Audit Log Pengguna, Rotasi Log dan Remote Logging pada Fedora-Server 21

Pembahasan mengenai log sistem dan log aplikasi pada Fedora-Server 21 sudah ditulis pada artikel sebelumnya (silakan baca di sini). Selanjutnya, artikel ini akan membahas mengenai audit log pengguna, rotasi log, dan remote logging pada Fedora-Server 21.

III. Log Pengguna

a) Yang gagal login

  • Berkas log pengguna yang gagal login adalah /var/log/btmp.
  • Log btmp berupa berkas binary, untuk dapat membacanya gunakan perintah berikut.
utmpdump /var/log/btmp
Gambar 18: Contoh isi log btmp
Gambar 1: Contoh isi log btmp

b) Yang sedang login

  • Berkas log pengguna yang sedang login adalah /var/run/utmp.
  • Log utmp berupa berkas binary, untuk dapat membacanya gunakan perintah ‘who‘ atau untuk log yang lebih rinci gunakan perintah berikut.
utmpdump /var/run/utmp
Gambar 19: Contoh isi log utmp
Gambar 2: Contoh isi log utmp

c) Yang pernah login

  • Berkas log pengguna yang pernah login adalah /var/log/wtmp.
  • Log wtmp berupa berkas binary, untuk dapat membacanya gunakan perintah ‘last‘ atau untuk log yang lebih rinci gunakan perintah berikut.
utmpdump /var/log/wtmp
Gambar 20
Gambar 3: Contoh isi log wtmp
IV. Rotasi Log

Dari artikel sebelumnya, diketahui bahwa pada umumnya berkas-berkas log tersimpan dalam direktori “/var/log/”. Untuk beberapa aplikasi seperti “httpd” dan “mariadb” mempunyai direktori sendiri dalam  “/var/log/” sebagai tempat penyimpanan berkas-berkas catatannya.

Semakin bertambah banyaknya berkas log yang disimpan, semakin besar pula ukuran direktori “/var/log” hingga suatu saat mungkin akan menghabiskan ruang hardisk yang dapat berakibat tidak berjalannya sistem atau layanan pada Fedora-Server. Untuk mencegah hal tersebut terjadi, Fedora-Server telah dilengkapi dengan mekanisme merotasi berkas-berkas log menggunakan layanan “logrotate“.

Cara kerja rotasi log dengan “logrotate” adalah sebagai berikut.

  1. Berkas log lama dipindahkan atau diganti dengan nama lain (misalnya: dari file.log menjadi file.log.1).
  2. Selanjutnya buat berkas log yang baru. Proses ini dilakukan pada periode waktu tertentu yang kemudian diulangi kembali pada periode berikutnya (misalnya: file.log.1 –> file.log.2, file.log –> file.log.1, create new file.log) dan seterusnya sampai batas jumlah rotasi yang ditetapkan.

Secara bawaan, “logrotate” dikonfigurasi untuk merotasi berkas log setiap satu minggu dan tetap menyimpan berkas-berkas log sampai empat minggu sebelum-sebelumnya. Ilustrasi mengenai cara kerja logrotate dapat dilihat pada gambar 1.

Gambar 4: Ilustrasi cara kerja logrotate dalam periode minggu ke 1 sampai minggu ke 4.

Untuk melihat/ mengubah konfigurasi layanan “logrotate“, gunakan perintah:

# Konfigurasi berkas log secara umum
vi /etc/logrotate.conf

# Konfigurasi berkas log aplikasi tertentu seperti httpd, mariadb
vi /etc/logrotate.d/namaaplikasi

Berikut ini adalah berkas konfigurasi “logrotate.conf” secara bawaan.

Gambar
Gambar 5: Berkas konfigurasi logrotate secara umum

Berikut contoh berkas konfigurasi logrotate dari beberapa aplikasi.

Gambar 3: Berkas konfigurasi logrotate dari aplikasi Apache
Gambar 6: Berkas konfigurasi logrotate dari aplikasi Apache
Gambar 4: Berkas konfigurasi logrotate dari aplikasi MySQL
Gambar 7: Berkas konfigurasi logrotate dari aplikasi MySQL
V. REMOTE LOGGING

Pada artikel ini akan diberikan contoh remote logging dengan Windows 7 sebagai host penerima log Fedora-Server 21. Pada contoh ini, Windows 7 menggunakan aplikasi “Syslog Watcher” untuk menerima log tersebut. Adapun langkahnya adalah sebagai berikut.

1. Unduh aplikasi “Syslog Watcher” pada tautan http://www.snmpsoft.com/downloads/SyslogWatcherSetup-4.7.5-win32.msi, lalu pasang.

2. Sembari menunggu pemasangan selesai, cek alamat IP Windows7 dengan perintah “ipconfig” pada Command Prompt.

Gambar 4: Tampilan hasil perintah "ipconfig" pada command prompt
Gambar 8: Tampilan hasil perintah “ipconfig” pada command prompt

3. Buka berkas konfigurasi rsyslog pada Fedora-Server dengan perintah berikut.

sudo vi /etc/rsyslog.conf

4. Edit berkas tersebut dengan menambahkan baris berikut, lalu simpan.

*.* @alamatIPdiWindows7
Gambar 6: Berkas konfigurasi rsyslog setelah diedit
Gambar 9: Berkas konfigurasi rsyslog setelah di-edit

5. Buka aplikasi Syslog Watcher, pilih mode GUI “Manage Local Syslog Server”

Gambar 7: Tampilan untuk memilih mode GUI Syslog Watcher
Gambar 10: Tampilan untuk memilih mode GUI Syslog Watcher

6. Setelah itu klik menu “Settings”, lalu pilih “Remote Access”.

7. Beri tanda centang pada pilihan “Allow remote connection” dan tentukan nomor port TCP.

8. Klik “OK”. Lalu mulai ulang aplikasi Syslog Watch.

Gambar 8: Tampilang pengaturan aplikasi Syslog Watcher
Gambar 11: Tampilan pengaturan aplikasi Syslog Watcher

9. Setelah dimulai ulang, Syslog Watcher akan menampilkan log-log yang di-remote dari Fedora-Server.

Gambar 9: Tampilan daftar log sistem Fedora-Server yang diterima Windows7
Gambar 12: Tampilan daftar log sistem Fedora-Server yang diterima Windows 7

Demikian, semoga bermanfaat! 🙂

Audit Log Sistem dan Log Aplikasi pada Fedora-Server 21

Pada artikel ini akan dibahas mengenai audit log sistem dan log aplikasi pada sistem operasi Fedora-Server 21.

I. Log Sistem

Sejak versi 20,  log sistem Fedora tidak lagi dikelola oleh “syslog” secara bawaan. Kini Fedora menggunakan layanan bernama “journal“. Sebenarnya layanan ini sudah ada sejak Fedora 17, namun logging yang dilakukan belum persistent  secara bawaan.

  • Lokasi log journal terdapat pada direktori /var/log/journal.
Gambar 1: Contoh isi direktori journal
Gambar 1: Contoh isi direktori journal
  • Log journal berupa berkas binary. Namun jika kita ingin membaca log sistem dapat menggunakan perintah “journalctl“.
Gambar 2 : Contoh isi berkas system.journal
Gambar 3 : Contoh pesan log menggunakan perintah journalctl
Gambar 3 : Contoh pesan log menggunakan perintah journalctl
  • Berkas konfigurasi journal adalah /etc/systemd/journald.conf.
Gambar 4: Contoh berkas konfigurasi journal secara bawaan
Gambar 4: Contoh berkas konfigurasi journal secara bawaan
II. Log Aplikasi
  • Secara umum log aplikasi tersimpan pada direktori: /var/log/namaaplikasi
  • Berikut direktori log aplikasi bawaan sistem operasi Fedora-Server 21:
Gambar 5: Daftar direktori log aplikasi bawaan
  • Berikut contoh isi log dari beberapa aplikasi:
Gambar 6: Isi berkas boot.log
Gambar 6: Isi berkas boot.log
Gambar 7: Contoh isi log dari aplikasi 'cron'
Gambar 7: Contoh isi log dari aplikasi ‘cron’
Gambar 8: Contoh isi berkas yum.log
Gambar 8: Contoh isi berkas yum.log
  • Selanjutnya akan dibahas mengenai log aplikasi Apache, MySQL, WordPress, dan SELinux secara khusus.

a) Log Apache

Direktori log Apache terdapat pada /var/log/httpd, yang di dalamnya terdapat beberapa jenis log, yaitu:

Gambar 10: Berkas-berkas log aplikasi Apache
Gambar 9: Berkas-berkas log aplikasi Apache

Berikut diberikan contoh isi dari beberapa berkas log Apache.

Gambar 11: Contoh isi berkas log akses Apache
Gambar 10: Contoh isi berkas log akses Apache
Gambar 12: Contoh isi berkas log error Apache
Gambar 11: Contoh isi berkas log error Apache

Berkas konfigurasi log Apache terdapat pada /etc/httpd/conf/httpd.conf, di mana isinya adalah sebagai berikut.

Gambar
Gambar 12: Isi awal dari berkas konfigurasi Apache

b) Log MariaDB (MySQL)

Berkas log MySQL adalah /var/log/mariadb/mariadb.log.
Berikut contoh isi log aplikasi MySQL.

Gambar 14: Contoh isi log aplikasi MySQL
Gambar 13: Contoh isi log aplikasi MySQL

Berkas konfigurasi MySQL adalah /etc/my.cnf.

Gambar 15: Berkas konfigurasi MySQL secara bawaan
Gambar 14: Berkas konfigurasi MySQL secara bawaan

c) Log WordPress

  • Untuk membuat log WordPress dari direktori log Apache, terlebih dahulu buat suatu VirtualHost dengan cara:

1. Buat berkas konfigurasi WordPress dengan perintah berikut.

sudo vi /etc/httpd/conf.d/wordpress.conf

2. Ketik baris berikut dalam berkas konfigurasi tersebut, lalu simpan.

Gambar 17: Isi berkas konfigurasi WordPress
Gambar 15: Isi berkas konfigurasi WordPress

3. Mulai ulang aplikasi Apache.

Setelah melakukan langkah di atas, berkas log WordPress akan masuk ke direktori log Apache seperti pada gambar berikut.

Gambar 16: Berkas log WordPress dalam direktori log Apache
Gambar 16: Berkas log WordPress dalam direktori log Apache
  • Untuk membuat daftar log akses WordPress, kita dapat menggunakan plugin “WP Security Audit Log”.
  • Sebelum memasang plugin, terlebih dahulu ubah kepemilikan folder WordPress menjadi milik pengguna Apache supaya pemasangan tidak menggunakan FTP.
# Untuk membuat folder WordPress menjadi milik pengguna Apache
sudo chown -R apache wordpress/

# Untuk membuat folder WordPress menjadi milik grup Apache
sudo chgrp -R apache wordpress/

# Untuk memberi izin penuh untuk mengakses direktori WordPress
sudo chmod u+wrx wordpress/*
  • Adapun langkah pemasangan plugin-nya adalah sebagai berikut.

1. Unduh berkas zip plugin “WP Security Audit Log” di tautan ini.

2. Login ke WordPress. Pada menu “Plugins” klik pilihan “Add New”.

Gambar
Gambar 17: Tampilan dashboard WordPress

3. Setelah itu, klik “Upload Plugin”. Masukkan nama berkas zip plugin, lalu klik “Install Now”.

Gambar 19:
Gambar 18: Tampilan pada langkah ketiga pemasangan plugin

4. Pilih “Installed Plugins” pada menu “Plugins” di dashboard, lalu aktifkan plugin “WP Security Audit Log”.

Gambar 20:
Gambar 19: Tampilan pada langkah keeempat pemasangan plugin

5. Untuk melihat log, klik “Audit Log Viewer” pada menu “Audit Log” di dashboard.

Gambar 21:
Gambar 20: Pilihan menu “Audit Log” di dashboard

6. Lalu akan muncul daftar log berikut.

Gambar 22: Daftar log akses WordPress
Gambar 21: Daftar log akses WordPress dengan plugin WP Security Audit Log

d) Log SELinux

Keputusan SELinux, seperti membolehkan atau melarang akses, disimpan sebagai cache yang dikenal sebagai Vector Access Cache (AVC). Pesan penolakan dicatat saat SELinux menolak akses. Penolakan ini juga dikenal sebagai “AVC denials“, dan dicatat ke lokasi yang berbeda, bergantung pada daemon yang berjalan. Berikut daftar lokasinya.

troubl

  • Untuk membaca log, gunakan perintah berikut.
sealert -a /var/log/audit/audit.log

sealert -a /var/log/messages
  • Berikut contoh isi berkas “audit.log” :
Gambar
Gambar 22.a: Contoh isi berkas catatan audit (1/2)
sellog 3
Gambar 22.b: Contoh isi berkas pencatatan audit (2/2)

Demikian artikel mengenai audit log sistem dan log aplikasi pada Fedora-Server 21.

Pada artikel selanjutnya akan dibahas mengenai audit log pengguna, rotasi log, serta remote logging Fedora-Server 21. ( Silakan baca di sini 😀 )

Cara Pemasangan WordPress pada Fedora-Server 21 dengan AMP

WordPress merupakan aplikasi open source untuk web blogging dan sistem manajemen konten (CMS) yang paling banyak digunakan. WordPress dibangun menggunakan bahasa pemrograman PHP dan basis data MySQL.

Oleh karena itu, untuk memasang WordPress pada Fedora-Server 21 disyaratkan untuk memasang Apache, MySQL, dan PHP (sering disingkat dengan AMP, atau LAMP jika dengan Linux) terlebih dahulu.

Pada artikel ini akan dibahas mengenai cara pemasangan AMP dan WordPress pada Fedora-Server 21.

Sebenarnya AMP dapat dipasang sekaligus saat pemasangan Fedora-Server 21 dengan menambah add-ons “Basic Web Server” dan “MariaDB (MySQL) Database” pada konfigurasi “Software Selection”. (lihat Gambar 1)

atur software selection
Gambar 1: Tampilan konfigurasi “Software Selection” saat pemasangan Fedora-Server 21

Namun jika belum, AMP dapat dipasang masing-masing dengan perintah “yum install”.

Catatan:

- Setiap perintah dalam tutorial ini diakhiri dengan menekan tombol "Enter".
- Tambahkan "sudo" di depan perintah jika diperlukan akses sebagai root.
- Perintah yang berwarna merah disesuaikan dengan keinginan sendiri.

1. PEMASANGAN AMP

Apache

  • Untuk memasang Apache, pasang paket httpd dengan perintah berikut.
yum install httpd
      • Untuk memulai Apache, gunakan perintah berikut.
systemctl start httpd.service
        • Untuk membuat Apache memulai pada saat setiap boot, gunakan perintah berikut.
systemctl enable httpd.service
          • Untuk membolehkan permintaan http dari jaringan eksternal, konfigurasi firewall  dengan perintah berikut.
firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --reload
  • Sebelum menguji Apache, pastikan ada peramban web yang terpasang. Jika belum ada, gunakan perintah berikut untuk memasang peramban web. (Di sini saya menggunakan “links” sebagai peramban web)
yum install links
  • Untuk menguji apakah Apache berjalan dengan benar, buka alamat localhost menggunakan peramban web dengan perintah berikut.
links http://localhost/

Jika setelah itu muncul halaman web yang bertuliskan “Fedora Test Page” seperti pada Gambar 2, berarti Apache berjalan dengan benar.

Gambar
Gambar 2: Halaman pertama dari “Fedora Test Page”

Root dokumen default Apache pada Fedora adalah /var/www/html, sedangkan berkas konfigurasinya adalah /etc/httpd/conf/httpd.conf. Konfigurasi tambahan disimpan dalam direktori /etc/httpd/conf.d/.

MySQL

  • Untuk memasang MySQL, pasang paket mariadb dengan perintah berikut.
yum install mariadb mariadb-server
  • Untuk memulai MySQL, gunakan perintah berikut.
systemctl start mariadb.service
  • Untuk membuat MySQL memulai pada saat setiap boot, gunakan perintah berikut.
systemctl enable mariadb.service
  • Untuk mengamankan pemasangan MySQL, gunakan perintah berikut.
mysql_secure_installation

Lalu lakukan hal-hal berikut: (lihat Gambar 3.a – 3.c)

  1. buat kata sandi untuk akun root
  2. hilangkan akun-akun pengguna anonim
  3. hilangkan akun-akun root yang dapat diakses dari luar host lokal
  4. hilangkan basis data “test” (yang secara default dapat diakses oleh semua pengguna, termasuk pengguna anonim), dan hak-hak istimewa yang membolehkan seseorang mengakses basis data dengan judul yang diawali dengan “test_”
Gambar 3.a: Pengaturan pemasangan MySQL yang aman (1/3)
Gambar
Gambar 3.b: Pengaturan pemasangan MySQL yang aman (2/3)
Gambar 3.c: Pengaturan pemasangan MySQL yang aman (3/3)

PHP

  • Untuk memasang PHP, gunakan perintah berikut.
yum install php php-mysql
  • Setelah itu mulai ulang layanan Apache dengan perintah berikut.
systemctl restart httpd.service
  • Untuk menguji PHP, diperlukan sebuah berkas PHP yang diletakkan ke dalam direktori default Apache yaitu /var/www/html. Untuk itu, buatlah suatu berkas kecil PHP (info.php) di dalam direktori /var/www/html dengan perintah berikut.
vi /var/www/html/info.php
  • Lalu ketik baris berikut di dalam berkas “info.php”.
<?php phpinfo(); ?>
  • Tekan “Esc” dan ketik “:wq” untuk menyimpan dan keluar.
  • Buka berkas tersebut menggunakan peramban web dengan perintah berikut.
links http://localhost/info.php

Lalu akan muncul halaman PHPInfo seperti pada gambar berikut.

Gambar
Gambar 4.a: Halaman pertama dari LAMP PHPInfo
Gambar
Gambar 4.b: Halaman 19 (mengenai MySQL support) dari LAMP PHPInfo

Pemasangan AMP berhasil! 🙂

Selanjutnya, masuk ke langkah-langkah pemasangan WordPress.

2. PEMASANGAN WORDPRESS

Membuat Database

1. Masuk ke MariaDB dengan perintah berikut.

mysql -u root -p

2. Buat basis data untuk WordPress dengan perintah berikut.

CREATE DATABASE wordpress;

3. Tambahkan seorang pengguna beserta kata sandinya.

CREATE USER 'wpuser'@'localhost' IDENTIFIED BY 'wppassword';

4. Izinkan pengguna tersebut untuk mengakses basis data.

GRANT ALL PRIVILEGES ON wordpress.* TO 'wpuser'@'localhost';
FLUSH PRIVILEGES;

Mengkonfigurasi WordPress

1. Unduh WordPress terbaru dengan perintah berikut.

wget http://wordpress.org/latest.tar.gz

atau

links http://wordpress.org/latest.tar.gz

2. Ekstrak berkas tersebut dengan perintah berikut.

tar -zxvf <namaberkas>.tar.gz

3. Pindahkan berkas yang telah diekstrak tadi ke direktori /var/www/html/.

mv wordpress/* /var/www/html

4. Salin berkas “wp-config-sample.php” dan simpan sebagai “wp-config.php”.

cp /var/www/html/wp-config-sample.php /var/www/html/wp-config.php

5. Buka dan edit berkas tersebut dengan perintah berikut.

vi /var/www/html/wp-config.php

6. Masukkan informasi basis data seperti pada Gambar 5.

Gambar 4
Gambar 5: Tampilan saat mengedit berkas “wp-config.php”

7. Buat pengguna Apache sebagai pemilik dari direktori WordPress.

chown -R apache:apache /var/www/html/

8. Tetapkan kebijakan SELinux untuk direktori-direktori Apache.

chcon -Rt httpd_sys_content_t /var/www/html

Memasang WordPress:

1. Cek alamat IP Anda. (lihat Gambar 6)

ifconfig

2. Kunjungi alamat IP Anda menggunakan peramban web. (lihat Gambar 6)

links http://alamat-ip-anda/
wp 9
Gambar 6: Tampilan saat mengecek alamat IP

3. Isi judul situs, nama pengguna, kata sandi, dan alamat surel. Lalu pilih “Install WordPress”. (lihat gambar 7.a – 7.b)

Gambar
Gambar 7.a: Halaman pemasangan WordPress (1/2)
Gambar
Gambar 7.b: Halaman pemasangan WordPress (2/2)

4. Setelah WordPress berhasil dipasang, pilih “Log In”. (lihat Gambar 8)

Gambar
Gambar 8: Halaman saat pemasangan WordPress berhasil

5. Masukkan nama pengguna dan kata sandi, lalu pilih “Log In”.

Gambar
Gambar 9: Halaman untuk login ke WordPress

6. Setelah login berhasil akan muncul halaman “Dashboard” seperti Gambar 10.

Gambar
Gambar 10: Halaman pertama dari “Dashboard”
Gambar Tampilan Beranda
Gambar 11.a: Halaman beranda web “Keamanan OS Fedora” (1/2)
Gambar Tampilan Beranda
Gambar 11.b: Halaman beranda web “Keamanan OS Fedora” (2/2)

Selesai! 🙂

Demikian, tutorial pemasangan WordPress pada Fedora-Server 21 dengan AMP. Semoga bermanfaat 😀

Langkah Hardening Sistem Operasi Fedora-Server 21 (2/2)

Sebelumnya mari ingat kembali langkah-langkah hardening sistem operasi yang diusulkan oleh NIST, yaitu:
a. memasang dan menambal (patch) sistem operasi
b. menghapus layanan, aplikasi, dan protokol yang tidak diperlukan
c. mengkonfigurasi pengguna-pengguna, grup-grup, dan otentikasi
d. mengkonfigurasi kontrol sumberdaya-sumberdaya
e. memasang dan mengkonfigurasi kontrol keamanan tambahan, seperti anti-virus, firewall berbasis host, dan sistem deteksi intrusi (IDS), jika diperlukan
f. menguji keamanan dari dasar sistem operasi untuk memastikan langkah yang dilakukan sesuai dengan yang dibutuhkan keamanan

Pada artikel sebelumnya, “Langkah Hardening Sistem Operasi Fedora-Server 21 (1/2)” sudah dibahas mengenai langkah hardening (a), (b), (c), dan (d). Dalam artikel ini akan dibahas mengenai langkah (e) dan (f).

Catatan:

- Setiap perintah dalam tutorial ini diakhiri dengan menekan tombol "Enter".
- Tambahkan "sudo" di depan perintah jika diperlukan akses sebagai root.
- Perintah yang berwarna merah disesuaikan dengan keinginan sendiri.
- Tagar di depan perintah menunjukkan komentar, tidak perlu diketik.

e. Memasang dan Mengkonfigurasi Kontrol Keamanan Tambahan

Sebenarnya dalam Fedora-Server 21 terdapat kontrol keamanan tambahan yang secara bawaan sudah terpasang, yaitu firewall dan SELinux.

1. Firewall

  • Setiap paket data yang diterima oleh Fedora-Server 21 akan diperiksa oleh layanan “Iptables”. “Iptables” akan melakukan pemeriksaan dengan memasukkan setiap paket data ke dalam tabel-tabel.

“Iptables” memiliki 3 buah tabel built-in, yaitu :

  • mangle, digunakan untuk manipulasi paket data, misalnya melakukan perubahan TCP header
  • filter, digunakan untuk melakukan filter paket data yang keluar/masuk firewall
  • nat, digunakan untuk menerjemahkan alamat jaringan (NAT)

Setiap tabel memiliki rule-rule atau aturan-aturan yang disebut chain. Macam-macam chain dari tiap tabel Iptables adalah sebagai berikut.

1. Built-in chains untuk tabel “filter”:

INPUT — memfilter paket yang ditujukan kepada firewall.
OUTPUT — memfilter paket yang akan keluar dari firewall.
FORWARD — memfilter paket yang diteruskan dari suatu NIC ke NIC lain pada firewall.

2. Built-in chains untuk tabel “nat”:

PREROUTING — menerjemahkan alamat paket data sebelum proses routing
POSTROUTING — menerjemahkan alamat paket data sesudah proses routing
OUTPUT — menerjemahkan alamat paket data yang berasal dari firewall itu sendiri sebelum dikeluarkan

3. Built-in chains untuk tabel “mangle”:

INPUT — mengubah paket jaringan yang ditujukan kepada firewall
OUTPUT — mengubah paket data yang berasal dari firewall itu sendiri sebelum dikeluarkan
FORWARD — mengubah paket jaringan yang melalui firewall
PREROUTING — mengubah paket masuk sebelum di-routing
POSTROUTING — mengubah paket jaringan sebelum dikeluarkan

Chain akan memeriksa paket-paket yang masuk sesuai dengan kriteria yang sudah ditentukan. Pemeriksaan biasanya dilakukan dengan mencocokan TCP Header dari paket data dengan suatu aturan yang sudah di tentukan pada chain. Jika cocok, maka chain akan melakukan jump atau eksekusi terhadap paket tersebut. Jump bawaan dapat berupa “DROP” (buang) atau “ACCEPT” (terima).

Dalam proses pencocokan kriteria paket pada chain digunakan beberapa perintah sebagai berikut :

-t table
# mendefinisikan tabel yang akan digunakan (mangel, filter atau nat). # bila tidak didefinisikan, asumsi yang digunakan adalah tabel filter.
-j jump
# mendefinisikan jump yang akan diberlakukan pada suatu paket yang cocok dengan kriteria (rule) yang diterapkan.
-A 
# menambahkan chain baru sesudah chain terakhir.
-F
# menghapus semua chain pada suatu tabel.
-p protocoltype   
# mencocokan protokol yang digunakan (TCP, UDP, ICMP dan lain-lain)
-s sourceIPaddr  
# mencocokan alamat IP asal pada paket data
-d destinationIPaddr       
# mencocokan alamat IP tujuan pada paket data
-i interfacename    
# mencocokan input interface di mana paket akan diterima.
-o interfacename   
# mencocokan output interface di mana paket akan dikirimkan.

Contoh:

iptables -A INPUT -s 192.168.0.149 -j DROP

# artinya:
# firewall memblok paket yang masuk dari alamat IP 192.168.0.149

Untuk pencocokan kriteria berdasarkan protokol TCP dan UDP, terdapat beberapa perintah tambahan, yaitu :

-p tcp --sport portnumber   
# port asal TCP, dapat berupa suatu port atau rentang port.
# untuk menggunakan rentang port formatnya adalah startport:endport
-p tcp --dport portumber  
# port tujuan TCP
-p tcp --syn                       
# mencocokan TCP Request Connection yang baru
-p udp --sport portnumber  
# port asal UDP, dapat berupa suatu port atau rentang port. 
# untuk menggunakan rentang port formatnya adalah startport:endport
-p udp --dport portnumber 
# port tujuan UDP

Contoh:

iptables -A INPUT -s 192.168.0.250 -p tcp --dport 23 -j DROP

# artinya:
# firewall memblok layanan telnet (port 23) yang berasal dari alamat IP 192.168.0.250

2. SELinux (Security-Enhanced Linux)

SELinux merupakan implementasi dari mekanisme MAC (Mandatory Access Control) pada kernel linux yang memeriksa operasi-operasi yang diizinkan setelah DAC (Discretionary Access Control) standar diperiksa.

DAC adalah jenis kontrol akses di mana pengguna yang memutuskan bagaimana pengguna melindungi dan membagikan (share) data-datanya melalui sistem komputer untuk membatasi akses ke suatu objek berdasarkan identitas dan atau kelompok yang dimiliki. Pada DAC, pengguna diklasifikasikan berdasarkan kepemilikan atau grup. Umumnya sistem operasi menggunakan kontrol akses jenis ini.

Sedangkan MAC adalah jenis kontrol akses di mana sistem yang memutuskan bagaimana data akan diakses atau dibagikan atau melakukan beberapa jenis operasi pada objek. Pada MAC, pengguna diklasifikasi berdasarkan level dan lebih aman dibanding DAC.

  • Untuk mengetahui status dari SELinux, gunakan perintah berikut:
sestatus
Gambar 1: Tampilan status SELinux
  • Untuk melihat/ mengubah konfigurasi SELinux, gunakan perintah berikut:
vi /etc/selinux/config

Berikut konfigurasi SELinux secara bawaan pada Fedora:

Gambar Konfigurasi SELinux
Gambar 2: Konfigurasi bawaan SELinux pada Fedora

Penjelasan:
Opsi “SELINUX” mengatur mode SELinux yang berjalan. Terdapat tiga macam mode SELinux, yaitu:

  1. Enforcingdalam mode ini Linux memberlakukan kebijakan SELinux dan menolak akses berdasarkan peraturan kebijakan SELinux. Secara default, Fedora memilih mode ini.
  2. Permissive, mode ini hampir sama dengan Enforcing, hanya saja mode ini mengeluarkan pesan peringatan jika terjadi sesuatu.
  3. Disabled, dalam mode ini SELinux dimatikan.

Opsi “SELINUXTYPE” mengatur kebijakan SELinux yang digunakan. Terdapat tiga macam kebijakan, yaitu:

  1. Targeted, kebijakan untuk melindungi proses-proses yang targeted. Secara default, Fedora menggunakan kebijakan ini.
  2. Minimum, kebijakan untuk melindungi proses-proses yang dipilih
  3. MLS, kebijakan untuk perlindungan keamanan multi-level.

Saat menggunakan SELinux, berkas-berkas, termasuk direktori-direktori dan perangkat-perangkat, disebut sebagai objek. Proses-proses, seperti menjalankan suatu perintah atau menggunakan suatu aplikasi, disebut sebagai subjek.

Proses-proses dan berkas-berkas diberi label dengan konteks SELinux yang berisi informasi tambahan, seperti pengguna SELinux, peran, tipe, dan level (opsional). Saat menjalankan SELinux, semua informasi ini digunakan untuk membuat keputusan kontrol akses. Di Fedora, SELinux menyediakan kombinasi Role-Based Access Control (RBAC), Type Enforcement (TE), dan juga Multi-Level Security (MLS) yang opsional. Gunakan perintah berikut untuk melihat konteks SELinux dari suatu berkas atau direktori:

ls -Z namafile/direktori
Gambar 3: Konteks SELinux dari suatu berkas

Konteks SELinux mengikuti sintaks berikut: SELinux user:role:type:level.

a. Pengguna SELinux (SELinux user)

Identitas pengguna SELinux adalah sebuah identitas yang dikenal oleh kebijakan targeted yang diberi kewenangan akan sekumpulan peran dan range  MLS/ MCS  tertentu. Setiap pengguna Linux dipetakan ke pengguna SELinux melalui kebijakan SELinux. Jalankan perintah berikut sebagai root untuk melihat daftar pemetaan antara akun pengguna Linux dan SELinux (perlu memasang paket policycoreutils-python terlebih dahulu).

semanage login -l
Gambar 4: Pemetaan pengguna Linux ke pengguna SELinux

b. Peran (Role)

Bagian dari SELinux adalah model keamanan Role-Based Access Control (RBAC). Peran adalah atribut dari RBAC. Pengguna-pengguna SELinux diberi kewenangan akan peran-peran, dan peran-peran diberi kewenangan akan domain-domain. Peran berfungsi sebagai perantara antara domain dan pengguna SELinux. Peran yang dapat dimasukkan menentukan domain mana yang dapat dimasukkan, sehingga membuat SELinux dapat mengontrol jenis objek mana yang dapat diakses. Hal ini membantu mengurangi kerentanan terhadap serangan eskalasi hak istimewa.

c. Tipe (Type)

Tipe adalah atribut dari TE. Tipe mendefinisikan domain untuk proses, dan tipe dari berkas. Aturan kebijakan SELinux menentukan bagaimana tipe-tipe dapat mengakses satu sama lain, baik suatu domain mengakses suatu tipe, atau suatu domain mengakses domain lain. Akses hanya diperbolehkan jika ada aturan kebijakan SELinux yang membolehkan hal tersebut.

d. Level

Level adalah atribut dari MLS dan MCS. MLS range adalah sepasang level, ditulis sebagai lowlevel-highlevel jika level-nya berbeda, atau lowlevel jika level-nya sama (s0-s0 sama dengan s0). Setiap level merupakan pasangan sensitivitas-kategori, di mana kategorinya opsional. Jika ada kategori, level ditulis sebagai sensitivity:category-set.

Di Fedora, kebijakan SELinux memaksa MCS diberlakukan. Dalam MCS hanya terdapat satu sensitivitas yaitu s0. MCS di Fedora mendukung 1024 kategori yang berbeda, mulai dari c0 sampai c1023. s0-s0: c0.c1023 merupakan sensitivitas s0 dan berwenang untuk mengakses semua kategori.

Untuk memahami lebih lanjut mengenai SELinux pada Fedora, silakan baca dokumen berikut.

f) Menguji Keamanan Sistem Operasi

Salah satu cara menguji keamanan sistem operasi adalah dengan menggunakan Nmap. Untuk memasang Nmap, gunakan perintah berikut.

yum install nmap

Untuk menguji keamanan, cek port berapa saja yang terbuka (port scanning) dengan perintah berikut.

nmap -p 1-65535 alamatIPtarget

Lalu akan muncul hasil port scanning seperti gambar berikut.

Gambar
Gambar 5: Hasil scanning port dengan Nmap

Selain itu, periksa versi layanan apa saja yang berjalan (services scanning) dan deteksi  jenis OS apa yang digunakan dengan perintah berikut.

nmap -sV -O alamatIPtarget
Gambar 6:
Gambar 6: Hasil scanning layanan dengan Nmap

Dari hasil scanning di atas, terlihat ada tiga port tcp yang terbuka dan satu port yang terfilter. Port terfilter karena packet filtering mencegah komunikasi dengan port tersebut. Dengan begitu, kemungkinan munculnya serangan dapat diminimumkan.

Untuk hasil deteksi OS, Nmap tidak spesifik menyebutkan jenis sistem operasi dari digunakan target. Seharusnya hasil yang benar adalah Fedora release 21 dengan kernel Linux 3.19.

Demikian pembahasan mengenai langkah hardening (e) dan (f). Semoga bermanfaat 🙂

Langkah Hardening Sistem Operasi Fedora-Server 21 (1/2)

Dalam dokumen “Guide to General Server”, yang dikeluarkan oleh NIST pada Juli 2008, terdapat panduan untuk mengamankan/ hardening suatu sistem operasi. Adapun langkah-langkahnya adalah sebagai berikut.
a. memasang dan menambal (patch) sistem operasi
b. menghapus layanan, aplikasi, dan protokol yang tidak diperlukan
c. mengkonfigurasi pengguna-pengguna, grup-grup, dan otentikasi
d. mengkonfigurasi kontrol sumberdaya-sumberdaya
e. memasang dan mengkonfigurasi kontrol keamanan tambahan, seperti anti-virus, firewall berbasis host, dan sistem deteksi intrusi (IDS), jika diperlukan
f. menguji keamanan dari dasar sistem operasi untuk memastikan langkah yang dilakukan sesuai dengan yang dibutuhkan keamanan

Dalam artikel ini akan dibahas mengenai langkah hardening (a), (b), (c) dan (d).
Untuk bahasan mengenai langkah hardening (e) dan (f) dapat dilihat pada artikel “Langkah Hardening Sistem Operasi Fedora-Server 21 (2/2)“.

Catatan:

- Setiap perintah dalam tutorial ini diakhiri dengan menekan tombol "Enter".
- Tambahkan "sudo" di depan perintah jika diperlukan akses sebagai root.
- Perintah yang berwarna merah disesuaikan dengan keinginan sendiri.
- Tagar di depan perintah menunjukkan komentar, tidak perlu diketik.

a. Memasang dan Menambal (Patch) Fedora-Server 21

Dalam artikel ini akan dibahas langsung mengenai cara menambal (patch) Fedora-Server 21. Untuk langkah pemasangan Fedora-Server 21 bisa dilihat pada artikel sebelumnya (klik di sini).

Pada Fedora-Server, penambalan dilakukan dengan perintah “yum”. Jika penambalan dilakukan melalui proxy, lakukan konfigurasi proxy terlebih dahulu dalam berkas “yum.conf” dengan cara:

1. Gunakan perintah:

vi /etc/yum.conf

2. Tekan huruf “I“, lalu tambahkan baris berikut.

# The proxy server - proxy server:port number
proxy=http://proxy.domain.com:8080
# The account details for yum connections 
proxy_username=username 
proxy_password=password

3. Tekan tombol “Esc“, lalu ketik “:wq” untuk menyimpan dan keluar.

  • Untuk mengecek pemutakhiran (update) terbaru, gunakan perintah:
yum check-update
cek apdet
Gambar 1: Tampilan Fedora-Server saat megecek pemutakhiran terbaru

Secara default Fedora-Server 21 akan mencari peladen mirror tercepat untuk melakukan pemutakhiran. Lalu semua paket yang perlu dimutakhirkan akan ditampilkan.

cek apdet 2
Gambar 2: Beberapa paket yang tersedia untuk dimutakhirkan (jika ada)
  • Untuk melakukan pemutakhiran terbaru, gunakan perintah:
yum update

Sebelum mengunduh pemutakhiran, Fedora-Server akan menampilkan daftar paket yang akan diunduh beserta ringkasan transaksi pengunduhannya (jika ada) seperti pada Gambar 3.

yum apdet
Gambar 3: Tampilan Fedora-Server sebelum mengunduh pemutakhiran terbaru (jika ada)

Pilih huruf “y” untuk mengunduh, lalu tunggu hingga pemutakhiran selesai.

apdet complete
Gambar 4: Tampilan Fedora-Server saat selesai melakukan pemutakhiran

Penambalan selesai! 🙂

b. Menghapus layanan, aplikasi, dan protokol yang tidak diperlukan

Sebelum menghapus layanan dan aplikasi yang tidak diperlukan, kita perlu mengetahui jenis layanan/ aplikasi apa saja yang terdapat Fedora-Server 21.

  • Untuk melihat daftar semua layanan, gunakan perintah berikut.
# Layanan SysV
chkconfig --list

# Layanan systemd
systemctl list-unit-files

Untuk melihat semua layanan yang sedang berjalan, gunakan perintah berikut.

service --status-all
  • Untuk melihat status dari suatu layanan, gunakan perintah berikut.
service namalayanan status  
  • Untuk menghidupkan/ mematikan suatu layanan, gunakan perintah berikut.
# Menjalankan suatu layanan
systemctl start namalayanan

# Menghentikan suatu layanan
systemctl stop namalayanan

# Membuat suatu layanan hidup setiap boot
systemctl enable namalayanan

# Membuat suatu layanan mati (bukan sekedar dihentikan)
systemctl disable namalayanan

# Menjalankan ulang suatu layanan
systemctl restart namalayanan
  • Untuk melihat daftar semua port yang terbuka beserta layanannya, gunakan perintah berikut.
# Agar muncul soket layanan numerikal
netstat -tulpn

# Agar muncul soket layanan literal 
netstat -tulp
Gambar
Gambar 5: Contoh daftar log yang terbuka dengan soket numerikal
Gambar
Gambar 6: Contoh daftar port yang terbuka dengan soket literal
  • Untuk menutup suatu port dapat dilakukan dengan mematikan layanan terkait menggunakan perintah “systemctl” atau dengan menambah aturan baru di firewall menggunakan perintah berikut.
iptables -A INPUT -p tcp/udp --dport jenisprotokol/no.port -j DROP

c. Mengkonfigurasi Pengguna, Grup, dan Otentikasi

Mengkonfigurasi Pengguna dan Grup

  • Untuk menambah pengguna baru, gunakan perintah:
useradd username 

Lalu buat kata sandi untuk pengguna tersebut dengan perintah:

passwd username
  • Untuk menghapus suatu pengguna, gunakan perintah:
userdel username
  • Untuk mengetahui adanya id suatu pengguna, gunakan perintah:
id username
  • Untuk menambah grup baru, gunakan perintah:
groupadd groupname
  • Untuk menghapus suatu grup, gunakan perintah:
groupdel groupname
  • Untuk mengetahui daftar grup yang tersedia, gunakan perintah:
groups
  • Untuk memasukkan pengguna ke dalam suatu grup, gunakan perintah:
# Menambah ke dalam grup bawaan (default) seperti "root"
usermod -g groupname username

# Menambah ke dalam grup grup tambahan seperti "wheel"
usermod -a -G groupname username
  • Untuk mengeluarkan pengguna dari suatu grup, gunakan perintah:
gpasswd -d username groupname
  • Agar suatu pengguna diizinkan melakukan perintah “sudo”, masukkan pengguna tersebut ke dalam grup “wheel” dengan perintah:
usermod -a -G wheel username
  • Untuk membatasi hak akses root, buka berkas “su” dengan perintah:
vi /etc/pam.d/su

Lalu hilangkan tanda pagar pada baris berikut:

# auth required pam_wheel.so use_uid 

Setelah perubahan disimpan, hanya pengguna yang masuk ke dalam grup “wheel” yang dapat mengakses sebagai root.

Mengkonfigurasi Otentikasi

Untuk menerapkan otentikasi yang aman, diperlukan kebijakan kata sandi yang kuat. Salah satu cara menerapkannya adalah dengan menggunakan modul “pam_cracklib.so”.

Modul ini melakukan sejumlah pemeriksaan seperti memastikan kata sandi tidak mirip dengan kata-kata kamus, paling sedikit memiliki panjang tertentu, bukan kebalikan dari kata sandi sebelumnya, dan bukan kata sandi yang hanya diubah sedikit dari kata sandi sebelumnya.

Untuk menggunakan modul ini, lakukan langkah berikut.

1. Buka berkas “system-auth” dengan perintah berikut.

 vi /etc/pam.d/system-auth

2. Cari baris “password  required” dan edit menjadi seperti di bawah ini.

password required /lib/security/pam_cracklib.so retry=2 minlen=10 difok=6

# Keterangan:
# retry=2, artinya mencoba ulang paling banyak 2 kali
# minlen=10, artinya panjang kata sandi minimum 10 karakter
# difok=6, artinya paling banyak 6 karakter yang boleh sama dengan kata sandi sebelumnya

Selain itu, kata sandi para pengguna juga perlu diatur masa berlakunya supaya otentikasi lebih aman. Untuk mengatur masa berlakunya kata sandi, gunakan perintah berikut.

chage -m mindays -M maxdays -d lastday -I inactive -E expiredate -W warndays namapengguna

# Contoh:
# chage -m 7 -M 60 -W 7 pengguna1
# Artinya:
# -m 7 : jarak antar perubahan kata sandi minimum 7 hari
# -M 60: jarak antar perubahan kata sandi maksimal 60 hari 
# -W 7 : diperingatkan untuk mengganti kata sandi 7 hari sebelum tanggal expire

d. Mengkonfigurasi Kontrol Sumberdaya-Sumberdaya

  • Untuk melihat izin akses dari suatu berkas atau direktori, gunakan perintah:
ls -lha

Contoh hasil tampilannya:

Gambar
Gambar 7: Daftar izin akses dalam direktori “home” seorang pengguna

 

 

 

 

 

 

 

Karakter paling kiri berupa tanda “-” jika jenisnya berupa berkas, atau berupa huruf “d” jika berupa direktori. Sembilan karakter lainnya dipecah menjadi tiga bagian yang dapat diubah ke dalam permission bits, masing-masing menunjukkan izin akses dari pemilik, grup pemilik, serta pengguna lain di luar grup pemilik.

rwxr
Gambar 8: Bagan bit perizinan (permission bits)

Tabel permission bits:

  • Untuk mengubah izin akses dapat dilakukan dengan perintah “chmod” (change mode). Perintah ini dapat dilakukan dalam mode oktal atau mode simbolik.
# Mode oktal
chmod permissionbits folder/filename

# Mode simbolik
chmod <references><operator><modes> folder/filename
Reference Kelas Deskripsi
u user pemilik berkas
g group pengguna-pengguna yang merupakan anggota dari grup pemilik berkas
o others pengguna-pengguna bukan pemilik dan juga bukan anggota dari grup pemilik
a all semua pengguna
Operator Deskripsi
+ menambah suatu mode kepada suatu kelas
- menghilangkan suatu mode dari suatu kelas
= suatu mode dibuat sama persis dengan mode dari suatu kelas
Mode Nama Deskripsi
r read membuka suatu berkas atau direktori
w write membuat suatu berkas atau direktori
x execute mengeksekusi suatu berkas atau direktori

Contoh dengan mode oktal:

Gmabar
Gambar 9: Contoh perintah “chmod” dengan mode oktal
Contoh dengan mode simbolik:
Gambar
Gambar 10: Contoh perintah “chmod” dengan mode simbolik

 

 

 

Demikian pembahasan mengenai langkah hardening (a) sampai (d). Semoga bermanfaat 🙂

Silakan klik di sini untuk membaca artikel kelanjutannya 😀

 

Pemasangan Sistem Operasi Fedora-Server 21 pada Aplikasi VirtualBox

A. MEMASANG FEDORA-SERVER 21 PADA VIRTUALBOX

Yang harus diunduh:

  • pemasang (installer) aplikasi VirtualBox, silakan unduh di: https://www.virtualbox.org/wiki/Downloads
  • citra ISO sistem operasi Fedora-Server 21, silakan unduh di: https://getfedora.org/en/server/download/

Dalam contoh ini, saya menggunakan Fedora-Server 21 32 bit dan aplikasi Oracle VM VirtualBox versi 4.3.20 yang berjalan pada sistem operasi Windows 7 Ultimate 64 bit.

A.1. Langkah-langkah Membuat Mesin Maya (Virtual Machine)

1. Buka aplikasi VirtualBox, lalu klik “New”.

Tampilan awal VB
Gambar 1: Tampilan awal aplikasi VirtualBox

2. Masukkan nama, jenis, dan versi sistem operasi yang akan dipasang, lalu klik “Next”.

Langkah 1
Gambar 2: Langkah kedua

3. Tentukan besar RAM yang dialokasikan untuk mesin maya, lalu klik “Next”.

Langkah 2
Gambar 3: Langkah ketiga

4. Buat cakram keras maya (virtual hardisk), lalu klik “Next”.

Langkah 3
Gambar 4: Langkah keempat

5. Pilih VDI sebagai jenis berkas cakram keras maya, lalu klik “Next”.

Langkah 4
Gambar 5: Langkah kelima

6. Pilih “Dynamically allocated”, lalu klik “Next”.

VB-6
Gambar 6: Langkah keenam

7. Tentukan nama dan ukuran cakram keras maya (disarankan berukuran 8 GB), lalu klik “Create”.

Langkah 6
Gambar 7: Langkah ketujuh

8. Setelah cakram keras maya selesai dibuat, klik “Settings” >> “Storage” >> “Empty”. Kemudian klik gambar piringan kecil, pilih citra ISO Fedora-Server 21 sesuai direktori penyimpanannya, lalu klik “OK”.

Langkah 7
Gambar 8: Langkah memasukkan citra ISO dari Fedora Server21 ke mesin maya

9. Mesin maya sudah selesai dibuat secara lengkap.

Pembuatan Virtual Machine selesai
Gambar 9: Tampilan VirtualBox setelah citra ISO dimasukkan ke mesin maya

A.2. Langkah-langkah Memasang Fedora-Server 21

1. Pada tampilan VirtualBox, pilih mesin maya Fedora-Server 21 yang telah dibuat, lalu klik menu “Start”. Tunggu sampai tampilannya seperti berikut ini.

Tampilan awal saat booting
Gambar 10: Tampilan awal saat pengebutan (booting)

2. Pilih “Install Fedora-Server 21” untuk pemasangan langsung.

3. Pilih bahasa yang ingin digunakan, lalu klik “Continue”.

Pilih bahasa
Gambar 11: Tampilan menu pemilihan bahasa pada pemasangan Fedora-Server 21

4.  Konfigurasi pemasangan Fedora-Server 21:

Konfigurasi Fedora
Gambar 12: Tampilan konfigurasi pemasangan Fedora-Server 21

a. Klik “Date & Time”. Atur tanggal dan waktu dari Fedora-Server 21, lalu klik “Done”.

Atur timezone
Gambar 13: Tampilan pengaturan tanggal dan waktu

b. Klik “Software Selection”. Pilih pengaya (add-ons) environtment apa saja yang ingin dipasang dalam Fedora-Server, lalu klik “Done”. (optional)

atur software selection
Gambar 14: Tampilan pengaturan add-ons environtment yang ingin dipasang

c. Klik “Installation Destination”. Klik tanda ceklis sebanyak dua kali pada bagian “Local Standard Disks”, lalu klik “Done”.

atur destinasi pemasangan 2
Gambar 15: Tampilan pengaturan destinasi pemasangan sistem operasi

5. Selesai mengkonfigurasi pemasangan, klik “Begin Installation”.

selesai konfigurasi, klik begin
Gambar 16: Tampilan setelah konfigurasi pemasangan Fedora-Server 21 diisi dengan lengkap

6. Konfigurasi pengaturan pengguna Fedora-Server 21:

buat kata sandi root
Gambar 17: Tampilan konfigurasi pengaturan pengguna Fedora-Server 21

a. Buat kata sandi untuk root (disarankan pilih kata sandi serumit mungkin), setelah itu klik “Done”.

buat kata sandi root
Gambar 18: Tampilan pengaturan kata sandi root Fedora-Server 21

b. Isi konfigurasi untuk membuat pengguna, setelah itu klik “Done”.

tambahkan pengguna
Gambar 19: Tampilan konfigurasi pembuatan pengguna Fedora-Server 21

7. Tunggu proses pemasangan hingga selesai.

tampilan saat pemasangan selesai
Gambar 20: Tampilan saat pemasangan Fedora-Server 21 sudah selesai

8. Matikan mesin maya, lalu klik “Settings” >> “System”. Hilangkan tanda ceklis CD/DVD pada pilihan “Boot Order”, klik “OK”.

ubah urutan boot
Gambar 21: Tampilan saat mengatur boot dari cakram keras saja

9. Nyalakan kembali mesin maya, tunggu sampai muncul tampilan seperti pada gambar 22. Pilih “Fedora, with Linux 3.17.4-301.fc.21.i686”.

Gambar 23: Tampilan pilihan booting
Gambar 22: Tampilan pilihan pengebutan

10. Tunggu proses pengebutan selesai hingga muncul tampilan untuk masuk ke Fedora-Server 21.

Gambar 23: Tampilan saat proses pengebutan
Gambar 23: Tampilan saat proses pengebutan Fedora-Server 21
Gambar 24: Tampilan awal Fedora-Server 21
Gambar 24: Tampilan awal saat masuk ke Fedora-Server 21

Selesai!
Semoga bermanfaat 🙂

 

 

Strategi-Strategi untuk Mitigasi Intrusi Siber Bertarget (2/2)

Artikel ini merupakan lanjutan artikel terjemahan dari dokumen “Strategies to Mitigate Targeted Cyber Intrusions – Mitigation Details” yang dikeluarkan oleh Australian Signal Directorate (ASD).

Pada artikel sebelumnya (klik di sini untuk membaca), telah dibahas mengenai pendahuluan, tahap-tahap intrusi siber, dan informasi sensitif. Pada artikel ini akan membahas mengenai calon-calon utama target, dasar pemikiran dalam melaksanakan strategi-strategi mitigasi, beserta rincian strategi-strategi mitigasi.

4. CALON-CALON UTAMA TARGET

Istilah “calon-calon utama target” menggambarkan tentang pengguna-pengguna dalam suatu organisasi yang paling mungkin menjadi target sebagai bagian dari tahap pertama intrusi siber bertarget, termasuk:

  • eksekutif-eksekutif senior dan para asistennya
  • staf help desk, admin-admin sistem dan jaringan, dan pengguna-pengguna lain yang memiliki hak istimewa administratif dari suatu sistem operasi atau aplikasi seperti basis data
  • semua pengguna yang memiliki akses ke informasi sensitif, termasuk informasi yang dapat memberikan pemerintah atau organisasi asing keuntungan strategis maupun ekonomi pengguna yang memiliki akses jarak jauh
  • pengguna-pengguna yang mempunyai akses jarak jauh
  • pengguna-pengguna yang pekerjaannya melibatkan interaksi dengan surel-surel yang tidak diminta masyarakat serta pengguna-pengguna internet yang tidak diketahui lainnya; termasuk pengguna-pengguna yang menangangi permintaan Kebebasan Informasi, staf media dan humas, serta tim SDM yang membaca lampiran-lampiran surel seperti lamaran-lamaran pekerjaan

5. DASAR PEMIKIRAN DALAM MELAKSANAKAN STRATEGI-STRATEGI MITIGASI

Organisasi-organisasi Australia yang memiliki akses ke informasi sensitif (termasuk semua lembaga pemerintah federal Australia) memiliki kemungkinan tinggi untuk dijebol oleh intrusi siber berkecanggihan rendah jika postur keamanan organisasi tidak memadai. Selain kerugian yang berdampak pada kesejahteraan ekonomi dan semua warga negara Australia (seperti kerugian yang mencemarkan nama baik suatu organisasi) dapat merusak kepercayaan masyarakat terhadap Pemerintah Australia, dan dengan boros menghabiskan sumberdaya moneter dan pekerja yang langka untuk “membersihkan” intrusi siber intrusi berkecanggihan rendah secara terus menerus.

Sebagian besar organisasi yang memiliki sumber daya moneter dan pekerja yang terbatas membutuhkan manajemen senior agar berkomitmen akan pentingnya melindungi informasi sensitif organisasi. Saat diimplementasikan sebagai suatu paket, empat strategi mitigasi teratas dapat mengatasi semua tiga tahap tingkat tinggi intrusi siber dan merupakan “sweet spotyang memberikan peningkatan besar pada postur keamanan dengan investasi waktu, tenaga dan uang yang relatif kecil.

Setelah organisasi efektif menerapkan empat strategi mitigasi teratas (pertama pada pengguna stasiun kerja yang paling mungkin menjadi target intrusi siber dan kemudian pada semua stasiun kerja dan peladen), strategi mitigasi tambahan kemudian dapat dipilih untuk mengatasi kesenjangan keamanan sampai tingkat risiko residual yang dapat diterima tercapai.

Selain menerapkan strategi-strategi mitigasi, organisasi memerlukan suatu rencana penanggapan insiden dan kemampuan operasional terkait, termasuk pencadangan luring (offline backup) yang dilakukan dan diuji secara rutin agar pulih dari intrusi siber. Mengembangkan dan menerapkan kemampuan ini membutuhkan dukungan dari staf teknikal dan perwakilan bisnis, termasuk pemilik-pemilik data, komunikasi-komunikasi korporat, staf humas dan staf hukum.

Saat teridentifikasi, intrusi siber perlu dipahami dahulu batas kewajarannya sebelum perbaikan dilakukan. Jika tidak, organisasi akan bertindak seperti orang yang sedang bermain whack a mole“. Artinya, di saat organisasi sedang memperbaiki stasiun-stasiun kerja dan peladen-peladen yang terjebol dan juga memblokir akses jaringan ke infrastruktur internet yang dikendalikan oleh musuh siber, musuh yang sama juga sedang menjebol stasiun kerja dan peladen lainnya menggunakan perangkat perusak dan infrastruktur internet yang berbeda untuk menghindari deteksi.

Gambar 5: Foto seseorang yang sedang bermain “whack a mole

Untuk intrusi siber yang berkecanggihan lebih tinggi, ASD dapat membantu instansi pemerintah Australia dalam mengembangkan rencana strategi untuk menahan dan membasmi intrusi siber, dan juga meningkatkan postur keamanan suatu instansi akan persiapan untuk kemungkinan bahwa musuh siber akan tiba-tiba mencoba mendapatkan kembali akses ke stasiun-stasiun kerja dan peladen-peladen instansi.

Organisasi perlu menguji dan memutakhirkan rencana dan kemampuan penanggapan insiden secara rutin, berfokus pada pengurangan durasi waktu yang diperlukan untuk mendeteksi dan menanggapi intrusi maya berikutnya.

Organisasi harus terus menerus melakukan pemantauan dan mitigasi, menggunakan teknik-teknik otomatis untuk menguji dan mengukur efektivitas strategi-strategi mitigasi yang diimplementasikan, serta menerapkan strategi mitigasi tambahan yang diperlukan untuk melindungi informasi, stasiun-stasiun kerja dan peladen-peladen yang telah diidentifikasi sebagai aset-aset penting organisasi. Organisasi yang telah menerapkan solusi-solusi Pencegahan Kehilangan Data (Data Loss Prevention) biasanya sudah mengidentifikasi lokasi informasi yang paling sensitif.

Hilangnya tambalan (patch), kelemahan-kelemahan lain yang terdapat pada stasiun kerja dan peladen, serta upaya intrusi siber yang terdeteksi harus secara rutin dan sistematis dilaporkan sehingga manajer senior memahami ancaman dan dapat membuat keputusan pemulihan resiko yang tepat.

Organisasi yang proaktif akan berinvestasi dalam menemukan intrusi siber baru, bukan hanya sekedar menunggu atau dan mengandalkan produk keamanan untuk mendeteksi intrusi siber. Memanfaatkan akses informasi mengenai tradecraft (metode pengumpulan informasi) dan indikator penjebolan yang dilakukan musuh siber, seperti yang disampaikan kepada instansi-instansi pemerintah Australia melalui portal web OnSecure, dapat membantu organisasi mengidentifikasi intrusi siber.

6. RINCIAN STRATEGI-STRATEGI MITIGASI

Konsep daftar putih merupakan tema utama strategi mitigasi, di mana aktivitas seperti komunikasi jaringan atau eksekusi program ditolak secara bawaan (default), dan hanya aktivitas yang secara eksplisit diizinkan administrator sistem dan jaringan untuk memenuhi kebutuhan bisnis saja yang diperbolehkan. Pendekatan tradisional daftar hitam hanya memblokir sedikit aktivitas yang tidak diinginkan, dan pendekatan ini reaktif, memakan waktu dan memberikan keamanan yang lemah.

Terdapat 35 macam strategi mitigasi yang dibahas ASD, yaitu:

1. Membuat Daftar-putih Aplikasi
2. Melakukan Penambalan (Patch) pada Aplikasi
3. Melakukan Penambalan (Patch) pada Kerentanan-kerentanan Sistem Operasi
4. Membatasi Hak Istimewa Administratif
5. Konfigurasi Penguatan (Hardening) Aplikasi Pengguna
6. Analisis Dinamik secara Otomatis
7. Mitigasi Exploit yang Umum Digunakan pada Sistem Operasi
8. Sistem Pendeteksi/Pencegah Intrusi Berbasis Host
9. Menonaktifkan Akun-akun Administrator Lokal
10. Segmentasi dan Segregasi Jaringan
11. Otentikasi Multi-faktor
12. Aplikasi Tembok-api (Firewall) Berbasis Perangkat Lunak, Memblokir Lalu Lintas Jaringan yang Masuk
13. Aplikasi Tembok-api (Firewall) Berbasis Perangkat Lunak, Memblokir Lalu Lintas Jaringan yang Keluar
14. Non‐persistent Virtualised Sandboxed Trusted Operating Environment
15.  Pencatatan secara Terpusat dan Tersinkronisasi Waktu dari Kejadian Komputer yang Sukses dan Gagal
16. Pencatatan secara Terpusat dan Tersinkronisasi Waktu dari Aktivitas Jaringan yang Diperbolehkan dan yang Diblokir
17. Penyaringan Isi Surel
18. Penyaringan Isi Web
19. Pendaftarputihan Ranah (Domain) Web untuk Semua Ranah
20. Memblokir Surel Palsu
21. Manajemen Konfigurasi Stasiun Kerja dan Peladen
22. Perangkat Lunak Antivirus yang Menggunakan Penilaian Reputasi Heuristik dan Berbasis Internet Otomatis
23. Menolak Akses Internet Langsung dari Stasiun-stasiun Kerja
24. Konfigurasi Penguatan Aplikasi Peladen
25. Menegakkan Kebijakan Frasa Sandi (Passphrase) yang Kuat
26. Kontrol Media yang Portable dan Removable
27. Membatasi Akses pada Server Message Block (SMB) dan NetBIOS
28. Edukasi Pengguna
29. Inspeksi Stasiun Kerja akan Berkas-berkas Microsoft Office
30. Perangkat Lunak Antivirus Berbasis Signature
31. Enkripsi TLS antar Peladen Surel
32. Memblokir Usaha-usaha untuk Mengakses Situs Web berdasarkan Alamat IP
33. Sistem Pendeteksi/ Pencegah Intrusi Berbasis Jaringan
34. Membuat Daftar Hitam pada Gerbang Jaringan (Gateway)
35. Menangkap Lalu Lintas Jaringan

Untuk artikel mengenai rincian setiap strategi mitigasi dapat dilihat di kategori Mitigasi 2014.

Demikian, semoga bermanfaat. 🙂

Strategi-Strategi untuk Mitigasi Intrusi Siber Bertarget (1/2)

Artikel ini merupakan terjemahan dari dokumen “Strategies to Mitigate Targeted Cyber Intrusions – Mitigation Details” yang dikeluarkan oleh ASD (Australian Signal Directorate) pada Februari 2014.

Sampul depan dokumen "Strategi-strategi Mitigasi Intrusi Siber Bertarget - Rincian Mitigasi"
Gambar 1: Sampul depan dokumen ASD “Strategi-strategi untuk Mitigasi Intrusi Siber Bertarget – Rincian Mitigasi”

Dokumen tersebut berisi tentang pendahuluan, tahap-tahap intrusi siber bertarget, informasi sensitif, calon-calon utama target, dasar pemikiran melaksanakan strategi-strategi mitigasi, serta rincian dari strategi-strategi mitigasi.

1. PENDAHULUAN

Dokumen ini memberikan informasi lebih lanjut mengenai daftar strategi ASD dalam memitigasi intrusi siber bertarget, termasuk referensi untuk mengontrolnya, di dalam Australian Government Information Security Manual (ISM) yang tersedia di situs http://www.asd.gov.au/infosec/ism/index.htm.

Pembaca sangat disarankan untuk mengunjungi website ASD untuk versi terbaru dari dokumen ini dan juga untuk mendapat informasi tambahan tentang menerapkan strategi mitigasi, yang tersedia di situs http://www.asd.gov.au/infosec/top35mitigationstrategies.htm.

Dokumen ini berfokus utama pada mempertahankan stasiun-stasiun kerja pengguna (user workstations) dan peladen-peladen (servers). Prinsip-prinsip dasar yang diperhatikan oleh panduan dalam dokumen ini berlaku untuk kegiatan keamanan ICT yang lebih luas. Sebagai panduan tambahan untuk penguatan (hardening) khusus perangkat, ASD juga menyediakan panduan untuk menggunakan perangkat mobile (seperti komputer tablet dan telepon pintar) secara aman, yang tersedia di situs http://www.asd.gov.au/publications/csocprotect/enterprise_mobility_bring_your_own_device_byod_paper.htm.

2. TAHAP-TAHAP INTRUSI SIBER BERTARGET

Tidak ada strategi tunggal yang dapat mencegah suatu intrusi siber bertarget. Organisasi seharusnya memastikan bahwa strategi yang mereka pilih mengatasi semua tiga tahap tingkat tinggi dari intrusi siber yaitu:

Tahap

Tindakan

Metodologi

Tahap 1 Pengintaian untuk memilih target pengguna, eksekusi perangkat perusak (malware) dengan teknik intrusi yang dipilih. Membuat situs web perusak, menjebol situs web resmi (dengan teknik “watering hole” atau “drive by download”) atau mengirim surel “spear‐phishing” dengan suatu pranala (hyperlink) atau konten yang berbahaya.
Tahap 2 Propagasi (perambatan) jaringan Menggunakan kredensial akun yang telah dijebol atau menggunakan kerentanan-kerentanan yang dapat dieksploitasi.
Tahap 3 Eksfilterasi data Mengekstraksi data dengan berkas arsip RAR/ZIP, kemungkinan besar dieksfilterasi via Jaringan Pribadi Maya (VPN) atau via koneksi akses jarak jauh lainnya.

2.1. Tahap 1: Eksekusi Kode

Musuh dalam dunia siber (selanjutnya disebut musuh siber) melakukan pengintaian untuk memilih target pengguna dan juga membuat situs web perusak atau menjebol suatu situs web resmi dengan teknik serangan “drive by download” atau “watering hole”.

Teknik serangan “drive by download” dapat membuat pengguna tanpa sadar mengunduh perangkat perusak dari tautan jebakan yang dibuat musuh siber. Dengan teknik serangan “watering hole”, musuh siber akan menerka atau mengamati situs-situs web apa saja yang sering dikunjungi pengguna-pengguna, kemudian menginfeksi satu atau lebih situs-situs web tersebut dengan perangkat perusak. Urutan tahapan dari kedua jenis teknik serangan tersebut dapat dilihat pada gambar 2 dan 3.

Gambar 2 Diagram Tahapan dari Serangan “Drive by Download
Gambar Tahapan dari Serangan "Waterhole"
Gambar 3: Diagram Tahapan dari Serangan “Watering Hole

Selain cara di atas, musuh siber dapat menyerang dengan mengirim surel berbahaya “spear phishing” kepada pengguna yang ditargetkan. Surel tersebut dapat berisi pranala (hyperlink) ke suatu situs web dengan konten berbahaya, atau berisi lampiran surel berbahaya seperti berkas PDF atau dokumen Microsoft Office yang dapat dibentuk menjadi berkas arsip RAR/ZIP. Rincian tahapan dari teknik serangan dapat dilihat pada gambar 4.

Gambar 4: Diagram Tahapan dari Serangan “Spear Phishing

Pengintaian menjadi lebih mudah bagi musuh siber jika nama dan alamat surel pengguna yang ditargetkan tersedia di situs web perusahaan tempat pengguna bekerja, di situs web jejaring sosial; atau jika pengguna menggunakan alamat surel kantor untuk tujuan yang tidak berkaitan dengan pekerjaan.

Perangkat perusak kemudian dieksekusi pada stasiun kerja pengguna dan sering dikonfigurasi supaya bertahan dengan mengeksekusi secara otomatis setiap kali pengguna memulai kembali (restart) dan/ atau masuk (log on) ke stasiun kerjanya. Perangkat perusak berkomunikasi dengan infrastruktur jaringan yang dikontrol oleh musuh siber (biasanya mengunduh perangkat perusak tambahan) memungkinkan musuh siber untuk melakukan kontrol stasiun kerja pengguna dari jarak jauh dan juga melakukan tindakan atau mengakses informasi apapun yang pengguna dapat lakukan.

2.2. Tahap 2: Propagasi Jaringan

Musuh siber umumnya menggunakan kredensial-kredensial akun yang telah mereka jebol atau kerentanan-kerentanan yang dapat dieksploit dalam stasiun-stasiun kerja dan peladen-peladen lain dari perusahaan untuk memropagasi (berpindah ke samping) jaringan demi menemukan dan mengakses informasi sensitif. Propagasi jaringan ini dapat terjadi secara cepat pada jaringan yang segmentasi dan segregasinya tidak memadai, terutama saat dua atau lebih stasiun kerja aau peladen berbagi frasa sandi administrator lokal yang sama. Informasi yang diakses sering kali termasuk berkas Microsoft Office, surel PST Outlook, PDF serta informasi yang tersimpan dalam basis-basis data (databases).

Berikut adalah tipikal informasi sensitif yang musuh siber akses:

  • rincian tentang pengguna termasuk hierarki organisasi, nama-nama pengguna beserta kata sandinya termasuk kredensial untuk akses jarak jauh.
  • informasi sistem termasuk rincian konfigurasi dari stasiun kerja, peladen, dan jaringan.

Frasa-frasa sandi mungkin disimpan sebagai hash kriptografi untuk menggagalkan musuh siber. Namun ternyata tersedia perangkat lunak beserta stasiun kerja tunggal gratis atau layanan komputasi awan untuk umum yang mungkin mampu dengan cepat dan murah memecahkan hash tersebut untuk mendapatkan frasa-frasa sandi. Hash tidak akan mudah dipecahkan jika semua pengguna memilih frasa sandi yang sangat kuat yang di-hash dengan tepat menggunakan algoritma yang kuat secara kriptografi.

Selain cara di atas, musuh siber dapat menggunakan teknik serangan “pass the hash” untuk menghindari kebutuhan membongkar hash dari frasa-frasa sandi. Panduan mitigasi untuk serangan jenis dapat dilihat di situs https://blogs.technet.com/b/security/archive/2012/12/11/new-guidance-to-mitigate-determined-adversaries-favorite-attack-pass-the-hash.aspx.

Penggunaan otentikasi single sign‐on dalam suatu organisasi mungkin secara signifikan menguntungkan bagi musuh siber. Namun di sisi lain, penggunaan yang tepat dari otentikasi multi-faktor justru membantu menghalangi musuh siber, terutama jika diimplementasikan untuk akses jarak jauh atau untuk saat pengguna melakukan tindakan hak istimewa seperti mengatur suatu stasiun kerja atau peladen, atau mengakses suatu tempat penyimpanan (repository) informasi sensitif.

2.3. Tahap 3: Eksfilterasi Data

Musuh siber biasanya menggunakan berkas arsip RAR/ZIP untuk mengompres dan mengenkripsi salinan informasi sensitif dari suatu organisasi.

Musuh siber mengeksfilterasi informasi tersebut dari jaringan, kadang dari suatu stasiun kerja tunggal yang “staging” (single “staging” workstation) atau peladen dalam jaringan organisasi. Musuh siber menggunakan protokol dan port jaringan yang tersedia yang diizinkan oleh tembok-api gerbang jaringan (gateway firewall) organisasi, seperti HTTPS/SSL dan HTTP yang terenkripsi, atau dalam beberapa kasus DNS atau surel.

Musuh siber dapat memperoleh kredensial-kredensial akun VPN (atau akses jarak jauh lainnya) dan menggunakan koneksi jaringan yang terenkripsi tersebut untuk mengeksfilterasi informasi, dengan tujuan “mengalahkan” jaringan yang berbasis pemantauan.

Musuh siber mempunyai beberapa stasiun kerja atau peladen dan akun-akun VPN (atau akses jarak jauh lainnya) yang telah mereka jebol dalam jaringan organisasi, yang dijaga sebagai pintu belakang (backdoor) untuk memudahkan pengumpulan dan eksfilterasi informasi lebih lanjut pada intrusi selanjutnya.

3. INFORMASI SENSITIF

Sebagai bagian dari penilaian resiko (risk assessment) yang dilaksanakan oleh perwakilan bisnis dan staf keamanan, organisasi perlu mengidentifikasi jenis dan lokasi informasi sensitif yang disimpan secara elektronis. Untuk tujuan dokumen ini, informasi sensitif mengacu pada informasi yang belum maupun yang sudah diklasifikasi yang diidentifikasi membutuhkan proteksi. Informasi semacam itu mungkin berada dalam berbagai lokasi termasuk dokumen submisi kementerian pemerintahan dan dokumen lainnya yang merincikan rencana pemerintah, dokumen perencanaan strategi, proposal bisnis, tender, notulensi rapat, laporan keuangan dan akuntasi, dokumen resmi, dan kepemilikan hak kekayaan intelektual.

Berdasarkan akses musuh siber terhadap suatu informasi yang spesifik, memikirkan tujuan pengintaian yang dilakukan musuh siber dapat memberikan pengetahuan tentang siapa pengguna organisasi yang kemungkinan akan ditargetkan sebagai bagian dari intrusi siber. Dalam beberapa kasus, penargetan akan dilakukan pada rapat/ pertemuan berikutnya atau pada acara bisnis lainnya yang berhubungan dengan musuh siber.

Pada artikel selanjutnya (klik di sini untuk membaca), akan dibahas mengenai:

4. Calon-Calon Utama Target
5. Dasar Pemikiran dalam Melaksanakan Strategi-Strategi Mitigasi
6. Rincian Strategi-Strategi Mitigasi

Demikian, semoga bermanfaat. 🙂