Point Penting Keamanan Linux

Point Penting Keamanan Linux

Diposting oleh gesang

Semakin kita merasa aman akan semakin kurang perhatian kita terhadap keamanan itu sendiri yang seharusnya kita selalu waspada. Apalagi jika di komputer terdapat data-data yang sangat rahasia dan merupakan aset penting perusahaan tentunya diperlukan pengamanan ekstra ketat jangan sampai hilang atau bocor ke tangan yang tidak dikehendaki.

Disamping itu kita juga harus selalu mengikuti perkembangan karena setiap saat muncul tehnik baru untuk menjebol/menyusup atau merusak komputer. Alasan untuk selalu waspada karena tehnik menyusup atau merusak selangkah di depan dibanding tehnik mengamankan, seperti halnya virus akan muncul lebih dulu dan vaksinnya baru dibuat setelah virus itu ada.
Hal yang mungkin bisa kita lakukan adalah meminimalisir celah-celah keamanan yang ada pada komputer kita serta selalu waspada karena kunci keamanan sebenarnya ada pada kita sendiri.
Jika ada yang mangatakan bahwa Linux adalah OS yang aman maka hal ini perlu di kaji lagi dan mungkin terlalu percaya diri. Para master security mengatakan bahwa tidak ada OS yang seratus persen aman. Memang linux atau keluarga Unix lebih aman terhadap serangan virus dibanding Microsoft, maaf bukanya mau membanding-bandingkan tetapi ini kenyataan dan tentunya masing-masing punya kelebihan yang tak dipunyai pihak lainnya. Untuk Distro Linux secara default memang sudah disertakan tool untuk mengamankan system dan file permission yang ketat, tinggal bagaimana kita mengkonfigurasinya.

Berikut poin-poin penting untuk mengamankan Linux.

• - Kontrol akses fisik. Menempatkan komputer di dalam ruangan yang terkunci atau membatasi orang yang boleh masuk keruangan tersebut, hal ini khususnya untuk komputer yang menyimpan data-data penting. Membatasi akses fisik terhadap komputer tersebut dengan memberi password pada BIOS, GRUB atau LILO boot loader.
• - Add users dan passwords. Membuat user berdasarkan keperluan dan hanya memberikan akses terbatas sesuai kepentingan. Selain itu user harus menggunakan password yang baik seperti minimal 6 karakter dan terdiri dari kombinasi huruf, angka dan karakter lain serta mengganti password secara berkala. Memasukan user ke dalam group yang sudah ditentukan hak aksesnya dalam group.
• - Pengaturan ijin read, write dan execute. Di Linux, masing-masing item(file, direktory, aplikasi dan peralatan) dapat dibatasi penggunaannya berdasarkan read(baca), write(tulis) dan execute(eksekusi) terhadap user atau group. Maka kita harus berhati-hati dalam menetukan file permission kepada siapa saja dan group mana yang boleh mengases dan yang tidak, terutama file atau aplikasi untuk administrasi sistem dan data-data rahasia. Misal pada user A yang masuk dalam group akunting diperbolehkan menulis dan membaca data-data group akunting yang dibuat oleh user lain yang masih dalam satu group akunting, tetapi user A tidak boleh mengakses data dari group HRD.
• - Melindungi user root. Karena user root merupakan user yang mempunyai akses penuh terhadap system tentunya akan sangat membahayakan jika sampai jatuh ke pihak yang tidak dikehendaki. Jangan menggunakan user root jika tidak diperlukan dan berpikirlah sebelum mengetik, menjalankan perintah atau menangani file/data(modifikasi, tulis dsb). Gunakanlah user biasa untuk login ke mode grafik/desktop dan menggunakan sudo untuk menjalankan perintah administrasi akan mengurangi resiko serangan terhadap user root.
• - Gunakan software yang terpercaya. Sebagian besar piranti lunak opensource tanpa disertai garansi dari pembuatnya oleh karena itu sebaiknya menggunakan software yang sudah mapan atau stabil dan terpercaya demikian juga untuk update dan add-onnya. Dengan menggunakan Kunci GPG publik yang valid akan membantu untuk meyakinkan bahwa software yang kita install berasal dari vendor yang valid. Jika kita mendownload distribusi full ISO image maka harus di periksa intergritasnya dengan checksum MD5 atau SHA1 yang disedian oleh pembuatnya.
• - Selalu mengupdate software. Celah keamanan dan bug sering ditemukan dalam paket software, setiap pembuat distro Linux besar(Debian, Suse, Redhat, Gentoo, Ubuntu dsb) selalu menyediakan tool untuk update, maka pastikan untuk selalu mengupdate khususnya linux yang diajalankan sebagai server.
• - Menggunakan aplikasi yang aman. Meskipun suatu aplikasi berjalan stabil dan valid tetapi kita juga harus memilih menggunakan software yang mempunyai tingkat keamanan lebih baik. Misal jika kita ingin login secara remote melalui jaringan publik(internet) sebaiknya menggunakan Secure Shell Service(SSH) daripada menggunakan rlogin dan telnet(mengirimkan passwordnya clear text). Jika kita menjalankan service untuk file sharing(samba atau NFS) sebaiknya jangan dibuka akses untuk jaringan publik(internet) tetapi jika diperlukan untuk mangakses file sharing tersebut dan melalui internet sebaiknya menggunakan VPN tunnels(IPSec atau CIPE).
• - Menggunakan firewall untuk membatasi akses keluar dan masuk. Tugas firewall adalah mengijinkan koneksi masuk/keluar dan mencegah koneksi masuk/keluar berdasar rule yang telah di tetapkan sebelumnya. Untuk desktop sebaiknya menolak koneksi yang datang dari luar ke banyak port di komputer desktop tersebut. untuk server sebaiknya hanya mengijinkan koneksi yang datang ke port tertentu saja tergantung service yang di jalankan dan koneksi tersebut harus terkontrol dengan baik.
• - Hanya menjalankan sevice yang di perlukan. Service di Linux(samba, http, mail dsb) yang berjalan di background(daemon) akan listen pada beberapa port, dimana tiap-tiap daemon akan listen pada port yang berbeda-beda. Semakin banyak port yang terbuka akan meningkatkan potensi serangan oleh pihak lain, oleh karena itu komputer/server hanya menjalankan service yang diperlukan saja.
• - Membatasi akses ke servis. Sebaiknya kita membatasi akses ke servis sesuai yang kita inginkan dengan hanya memperbolehkan akses dari host/network, domain atau network interface tertentu. Hal ini untuk mencegah koneksi yang datang dari pihak yang tidak diinginkan yang juga bisa berpotensi sebagai serangan. Misal samba hanya boleh diakses oleh LAN dan tidak untuk permintan dari internet, lain halnya untuk layanan mail server yang diperuntukan untuk diakses dari internet dan tidak boleh diakses dari LAN ataupun sebaliknya.
• - Audit sistem. Linux mempunyai banyak sekali tool untuk memeriksa keamanan sistem. Setelah Linux selesai di install kita dapat mengecek port yang terbuka menggunakan Nmap atau melihat netwotk trafik dengan menggunakan Etheral, untuk memeriksa vulnerability secara keseluruhan bisa menggunakan nessus.
• - Memonitor sistem. Di Linux , hampir semua aktifitas sistem dapat di log dengan menggunakan fasilitas syslogd dan klogd yang dapat dikonfigurasi sesuai kebutuhan. Dengan manggunakan tool seperti logwatch akan memudahkan kita untuk monitor sistem yang dapat di forward ke email.
• - Menggunakan SELinux(Security Enhancement Linux). SELinux mempunyai fitur yang sangat banyak dan komplek untuk mengatur akses file, direktory, aplikasi dan device pada sistem linux. SELinux akam memperkuat kernel dengan menggunakan metode policy dan context.

Setelah beberapa hal diatas disesuaikan pada sistem linux kita bukan berarti kita sudah bisa tidur nyenyak tanpa memikirkan lagi keamanan sistem linux kita, hal itu adalah keliru karena setiap saat tehnik serangan terus berkembang dan menggunkan cara-cara yang lebih baru.
Jadi kunci keamanan sebenarnya ada pada dirikita sendiri dan satu hal lagi....

Waspadalah.... waspadalah..... (kata bang napi)


Referensi :
Linux Bible 2007