Keamanan Sistem Operasi NetBSD untuk Aplikasi Berbasis Web – Bagian VII Hardening NetBSD

Penambalan celah keamanan pada instalasi

Salah satu fitur menarik dalam NetBSD adalah kita bisa melakukan pemeriksaan terhadap celah keamanan dengan mudah, Netbsd memiliki sebuah tool untuk melakukan audit terhadap keamanan paket-paketnya yaitu pkg_admin, pkg_admin ini adalah tools untuk melakukan berbagai pekerjaan untuk administrasi paket, didalamnya disertakan fungsi untuk mengaudit paket.

Paket diaudit dengan cara :

  • Mengunduh file audit
  • Membandingkan file audit dengan meta data paket pada sistem
  • Paket yang ada diaudit untuk diperiksa integritas datanya dengan hash MD5
  • Paket diaudit versinya agar dapat diketahui apakah versi yang digunakan memiliki vulneribilitas atau tidak
  • Melaporkan vulnerabilitas apabila ditemukan

METADATA PAKET

Ketika sebuah paket diinstal maka akan dibuat sebuah meta data yang terletak pada /var/db/pkg, didalam folder tersebut juga terdapat sebuah file bernama pkg-vulnerabilities yang berisi informasi mengenai kelemahan software yang terdapat didalam paket. Untuk meninjau paket ini dapat dilihat dengan perintah :
varidbpkg
Isi dari metadata ini selain struktur file didalam paket, juga beberapa script shell untuk mengadministrasi paket tersebut.

Audit Vulneribilitas Paket yang Terisntal

Untuk melakukan audit terhadap paket yang terisntal pada sistem kita, langkah pertama adalah mengunduh daftar vulnerabilitas terbaru yang terdapat pada repositori netbsd dengan perintah:

# pkg_admin fetch-pkg-vulnerabilities

 

Kemudian kita harus periksa keabsan paket yang baru kita unduh tadi dengan nilai hash md5 yg terdapat di server dengan perintah :

#pkg_admin check-pkg-vulnerabilities /var/db/pkg/pkg-vulnerabilities

pkgadminfetch

 

langkah selanjutnya adalah melakukan audit terhadap paket-paket yang ada dengan membandingkannya dengan  dengan file pkg-vulnerabilities yang baru saja kita unduh dengan perintah :

# pkg_admin audit

Hasilnya apabila ditemukan kelemahan maka akan muncul hasil seperti ini :vulnerabilities

Bila ditemukan seperti diatas maka lakukan segera upgrade ke versi terbaru dengan perintah

#pkgin upgrade

atau

#pkgin fullupgrade

Mengaudit Integritas File Paket Dengan Hash

Paket yang terisntall seluruhnya dapat diperiksa integritasnya dengan MD5 dengan sebuah opsi “check” perintah pada pkg_admin, hal ini berguna untuk mengetahui apakah ada file paket yang dimodifikasi oleh pihak yang tidak bertanggungjawab.

# pkg_admin check
admin check

Menambahkan Log-Log Penting

Untuk menambah keawasan kita akan status mesin, maka kita wajib menambahkan log-log penting dengan menambahkan baris-baris berikut pada /etc/newsyslog.conf.

#echo "/var/log/php-fpm.log 640 7 * * BZ /var/run/php-fpm.pid SIGUSR1" >> /etc/newsyslog.conf

#echo "/var/log/nginx/access.log 640 7 * 24 Z /var/run/nginx.pid SIGUSR1" >> /etc/newsyslog.conf

#echo "/var/log/nginx/error.log 640 7 * 24 Z /var/run/nginx.pid SIGUSR1" >> /etc/newsyslog.conf

 

Leave a Reply

Your email address will not be published. Required fields are marked *