Mempertahankan sebuah server di Internet
sebetulnya tidak sekedar memasang firewall saja. Dari catatan di
wikipedia, menggunakan data dari W3Cook, ternyata lebih dari 90% server
di Internet menggunakan sistem operasi Linux hanya sedikit sekali tidak
sampai 2% yang menggunakan Windows. Berikut ini adalah beberapa catatan
singkat beberapa teknik untuk memperkuat pertahanan pada server dengan
sistem operasi Linux.
Mengamankan fisik server menjadi
penting, jangan sampai sembarangan orang bisa menyentuh server kita
secara fisik. Mengenkripsi semua komunikasi data, khususnya antara
server dengan admin server. Artinya kita harus meninggalkan jauh-jauh
semua bentuk transfer data / komunikasi yang menggunakan FTP, telnet,
rlogin, rsh. Menginstalasi sesedikit mungkin aplikasi. Hanya
menginstalasi aplikasi yang dibutuhkan saja. Semakin sedikit aplikasi
yang di instalasi maka semakin sedikit security hole yang ada.
Memastikan hanya satu layanan yang di
operasikan per sistem atau per VM instance. Tidak menggabungkan banyak
layanan dalam satu mesin. Bukan cara yang aman untuk menggabungkan
database server, web server, storage server dalam sebuah mesin yang
sama. Menggunakan sistem operasi Linux Security Extension jika anda
menggunakan RedHat atau turunannya.
Menginstalasi dan mengkonfigurasi dengan
baik Web Application Firewall (WAF) seperti apache modsecurity untuk
menangkis serangan melalui web.
Membuatan kebijakan user account dan
password yang kuat. Membatasi umur Password. Pembatasan Penggunaan
Password Lama. Mengunci Account User setelah beberapa kali gagal Login.
Memverifikasi tidak ada Account dengan password kosong. Memastikan tidak
ada Account Non-Root yang mempunyai UID 0. Mendisable login sebagai
root, root hanya bisa di akses dari user yang mempunyai kemampuan sudoer
menggunakan perintah sudo su.
Mendisable layanan yang tidak perlu.
Menscan semua port network yang aktif menggunakan port scanner seperti
nmap. Mencari dan mematikan layanan pada port yang tidak benar.
Menghapus X Windows, mengatur
menggunakan iptables dan tcpwrappers. Hardening kernel linux dengan cara
mengedit /etc/sysctl.conf. Memisahkan partisi harddisk /var, /home dll
dan mengaktifkan quota disk. Mematikan IPv6 kecuali memang dibutuhkan.
Mematikan binari dengan SUID dan SGID
Yang Tidak Diinginkan. Memperbaiki permission semua file yang
World-Writable. Memperbaiki semua file no-owner, dengan user nobody,
group nogroup.
Gunakan layanan Authentikasi Terpusat,
misalnya menggunakan kerberos. Aktifkan logging dan auditing, monitor
Message Log yang mencurigakan menggunakan Logwatch / Logcheck dan
monitor system accounting menggunakan auditd.
Gunakan komunikasi terenkripsi
menggunakan OpenSSH Server untuk remote login ssh maupun untuk copy file
scp. Instalasi dan Penggunaan Intrusion Detection System (IDS),
misalnya menggunakan snort. Proteksi semua Files, Directories and Email.
Mengamankan email server misalnya menggunakan MailScanner dari serangan
spam, malware, maupun virus.
Pengalaman saya selama ini, penjelasan ini tidak bisa di hafal. Kita harus banyak melakukan praktek agar semua menjadi instink dalam beroperasi.
Pengalaman saya selama ini, penjelasan ini tidak bisa di hafal. Kita harus banyak melakukan praktek agar semua menjadi instink dalam beroperasi.
Semoga bisa bermanfaat untuk mengamankan server Indonesia.
SUMBER : c.uctalks.ucweb.com (Kang Onno)
0 Komentar
Penulisan markup di komentar