hardening linux server security

HardeningLinux Server

SecurityM Ilham Kurniawan

Sys. Admin @ IT STKIP Surya

IT STKIP Surya @ Pameran Teknologi 2014

Security

• Menjamin sumber daya tidak digunakan atau dimodifikasi oleh orang yang tak terotorisasi.

IT STKIP Surya - Hardening Linux Server Security | [email protected]

Security

• 3 Big questions ...?–Who need security..

–Securing from what..

–How to..


Which part of linux

• Linux as Workstation

• Linux as Server


Keamanan dasar linux server

• Mengamankan server Linux sangat penting untuk memproteksi data, hak cipta, dan waktu, dari tangan2 jahil para cracker.

• Sistem administrator bertanggung jawab untuk keamanan linux



• Mengapa Linux...?– FOSS (Free and OpenSource Software)

• Free bukan cuma berarti gratis, tetapi freedom yang tertera pada Philosophy of the GNU Project.

– free to to run the program

– free to study and change the program in source code form

– free to redistribute exact copies

– free to distribute modified versions



– Bebas dari Crash• Di Linux anda tidak akan pernah menemukan

crash karena OS linux sudah di desain sedemikian rupa sehingga memiliki manajemen proses yang baik, Di Linux anda bisa menjalankan sistem bertahun-tahun tanpa restart, walaupun kadang beberapa aplikasi di Linux bermasalah namun anda bisa menutup program tersebut dan membukanya kembali tanpa masalah.



– Bebas dari Virus• Sejauh ini Linux bebas dari Virus. Karena linux secara default

tidak mengenali file exe atau file executable yang di kenal pada OS windows.

– Keamanan• Linux relatif aman karena di Linux keamanan diatur berdasarkan

Superuser, dimana yang diizinkan memodifikasi sistem hanyalah account root.

• Linux juga mempunyai karakteristik user akses program, yang dimungkinkan untuk menjamin suatu program yang dijalankan oleh user bersifat independen.

– Kompatibel dengan Hardware lama• Kebanyakan yang menggunakan Linux adalah mesin server



– Support• Linux tidak hanya didukung

oleh perusahaan tertentu saja, tetapi semua developer di seluruh dunia dapat men-support Linux.

• Hal ini memungkinkan penambahan fitur dan koreksi kesalahan/ patch di linux sangat cepat.



• Secara mendasar kemanan pada linux server meliputi :– Keamanan fisik– Kemanan dari lokal sistem linux itu sendiri– Keamanan mesin linux dari Jaringan yang ada


Keamanan Fisik

• Pengamanan pada ruang server

• Pengamanan pada mesin server


Keamanan Fisik

• Pengamanan pada BIOS


Keamanan Fisik

• Pengamanan Topologi• Topologi mana yang relatif aman..?


Keamanan lokal sistem

• Disable Ctrl+Alt+Delete– caranya :

• Login to Linux Box

• Edit using text editor (Vi,Vim,nano) :

• # nano /etc/init/control-alt-delete.conf

• comment out :

• # exec /sbin/shutdown -r now "Control-Alt-Delete pressed"



• Proteksi boot loader dengan password– Agar Server Linux tidak dapat di bypass / di-reset

akun root melalui grub boot loader.– Caranya :

• Login to Linux box

• Edit file : /boot/grub/grub.cfg

• Tambahkan baris berikut ini di bagian paling atas :

set superusers="username"

password username password



• Instalasi paket firewall– ufw adalah salah satu paket firewall pada linux– Caranya instalasi dan penggunaan :

• Login to Linux box• Perintah : sudo apt-get install ufw• Mengijinkan paket ssh dan http• Perintah : sudo ufw allow ssh

sudo ufw allow http• Enable firewall : sudo ufw enable• Cek status firewall : sudo ufw status verbose



• Prevent IP Spoofing– Caranya :

• Command : nano /etc/host.conf

• Add or edit the following lines :

order bind,hosts

nospoof on



• Management Password dengan baik dan aman– Membuat kombinasi password yang baik:

• Rujukan : http://howsecureismypassword.net/– Membatasi usia password

• Tujuannya adalah membuat system agar dapat membatasi usia password dan menginformasikan kapan user harus mengubah passwordnya.

– Caranya :• login to linux box• untuk melihat masa berlaku password : # chage -l username• Contoh untuk membatasi usia password :

# chage -M 60 -m 7 -W 7 root



– Keterangan : # chage -M 60 -m 7 -W 7 root• Perintah di atas akan membatasi usia password dari user

root dengan ketentuan sebagai berikut:

• Masa berlaku password : 60 hari

• Batas minimum perubahan password : 7 hari sebelum masa berlaku habis

• System akan memberikan peringatan untuk mengubah password : 7 hari sebelum masa berlaku habis



• Mematikan & disable service-service yang tidak di butuhkan– Tujuannya mengurangi beban dan celah keamanan pada

Linux system.– Caranya :

• Login to Linux box• Untuk melihat informasi aplikasi/services yang sedang berjalan :

# lsof | grep LISTEN• atau

# netstat -ntlupa | grep LISTEN



– Perintah mematikan service yang berjalan • # /etc/init.d/namaService stop

• atau

• # service namaService stop

– Disable service yang tidak dibutuhkan• # update-rc.d namaService disable

• atau dengan menginstalasi paket chkconfig

• # apt-get install chkconfig

• # chkconfig namaService off



• Minimalisasi Software yang terinstall – Tujuannya adalah untuk meminimalisir kerentanan akibat

bug dari software tersebut.

– Caranya :

• # dpkg --list

• atau

• # dpkg -l

• untuk menghapus suatu program

• # apt-get remove namaProgram



• Audit system menggunakan rkhunter atau chkrootkit– Cek apakah ada malicious program yang terinstal.– Caranya :

• # apt-get install chkrootkit

• # chkrootkit

• atau

• # apt-get install rkhunter

• # rkhunter --check


Keamanan Terhadap Jaringan

• Periksa dan tutup port-port aplikasi yang tidak perlu– Untuk meminimalisir

celah keamanan yang dapat diserangan dari jaringan.

– Caranya :• Cek menggunakan netstat

atau nmap, seperti perintah sebelumnya

• Tutup port atau kill aplikasi dianggap mencurigakan



– Tutup port dengan IPTables• # iptables -A INPUT -j DROP

• # iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT

• # iptables -I INPUT 1 -p tcp --dport 22 -j ACCEPT



• Mengamankan aplikasi ssh server– Rubah beberapa konfigurasi sebagai berikut.– Ubah port default, Caranya :

• # nano /etc/ssh/sshd_config• Port 22 Menjadi Port 212• PermitRootLogin yes Menjadi PermitRootLogin no• # /etc/init.d/ssh restart

– Membatasi IP address yang pengakses dengan iptables• # iptables -F• # iptables -A INPUT -j DROP• # iptables -I INPUT -s 192.168.56.0/24 -p tcp --dport 212 -j

ACCEPT• # iptables -I INPUT -p tcp --dport 80 -j ACCEPT



• Keamanan dasar Web Server– Tujuan untuk menghilangkan informasi web server pada

web browser.

– Caranya :• # nano /etc/apache2/conf.d/security

• edit baris berikut :

• ServerTokens OS Menjadi ServerTokens Prod

• ServerSignature On Menjadi ServerSignature Off

• TraceEnable On Menjadi TraceEnable Off

• restart service web :

• # /etc/init.d/apache2 restart



• Kemanan pada PHP– Tujuan untuk menghilangkan informasi web server pada

web browser.– Caranya :

• # nano /etc/php5/apache2/php.ini• edit baris berikut :• disable_functions = exec,system,shell_exec,passthru• register_globals = Off• expose_php = Off• display_errors = Off• track_errors = Off• html_errors = Off• magic_quotes_gpc = Off


Keamanan Terhadap Jaringan• Tips-tips Keamanan :

– Buatlah management system logging dengan syslog loganalyzer• tools : OSSEC, snare, rsyslog, logwatch dll.

– Gunakan audit tools : chkrootkit, rkhunter, tiger– Install fail2ban untuk mem baned ip address secara otomatis jika terdeteksi

mencoba untuk scanning login.– Install bastile untuk memudahkan hardening server dengan menggunakan

wizard– Optimalisasi security dengan SELinux (Linux Security Extensions) pada distro

Centos atau apparmor pada distro Ubuntu– Install IDS atau SIEM untuk memonitoring log, traffic, dan menganalisa pada

network secara realtime. • Opensource tools : snort&snorby, snort&base, Alientvault

– Pelajari secure coding atau securing CMS untuk web admin atau web programer



• Tips-tips Keamanan :– Dan Jangan Lupa

BACKUP SELALU

SISTEM YANG ADA


Terima Kasih


Daftar Pustaka

• http://www.gnu.org/philosophy/

• ID-SIRTII - Securing linux server, M Ali Syarief.


hardening linux server security

Technology

linux linux

workstation linux

linux box perintah

stkip suryait stkip

program free

sshsudo ufw

foss free

exact copies free