Copy Link
Add to Bookmark
Report
Echo Magazine Issue 07 Phile 0x023
____________________ ___ ___ ________
\_ _____/\_ ___ \ / | \\_____ \
| __)_ / \ \// ~ \/ | \
| \\ \___\ Y / | \
/_______ / \______ /\___|_ /\_______ /
\/ \/ \/ \/
.OR.ID
ECHO-ZINE RELEASE
07
Author: \conan\ aka sugar_free || sugar_free@telkom.net
Online @ www.echo.or.id :: http://ezine.echo.or.id
== Trik Meningkatkan Security Linux Box ==
Bagaimana cara membuat Box Linux kita aman, ini buat tambahan bagi admin yang
pengen boxnya aman dari tangan2 yang tidak bertanggung jawab, ciehhh
..
Oke deh, sekarang kita coba,
Seperti biasa yang harus disediakan adalah
1) Rokok djie sam soe dan kopi torabika 3in1
2) Linux Box (gw biasanya pake Redhat, tapi untuk linux yang lain kemungkinan
besar bisa juga )
3) Sedikit kesabaran untuk membaca
4) Sedikit Keberuntungan
Cuma itu doank kok
Yang pertama dan utama adalah Mengecek Box kita dari Serangan intruder maupun
backdoor (kecuali fresh install),
Jelas donk sebelum kita mengamankan box, kita harus mengecek apakah box kita
masih bersih atau sudah ternodai , kekeekkeke .Untuk mengeceknya mungkin teman²
dah pada tau, kita menggunakan chkrootkit untuk mengecek apakah telah ada rootkit
atau backdoor yang bercokol box kita.Langkah-langkahnya sbb.
1.wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
2.tar xzvf chkrootkit.tar.gz
3.cd chkrootkit
4.make sense
5.dan yang terakhir adalah ./chkrootkit gak pake petik. Setelah itu akan berjalan
proses pembersihan dan pengecekan apakah rootkit sudah terinstall atau belum
Yang kedua adalah penggunaan password yang bagus
Bagaimanakah criteria password yang bagus ?
Kebanyakan dari admin ataupun penghuni dunia cyber selalu menggunakan password
yang gampang di ingat, dan sayangnya kebanyakan juga yang selalu digunakan itu
gak jauh² dari nama pacar,nomor rumah,asdfghjkl atau qwerty. Dan kesemuanya
itu dengan gampangnya di crack dengan menggunakan brute force attack.
Untuk mengetes apakah password kita telah sedikit aman atau masih ada kemungkinan
bisa di attack dengan menggunakan program brute force attack, kita dapat melihat
trik yang sering di gunakan cracker
di http://ezine.echo.or.id/ezine5/ez-r05-moby-artpass.txt :)
Yang ketiga adalah rutinitas update system
Karena box yang gw pake adalah redhat, kita bias menggunakan up2date tanpa petik,
dan segera box kita akan mendapatkan update dari site redhat.com. namun untuk
distro lain dapat dibaca pada website distro masing2
Yang keempat , mematikan service yang tidak kita gunakan
Jika tidak mempunyai alas an yang kuat untuk menjalankan sebuah service sebaiknya
kita harus mematikan service tersebut. Menjalankannya berarti menambah kemungkinan
hole pada box.
Yang kelima,
Jika Kita menggunakan FTP untuk mentranfer file kedalam box, gunakan Secure FTP
Seperti telah kita tau besama, bahwa ftp menggunakan text murni tanpa enkripsi dalam
pengiriman data, ini berarti username dan password yang kita kirim adalah text yang
dapat di baca. Seseorang dengan pengetahuan sedikit mengenai linux, dapat menjalankan
paket sniffer pada jaringan, dan mendapatkan username dan password dari ftp kita.
Oleh Karena itu sangat disarankan untuk menggunakan secure FTP
Yang Keenam Pengamanan SSH
Jika kita ingin mengakses box linux kita, disarankan untuk menggunakan SSH,
dibandingkan Telnet.
Untuk konfigurasinya sbb.
1.nano /etc/ssh/sshd_config
2.cari baris yang ada tulisan #Port 22 , unkoment dan ganti port 22 menjadi angka
yang susah untuk ditebak misal 5110 , ini akan sedikit menolong box kita untuk
menjaga hal-hal seperti masscanner SSH atau worm yang akan menyecan SSH dan melihat
apakah SSH yang kita gunakan dapat di exploit. Ini dapat meningkatkan sedikit
tingkat keamanan box kita dari serangan Cracker2 baru
3.Cari #Protocol 2,1 , unkoment dan ganti menjadi Protocol 2. Ini akan memaksa SSHD
untuk menggunakan SSH versi 2 dibanding Versi 1. Yang di claim lebih aman dari Versi 1
4.Cari #PermitRoorLogin yes, Unkoment dan ganti dengan PermitRootLogin No ini akan
menjaga kita untuk menggunakan user root. Namun kita harus menggunakan user dengan
level lebih rendah kemudian menggunakan su untuk menjadi root. Untuk Cracker yang
akan mendapatkan akses pada box kita, cracker tersebut harus mengetahui user name
kita dan password serta password dari root itu sendiri
5.Save file tersebut kemudian restart SSHD. Biasanya /etc/init.d/sshd restart
6.cek dengan menggunakan netstat -plnat |grep sshd ,tanpa petik dan kita akan melihat
bahwa SSHD kita berjalan pada port yang kita inginkan
Jika Linux Box kira berada di internet dan kita mengakses melalui SSH, dan IP kita
menggunakan alamat static, maka kita harus mengconfigure agar Box Linux kita hanya
menerima akses SSH dari IP address kita
1.nano /etc/hosts.allow
2.tambahkan sshd: ip tanpa kutip, (ganti ip dengan ip static kita)
3.save file tersebut. Kemudian buka /etc/hosts.deny
4.Tambahkan sshd: ALL tanpa petik kemudian di save
Ke Tujuh , Sembunyikan informasi mengenai Versi Service
1 .Jika kita harus menjalankan web service seperti Apache kita harus mendisable atau
mengganti versi apache untuk menghindari cracker amatir dan menghentikan automatic
script yang akan mencari versi apache kita.Caranya sangat gampang, buka file httpd.conf
(biasanya /etc/httpd/conf/httpd.conf) dan cari ServerSignature ganti menjadi
ServerSignature off dan juga ganti ServerTokens menjadi ServerTokens ProductOnly
tanpa kutip. Save kemudian restart apache.Ini akan menyembunyikan Versi dari server.
Atau kita bisa menipu ? Para cracker dengan mengganti nama atau versi dari apache kita
pada file httpd.h kemudian kompile ulang apache. Atau dengan cara licik (bukan attacker
doank yg bisa licik kekekekek) kita edit file binary httpd kemudian cari didalam binary
tersebut Apache (silahkan mengedit)
2 .Jika kita menggunakan php, kita dapat menyembunyikan versi php dengan mengedit file
/etc/php.ini, cari expose_php = On, dan ganti dengan expose_php = Off. Save kemudian
restart apache agar bias keliatan efeknya
3 .Jika kita menggunakan sendmail (tidak direkomendasikan), maka bersiaplah akan serangan
dari cracker, namun kita dapat menyembunyikan versi dengan mengedit /etc/mail/sendmail.mc
kemudian tambahkan (`confSMTP_LOGIN_MSG',' Welcome all custome to my Mail Server '),
kemudian jalankan m4 /etc/mail/sendmail.mc > /etc/sendmail.cf atau make C /etc/mail.
Kemudian edit file dengan echo smtp Help > /etc/mail/helpfile .
namun cara tersebut hanya mengurangi cracker dan bukan merupakan solusi mutlak, solusi paling
utama adalah mengupdate dengan versi paling baru
Ke Delapan, Menginstall Libsafe
Libsafe, adalah salah satu solusi untuk menghindari serangan string dan buffer overflows.
Ini akan secara dinamis mengganti LD_PRELOAD.
Untuk menginstall Libsafe adalah sbb
1.wget http://www.research.avayalabs.com/project/libsafe/src/libsafe-2.0-16.i386.rpm
2.rpm ivh libsafe-2.0-16.i386.rpm
3.untuk melihat bahwa libsafe telah terinstall kita bisa mengecek dengan menggunakan
cat /etc/ld.so.preload
Ke Sembilan, Menginstall GRSecurity kernel patch
GRSecutiry adalah kernel pacth yang akan meningkatkan kemampuan dari linux box kita melawan
buffer overflow dan kasus lain pada kernel. Untuk informasi dapat dilihat di
http://www.grsecurity.net/download.php
Ke Sepuluh, Mount /tmp dengan noexec
Salah satu yang akan dilakukan cracker setelah mendapatkan shell adalah berusaha untuk
menaikkan previllage menjadi root atau setara dengan root, dan tempat favorit adalah
/tmp, /usr/tmp, /var/tmp (kekekkek,pengalaman pribadi ?)
Untuk melakukannya dengan langkah sbb
1.cd /dev
2.dd if=/dev/zero of=securetmp bs=1024 count=100000
3.mke2fs /dev/securetmp
4.cp -R /tmp /tmp_backup
5.mount -o loop,noexec,nosuid,rw /dev/securetmp /tmp
6.chmod 0777 /tmp
7.cp -R /tmp_backup/* /tmp/
8.rm -rf /tmp_backup
9.kemudian tambahkan mount -o loop,noexec,nosuid,rw /dev/securetmp /tmp pada /etc/rc.local
atau di /etc/fstab
/dev/tmpMnt /tmp ext2 loop,noexec,nosuid,rw 0 0
10. save file tersebut
11. Coba test directory tmp tersebut dengan menambahan file ke tmp directory dan coba jalankan
file tersebut , akan muncul pesan Permission Deniad
Ulangi untuk /var/tmp dan /usr/tmp
Ke Sebelas, Install Firewall
Kita dapat menggunakan APF (Advance Policy Firewall) , script yang menggunakan IPtables dan
sangat mudah untuk di install
1. wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz
2. tar -xzvf apf-*
3. cd apf-*
4. sh install.sh
5. cat README
Ke duabelas, Sembunyikan / Ubah Versi Operating system
Ada 4 buah TCP setting yang akan memungkinkan cracker untuk melihat versi dari operating
system dari Box Linux kita. 2 dari 4 settingan tersebut sangat disarankan untuk diganti
jika kita ingin menyembunyikan versi O/S dari cracker baru dan mempunyai pengetahuan yang
kurang pada operating system (kayak gw, ?). 2 buah setting tersebut adalah Windows Size
dan Default Time to Live. Untuk melihat list fingerprint dapat dilihat pada
http://www.honeynet.org/papers/finger/traces.txt yang akan menunjukkan default setting
untuk tiap O/S, ingat !! Dengan mengubah settingan ini dapat menurunkan atau bahkan
meningkatkan dari performansi Box kita, jadi jangan lupa untuk menyimpan default dari
O/S kita , Salah satu triknya adalah sbb
1.echo 60 > /proc/sys/net/ipv4/ip_default_ttl
2.echo 32768 > /proc/sys/net/core/rmem_max
3.echo 32768 > /proc/sys/net/core/rmem_default
4.jangan lupa untuk menambahkannya pada /etc/rc.local atau /etc/sysctl.conf
ada cara lain untuk membohongi scanner yang paling terkenal, yaitu nmap. tapi untuk saat
ini blom dibahas
REFERENSI a.k.a bacaan :
1.http://www.google.com
2.http://www.google.com
3.http://www.google.com
*greetz to:
All cyber squad crew
All #neoteker,#wongkito @dalnet crew
All TeleInformatics Labs STTTelkom Crew
kirimkan kritik && saran ke sugar_free@telkom.net