Hardening FreeBSD 10.1 (2)

Pada artikel bagian kedua ini, akan dibahas teknik-teknik dasar untuk melakukan langkah kedua yaitu menonaktifkan servis, aplikasi, dan protokol yang tidak perlu.

Menampilkan daftar port yang terbuka

Untuk menampilkan port apa saja yang terbuka, kita dapat menggunakan netstat:

Contoh tersebut menunjukkan bahwa port TCP 22 (ssh) dan 25 (smtp) mendengar pada mesin, juga syslogd mendengar pada port 514 (UDP).
Jika kita punya sebuah proses yang sedang mendengarkan dan kita tidak yakin proses apa yang membuka port, kita dapat menggunakan sockstat untuk menampilkan daftar socket yang terbuka.

Konfigurasi servis

Gunakan rc.conf untuk mengkonfigurasikan mulainya servis secara default, serta naskah awal package lokal yang bisa ditemukan di /usr/local/etc/rc.d.

Sekarang akan dibahas beberapa servis yang umum digunakan dan bagaimana mengamankannya:

  • syslogd
    syslogd secara default terhubung dengan UDP 514. Kita dapat mencegah syslogd untuk menggunakan socket jaringan dengan menambahkan baris berikut ke /etc/rc.conf:

    syslogd_flags="-ss"

    Hidupkan kembali servis syslogd untuk melihat efeknya:

    Verifikasi dengan menggunakan netstat, sekarang syslogd sudah tidak mendengar port UDP 514 lagi:

  • portmap
    portmap digunakan untuk remote procedure calls. Untuk menonaktifkan portmap tambahkan baris berikut ke /etc/rc.conf:

    portmap_enable="NO"

  • telnetd
    Semua data yang ditransfer melalui sesi telnet adalah dalam bentuk teks polos (termasuk nama pengguna dan kata sandi). Oleh karena itu, servis ini harus dinonaktifkan, caranya adalah dengan mematikan inetd seluruhnya, atau dengan menghapus baris telnetd dari /etc/inetd.conf. Dalam FreeBSD, telnetd secara default memang dinonaktifkan. Secara umum, inetd tidak mendukung satupun aplikasi karena semuanya diberi simbol komentar (#) secara default.
  • sshd
    FreeBSD (sejak versi 4.1.1) memiliki dukungan OpenSSH dan sshd sebagai pengganti dari telnetd. Sebagian besar versi OpenSSH terkini menggunakan protokol SSH versi 2. Oleh karena itu, protokol SSH versi 1 harus dinonaktifkan dengan cara menambahkan baris berikut pada /etc/ssh/sshd_config lalu menghidupkan kembali sshd:

    Protocol 2

  • inetd
    inetd didesain untuk mendengarkan koneksi pada socket tertentu. inetd digunakan untuk aplikasi populer seperti telnetd, qpopper dan ftpd. Karena kita tidak menjalankan aplikasi-aplikasi inetd tersebut, matikanlah daemon ini dengan menambahkan baris berikut ke /etc/rc.conf:

    inetd_enable="NO"

  • ftpd
    ftpd harus dinonaktifkan baik dengan mematikan inetd seluruhnya, atau dengan menghapus baris ftpd dari /etc/inetd.conf (sudah secara default).
  • smtp
    Sebaiknya kita tidak menjalankan server smtp. Sendmail incoming mail-service harus dinonaktifkan dengan menambahkan baris berikut ke /etc/rc.conf:

    sendmail_enable="NO"
REFERENSI:
  1. Stallings, William, dan Lawrie Brown. Computer Security: Principles and Practice. Pearson, edisi ke-2, 2012.
  2. https://www.dal.net/?page=Security%20Guidelines

Leave a Reply

Your email address will not be published. Required fields are marked *