10 Cara Mengamankan Server Linux Anda

Kali ini kami akan membagi 10 Cara Mengamankan Server Linux Anda. Banyak orang mengatakan bahwa Linux aman secara default, Ini adalah topik yang dapat diperdebatkan. Namun, Linux memiliki model keamanan bawaan di tempatnya secara default. Hanya perlu menyesuaikan sesuai kebutuhan Anda yang dapat membantu membuat sistem lebih aman. Linux lebih sulit untuk dikelola tetapi menawarkan lebih banyak fleksibilitas dan opsi konfigurasi.

Mengamankan Server Linux dari tangan peretas atau hacker adalah tugas yang menantang bagi seorang System Administrator. Ini adalah artikel pertama kami yang terkait dengan “Cara Mengamankan Linux Server”. Dalam posting ini Kami akan menjelaskan 10 Cara Mengamankan Server Linux yang berguna untuk Anda. Semoga, tip & trik di bawah ini akan membantu Anda memperluas wawasan untuk mengamankan sistem Anda.

1. Membuang layanan yang tidak diperlukan

Apakah Anda benar-benar ingin semua jenis layanan diinstal? Dianjurkan untuk menghindari menginstal paket yang tidak berguna untuk menghindari kerentanan dalam paket. Ini dapat meminimalkan risiko dari satu layanan yang dapat menyebabkan kompromi layanan lain. Temukan dan hapus atau nonaktifkan layanan yang tidak diinginkan dari server Linux Anda untuk meminimalkan kerentanan. Gunakan perintah ‘chkconfig‘ untuk mencari tahu layanan yang berjalan di runlevel 3.

# /sbin/chkconfig --list |grep '3:on'

Setelah Anda mengetahui ada layanan yang tidak diinginkan sedang berjalan, nonaktifkan layanan tersebut menggunakan perintah berikut.

# chkconfig serviceName off

Gunakan manajer paket RPM seperti “yum” atau “apt-get” untuk mendaftar semua paket yang diinstal pada sistem dan menghapusnya menggunakan perintah berikut.

# yum -y remove package-name

atau

# sudo apt-get remove package-name

2. Periksa Port Yang Terbuka di Server Anda

Dengan bantuan perintah jaringan ‘netstat‘, Anda dapat melihat semua port terbuka dengan program yang terkait. Seperti yang saya katakan di atas, gunakan perintah ‘chkconfig‘ untuk menonaktifkan semua layanan jaringan yang tidak diinginkan dari sistem.

# netstat -tulpn

3. Amankan Akses SSH ke Server Anda

Protokol Telnet dan rlogin menggunakan teks biasa, bukan format terenkripsi yang menjadi sangat rentan dari sisi keamanan Server Anda. SSH adalah protokol aman yang menggunakan teknologi enkripsi selama komunikasi dengan server.

Jangan pernah login langsung sebagai root kecuali diperlukan. Gunakan “sudo” untuk menjalankan perintah. sudo ditentukan dalam file /etc/sudoers yang juga dapat diedit dengan utilitas “visudo” yang terbuka di editor VI.

Juga sangat disarankan untuk mengubah nomor port default SSH 22 dengan beberapa nomor port level lebih tinggi lainnya. Buka file konfigurasi SSH utama dan buat beberapa parameter berikut untuk membatasi pengguna untuk mengakses.

# vi /etc/ssh/sshd_config

Merubah Port Default SSH

Port 22 >>> Port 8822

Mematikan Akses Login root

PermitRootLogin yes >>> PermitRootLogin no

Hanya izinkan Pengguna Tertentu

AllowUsers username

Menggunakan SSH Protokol 2

Protocol 2

Baca Artikel kami yang lebih lengkap tentang Mengamankan SSH Server Linux Anda.

4. Selalu Mengupdate Server Linux Anda

Selalu perbarui sistem dengan patch rilis terbaru, perbaikan keamanan, dan kernel saat tersedia.

# yum updates
# yum check-update

5. Mengaktifkan SELinux

Security Enhanced Linux (SELinux) adalah mekanisme keamanan kontrol akses wajib yang disediakan di kernel. Menonaktifkan SELinux berarti menghapus mekanisme keamanan dari sistem. Berpikir dua kali dan berhati-hati sebelum menghapus, jika sistem Anda terhubung ke internet dan diakses oleh publik, maka pikirkan lagi.

SELinux menyediakan tiga mode operasi dasar dan mereka.

  • Enforcing: Ini adalah mode default yang memungkinkan dan menegakkan kebijakan keamanan SELinux pada mesin.
  • Permissive: Dalam mode ini, SELinux tidak akan memberlakukan kebijakan keamanan pada sistem, hanya memperingatkan dan mencatat tindakan. Mode ini sangat berguna dalam hal mengatasi masalah SELinux terkait masalah.
  • Disable: SELinux dimatikan

Anda dapat melihat status mode SELinux saat ini dari baris perintah menggunakan perintah ‘system-config-selinux‘, ‘getenforce‘ atau ‘sestatus‘.

# sestatus

Jika dinonaktifkan, aktifkan SELinux menggunakan perintah berikut.

# setenforce enforcing

Ini juga dapat dikelola dari file ‘/etc/selinux/config‘, di mana Anda dapat mengaktifkan atau menonaktifkannya.

6. Menonaktifkan IPv6 Jika Tidak digunakan

Jika Anda tidak menggunakan protokol IPv6, maka Anda harus menonaktifkannya karena sebagian besar aplikasi atau kebijakan tidak memerlukan protokol IPv6 dan saat ini tidak diperlukan di server. Buka file konfigurasi jaringan dan tambahkan baris berikut untuk menonaktifkannya.

# vi /etc/sysconfig/network

NETWORKING_IPV6=no
IPV6INIT=no

7. Mengaktifkan Firewall iptables / firewalld

Sangat disarankan untuk mengaktifkan firewall Linux untuk mengamankan akses yang tidak sah dari atau/dan ke server Anda. Terapkan aturan dalam iptables untuk memfilter paket masuk, keluar dan forwarding. Kita dapat menentukan sumber dan alamat tujuan untuk mengizinkan dan menolak dalam nomor port udp / tcp tertentu.

Baca Artikel kami tentang Panduan Dasar IPtables di Server Linux.

8. Memeriksa Akun untuk Kata Sandi Kosong

Akun apa pun yang memiliki kata sandi kosong berarti terbuka untuk akses tidak sah dari siapa pun di Internety dan itu merupakan bagian dari keamanan yang sangat fatal di dalam server Linux. Jadi, Anda harus memastikan semua akun memiliki kata sandi yang kuat dan tidak ada yang memiliki akses resmi selain Anda sendiri. Akun kata sandi kosong adalah risiko keamanan dan dapat dengan mudah diretas. Untuk memeriksa apakah ada akun dengan kata sandi kosong, gunakan perintah berikut.

# cat /etc/shadow | awk -F: '($2==""){print $1}'

9. Abaikan ICMP atau Permintaan Broadcast

Tambahkan baris berikut dalam file “/etc/sysctl.conf” untuk mengabaikan permintaan ping atau broadcast.

Ignore ICMP request:
net.ipv4.icmp_echo_ignore_all = 1

Ignore Broadcast request:
net.ipv4.icmp_echo_ignore_broadcasts = 1

Muat pengaturan atau perubahan baru, dengan menjalankan perintah berikut

# sysctl -p

10. Tinjau Log secara teratur

Memindahkan log di server log khusus, ini dapat mencegah penyusup untuk dengan mudah memodifikasi log lokal. Di bawah ini adalah nama file log default Linux Biasa dan penggunaannya:

  1. / var / log / message – Di mana seluruh log sistem atau log aktivitas saat ini tersedia.
  2. /var/log/auth.log – Log otentikasi.
  3. /var/log/kern.log – Log kernel.
  4. /var/log/cron.log – Crond logs (cron job).
  5. /var/log/maillog – Log server mail.
  6. /var/log/boot.log – Log boot sistem.
  7. /var/log/mysqld.log – File log server database MySQL.
  8. /var/log/ secure – Log otentikasi.
  9. /var/log/ utmp atau / var / log / wtmp: File catatan masuk.
  10. /var/log/yum.log: File log Yum.

Penutup

Jika Anda mempunyai Informasi tambahan tentang cara mengamakan Server Linux, silahkan untuk menuliskan komentar Anda dibawah. Kami dengan sangat senang hati menerima segala masukan yang penting untuk dapat dibagi dengan yang lainnya.