Phenquestions
| Kebijakan | Pengguna rumahan | Server |
| Nonaktifkan SSH | ✔ | x |
| Nonaktifkan akses root SSH | x | ✔ |
| Ubah port SSH | x | ✔ |
| Nonaktifkan login kata sandi SSH | x | ✔ |
| Iptables | ✔ | ✔ |
| IDS (Sistem Deteksi Intrusi) | x | ✔ |
| Keamanan BIOS | ✔ | ✔ |
| Enkripsi Disk | ✔ | x/✔ |
| Pembaruan sistem | ✔ | ✔ |
| VPN (Jaringan Pribadi Virtual) | ✔ | x |
| Aktifkan SELinux | ✔ | ✔ |
| Praktik Umum | ✔ | ✔ |
- Akses SSH
- Firewall (iptables)
- Sistem Deteksi Intrusi (IDS)
- Keamanan BIOS
- Enkripsi hard disk
- Pembaruan sistem
- VPN (Jaringan Pribadi Virtual)
- Aktifkan SELinux (Linux yang Ditingkatkan Keamanan)
- Praktik Umum
Akses SSH
Pengguna rumahan:
Pengguna rumahan tidak benar-benar menggunakan ssh, alamat IP dinamis dan konfigurasi NAT router membuat alternatif dengan koneksi terbalik seperti TeamViewer lebih menarik. Ketika layanan tidak digunakan, port harus ditutup baik dengan menonaktifkan atau menghapus layanan dan dengan menerapkan aturan firewall yang membatasi.
Server:
Berlawanan dengan pekerja pengguna rumahan yang mengakses server yang berbeda, administrator jaringan sering menjadi pengguna ssh/sftp. Jika Anda harus tetap mengaktifkan layanan ssh, Anda dapat mengambil langkah-langkah berikut:
- Nonaktifkan akses root melalui SSH.
- Nonaktifkan login kata sandi.
- Ubah port SSH.
Opsi Konfigurasi SSH Umum Ubuntu
Iptables
Iptables adalah antarmuka untuk mengelola netfilter untuk menentukan aturan firewall. Pengguna rumahan mungkin cenderung ke UFW (Uncomplicated Firewall) yang merupakan frontend untuk iptables untuk mempermudah pembuatan aturan firewall. Terlepas dari antarmuka intinya segera setelah pengaturan firewall adalah salah satu perubahan pertama yang diterapkan. Bergantung pada kebutuhan desktop atau server Anda, yang paling direkomendasikan untuk masalah keamanan adalah kebijakan pembatasan yang hanya mengizinkan apa yang Anda butuhkan sambil memblokir sisanya. Iptables akan digunakan untuk mengarahkan ulang port SSH 22 ke port lain, untuk memblokir port yang tidak perlu, memfilter layanan, dan menetapkan aturan untuk serangan yang diketahui.
Untuk informasi lebih lanjut tentang iptables, periksa: Iptables untuk pemula
Sistem Deteksi Intrusi (IDS)
Karena sumber daya tinggi yang mereka butuhkan, IDS tidak digunakan oleh pengguna rumahan, tetapi mereka adalah keharusan di server yang terkena serangan. IDS membawa keamanan ke tingkat berikutnya yang memungkinkan untuk menganalisis paket. IDS yang paling dikenal adalah Snort dan OSSEC, keduanya telah dijelaskan sebelumnya di LinuxHint. IDS menganalisis lalu lintas melalui jaringan mencari paket atau anomali berbahaya, ini adalah alat pemantauan jaringan yang berorientasi pada insiden keamanan. Untuk instruksi tentang instalasi dan konfigurasi untuk 2 solusi IDS paling populer, periksa: Konfigurasikan Snort IDS dan Buat Aturan
Memulai dengan OSSEC (Sistem Deteksi Intrusi)
Keamanan BIOS
Rootkit, malware, dan BIOS server dengan akses jarak jauh menunjukkan kerentanan tambahan untuk server dan desktop. BIOS dapat diretas melalui kode yang dieksekusi dari OS atau melalui saluran pembaruan untuk mendapatkan akses tidak sah atau melupakan informasi seperti cadangan keamanan.
Tetap perbarui mekanisme pembaruan BIOS. Aktifkan Perlindungan Integritas BIOS.
Memahami proses Boot - BIOS vs UEFI
Enkripsi hard disk
Ini adalah ukuran yang lebih relevan untuk pengguna Desktop yang mungkin kehilangan komputer mereka, atau menjadi korban pencurian, ini sangat berguna untuk pengguna laptop. Saat ini hampir setiap OS mendukung enkripsi Disk dan partisi, distribusi seperti Debian memungkinkan untuk mengenkripsi hard disk selama proses instalasi. Untuk instruksi tentang enkripsi disk, periksa: Cara Mengenkripsi Drive di Ubuntu 18.04
Pembaruan sistem
Baik pengguna desktop dan sysadmin harus selalu memperbarui sistem untuk mencegah versi yang rentan menawarkan akses atau eksekusi yang tidak sah. Selain menggunakan manajer paket yang disediakan OS untuk memeriksa pembaruan yang tersedia, menjalankan pemindaian kerentanan dapat membantu mendeteksi perangkat lunak rentan yang tidak diperbarui pada repositori resmi atau kode rentan yang perlu ditulis ulang. Di bawah ini beberapa tutorial tentang pembaruan:
- Bagaimana Menjaga Ubuntu 17.10 hingga Tanggal
- Linux Mint Cara Memperbarui Sistem
- Cara Memperbarui Semua Paket di OS dasar
VPN (Jaringan Pribadi Virtual)
Pengguna internet harus sadar bahwa ISP memantau semua lalu lintas mereka dan satu-satunya cara untuk membelinya adalah menggunakan layanan VPN. ISP dapat memantau lalu lintas ke server VPN tetapi tidak dari VPN ke tujuan. Karena masalah kecepatan, layanan berbayar adalah yang paling direkomendasikan, tetapi ada alternatif bagus gratis seperti https://protonvpn.com/.
- VPN Ubuntu Terbaik
- Cara Memasang dan Mengonfigurasi OpenVPN di Debian 9
Aktifkan SELinux (Linux yang Ditingkatkan Keamanan)
SELinux adalah kumpulan modifikasi Kernel Linux yang berfokus pada pengelolaan aspek keamanan yang terkait dengan kebijakan keamanan dengan menambahkan MAC (Mechanism Access Control), RBAC (Role Based Access Control), MLS (Multi Level Security) dan Multi Category Security (MCS). Ketika SELinux diaktifkan, aplikasi hanya dapat mengakses sumber daya yang diperlukan yang ditentukan pada kebijakan keamanan untuk aplikasi. Akses ke port, proses, file, dan direktori dikontrol melalui aturan yang ditentukan di SELinux yang mengizinkan atau menolak operasi berdasarkan kebijakan keamanan. Ubuntu menggunakan AppArmor sebagai alternatif.
- SELinux di Ubuntu Tutorial
Praktik Umum
Hampir selalu kegagalan keamanan disebabkan oleh kelalaian pengguna. Selain semua poin yang diberi nomor sebelumnya, ikuti praktik berikut:
- Jangan gunakan root kecuali diperlukan.
- Jangan pernah menggunakan X Windows atau browser sebagai root.
- Gunakan pengelola kata sandi seperti LastPass.
- Gunakan kata sandi yang kuat dan unik saja.
- Coba tidak untuk menginstal paket tidak gratis atau paket yang tidak tersedia di repositori resmi.
- Nonaktifkan modul yang tidak digunakan.
- Di server, terapkan kata sandi yang kuat dan cegah pengguna menggunakan kata sandi lama.
- Copot pemasangan perangkat lunak yang tidak digunakan.
- Jangan gunakan kata sandi yang sama untuk akses yang berbeda.
- Ubah semua nama pengguna akses default.
| Kebijakan | Pengguna rumahan | Server |
| Nonaktifkan SSH | ✔ | x |
| Nonaktifkan akses root SSH | x | ✔ |
| Ubah port SSH | x | ✔ |
| Nonaktifkan login kata sandi SSH | x | ✔ |
| Iptables | ✔ | ✔ |
| IDS (Sistem Deteksi Intrusi) | x | ✔ |
| Keamanan BIOS | ✔ | ✔ |
| Enkripsi Disk | ✔ | x/✔ |
| Pembaruan sistem | ✔ | ✔ |
| VPN (Jaringan Pribadi Virtual) | ✔ | x |
| Aktifkan SELinux | ✔ | ✔ |
| Praktik Umum | ✔ | ✔ |
Saya harap Anda menemukan artikel ini bermanfaat untuk meningkatkan keamanan Anda. Ikuti terus LinuxHint untuk tips dan pembaruan lainnya tentang Linux dan jaringan.
