Selamat datang di forum ngapak.
anda segara terhubung dengan komunitas masyarakat banyumas.


 
RegisterPortalLog inHome
PASANG BANNER ATAU IKLAN ANDA DISINI. HARGA MULAI Rp. 100 Ribu Per Bulan. Hubungi Admin. EMAIL: ngapakforum@gmail.com

Share | 
 

 Optimasi Linux

View previous topic View next topic Go down 
AuthorMessage
he_praz
Setda Ngapak
Setda Ngapak
avatar

Posts : 111
Reputation : 38
Join date : 2010-03-21
Age : 29
Location Purwokerto

PostSubject: Optimasi Linux   Thu Apr 22, 2010 1:46 pm

Optimasi Linux

Linux mewarisi keamanan unix. Itulah sebuah kalimat yang menjadi panduan seseorang mengapa memilih linux sebagai sistem operasi pada sebuah PC. Beberapa orang menyukai keamanan dari pada kemudahan penggunaannya. Mereka berfikir dengan tingkat sekuritas yang tinggi file-file pribadi aman. Unix identik dengan keamanannya. Tapi siapa sangka jika kita lalai saja, contohnya linux, maka tidak di sangka linux pun bisa tertembus keamanannya. Banyak webserver-webserver yang menggunakan sistem operasi Linux yang sering kali di jadikan sasaran deface. Baik dari salahnya konfigurasi Linux sebagai server atau bug yang terdapat dalam program web servernya.

Untuk menangani dan memanfaatkan keamanan dari unix di Linux ini, sebenarnya linux mempunyai beberapa penanganan dini yang berasal dari sistem linux sendiri. Tanpa ada software tambahan maka di bawah ini akan di jabarkan bagaimana memanfaatkan keamanan linux.

A. LILO
Langkah pertama ketika ingin mengoptimalkan linux ialah membuat secure lilo. Lilo begitu sangat penting dan perlu diamankan ketika secara default linux di set untuk memasukkan opsi ketika pertama boot. Keadaan ini tentu saja akan mengenakkan para cracker ketika waktu linux boot dan muncul

LILO boot :

Secara default linux akan memberikan wewenang kepada siapapun untuk login sebagai root. Caranya ketika menghadapi prompt seperti diatas ketikkan linux single. Yang artinya sistem akan di boot dengan Run Level 1 yaitu sebagai super user (root). Keadaan ini akan sangat berguna ketika super user sendiri lupa pasword root dan dapat login dengan cara diatas tanpa harus memasukkan pasword root. Tapi jika prompt diatas tetap ditampilkan maka dengan mudah sistem bisa di acak-acak. Jadi terdapat berbagai macam tipe pengamanan diantarnya :

1. Mendisable linux single.
Langkah pertama yaitu mendisable linux single yaitu tidak ada tipe boot dengan Run Level 1 atau linux single. Buka /etc/initab, cari skrip dibawah ini

id:3:initdefault:

setelah itu tambahkan skrip dibawah ini tepat di bawahnya

~~:S:wait:/sbin/sulogin

Penambahan tersebut akan meminta user yang login dengan linux single untuk memasukkan pasword root terlebih dahulu.

Setelah menambah baris diatas jalankan perintah di bawah ini:

# /sbin/init q

2. Mengubah konfigurasi lilo.conf

Buka file /etc/lilo.conf

Pada redhat 6.2 lilo.conf nampak seperti dibawah ini:

boot=/dev/hda
map=/boot/map
instal=/boot/boot.b
prompt
timeout=50
linear
default=linux
image=/boot/vmlinuz-2.2.14-5.0
label=linux
read-only
root=/dev/hda1

2.a Timeout

Lilo seperti diatas mempunyai timeout=50; artinya bahwa sistem akan menunggu inputan dari user selama 50 detik. Dengan waktu tunggu seperti ini kemungkinan untuk login dengan linux single sangat besar. Oleh karena itu langkah sederhana menghilangkan waktu tunggu. Isikan timeout= 00.

2.b Password lilo

Selain memberikan waktu tunggu yang kecil lilo juga dapat di password. Dengan cara memberikan opsi restricted dan password.

Dibawah baris
Default=linux ; tambahkan
restricted
password=masukkan_passwordnya

Penambahan pasword diatas memberikan maksud bahwa walaupun tidak login sebagai linux single atau user yang lain lilo akan meminta password root.

2.c Menghilangkan prompt

Ketika linux booting maka muncul

LILO boot :

Kata tersebut muncul karena pada file lilo.conf tertulis kata prompt. Untuk menghilangkan prompt agar tidak ada opsi booting hapus kata tersebut.

Jika sudah ditambahkan semuanya maka lilo yang telah dimodifikasi seperti dibawah ini:

boot=/dev/hda
map=/boot/map
instal=/boot/boot.b
timeout=00
linear
default=linux
restricted
password=masukkan_password
image=/boot/vmlinuz-2.2.14-5.0
label=linux
read-only
root=/dev/hda1

Jika sudah dikonfigurasi seperti diatas keluar dari editor dan save. Untuk memberikan kepemilikan hanya kepada root maka jalankan :

# chmod 600 /etc/lilo.conf
# /sbin/lilo.conf
LILO version 21, Copyright 1992-1998 Werner Almesberger

Reading boot sector from /dev/hda
Merging with /boot/boot.b
Boot image: /boot/vmlinuz-2.2.14-5.0
Added linux *
/boot/boot.0300 exist – no backup copy made.
Writing boot sector.

Konfigurasi diatas menggunakan redhat 6.2, untuk distro yang lain sama. Jika langkah diatas sudah dijalankan dengan benar maka lilo dijamin aman. Namun ada satu hal yang penting ialah kepemilikan file /etc/lilo.conf. Tentu saja file tersebut dengan owner root. Tapi bagaimana jika suatu waktu root ceroboh atau salah konfigurasi lilo.conf maka bisa saja linux tidak bisa booting karena konfigurasi lilo salah. Untuk mengatasi hal tersebut ada perintah di linux yang mengamankan file atau direktory sehingga hanya read-only saja termasuk root sendiri.

# chatr +i /etc/lilo.conf

Perintah diatas memberikan imunitas file lilo.conf untuk dapat di read-only saja oleh root. Jadi tidak bisa diedit atau dimodifikasi. Untuk menghilangkan imunitas file tersebut perintahnya :

# chatr –i /etc/lilo.conf

B. Disable ctrl+alt+del

Seperti yang telah diketahui untuk shutdown di linux hotkey-nya ctrl+alt+del. Selain menggunakan hotkey juga dapat menggunakan printah /sbin/reboot, /sbin/halt. Tapi jika ingin linux aman perintah shutdown dengan keyboard harus didisable karena bisa saja orang lain yang dengan tidak sengaja menekan ctrl+alt+del sedangkan Anda sedang mengkonfigurasi sistem tentu ini tidaklah mengenakkan dan langkah preventif ialah jawabannya.

Buka file /etc/initab

ca:ctrlaltdel:/sbin/shutdown -t3 -r now

Pada baris diatas berikan tanda # di depan baris agar perintah diatas dianggap komentar oleh linux (# merupakan simbol komentar pada bahasa C).

#ca:ctrlaltdel:/sbin/shutdown -t3 -r now

keluar dari editor dan save jalankan perintah di bawah ini

# /sbin/init q

C. /etc/services

File /etc/services berisi nomor port yang digunakan untuk koneksi dengan server atau dengan klien. File tersebut digunakan oleh klient untuk meresolve antara port dengan tipe service masing-masing port. Misal apabila klient atau server request smtp maka akan melihat pada file /etc/services smtp menggunakan nomor port berapa. Oleh karena sangat pentingnya maka perlu diberi imunitas file.

# chatr +i /etc/services

D. /etc/securety

File /etc/securety memberikan konfigurasi ty dan vc (virtual console) kepada root atau user yang lain. Maka perlu di disable ty yang tidak digunakan. Buka file /etc/securety

ty1
ty2
ty3
ty4
ty5

Jika konfigurasinya seperti diatas maka cukup menggunakan ty1 saja caranya
tambahkan #pada ty2-ty5

ty1
#ty2
#ty3
#ty4
#ty5

Begitu juga dengan vc cukup gunakan vc/1 saja.

E. Menghapus account yang tidak perlu

Maksud account yang tidak perlu ialah account yang dibuat otomatis oleh vendor dari paket yang telah dinstal ataupun tidak. Terkadang terdapat sebuah account tapi paket tersebut tidak dinstal. Gunanya account otomatis tersebut ialah memudahkan pengecekan untuk melihat update paket (software). Contoh sederhana dalam file contoh file /etc/passwd terdapat account ftp namun server tersebut tidak memberikan layanan ftp maka account tersebut harus dihapus begitu juga dengan account yang lain. Namun pada intinya semakin banyak account pada /etc/paswd semakin mudah untuk mengakses sistem dan tentu saja tidak menyenangkan.

Isi file /etc/passwd :

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:
daemon:x:2:2:daemon:/sbin:
adm:x:3:4:adm:/var/adm:
lp:x:4:7:lp:/var/spool/lpd:
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:

news:x:9:13:news:/var/spool/news:
uucp:x:10:14:uucp:/var/spool/uucp:
operator:x:11:0:operator:/root:
games:x:12:100:games:/usr/games:
gopher:x:13:30:gopher:/usr/lib/gopher-data:
ftp:x:14:50:FTP User:/home/ftp:
nobody:x:99:99:Nobody:/:
xfs:x:43:43:X Font Server:/etc/X11/fs:/bin/false
named:x:25:25:Named:/var/named:/bin/false
postgres:x:26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash
pi:x:500:500:pi:/home/pi:/bin/bash
ipin:x:501:501:/home/ipin:/bin/bash

untuk menghapus user gunakan # userdelnama_account

Account yang dihapus
# userdel adm
# userdel lp
# userdel shutdown
# userdel halt
# userdel news
# userdel mail
# userdel uucp
# userdel operator
# userdel games
# userdel gopher
# userdel ftp

Setelah menghapus username maka grup juga harus dihapus. Caranya menghapus

#groupdel nama_grup

Buka file /etc/group

root:x:0:root
bin:x:1:root,bin,daemon
daemon:x:2:root,bin,daemon
sys:x:3:root,bin,adm
adm:x:4:root,adm,daemon
ty:x:5:
disk:x:6:root
lp:x:7:daemon,lp
mem:x:8:
kmem:x:9:
wheel:x:10:root

mail:x:12:mail
news:x:13:news
uucp:x:14:uucp
man:x:15:
games:x:20:
gopher:x:30:
dip:x:40:
ftp:x:50:
nobody:x:99:
users:x:100:
floppy:x:19:
xfs:x:43:
named:x:25:

# groupdel adm
# groupdel lp
# groupdel shutdown
# groupdel halt
# groupdel news
# groupdel mail
# groupdel uucp
# groupdel operator
# groupdel games
# groupdel gopher
# groupdel ftp

Kesimpulan dari penghapusan user dan grup ialah menghapus account dimana tidak dibutuhkan dan tidak terdapat service dalam server atau linux. Seperti contoh diatas tidak menyediakan ftp maka user dan grup ftp dihapus, begitu juga dengan news, gropher dl. Semakin sedikit account yang terdapat di /etc/paswd, /etc/group, /etc/paswd semakin secure linux.

Selain mengatur account juga memberikan imunitas terhadap file /etc/paswd, /etc/group, /etc/shadow,/etc/gshadow

# chatr +i /etc/passwd
# chatr +i /etc/shadow
# chatr +i /etc/group
# chatr +i /etc/gshadow

Shel Logging

Jika user sering berinteraksi dengan shel maka cara singkat untuk menampilkan perintah yang sudah dijalankan ialah dengan cara menekan tombol panah bawah dan atas. Karena setiap user mempunyai file .bash_history. Dimana dalam file tersebut terdapat history command. Kasus sederhana ketika user meninggalkan Pcnya untuk sementara waktu misalnya ke kamar mandi maka shel akan mudah melihat perintah yang telah diketikkan user. Untuk menanggulangi keadaan tersebut bagi user atau root sekalipun edit file /etc/profile

HOSTNAME=`/bin/hostname`
HISTSIZE=1000

Ubah HISTSIZE (history size) dengan nilai 0 Sehingga menjadi

HOSTNAME=`/bin/hostname`
HISTSIZE=0

Dengan demikian setiap user ataupun root sekalipun tidak mempunyai histroy command lagi. Tentu ini cara yang terbaik menjaga agar system aman.

Keamanan Log
Salah satu pertimbangan keamanan yang paling utama adalah menjaga keamanan file dibawah /var/log/. Di dalam direktory tersebut tercatat semua aktivitas system baik yang dilakukan user atau root. Sehingga jika system telah di crack maka langkah terakhir ialah menjaga /var/log/ karena pengawasan system terdapat di bawah direktory /var/log/. Setiap aktivitas yang terjadi di catat dalam sebuah log berdasarkan aplikasi masing-masing. Oleh karena itu sebuah file log seharusnya hanya bias di tulis dan tidak untuk di hapus isinya. Untuk memberi hak akses agar file log hanya bias di tulis saja maka tambahkan perintah

#chtr +a nama_log

jika seseorang masuk ke system, pastinya untuk tidak meninggalkan jejak dia harus menghapus file log terlebih dahulu, namun dengan hak akses diatas file log hanya bisa di tulis(append).
Back to top Go down
http://he-praz.co.cc
 

Optimasi Linux

View previous topic View next topic Back to top 
Page 1 of 1

Permissions in this forum:You cannot reply to topics in this forum
 :: Teknologi :: Programing :: Linux Mania-