Tips Meningkatkan keamanan VPS

img: host1plus

Meningkatkan keamanan (security) VPS adalah sebuah kebutuhan yang seharusnya mendapatkan perhatian lebih dari seorang System Administrator VPS atau Server Linux sehingga tidak membiarkan VPS/Server menggunakan tingkat keamanan standard.

Berikut adalah beberapa tip meningkankan keamanan VPS/server anda, dimana hal ini saya implementasikan didalam sebuah VPS Linux dengan sistem operasi CentOS tetapi tidak menutup kemungkinan bisa di aplikasikan terhadap sistem operasi linux lainnya, silakan untuk lebih kreatif bertanya di goole.com

Install CHKROOTKIT

Hal pertama yang dilakukan adalah melakukan pengecekan terhadap VPS/Server kita dari serangan intruder maupun backdoor (kecuali sistem operasi baru diinstall dengan fresh install) dengan menggunakan chkrootkit untuk mengecek apakah telah ada rootkit atau backdoor yang sudah “menginap” di VPS/Server kita dengan cara:

  1. wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
  2. tar –xzvf chkrootkit.tar.gz
  3. cd chkrootkit
  4. make sense
  5. Jalankan perintah ./chkrootkit setelah itu akan berjalan proses pembersihan dan pengecekan apakah rootkit sudah terinstall atau belum di VPS atau Server kita.

Password yang tanggung

Password merupakan kunci untuk memasuki server kita sehingga sebaiknya password menggunakan kombinasi hurup besar, hurup kecil, angka maupun spesial karakter yang tidak mudah ditebak oleh orang yang berniat tidak baik sehingga tidak mudah di crack dengan menggunakan brute force attack.

Update Sistem

Menjadi sebuah keharusan kita untuk secara rutin melakukan update sistem. Untuk centOS bisa menggunakan yum update untuk debian atau ubuntu bisa menggunakan apt-get update, untuk sistem operasi linux lainnya silankan tanya google.com

Hanya Install/mengaktifkan service yang digunakan

Mematikan service yang tidak perlu, karena semakin banyak service yang berjalan di VPS/Server kita, maka semakin banyak pula celah/hole keamanan dari VPS/Server kita.

Gunakan Secure FTP

Sangat disarankan untuk menggunakan secure FTP dalam melakukan tranfer data dari local komputer kita kedalam VPS/Server atau sebaliknya, karena apabila menggunakan FTP biasa, karena FTP menggunakan text murni tanpa enkripsi dalam pengiriman data, ini berarti username dan password yang kita kirim adalah text yang dapat dibaca lebih mudah oleh paket sniffer

Akses Server melalui SSH

Untuk mengakses VPS/Server, sebaiknya meggunakan SSH dibandingkan dengan telnet, sehingga diperlukan beberapa langkah pengamanan SSH server dengan mengubah default konfigurasi pada SSH:

  1. nano /etc/ssh/sshd_config
  2. cari baris yang ada tulisan #Port 22 , hilangkan karakter # dan ganti port 22 menjadi angka yang tidak mudah untuk ditebak misal 3786 , ini akan sedikit menolong VPs/Server kita dari hal-hal yang baik seperti masscanner SSH atau worm yang akan men-scan SSH dan melihat apakah SSH yang kita gunakan dapat di exploit. Ini dapat meningkatkan sedikit tingkat keamanan VPS/Server kita dari serangan craker-craker baru
  3. Cari #PermitRoorLogin yes, hilangkan karakter # dan ganti dengan “PermitRootLogin No” ini dimaksudkan agak VPS/Server akan menolak login ke SSH server dengan menggunakan user root. Namun kita harus menggunakan user dengan level lebih rendah kemudian menggunakan “su –” untuk menjadi root. Tetapi sebelumnya anda harus membuat user baru yag bisa login ke VPS/Server dengan ssh.
  4. Simpan konfigurasi baru dengan perintah CTRL+O lalu keluar dengan perintah CTRL+X, kemudian restart SSHD dengan perintah /etc/init.d/sshd restart atau dengan perintah service sshd restart
  5. Gunakan perintah netstat -plnat |grep sshd ,untuk melihat bahwa SSHD kita berjalan pada port yang sudah kita ubah.

Apabila anda ingin IP anda (dedicated IP) yang hanya bisa akses ke server dengan menggunakan SSH, lakukan pengubahan konfigurasi sebagai berikut.

  1. nano /etc/hosts.allow
  2. tambahkan baris sshd: ip-dedicated-anda
  3. Simpan file tersebut. Kemudian buka /etc/hosts.deny
  4. Tambahkan sshd: ALL dan simpan file tersebut
  5. Sembunyikan informasi mengenai Versi Service VPS/Server

Sembunyikan Versi Service

  • Jika kita harus menjalankan web service atau web server seperti Apache kita harus mendisable atau mengganti versi apache untuk menghindari cracker amatir dan menghentikan automatic script yang akan mencari versi apache kita. Caranya sangat mudah, buka file httpd.conf (biasanya /etc/httpd/conf/httpd.conf) dan cari “ServerSignature” ganti menjadi “ServerSignature off” dan juga ganti “ServerTokens ” menjadi “ServerTokens ProductOnly” tanpa tanda kutip. keluar dari file tersebut dengan menekan ctrl+x lalu ketik y untuk menyimpan kemudian restart apache (biasanya dengan perintah service httpd2 restart). Ini akan menyembunyikan Versi dari web server kita.
  • Jika kita menggunakan php, kita dapat menyembunyikan versi php dengan mengedit file /etc/php.ini, cari “expose_php = On”, dan ganti dengan “expose_php = Off”. keluar dari file tersebut dengan menekan ctrl+x lalu ketik y untuk menyimpan kemudian restart apache agar bisa keliatan efeknya
  • Jika kita menggunakan sendmail (tidak direkomendasikan), maka bersiaplah akan serangan dari cracker, namun kita dapat menyembunyikan versi dengan mengedit

    1. /etc/mail/sendmail.mc
    2. kemudian tambahkan (`confSMTP_LOGIN_MSG’,’ Welcome all custome to my Mail Server ‘),
    3. kemudian jalankan m4 /etc/mail/sendmail.mc > /etc/sendmail.cf atau make –C /etc/mail.
    4. Kemudian edit file dengan echo smtp Help > /etc/mail/helpfile .

Install Libsafe

Libsafe, adalah salah satu solusi untuk menghindari serangan string dan buffer overflows. Ini akan secara dinamis mengganti LD_PRELOAD.

Untuk menginstall Libsafe adalah sebagai berikut:

  1. wget http://www.research.avayalabs.com/project/libsafe/src/libsafe-2.0-16.i386.rpm
  2. rpm –ivh libsafe-2.0-16.i386.rpm
  3. untuk melihat bahwa libsafe telah terinstall kita bisa mengecek dengan menggunakan cat /etc/ld.so.preload

Menginstall GRSecurity kernel patch

GRSecutiry adalah kernel pacth yang akan meningkatkan kemampuan dari VPS/Server linux kita melawan buffer overflow dan kasus lain pada kernel. Untuk informasi dapat dilihat di

http://www.grsecurity.net/download.php

Mount /tmp dengan noexec

Salah satu yang akan dilakukan cracker setelah mendapatkan shell adalah berusaha untuk menaikkan previllage menjadi root atau setara dengan root, dan tempat favorit adalah /tmp, /usr/tmp, /var/tmp

Untuk melakukannya dengan langkah sebagai berikut

  1. cd /dev
  2. dd if=/dev/zero of=securetmp bs=1024 count=100000
  3. mke2fs /dev/securetmp
  4. cp -R /tmp /tmp_backup
  5. mount -o loop,noexec,nosuid,rw /dev/securetmp /tmp
  6. chmod 0777 /tmp
  7. cp -R /tmp_backup/* /tmp/
  8. rm -rf /tmp_backup
  9. kemudian tambahkan mount -o loop,noexec,nosuid,rw /dev/securetmp /tmp pada /etc/rc.local atau di /etc/fstab /dev/tmpMnt /tmp ext2 loop,noexec,nosuid,rw 0 0
  10. Keluar dari file tersebut dengan menekan ctrl + x lalyu ketik y untuk simpan.
  11. Coba test directory tmp tersebut dengan menambahan file ke tmp directory dan coba jalankan
  12. file tersebut , akan muncul pesan “Permission Denied”

Ulangi untuk /var/tmp dan /usr/tmp

Pada VPS dengan virtualisasi OpenVZ untuk secure tmp gunakan langkah sebagai berikut:

  1. Edit /etc/fstab dengan ketik perintah nano -w /etc/fstab
  2. Tambahkan baris none /tmp tmpfs nodev,nosuid,noexec 0 0 pada bagian paling bawah dari /etc/stab
  3. Tekan ctrl + x untuk menutup file, tekan y untuk menyimpannya.
  4. Remount /tmp menjalankan perintah: mount -o remount /tmp
  5. Untuk memastikan /tmp sudah betul di-mount ketik df -h dan akan terlihat hasilnya seperti berikut:
  6. none 3.9G 0 3.9MG 0% /tmp.

untuk Secure /var/tmp langkahnya sebagai berikut:

  1. Backup /var/tmp dengan perintah: mv /var/tmp /var/tmpbackup
  2. Buat sebuah symbolic link yang membuat /var/tmp point ke /tmp dengan perintah berikut: ln -s /tmp /var/tmp
  3. Copy kembali data lama dengan perintah: cp /var/tmpbackup/* /tmp/
  4. Harus file backup yang sudah tidak diperlukan dengan perintah: rm -rf /var/tmpbackup

Setelah itu reboot VPS OpenVZ anda.

Install Firewall

Kita dapat menggunakan APF (Advance Policy Firewall) , script yang menggunakan IPtables dan sangat mudah untuk di install

  1. wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz
  2. tar -xzvf apf-*
  3. cd apf-*
  4. sh install.sh

Bisa juga menggunakan CSF (Config Server Firewall)

  1. rm -fv csf.tgz
  2. wget http://www.configserver.com/free/csf.tgz
  3. tar -xzf csf.tgz
  4. cd csf
  5. sh install.sh

Refensi: echo.or.id dan dari berbagai sumber.

Blog Wowrack Indonesia

Leave a Reply

Your email address will not be published. Required fields are marked *

Categories

See More

Latest Article

Optimalkan kinerja bisnis sesuai kebutuhan Anda dengan layanan fleksibel Wowrack