Copy Link
Add to Bookmark
Report

Echo Magazine Issue 07 Phile 0x006

eZine's profile picture
Published in 
Echo Magazine
 · 4 years ago

  

____________________ ___ ___ ________
\_ _____/\_ ___ \ / | \\_____ \
| __)_ / \ \// ~ \/ | \
| \\ \___\ Y / | \
/_______ / \______ /\___|_ /\_______ /
\/ \/ \/ \/


.OR.ID
ECHO-ZINE RELEASE
07

Author: Biatch-X || blu3_oxygen@phreaker.net
Online @ www.echo.or.id :: http://ezine.echo.or.id

Linux Security On-The-Fly ( Part I )


/* Kata-kata Pengantar */

# Dokumen ini membahas masalah sekuritas yang sering dihadapi oleh para Administrator Sistem
# Operasi Linux. Memuat filosofi sekuritas sistem dan beberapa contoh yang lebih spesifik
# bagaimana cara untuk membuat sistem linux anda menjadi lebih aman dari para penyusup. Juga
# menyertakan beberapa materi yang menyangkut masalah sekuritas dan program. Pengembangan, kritik
# membangun dan pembenahan dengan senang hati akan diterima.

Pendahuluan

# Dokumen ini meliputi beberapa dari kasus-kasus yang sering terjadi yang mempengaruhi sekuritas
# linux. Filosofi mendasar dan Net-Born Resources juga dibahas. Beberapa Dokumen How-To sangat
# spesifik mengenai Kasus Sekuritas, dan Dokumen itu lebih ditujukan kepada masalah yang lebih
# spesifik lagi. Dokumen ini bukan dibuat untuk menjadi Dokumen Eksploit yang Up-To-Date. Banyak
# sekali Eksploit baru yang bermunculan setiap hari. Dokumen ini akan mencoba mengajak anda untuk
# melihat informasi yang up-to-date, dan selalu mencoba memberi beberapa metode mendasar untuk
# mencegah agar sistem anda aman dari Eksploit.

Sekilas pandang (overview) :d

# Dokumen ini akan mencoba menjelaskan beberapa prosedur dan software yang sering dipakai untuk
# membantu sistem linux menjadi lebih aman. Sangat penting untuk sering berdiskusi beberapa
# konsep dasar terlebih dahulu, dan membuat pondasi sekuritas sebelum memulai.

Mengapa kita membutuhkan sekuritas ?

# Dalam dunia komunikasi yang global, koneksi internet yang murah dan pengembangan software yang
# sangat cepat, sekuritas menjadi masalah. Sekuritas menjadi salah satu perlengkapan dasar yang
# harus dimiliki karena komputerisasi global menjadi sangat tidak aman. Sebagaimana data anda
# yang ditansfer dari titik A ke titik B di internet, sebagai contoh, data anda mungkin melewati
# beberapa titik sepanjang perjalanan ke-tujuan, memberi kesempatan ke pengguna yang lain
# menerima, bahkan menggantinya. Walaupun pengguna yang lain didalam sistem kamu mungkin secara
# tersembunyi mengubah data anda ke sesuatu yang tidak akan anda inginkan. Akses terlarang
# kedalam sistem anda mungkin dikendalikan oleh penyusup, yang juga dikenal sebagai "Crackerz",
# yang pengetahuan sistem yang tinggi untuk mengelabui anda, mencuri informasi berharga bahkan
# mungkin membuat anda tidak bisa masuk ke sistem anda sendiri. Bila anda bertanya apa bedanya
# antara "Hacker" dan "Crackerz", silahkan membaca Dokumen dari Eric Raymond, "How to Become A
# Hacker" yang dapat anda akses di http://www.catb.org/~esr/faqs/hacker-howto.html

Seberapa Aman-nya "Aman".

# Pertama-tama, ingatlah bahwa tidak ada satupun sistem computer yang benar-benar aman. Yang
# dapat anda perbuat adalah membuatnya menjadi Sangat Sulit bagi orang lain untuk dapat menyusup
# kedalam sistem anda. Untuktat sekuritas yang jauh lebih tinggi dibanding Pengguna Linux
# Rumahan, misalnya bank, perusahaan telekomunikasi dan lain-lain, dibutuhkan lebih banyak kerja
# keras. Faktor lain untuk mengambil account adalah semakin aman suatu sistem maka semakin
# bergairah para penyusup. Anda harus menentukan dimana titik temu antara kenyamanan dan keamanan
# dari sistem tersebut. Sebagai perbandingan, anda bisa melakukan setting terhadap sistem untuk
# hanya mengijinkan akses ke sistem hanya melalui IP/Hostname yang terdaftar, ini lebih aman
# tentunya, tapi bagaimana bila mereka tidak berada di IP/Hostname yang telah terdaftar kedalam
# sistem ? Anda juga bisa melakukan setting ke sistem untuk tidak dapat berinteraksi dengan
# internet, tapi batasan ini tidak terlalu berguna. Bila anda mempunyai situs yang berukuran
# sedang-besar, anda harus mengadakan polis sekuritas yang dibutuhkan untuk mengetahui seberapa
# penting/banyak yang dibutuhkan oleh situs dan audit apa yang akan dipakai. Anda bisa mencari
# contoh polis sekuritas di http://www.faqs.org/rfcs/rfc2196.html .

Apa yang ingin anda lindungi ?

# Sebelum anda mencoba mengamankan sistem anda, anda terlebih dahulu harus dapat menetukan
# tingkat dari ancaman yang bakal dihadapi, resiko yang harus atau tidak harus diambil, dan
# seberapa rawan sistem anda sebagai hasilnya. Anda harus menganalisa sistem untuk mengetahui apa
# yang anda lindungi, mengapa anda lindungi, berapa nilai yang anda lindungi dan siapa yang
# bertanggung jawab terhadap data dan aset yang lain. Resiko adalah kemungkinan penyusup berhasil
# melakukan penetrasi kedalam sistem anda. Dapatkah penyusup membaca atau menulis file, atau
# meng-eksekusi program yang dapat merusak sususan sistem ? Dapatkah penyusup menghapus data
# penting ? Dapatkah penyusup mengakali sistem sehingga anda dan perusahaan tidak dapat masuk
# kedalam sistem ? Jangan lupakan bahwa : Seseorang yang dapat akses ke account anda, atau
# kedalam sistem juga dapat mengelabui anda. Biasanya, bila mempunyai 1 account yang tidak aman
# didalam sistem akan menyebabkan sistem secara keseluruhan dapat dirusak. Jika anda mengijinkan
# satu user tunggal untuk login menggunakan file .rhost, atau menggunakan service yang tidak aman
# seperti tftp maka semakin besar resiko yang akan anda hadapi, seperti membiarkan penyusup
# meletakkan satu kakinya kedalam sistem anda. Sekali penyusp berhasil masuk maka dia bisa
# menggunakan sistem anda untuk melakukan penyusupan ke sistem yang lain. Ancaman biasanya dari
# seseorang yang mempunyai motivasi untuk mendapatkan akses kedalam jaringan anda. Anda harus
# dapat memilih atau mempercayai siapa saja yang dapat melakukan akses kedalam sistem anda, dan
# ancaman apa yang dapat mereka sebabkan.Ada beberapa macam karakteristik yang berbeda dari para
# penyusup, dan ini sangat berguna untuk mengetahui secara jelas karakter dan motivasi mereka
# untuk mengamankan sistem anda.

# Si Ingin Tahu : Tipe penyusup ini didasari dari rasa keingin tahuan mereka tentang sistem dan
# data yang anda miliki.

# Si Perusak : Tipe penyusup ini biasanya membuat sistem anda mengalami masalah, atau melakukan
# penggantian halaman depan, atau memaksa anda untuk menghabiskan waktu dan biaya untuk
# memperbaiki sistem anda yang telah rusak yang disebabkan oleh penyusup.

# Si Tukang Pamer : Tipe penyusup ini biasanya mencoba menggunakan sistem anda untuk mendapatkan
# ketenaran dan popularitas dikalangan "Underground". Dia dapat menggunakan keamanan sistem anda
# untuk memamerkan kemampuan dia.

# Si Pelomba : Tipe penyusup ini biasanya tertarik dengan data apa yang anda miliki didalam
# sistem anda. Mungkin juga seseorang yang berpikir bahwa anda mempunyai sesuatu yang dapat
# menguntungkan dia, secara finansial atau sebaliknya.

# Si Tukang Pinjam : Tipe penyusup ini tertarik dengan setting di sistem anda dan mencoba memakai
# sumber daya yang ada untuk tujuan pribadi mereka. Biasanya mereka akan menjalankan IRC Server,
# PsyBNC, Eggdrop, Koleksi porno, bahkan mungkin melakukan instalasi Server DNS !!.

# Si Bajing Loncat : Tipe penyusup ini biasanya tertarik kepada sistem anda untuk dapat masuk
# kedalam sistem yang lain. Bila sistem anda terhubung dengan baik atau merupakan Gateway
# terhadap beberapa Internal Host, anda mungkin dapat melihat tipe ini berusaha untuk masuk
# kedalam sistem anda.

# Celah keamanan menjelaskan seberapa terlindungi sistem anda dari jaringan lain, dan berapa
# besar potensi seseorang untuk melakukan penyusupan. Berapa banyak waktu yang dibutuhkan untuk
# mengambil/menyelamatkan data yang hilang ? Waktu yang anda bisa hemat sepuluh kali lebih banyak
# apabila anda telah melakukan back-up sekarang. Sudahkan anda menentukan strategi back-up, atau
# sudahkah anda melakukan audit terhadap sistem anda belakangan ini ?

"Apa yang tidak diperbolehkan berarti terlarang"

# Ini berarti sebelum anda mengijinkan user untuk menggunakan service, berarti user tidak dapat
# menggunakan sampai anda mengijinkan untuk digunakan. pastikan bahwa Polis bekerja pada account
# user regular. Misalnya "Ah.. saya tidak dapat melakukan menyelesaikan masalah 'perijinan' ini,
# akan saya lakukan saja memakai 'root'" dapat berdampak pada celah keamanan, dan bahkan yang
# belum dieksploitasi sebelumnya.

# Dokumen ini akan sedikit membahas variasi yang dapat anda lakukan untuk melakukan pengamanan
# terhadap aset yang anda miliki dengan susah payah : PC anda, Data anda, Pengguna anda, Jaringan
# anda, bahkan reputasi anda !! Apa yang akan terjadi pada reputasi anda apabila penyusup
# menhapus beberapa file penting dari Pengguna anda ? Atau mungkin melakukan Defacing Tampilan
# awal situs anda ? Atau mempublikasikan Rencana Proyek perusahaan anda kedepan. Bila anda
# berencana untuk melakukan instalasi Jaringan, terdapat banyak faktor yang harus anda ambil
# sebelum memasukkan 1 PC kedalam jaringan anda. Bahkan bila anda mempunyai koneksi Dial-Up
# (PPP), atau mungkin hanya sebuah situs kecil, ini bukan berarti bahwa penyusup tidak akan
# tertarik terhadap sistem anda. Situs besar atau yang mempunyai Imej tinggi bukan merupakan
# satu-satunya target, banyak penyusup secara sederhana hanya menginginkan sebanyak mungkin
# situs yang dapat mereka eksploit, tergantung dari ukuran mereka. Biasanya mereka menggunakan
# celah keamanan pada situs untuk mendapat akses ke situs lain ditempat anda terhubung. Penyusup
# mempunyai banyak waktu untuk mencari celah tersebut dan dapat menghindari menebak bagaimana
# kehandalan situs anda dengan mencoba segala kemungkinan. Juga terdapat beberapa alasan dari
# penyusup yang membuat mereka tertarik dengan sistem anda.

Keamanan Boot Loader

# Banyak variasi dari boot loader linux menyediakan fasilitas passwrd boot. LILO, sebagai contoh,
# mempunyai password dan rules password di"minta" pada saat komputer melakukan Boot.

# >Dari lilo.conf manual :
# password=password
# The per-image option `password=...' (see below) applies to all images.
# restricted
# The per-image option `restricted' (see below) applies to all images.
# password=password
# Protect the image by a password.
# restricted

# Sebuah password dibutuhkan hanya pada saat Booting bila parameter dispesifikasikan pada Command
# Line, ingat baik-baik password anda, karena ini akan "sedikit" menghambat penyusup. Juga harus
# anda rubah (chmod) pada /etc/lilo.conf ke "600" (hanya root yang dapat membaca dan mengubah.)

Deteksi keamanan fisik

# Hal pertama yang harus anda ingat adalah ketika PC anda melakukan reboot. Linux terkenal karena
# handal dan sangat stabil, sehingga bila PC anda melakukan reboot pada saat anda melakukan
# Upgrade sistem, pengecekan Hardware, atau sejenisnya. Jika PC anda melakukan Reboot tanpa
# dilakukan oleh anda, ini mungkin pertanda bahwa penyusup telah berhasil memasuki sistem anda.
# Banyak cara yang dapat dilakukan untuk dapat memasuki sistem anda dengan cara melakukan reboot
# Atau shutdown PC anda.

# Lakukan pengecekan terhadap penyusupan didekat Casing atau area sekitar Computer. Mungkin
# penyusup dapat menghapus jejak kehadiran mereka, sangat dianjurkan untuk melakukan pengecekan
# secara menyeluruh untuk melihat kejanggalan yang mungkin atau sedang terjadi. Sangat dianjurkan
# agar anda menyimpan file log pada tempat yang aman, misalnya di PC yang telah anda siapkan,
# sehingga dapat berguna apabila sistem anda telah disusupi karena anda akan segera mengetahui
# tanpa disadari oleh penyusup itu sendiri.

# Juga diharapkan anda agar waspada terhadap Log palsu, karena dengan beberapa eksploit, maka
# Syslog akan menerima masukan Log yang menyatakan bahwa itu berasal dari localhost tanpa
# melakukan pengecekan dari mana asal mereka. beberapa hal yang anda harus periksa didalam Log :

# Log yang pendek atau tidak lengkap
# Log yang mempunyai tanggal yang ganjil
# Log yang tidak sesuai dengan Polis yang anda tentukan
# Laporan dari Booting atau Re-start suatu Service
# Log yang hilang
# Log yang tidak berada pada tempatnya (log su)

# Hal berikut yang harus anda perhatikan dalam masalah keamanan sistem adalah serangan yang
# berasal dari dalam sistem itu sendiri, biasanya para SysAdmin memberikan sedikit "kelonggaran"
# kepada pengguna lokal, mereka dengan mudah dapat menaikkan status normal mereka ke "su" atau
# "sudo" agar bisa setara dengan "root".

Keamanan Root

# Hal yang sangat dicari didalam sistem anda adalah account root (superuser). Account ini
# mempunyai otoritas terhadap keseluruhan sistem anda, yang bilamana juga menyertakan otoritas
# terhadap PC lain didalam jaringan anda. Ingat bahwa anda hanya dapat menggunakan account root
# dengan singkat, tugas yang lebih spesifik dan sebaiknya lebih banyak menggunakan account biasa.
# Karena hanya dengan 1 kesalahan kecil yang dibuat ketika anda login sebagai root dapat
# menyebabkan masalah, semakin sedikit waktu anda login sebagai root maka semakin aman sistem
# anda.

# Beberapa trik yang dapat dilakukan untuk menghindari kesalahan sewaktu login dengan root adalah
# Ketika melakukan beberapa command yang komplex, usakan running itu terlebih dahulu dengan cara
# yang aman, apalgi ketika command yang sedikit membahayakan, misalnya "rm *.tar.gz" sebaiknya
# anda melakukan command "ls *.tar.gz" dan pastikan bahwa file yang akan dihapus adalah
# benar-benar yang anda inginkan. Menggunakan echo di command yang bersifat merusak kadang kala
# sangat berguna.

# Jika anda benar-benar terpaksa harus mengijinkan akses kepada seseorang (mudah-mudahan yang
# dapat dipercaya), ada beberapa tool yang dapat membantu. Sudo memberikan beberapa akses kedalam
# sistem sebagai root. Sudo juga menyimpan beberapa Log percobaan untuk menjadi pengguna Sudo,
# yang dengan sendirinya memudahkan anda untuk melakukan pelacakan siapa saja yang berusaha
# menggunakan command sudo dan memantau perubahan yang terjadi.

Data dan Keamanan Sistem Data

# Beberapa menit persiapan dan perencanaan kedepan sebelum membuat sistem anda online dapat
# menolong keselamatan data anda dan data yang tersimpan didalam sistem, Tidak ada alasan untuk
# Pengguna direktori "/home/" untuk mengijinkan program SUID/SGID berjalan dari sana. Gunakan
# pilihan nosuid di "/etc/fstab" untuk pasrtisi yang dapat di baca+tulis selain dari root. Anda
# dapat juga menggunakan nodev dan noexec pada partisi "/home/" seperti juga pada "/var/",
# pelarangan eksekusi tersebut sedikit banyak dapat menolong sistem anda, Trust me... coz i've
# been there... and K-159 too !! wakakakakakakakaka......

# Setting batas File System daripada membiarkan "tak-terbatas", Anda dapat mengontrol batas
# per-pengguna untuk memanajemen penggunaan sumber daya yang ada dengan menggunakan
# resource-limit modul PAM dan "/etc/pam.d/limits.conf" . Sebagai contoh pembatasan penggunaan
# sumber daya sebagai berikut :

# @users hard core 0
# @users hard nproc 50
# @users hard rss 5000

# Ini berarti anda membatasi pembuatan Inti Data, membatasi penggunaan jumlah proses sampai di
# 50, dan membatasi penggunaan memory sampai 5M. Anda juga dapat menggunakan konfigurasi
# "/etc/login.defs" untuk melakukan pembatasan yang sama.

-- eof –

*to be continued to part II

*Things u Must Do :
1.Sering check file log, misalnya /var/log/messages ,
2.Sering check system anda, kalo bisa adakan Auditing yang regular.
3.Back-Up data anda secara berkala.
4.Back-Up system anda secara berkala.
5.The final….. Trus No One !!


*REFERENSI :
Security Docs http://www.securitydocs.org
Linux-Security-HOWTO http://en.tldp.org/docs.html#howto
linux bash command http://www.ss64.com/bash/
Merupakan saduran dari berbagai sumber

*greetz to:
K-159, yudhax, y3d1ps, the_day, z3r0byt3, eCHO- Staff, Aikmel Crew,
HyDr4, mitha_cute87, mitha_moore, Co_bain (thx for CD OpenBSD 3.5),
Cmaster4, SlimJim100, blue`oxygen (bot gw :d), BoTZ, Anda Juga :d

*Thanks to:
God, eGLa, Eva, Family, My Ex-, JiPaNG (JuRaGan NeGH), slashcore (The Zen)

kirimkan kritik && saran ke blu3_oxygen@phreaker.net

← previous
next →
loading
sending ...
New to Neperos ? Sign Up for free
download Neperos App from Google Play
install Neperos as PWA

Let's discover also

Recent Articles

Recent Comments

Neperos cookies
This website uses cookies to store your preferences and improve the service. Cookies authorization will allow me and / or my partners to process personal data such as browsing behaviour.

By pressing OK you agree to the Terms of Service and acknowledge the Privacy Policy

By pressing REJECT you will be able to continue to use Neperos (like read articles or write comments) but some important cookies will not be set. This may affect certain features and functions of the platform.
OK
REJECT