


==============================================================================
[8] ÇALIŞAN SERVİSLER VE SÜREÇ GÜVENLİĞİ
==============================================================================

[ORTA] 8.1 - Gereksiz/Tehlikeli Servisler
   - avahi-daemon: mDNS (genelde masaüstünde gereksiz)
   - ModemManager: GSM/LTE modem yönetimi (VirtualBox'ta gereksiz)
   - wpa_supplicant: Kablosuz ağ yönetimi (VirtualBox'ta gereksiz)
   - cups-browsed: Ağ yazıcı keşfi (gereksiz olabilir)
   - speech-dispatcher: Sesli geri bildirim (gereksiz olabilir)

[DÜŞÜK] 8.2 - X11/Wayland Güvenliği
   - Wayland ile oturum açılmış (/run/user/1000/wayland-0)
   - X11 socket'leri /tmp/.X11-unix/ altında (standart)
   - ICE socket'i /tmp/.ICE-unix/ altında
   - X11'in aksine Wayland daha güvenlidir (ekran yakalama koruması)

[DÜŞÜK] 8.3 - GNOME Extension Hataları
   - dash-to-panel, date-menu-formatter extension'larında hatalar
   - Ekran koruyucu/kitlenme ile ilgili hatalar
   - Kullanıcı deneyimini etkileyebilir, güvenlik riski düşük


==============================================================================
[9] KRİPTOGRAFİ VE SERTİFİKA GÜVENLİĞİ
==============================================================================

[ORTA] 9.1 - APT HTTP (HTTPS Değil)
   - Tüm Pardus depoları HTTP ile erişiliyor
   - Paket imzaları GPG ile doğrulanıyor (güvenli)
   - Ancak metaveri ve paket listeleri düz metin

[ORTA] 9.2 - Gereksiz Debian İmza Anahtarları
   - /etc/apt/trusted.gpg.d/ altında eski Debian anahtarları:
     - debian-archive-bookworm-*.asc
     - debian-archive-bullseye-*.asc
     - debian-archive-trixie-*.asc
   - Kullanılmayan güven zincirleri saldırı yüzeyini genişletir

[DÜŞÜK] 9.3 - SSH GSSAPI (Kerberos) Authentication Açık
   - SSH istemcisinde GSSAPIAuthentication=yes
   - Kerberos kullanılmıyorsa gereksiz


==============================================================================
[10] PRIVILEGE ESCALATION (YETKİ YÜKSELTME) VEKTÖRLERİ
==============================================================================

Potansiyel yetki yükseltme yolları:

[YÜKSEK] 10.1 - Polkit Yetkilendirmesiz Eylemler
   - accounts.change-own-password (şifresiz şifre değiştirme)
   - accounts.change-own-user-data (şifresiz kullanıcı verisi değiştirme)
   - Saldırgan erişim sağlarsa hemen yetkili işlem yapabilir

[YÜKSEK] 10.2 - ptrace_scope = 0
   - Kullanıcı düzeyindeki herhangi bir süreç, aynı kullanıcının
     diğer tüm süreçlerini izleyebilir/değiştirebilir
   - Tarayıcı, terminal vb. hassas süreçlerden veri çalınabilir

[ORTA] 10.3 - SUID Binary'ler
   - pkexec (polkit): geçmişte CVE-2021-4034 (PwnKit) gibi kritik açıklar
   - ntfs-3g: geçmişte CVE'ler (yükseltme gerektiriyor)
   - Tüm SUID dosyaları düzenli güncellenmeli

[ORTA] 10.4 - /dev/shm noexec EKSİK
   - Paylaşılan bellekten çalıştırılan exploitler
   - Özellikle kernel exploitlerinde kullanılır

[DÜŞÜK] 10.5 - Kullanıcı sudo Grubunda
   - "pardus" kullanıcısı sudo yetkisine sahip
   - Kötü niyetli yazılım sudo şifresini yakalayabilir


==============================================================================
[11] ÖZET VE SKORLAMA
==============================================================================

KRİTİK (ACİL MÜDAHALE): 7 Madde
  1. Güvenlik duvarı TAMAMEN EKSİK
  2. PAM nullok (boş şifreye izin)
  3. Şifre politikası TAMAMEN EKSİK
  4. AppArmor pasif (profil yüklenmiyor)
  5. Tüm güvenlik araçları eksik
  6. rp_filter=0 (IP spoofinge açık)
  7. ptrace_scope=0 (süreç izlemeye açık)

YÜKSEK (HIZLICA DÜZELTİLMELİ): 7 Madde
  1. kptr_restrict=0 (kernel pointer sızıntısı)
  2. /proc/1/attr/ dosyaları world-writable
  3. /dev/shm noexec eksik
  4. Polkit yetkilendirmesiz eylemler (4+ adet)
  5. Network güvenlik sysctl'leri (redirect, rp_filter)
  6. GRUB şifresiz
  7. SSH istemci MITM korumasız

ORTA DÜZEY: 11 Madde
  1. Avahi gereksiz çalışıyor
  2. APT HTTP kullanıyor
  3. /tmp noexec eksik
  4. Eski çekirdek mevcut
  5. Güncellenmemiş 64 paket
  6. Gereksiz Debian GPG anahtarları
  7. wtmp world-readable
  8. SUID binary'ler (ntfs-3g, pkexec)
  9. GNOME keyring hataları
  10. VirtualBox'ta gereksiz servisler
  11. Geçmişte pipe curl|bash komutu

DÜŞÜK: 5 Madde
  1. kexec açık
  2. kallsyms açık
  3. /dev/mem açık
  4. Sistem banner bilgisi
  5. GSSAPI Kerberos auth açık


==============================================================================
[12] ÖNCELİKLİ DÜZELTME ADIMLARI (ACİL YAPILACAKLAR)
==============================================================================

ADIM 1 - Güvenlik Duvarı:
  sudo apt install ufw -y && sudo ufw enable && sudo ufw default deny incoming

ADIM 2 - PAM nullok Düzeltme:
  /etc/pam.d/common-auth: "auth pam_unix.so" (nullok kaldır)

ADIM 3 - Şifre Politikası:
  /etc/login.defs: PASS_MAX_DAYS=90, PASS_MIN_DAYS=7, PASS_WARN_AGE=14
  /etc/security/pwquality.conf: minlen=8, minclass=3

ADIM 4 - AppArmor Etkinleştirme:
  /etc/default/grub: GRUB_CMDLINE_LINUX_DEFAULT="apparmor=1 security=apparmor"
  sudo update-grub && sudo reboot

ADIM 5 - Kernel Güvenlik:
  /etc/sysctl.d/99-security.conf oluştur:
    kernel.kptr_restrict=2
    kernel.yama.ptrace_scope=1
    kernel.dmesg_restrict=1
    kernel.perf_event_paranoid=3
    net.ipv4.conf.all.rp_filter=1
    net.ipv4.conf.all.accept_redirects=0
    net.ipv4.conf.all.send_redirects=0
    net.ipv4.conf.all.log_martians=1
    net.ipv4.tcp_rfc1337=1
    net.ipv6.conf.all.accept_redirects=0
  sudo sysctl -p

ADIM 6 - Güvenlik Araçları:
  sudo apt install lynis rkhunter chkrootkit fail2ban clamav needrestart -y

ADIM 7 - Sistem Güncelleme:
  sudo apt update && sudo apt full-upgrade -y

ADIM 8 - /dev/shm ve /tmp Güvenliği:
  /etc/fstab'a ekle (opsiyonel):
    tmpfs /dev/shm tmpfs defaults,nosuid,nodev,noexec 0 0
    tmpfs /tmp tmpfs defaults,nosuid,nodev,noexec 0 0

ADIM 9 - GRUB Şifreleme:
  sudo grub-mkpasswd-pbkdf2 (şifre oluştur)
  /etc/grub.d/40_custom'a superusers ve password ekle

ADIM 10 - Gereksiz Servisleri Durdur:
  sudo systemctl disable --now avahi-daemon ModemManager cups-browsed

================================================================================
RAPOR BİLGİSİ
================================================================================
Oluşturan   : opencode AI Security Scanner
Tarih       : 18 Haziran 2026, 23:55 +03
CMD Line    : Sınırsız sistem erişimi ile derinlemesine tarama
Hedef       : Pardus GNU/Linux 25.1 (yirmibes) - VirtualBox
Toplam      : 30 güvenlik açığı tespit edildi
                - KRİTİK: 7
                - YÜKSEK:  7
                - ORTA:   11
                - DÜŞÜK:   5
================================================================================
