Filed under: About my job
Seorang hacker dapat memanfaatkan semua kelemahan yang ada di server. Karena itu hendaknya server haruslah dikonfigurasi dengan sangat hati-hati, dan seluruh hal-hal sekecil-kecilnya, yang dapat dimanfaatkan oleh hacker harus ditutup. Sebagai seorang netadmin, kita harus tahu apa saja program yang berjalan di server, dan apabila terdapat program yang tidak perlu dijalankan hendaknya diuninstall saja.
A. /etc/profile
Kita harus waspada apabila menggunakan account root. Maka kita bisa mengkonfigurasi batasan seorang user idle (tidak melakukan aktifitas apapun).TMOUT=3600, membuat seorang user termasuk root apabila tidak aktif selama 1 jam, otomatis akan logout sendiri.
B. /etc/inetd.conf dan /etc/services
Mekanisme inetd kita sebut sebagai super server. Kita bisa mengkonfigurasi daemon dari sini. Inetd diikuti oleh mekanisme tcp warppers, yang membuat program tcpd menjalankan autentifikasi dan autorisasi terhadap program (daemon sebenarnya) yang akan dijalankan dan mencatat seluruh request terhadap service yang ada di /etc/inetd.conf. Program tcpd akan membuat log di /var/log/secure. Biasanya service yang dibuka dari sini adalah telnet, pop3, imap, talk (talkd dan ntalk), finger, auth. Masing-masing daemon akan membuka port-port yang dapat melayani service-servicenya. Untuk mengatur port mana saja yang boleh dibuka, adalah /etc/service. Untuk mengatur dari mana saja tcpd beserta service yang mengkutinya, kita harus mengkonfigurasi /etc/hosts.allow, /etc/hosts.deny.
C. Membatasi user yang bisa su ke root
Langkah pertama adalah menambah file /etc/pam.d/su dengan dua buah baris perintah:
Auth sufficient /lib/security/pam_rootok.so debug
Auth required /lib/security/pam_wheel.so group=wheel
Langkah kedua adalah menambahkan nama user ke /etc/group di group bernama wheel
Wheel admin,Tukul
D. Mengamankan dengan kernel
Kita bisa mengubah konfigurasi tertentu dari kernel tanpa mengcompilenya, dengan cara memodifikasi file /etc/sysctl.conf.
Untuk mencegah DOS (denial of service attact)
Net.ipv4.tcp_sysncookies = 1
Jika linux mempunyai service masquerade
Net.ipv4.ip_always_defrag = 1
Mencegah IP spoofing
Net.ipv4.conf.all.rp_filter = 1
Untuk mencatat spoofed packet, source routed packet, dan redirect packet
Net.ipv4.conf.all.log_martians = 1
Semua konfigurasi diatas dapat berjalan setelah merestart network service. /etc/rc.d/init.d/network restart
1 Comment so far
Leave a comment
wah ndak ngerti bro…… seep lah pokoknya.
yang penting jualan bro…
Comment by adrian June 26, 2007 @ 2:17 pm