Hardening Linux Server Security

Hardening
Linux Server Security
M Ilham Kurniawan
Sys. Admin @ IT STKIP Surya
IT STKIP Surya @ Pameran Teknologi 2014

Security
• Menjamin sumber daya tidak
digunakan atau dimodifikasi oleh
orang yang tak terotorisasi.
IT STKIP Surya - Hardening Linux Server Security | ilham.kurniawan@stkipsurya.ac.id

Security
• 3 Big questions ...?
–Who need security..
–Securing from what..
–How to..

Which part of linux
• Linux as Workstation
• Linux as Server

Keamanan dasar linux server
• Mengamankan server Linux sangat
penting untuk memproteksi data, hak
cipta, dan waktu, dari tangan2 jahil para
cracker.
• Sistem administrator bertanggung jawab
untuk keamanan linux

• Mengapa Linux...?
– FOSS (Free and OpenSource Software)
• Free bukan cuma berarti gratis, tetapi freedom yang
tertera pada Philosophy of the GNU Project.
– free to to run the program
– free to study and change the program in source code form
– free to redistribute exact copies
– free to distribute modified versions

– Bebas dari Crash
• Di Linux anda tidak akan pernah menemukan
crash karena OS linux sudah di desain
sedemikian rupa sehingga memiliki manajemen
proses yang baik, Di Linux anda bisa
menjalankan sistem bertahun-tahun tanpa
restart, walaupun kadang beberapa aplikasi di
Linux bermasalah namun anda bisa menutup
program tersebut dan membukanya kembali
tanpa masalah.

– Bebas dari Virus
• Sejauh ini Linux bebas dari Virus. Karena linux secara default
tidak mengenali file exe atau file executable yang di kenal pada OS
windows.
– Keamanan
• Linux relatif aman karena di Linux keamanan diatur berdasarkan
Superuser, dimana yang diizinkan memodifikasi sistem hanyalah
account root.
• Linux juga mempunyai karakteristik user akses program, yang
dimungkinkan untuk menjamin suatu program yang dijalankan
oleh user bersifat independen.
– Kompatibel dengan Hardware lama
• Kebanyakan yang menggunakan Linux adalah mesin server

– Support
• Linux tidak hanya didukung
oleh perusahaan tertentu
saja, tetapi semua developer
di seluruh dunia dapat men-support
Linux.
• Hal ini memungkinkan
penambahan fitur dan
koreksi kesalahan/ patch di
linux sangat cepat.

• Secara mendasar kemanan pada linux
server meliputi :
– Keamanan fisik
– Kemanan dari lokal sistem linux itu sendiri
– Keamanan mesin linux dari Jaringan yang ada

Keamanan Fisik
• Pengamanan pada
ruang server
• Pengamanan pada
mesin server

Keamanan Fisik
• Pengamanan pada BIOS

Keamanan Fisik
• Pengamanan Topologi
• Topologi mana yang relatif aman..?

Keamanan lokal sistem
• Disable Ctrl+Alt+Delete
– caranya :
• Login to Linux Box
• Edit using text editor (Vi,Vim,nano) :
• # nano /etc/init/control-alt-delete.conf
• comment out :
• # exec /sbin/shutdown -r now "Control-Alt-Delete
pressed"

• Proteksi boot loader dengan password
– Agar Server Linux tidak dapat di bypass / di-reset
akun root melalui grub boot loader.
– Caranya :
• Login to Linux box
• Edit file : /boot/grub/grub.cfg
• Tambahkan baris berikut ini di bagian paling atas :
set superusers="username"
password username password

• Instalasi paket firewall
– ufw adalah salah satu paket firewall pada linux
– Caranya instalasi dan penggunaan :
• Perintah : sudo apt-get install ufw
• Mengijinkan paket ssh dan http
• Perintah : sudo ufw allow ssh
sudo ufw allow http
• Enable firewall : sudo ufw enable
• Cek status firewall : sudo ufw status verbose

• Prevent IP Spoofing
– Caranya :
• Command : nano /etc/host.conf
• Add or edit the following lines :
order bind,hosts
nospoof on

• Management Password dengan baik dan
aman
– Membuat kombinasi password yang baik:
• Rujukan : http://howsecureismypassword.net/
– Membatasi usia password
• Tujuannya adalah membuat system agar dapat membatasi usia
password dan menginformasikan kapan user harus mengubah
passwordnya.
– Caranya :
• login to linux box
• untuk melihat masa berlaku password : # chage -l username
• Contoh untuk membatasi usia password :
# chage -M 60 -m 7 -W 7 root

– Keterangan : # chage -M 60 -m 7 -W 7 root
• Perintah di atas akan membatasi usia password dari user
root dengan ketentuan sebagai berikut:
• Masa berlaku password : 60 hari
• Batas minimum perubahan password : 7 hari sebelum
masa berlaku habis
• System akan memberikan peringatan untuk mengubah
password : 7 hari sebelum masa berlaku habis

• Mematikan & disable service-service yang tidak di
butuhkan
– Tujuannya mengurangi beban dan celah keamanan pada
Linux system.
– Caranya :
• Untuk melihat informasi aplikasi/services yang sedang berjalan :
# lsof | grep LISTEN
• atau
# netstat -ntlupa | grep LISTEN

– Perintah mematikan service yang berjalan
• # /etc/init.d/namaService stop
• atau
• # service namaService stop
– Disable service yang tidak dibutuhkan
• # update-rc.d namaService disable
• atau dengan menginstalasi paket chkconfig
• # apt-get install chkconfig
• # chkconfig namaService off

• Minimalisasi Software yang terinstall
– Tujuannya adalah untuk meminimalisir kerentanan akibat
bug dari software tersebut.
– Caranya :
• # dpkg --list
• atau
• # dpkg -l
• untuk menghapus suatu program
• # apt-get remove namaProgram

• Audit system menggunakan rkhunter atau
chkrootkit
– Cek apakah ada malicious program yang terinstal.
– Caranya :
• # apt-get install chkrootkit
• # chkrootkit
• atau
• # apt-get install rkhunter
• # rkhunter --check

Keamanan Terhadap Jaringan
• Periksa dan tutup
port-port aplikasi
yang tidak perlu
– Untuk meminimalisir
celah keamanan yang
dapat diserangan dari
jaringan.
– Caranya :
• Cek menggunakan netstat
atau nmap, seperti
perintah sebelumnya
• Tutup port atau kill
aplikasi dianggap
mencurigakan

– Tutup port dengan IPTables
• # iptables -A INPUT -j DROP
• # iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT
• # iptables -I INPUT 1 -p tcp --dport 22 -j ACCEPT

• Mengamankan aplikasi ssh server
– Rubah beberapa konfigurasi sebagai berikut.
– Ubah port default, Caranya :
• # nano /etc/ssh/sshd_config
• Port 22 Menjadi Port 212
• PermitRootLogin yes Menjadi PermitRootLogin no
• # /etc/init.d/ssh restart
– Membatasi IP address yang pengakses dengan iptables
• # iptables -F
• # iptables -A INPUT -j DROP
• # iptables -I INPUT -s 192.168.56.0/24 -p tcp --dport 212 -j
ACCEPT
• # iptables -I INPUT -p tcp --dport 80 -j ACCEPT

• Keamanan dasar Web Server
– Tujuan untuk menghilangkan informasi web server pada
web browser.
– Caranya :
• # nano /etc/apache2/conf.d/security
• edit baris berikut :
• ServerTokens OS Menjadi ServerTokens Prod
• ServerSignature On Menjadi ServerSignature Off
• TraceEnable On Menjadi TraceEnable Off
• restart service web :
• # /etc/init.d/apache2 restart

• Kemanan pada PHP
– Tujuan untuk menghilangkan informasi web server pada
web browser.
– Caranya :
• # nano /etc/php5/apache2/php.ini
• edit baris berikut :
• disable_functions = exec,system,shell_exec,passthru
• register_globals = Off
• expose_php = Off
• display_errors = Off
• track_errors = Off
• html_errors = Off
• magic_quotes_gpc = Off

• Tips-tips Keamanan :
– Buatlah management system logging dengan syslog loganalyzer
• tools : OSSEC, snare, rsyslog, logwatch dll.
– Gunakan audit tools : chkrootkit, rkhunter, tiger
– Install fail2ban untuk mem baned ip address secara otomatis jika terdeteksi
mencoba untuk scanning login.
– Install bastile untuk memudahkan hardening server dengan menggunakan
wizard
– Optimalisasi security dengan SELinux (Linux Security Extensions) pada distro
Centos atau apparmor pada distro Ubuntu
– Install IDS atau SIEM untuk memonitoring log, traffic, dan menganalisa pada
network secara realtime.
• Opensource tools : snort&snorby, snort&base, Alientvault
– Pelajari secure coding atau securing CMS untuk web admin atau web
programer

• Tips-tips Keamanan :
– Dan Jangan Lupa
BACKUP SELALU
SISTEM YANG ADA

Terima Kasih

Daftar Pustaka
• http://www.gnu.org/philosophy/
• ID-SIRTII - Securing linux server, M Ali
Syarief.

Hardening Linux Server Security

More Related Content

What's hot (20)

Viewers also liked (20)

Similar to Hardening Linux Server Security (20)

More from Ilham Kurniawan (10)

Recently uploaded (10)

Hardening Linux Server Security