Pada artikel bagian kedua ini, akan dibahas teknik-teknik dasar untuk melakukan langkah kedua yaitu menonaktifkan servis, aplikasi, dan protokol yang tidak perlu.
Menampilkan daftar port yang terbuka
Untuk menampilkan port apa saja yang terbuka, kita dapat menggunakan netstat
:
Contoh tersebut menunjukkan bahwa port TCP 22 (ssh) dan 25 (smtp) mendengar pada mesin, juga syslogd
mendengar pada port 514 (UDP).
Jika kita punya sebuah proses yang sedang mendengarkan dan kita tidak yakin proses apa yang membuka port, kita dapat menggunakan sockstat
untuk menampilkan daftar socket yang terbuka.
Konfigurasi servis
Gunakan rc.conf
untuk mengkonfigurasikan mulainya servis secara default, serta naskah awal package lokal yang bisa ditemukan di /usr/local/etc/rc.d
.
Sekarang akan dibahas beberapa servis yang umum digunakan dan bagaimana mengamankannya:
syslogd
syslogd
secara default terhubung dengan UDP 514. Kita dapat mencegahsyslogd
untuk menggunakan socket jaringan dengan menambahkan baris berikut ke/etc/rc.conf
:syslogd_flags="-ss"
Hidupkan kembali servis
syslogd
untuk melihat efeknya:
Verifikasi dengan menggunakan netstat, sekarang
syslogd
sudah tidak mendengar port UDP 514 lagi:
portmap
portmap
digunakan untuk remote procedure calls. Untuk menonaktifkanportmap
tambahkan baris berikut ke/etc/rc.conf
:portmap_enable="NO"
telnetd
Semua data yang ditransfer melalui sesi telnet adalah dalam bentuk teks polos (termasuk nama pengguna dan kata sandi). Oleh karena itu, servis ini harus dinonaktifkan, caranya adalah dengan mematikaninetd
seluruhnya, atau dengan menghapus baristelnetd
dari/etc/inetd.conf
. Dalam FreeBSD,telnetd
secara default memang dinonaktifkan. Secara umum, inetd tidak mendukung satupun aplikasi karena semuanya diberi simbol komentar (#) secara default.sshd
FreeBSD (sejak versi 4.1.1) memiliki dukungan OpenSSH dansshd
sebagai pengganti daritelnetd
. Sebagian besar versi OpenSSH terkini menggunakan protokol SSH versi 2. Oleh karena itu, protokol SSH versi 1 harus dinonaktifkan dengan cara menambahkan baris berikut pada/etc/ssh/sshd_config
lalu menghidupkan kembalisshd
:Protocol 2
inetd
inetd
didesain untuk mendengarkan koneksi pada socket tertentu.inetd
digunakan untuk aplikasi populer sepertitelnetd, qpopper
danftpd
. Karena kita tidak menjalankan aplikasi-aplikasiinetd
tersebut, matikanlah daemon ini dengan menambahkan baris berikut ke/etc/rc.conf
:inetd_enable="NO"
ftpd
ftpd
harus dinonaktifkan baik dengan mematikaninetd
seluruhnya, atau dengan menghapus barisftpd
dari/etc/inetd.conf
(sudah secara default).smtp
Sebaiknya kita tidak menjalankan serversmtp
.Sendmail
incoming mail-service harus dinonaktifkan dengan menambahkan baris berikut ke/etc/rc.conf
:sendmail_enable="NO"
REFERENSI:
- Stallings, William, dan Lawrie Brown. Computer Security: Principles and Practice. Pearson, edisi ke-2, 2012.
- https://www.dal.net/?page=Security%20Guidelines