Meningkatkan keamanan VPS Server atau Dedicated Server Linux adalah sebuah kebutuhan yang seharusnya mendapatkan perhatian lebih dari seorang System Administrator VPS atau Server Linux untuk tidak membiarkan VPS/Server menggunakan tingkat keamanan standard.

Berikut ini merupakan beberapa tips yang dapat Anda lakukan untuk meningkatkan keamanan VPS/server. Dalam hal ini Baxohost mengimplementasikan ke dalam sebuah VPS Linux dengan sistem operasi CentOS, akan tetapi tidak menutup kemungkinan tips-tips ini juga diaplikasikan ke dalam sistem operasi linux lainnya.

Install CHKROOTKIT

Hal pertama yang perlu dilakukan adalah melakukan pengecekan terhadap VPS/Server yang Anda gunakan dari serangan intruder maupun backdoor (kecuali sistem operasi baru yang diinstall dengan fresh install). Chkrootkit ini berfungsi untuk mengecek apakah telah ada rootkit atau backdoor yang sudah “menginap” di VPS/Server Anda dengan cara:

  1. wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
  2. tar –xzvf chkrootkit.tar.gz
  3. cd chkrootkit
  4. make sense
  5. Jalankan ./chkrootkit, setelah itu akan berlangsung proses pembersihan dan pengecekan apakah rootkit sudah terinstall atau belum di VPS atau Server Anda.

Kreatif Menciptakan Password

Password merupakan hal yang paling vital untuk diperhatikan oleh para System Administrator. Sangat kami sarankan agar Anda menciptakan password dengan menggunakan kombinasi huruf besar, huruf kecil, angka maupun spesial karakter yang tidak mudah ditebak oleh orang yang berniat buruk. Hal ini dilakukan agar server yang Anda pakai tidak mudah di crack dengan menggunakan brute force attack.

Update Sistem

Rutin melakukan update sistem adalah sebuah keharusan. Untuk sistem centOS sendiri bisa menggunakan yum update untuk debian atau ubuntu Anda dapat menggunakan apt-get update.

Hanya Install atau Aktifkan Service yang Digunakan

Sangat dianjurkan agar Anda mematikan service yang tidak diperlukan, karena semakin banyak service yang berjalan di VPS/Server maka semakin banyak pula celah atau hole keamanan dari VPS/Server kita.

Gunakan Secure FTP

Selain itu, Anda juga disarankan untuk menggunakan secure FTP dalam melakukan tranfer data dari local komputer ke dalam VPS/Server atau sebaliknya. Hal tersebut dikarenakan apabila Anda menggunakan FTP biasa atau tanpa enkripsi dalam pengiriman data, ini berarti username dan password yang Anda kirim adalah text yang dapat dibaca lebih mudah oleh paket sniffer.

Akses Server melalui SSH

Untuk mengakses VPS/Server, sebaiknya gunakan SSH dibandingkan dengan telnet, sehingga diperlukan beberapa langkah pengamanan SSH server dengan mengubah default konfigurasi pada SSH :

  1. Nano /etc/ssh/sshd_config
  2. Cari baris dengan tulisan #Port 22 , hilangkan karakter # dan ganti port 22 menjadi angka yang tidak mudah untuk ditebak misal 3786, ini akan sedikit menolong VPs/Server Anda dari hal-hal yang tidak baik seperti, masscanner SSH atau worm yang akan men-scan SSH dan melihat apakah SSH yang Anda gunakan dapat di exploit. Ini dapat meningkatkan sedikit tingkat keamanan VPS/Server dari serangan craker-craker baru
  3. Temukan #PermitRoorLogin yes, hilangkan karakter # dan ganti dengan “PermitRootLogin No” ini dimaksudkan agar VPS/Server menolak login ke SSH server dengan menggunakan user root. Namun, Anda harus menggunakan user dengan level lebih rendah kemudian menggunakan “su –” untuk menjadi root. Sebelumnya, terlebih dulu Anda harus membuat user baru yang bisa login ke VPS/Server dengan SSH.
  4. Simpan konfigurasi baru dengan CTRL+O, lalu keluar dengan CTRL+X, kemudian restart SSHD dengan perintah /etc/init.d/sshd restart atau dengan perintah service sshd restart
  5. Fungsikan perintah netstat -plnat |grep sshd untuk melihat bahwa SSHD kita berjalan pada port yang sudah kita ubah.

Apabila Anda ingin menggunakan IP (dedicated IP) yang hanya bisa akses ke server dengan menggunakan SSH, lakukan perubahan konfigurasi sebagai berikut:

  1. nano /etc/hosts.allow
  2. tambahkan baris sshd: ip-dedicated-anda
  3. Simpan file tersebut. Kemudian buka /etc/hosts.deny
  4. Tambahkan sshd: ALL dan simpan file tersebut
  5. Sembunyikan informasi mengenai Versi Service VPS/Server

Sembunyikan Versi Service

Jika Anda menjalankan web service atau web server seperti Apache, Anda harus mendisable atau mengganti versi apache untuk menghindari cracker amatir dan menghentikan automatic script yang akan mencari versi apache yang Anda gunakan. Caranya sangat mudah, buka file httpd.conf (biasanya /etc/httpd/conf/httpd.conf) dan cari “ServerSignature” ganti menjadi “ServerSignature off” dan juga ganti “ServerTokens ” menjadi “ServerTokens ProductOnly” tanpa tanda kutip. Keluar dari file tersebut dengan menekan ctrl+x lalu ketik y untuk menyimpan, selanjutnya restart apache (biasanya dengan perintah service httpd2 restart). Hal ini akan menyembunyikan Versi dari web server Anda.

Jika Anda menggunakan php, maka Anda dapat menyembunyikan versi php dengan mengedit file /etc/php.ini, cari “expose_php = On”, dan ganti dengan “expose_php = Off”. Keluar dari file tersebut dengan menekan ctrl+x lalu ketik y untuk menyimpan kemudian restart apache agar terlihat efeknya.

Jika kita menggunakan sendmail (kami tidak direkomendasikan hal ini), maka bersiaplah akan serangan dari cracker, namun kita dapat menyembunyikan versi dengan mengedit

    1. /etc/mail/sendmail.mc
    2. Kemudian tambahkan (`confSMTP_LOGIN_MSG’,’ Welcome all custome to my Mail Server ‘)
    3. Kemudian jalankan m4 /etc/mail/sendmail.mc > /etc/sendmail.cf atau make –C /etc/mail.
    4. Kemudian edit file dengan echo smtp Help > /etc/mail/helpfile .

Install Libsafe

Libsafe adalah salah satu solusi untuk menghindari serangan string dan buffer overflows. Ini akan secara dinamis mengganti LD_PRELOAD.

Anda dapat menginstall Libsafe dengan langkah-langkah sebagai berikut:

  1. wget http://www.research.avayalabs.com/project/libsafe/src/libsafe-2.0-16.i386.rpm
  2. rpm –ivh libsafe-2.0-16.i386.rpm
  3. Untuk melihat apakah libsafe telah terinstall, kita bisa cek kembali dengan menggunakan cat /etc/ld.so.preload

Menginstall GRSecurity kernel patch

GRSecutiry adalah kernel pacth yang akan meningkatkan kemampuan dari VPS/Server linux Anda untuk melawan buffer overflow dan kasus lain pada kernel. Untuk informasi lebih lanjut, Anda dapat mengakses laman: http://www.grsecurity.net/download.php

Mount /tmp dengan noexec

Salah satu yang akan dilakukan cracker setelah mendapatkan shell adalah berusaha untuk menaikkan previllage menjadi root atau setara dengan root, dan tempat favorit adalah /tmp, /usr/tmp, /var/tmp

Dengan langkah-langkah berikut ini:

  1. cd /dev
  2. dd if=/dev/zero of=securetmp bs=1024 count=100000
  3. mke2fs /dev/securetmp
  4. cp -R /tmp /tmp_backup
  5. mount -o loop,noexec,nosuid,rw /dev/securetmp /tmp
  6. chmod 0777 /tmp
  7. cp -R /tmp_backup/* /tmp/
  8. rm -rf /tmp_backup
  9. Kemudian tambahkan mount -o loop,noexec,nosuid,rw /dev/securetmp /tmp pada /etc/rc.local atau di /etc/fstab /dev/tmpMnt /tmp ext2 loop,noexec,nosuid,rw 0 0
  10. Keluar dari file tersebut dengan menekan ctrl + x lalu ketik y untuk simpan.
  11. Coba test directory tmp tersebut dengan menambahan file ke tmp directory dan coba jalankan
  12. file tersebut , akan muncul pesan “Permission Denied”

Ulangi untuk /var/tmp dan /usr/tmp

Pada VPS dengan virtualisasi OpenVZ untuk secure tmp gunakan langkah sebagai berikut:

  1. Edit /etc/fstab dengan ketik perintah nano -w /etc/fstab
  2. Tambahkan baris none /tmp tmpfs nodev,nosuid,noexec 0 0 pada bagian paling bawah dari /etc/stab
  3. Tekan ctrl + x untuk menutup file, tekan y untuk menyimpannya.
  4. Remount /tmp menjalankan perintah: mount -o remount /tmp
  5. Untuk memastikan /tmp sudah betul di-mount ketik df -h dan akan terlihat hasilnya seperti berikut:
  6. none 3.9G 0 3.9MG 0% /tmp.

untuk Secure /var/tmp langkahnya sebagai berikut:

  1. Backup /var/tmp dengan perintah: mv /var/tmp /var/tmpbackup
  2. Buat sebuah symbolic link yang membuat /var/tmp point ke /tmp dengan perintah berikut: ln -s /tmp /var/tmp
  3. Copy kembali data lama dengan perintah: cp /var/tmpbackup/* /tmp/
  4. Harus file backup yang sudah tidak diperlukan dengan perintah: rm -rf /var/tmpbackup

Setelah itu reboot VPS OpenVZ anda.

Install Firewall

Anda dapat menggunakan APF (Advance Policy Firewall), script yang menggunakan IPtables sangat mudah untuk di install, yaitu dengan cara:

  1. wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz
  2. tar -xzvf apf-*
  3. cd apf-*
  4. sh install.sh

Atau bisa juga menggunakan CSF (Config Server Firewall):

  1. rm -fv csf.tgz
  2. wget http://www.configserver.com/free/csf.tgz
  3. tar -xzf csf.tgz
  4. cd csf
  5. sh install.sh

 

Source :
www.idroot.com

Related posts: