Hardening CentOS 7 (2)

nb: tanda pagar (#) adalah komentar

Logging

Tentu bagi seorang administrator, logging merupakan hal yang sangat vital. Lalu lalang pengguna haruslah tercatat agar jika terjadi jika terjadi hal yang salah, administrator dapat langsung bertindak. Penambahan fitur pun tetap harus tercatat agar tidak terjadi kerusakan pada data.

CentOS secara langsung menyimpan hasil logging di “/var/log/” . Untuk membaca nya cukup menggunakan UTMPDUMP.

# Melihat sesi yang sedang berjalan
utmpdump /var/run/utmp 

# melihat history koneksi pada sistem dan tools yang digunakan
utmpdump /var/log/wtmp 
# melihat login yang gagal
utmpdump /var/log/btmp

hasil dari utmp

utmpdumpcen1

hasil dari wtmp

utmpdumpcen2

hasil dari btmp

utmpdumpcen3

Ada sebuah cara lain untuk membaca log terutama log dari message. Program yang digunakan adalah ksystemlog. Secara default, jika menginstall CentOS 7 server with gui, program ini akan tersedia yang perlu dilakukan adalah:

  • Tambahkan user yang akan diberikan wewenang membaca ke wheel
  • Masukkan line berikut ke terminal
su -c 'chgrp wheel /var/log/messages && chmod g+r /var/log/messages'

ksystemlog

Service

Tentunya saat ingin melakukan hardening, perlu diperhatikan service apa saja yang berjalan. Untuk melihatnya bisa dengan cara “netstat -a”. Tapi ada cara lain yang dapat digunakan yaitu dengan menggunakan perintah berikut:

# check semua service 
service --status-all
censer1

# check service satu persatu 
service namaservis status

# jika service ada dan berjalan akan muncul seperti berikut 
censer3
# jika service ada tetapi tidak berjalan akan muncul seperti berikut censer2
# jika service tidak ada, akan muncul hasil seperti berikut

censer4

Pada CentOS 7 diberikan suatu perintah baru untuk menggunakan service yaitu “systemctl”. Berikut perintah perintah yang dapat digunakan:

# memulai service
systemctl start namaservis

# menghentikan service
systemctl stop namaservis

# menghidupkan service ketika sistem operasi baru berjalan
systemctl enable namaservis

# mematikan service dan service tidak akan berjalan saat reboot
systemctl disable namaservis

# restart service
systemctl restart namaservis

Pengenalan SELinux

Selinux (security Enhanced Linux) adalah sebuah mekanisme pertahanan berlandaskan mandatory access control (MAC) pada karnel. Cara ini memperbaharui access control konvensional discretionary access control (DAC) yaitu menggunakan Access Control Lists (ACLs). Cara yang konvensional ini akan  memperbolehkan user atau program untuk mengakses hal hal yang sensitif.

Untuk mengetahui status dari SELinux masukkan perintah berikut

sestatus

selinux1

 

Ada beberapa mode yang dapat berjalan pada SELinux. Berikut penjelasannya:

  • Enforcing – mode awal yang mengharuskan penggunaan kebijakan keamanan SELinux pada sistem
  • Permissive – pada mode ini, SELinux akan berjalan tetapi tidak mengharuskanpenggunaan kebijakan keamanan SELinux, hanya log dan peringatan saja yang ada. Mode ini berguna untuk melakukan troubleshooting
  • Disabled – SELinux mati

Untuk mengubah mode ini, maka ubah ‘SELINUX=’ pada “/etc/selinux/config” dengan enforcing, permissive, maupun disabled.

Untuk melihat ada permasalahan atau tidak dapat dilakukan dengan cara

sealert -b

hasilnya adalah sebagai berikut

selinux2

 

Untuk membaca log, maka lakukan perintah berikut (sebagai root)

sealert -a /var/log/audit/audit.log > /tempat/anda/log.txt

Buka log.txt dan akan terlihat seperti berikut

selinux3

Sekian pengenalan dari selinux

Leave a Reply

Your email address will not be published. Required fields are marked *