Mar 30, 2012

Keamanan Server Linux !!

Mengamankan server Linux adalah penting untuk melindungi data Anda, Informasi pribadi anda, dan waktu, dari tangan Cracker (BlackHat Hacker). Administrator bertanggung jawab untuk kotak keamanan Linux. Pada bagian pertama dari serangkaian keamanan server Linux, mw d bahas 11 tips keamanan untuk instalasi default dari sistem Linux.

1. Enkripsikan Komunikasi Data "Encrypt Data Comm."

Semua data yang dikirimkan melalui jaringan ini terbuka untuk pemantauan. Mengenkripsi data yang ditransmisikan sedapat mungkin di protek dengan sandi atau menggunakan kunci sertifikat.
* Gunakan scp, ssh, rsync, atau SFTP untuk mentransfer file. Anda juga dapat me-mount sistem file remote server atau direktori komputer rumah Anda sendiri menggunakan sshfs proteksi dan alat khusus.
Gunakan GnuPG yang memungkinkan untuk mengenkripsi dan menandatangani dan komunikasi data Anda, dilengkapi dengan sistem manajemen kunci serbaguna serta modul akses untuk semua jenis direktori dengan kunci publik.

Gunakan Fugu fungsinya adalah frontend grafis untuk aplikasi commandline Secure File Transfer (SFTP). SFTP mirip dengan FTP, tapi tidak seperti FTP, seluruh sesi dienkripsi, artinya tanpa password akan dikirim dalam bentuk teks-jelas, dan dengan demikian lebih sedikit rentan terhadap penangkapan pihak ketiga. Pilihan lainnya adalah filezilla – klien cross-platform yang mendukung FTP, FTP melalui SSL / TLS (FTPS), dan SSH File Transfer Protocol (SFTP).

OpenVPN untuk menghemat biaya SSL VPN.
Lighttpd SSL (Secure Server Layer) https Konfigurasi Dan Instalasi
Apache SSL (Secure Server Layer) HTTPS (mod_ssl) Konfigurasi Dan Instalasi

Ketik perintah berikut untuk menghapus NIS, rsh dan usang layanan lainnya:
# yum erase inetd xinetd ypserv tftp-server telnet-server rsh-serve
*#*Hindari Menggunakan FTP, Telnet, dan rlogin / rsh*#*

2. Minimalkan Software untuk Minimalkan Vulnerability
Apakah Anda benar-benar membutuhkan semua jenis layanan web diinstal? Hindari menginstal perangkat lunak yang tidak perlu untuk menghindari kelemahan dalam perangkat lunak. Gunakan manajer paket RPM seperti yum atau apt-get dan / atau dpkg untuk meninjau semua diinstal set paket perangkat lunak pada sistem. Hapus semua paket yang tidak diinginkan dengan kode ini

# yum list installed
# yum list packageName
# yum remove packageName
oR ....

# dpkg –list
# dpkg –info packageName
# apt-get remove packageName ..

3. 4. Tetap update Kernel Linux dan Perangkat Lunak jangan Sampai terlambat
Menerapkan patch keamanan merupakan bagian penting dari menjaga server Linux. Linux menyediakan semua alat yang diperlukan untuk menjaga sistem anda dan diperbarui, dan juga memungkinkan untuk upgrade versi dengan mudah. Semua update keamanan harus ditinjau ulang dan diterapkan sesegera mungkin. Sekali lagi, gunakan manajer paket RPM seperti yum dan / atau apt-get dan / atau dpkg untuk menerapkan semua pembaruan keamanan. seperti perintah dibawah

# yum update
oR...
# apt-get update && apt-get upgrade

Anda dapat mengkonfigurasi Red hat / CentOS / Fedora Linux untuk mengirim paket yum update pemberitahuan melalui email. Pilihan lainnya adalah untuk menerapkan semua pembaruan keamanan melalui sebuah tugas cron. Dalam Debian / Ubuntu Linux yang dapat Anda gunakan untuk mengirim pemberitahuan apticron keamanan.

4. Gunakan Extensions Keamanan Linux
Linux tersedia dengan berbagai patch keamanan yang dapat digunakan untuk menjaga terhadap program miskonfigurasi atau dikompromikan. Jika memungkinkan menggunakan SELinux dan Linux lainnya ekstensi keamanan untuk menegakkan keterbatasan pada jaringan dan program lainnya. Sebagai contoh, SELinux menyediakan berbagai kebijakan keamanan untuk kernel Linux.

Disarankan menggunakan SELinux yang menyediakan Wajib fleksibel Access Control (MAC). Berdasarkan standar Linux Discretionary Access Control (DAC), sebuah aplikasi atau proses yang berjalan sebagai user (UID atau SUID) memiliki izin pengguna untuk objek seperti file, socket, dan proses lainnya. Menjalankan sebuah kernel MAC melindungi sistem dari aplikasi berbahaya atau cacat yang dapat merusak atau menghancurkan sistem. Lihat dokumentasi Redhat resmi yang menjelaskan konfigurasi SELinux.

5. Account Pengguna dan Kebijakan Kekuatan Password
Tentu hal yg paling penting ~
Gunakan / useradd perintah usermod untuk menciptakan dan memelihara account pengguna. Pastikan Anda memiliki kebijakan password yang baik dan kuat. Sebagai contoh, password yang baik mencakup minimal 8 karakter dan harus campuran huruf, angka, karakter khusus, atas & bawah dll. ex im1ssy0u&4

Gunakan alat seperti “John ripper” untuk mengetahui password pengguna lemah pada server Anda. pam_cracklib.so Konfigurasi untuk menegakkan kebijakan password.

6. Disable root Login
Jangan pernah login sebagai user root. Anda harus menggunakan sudo untuk menjalankan perintah sebagai root level dan saat diperlukan. sudo tidak meningkatkan keamanan sistem tanpa password root berbagi dengan pengguna lain dan admin. sudo menyediakan audit sederhana dan fitur pelacakan juga.

7. Keamanan Fisik Server
Anda harus melindungi Fisik server akses konsol Linux. Mengkonfigurasi BIOS dan menonaktifkan boot dari perangkat eksternal seperti DVD / CD / USB pena. Atur BIOS dan boot loader grub password untuk melindungi pengaturan ini. Semua kotak produksi harus terkunci di IDCs (Internet Data Center) dan semua orang harus melewati beberapa jenis pemeriksaan keamanan sebelum mengakses server Anda.


8. Disable Service yang Tidak Dibutuhkan
Menonaktifkan semua layanan dan daemon yang tidak perlu (layanan yang berjalan di latar belakang). Anda harus menghapus semua layanan yang tidak diinginkan dari sistem start-up. Ketik perintah berikut untuk daftar semua servis yang di jalankan saat boot di tingkat 3:

# chkconfig –list | grep ’3:on’
Untuk mendisable service, masukkan perintah
# service serviceName stop
# chkconfig serviceName off

9. 14. Matikan IPv6
Internet Protocol version 6 (IPv6) menyediakan lapisan Internet baru dari protokol TCP / IP yang menggantikan Internet Protocol version 4 (IPv4) dan memberikan banyak manfaat. Saat ini tidak ada alat yang baik yang dapat memeriksa sistem melalui jaringan untuk masalah keamanan IPv6. Kebanyakan distro Linux mulai mengaktifkan protokol IPv6 secara default. Crackers dapat mengirimkan lalu lintas yang buruk melalui IPv6 sebagai admin paling tidak memonitor. Kecuali konfigurasi jaringan memerlukan itu, menonaktifkan IPv6 atau mengkonfigurasi firewall Linux.

10. 15. Nonaktifkan SUID dan SGID Binari yang tidak diinginkan
Semua SUID / SGID bit memungkinkan file dapat disalahgunakan ketika SUID / SGID eksekusi memiliki masalah keamanan atau bug. Semua pengguna lokal atau remote dapat menggunakan file tersebut. Ini adalah ide yang baik untuk menemukan semua file tersebut. Gunakan perintah find sebagai berikut:

#See all set user id files:
find / -perm +4000
# See all group id files
find / -perm +2000
# Or combine both in a single command
find / \( -perm -4000 -o -perm -2000 \) -print
find / -path -prune -o -type f -perm +6000 -ls

11. Pesan Monitor Log Mencurigakan Dengan Logwatch / Logcheck
Bacalah log menggunakan logwatch atau logcheck. Alat-alat ini membuat log hidup Anda lebih mudah membaca. Anda mendapatkan laporan rinci tentang item yang tidak biasa di syslog melalui email.

By XBlack11 Bigthanks To "dunoftec" :)

No comments:

Post a Comment