Presentasi sedang didownload. Silahkan tunggu

Presentasi sedang didownload. Silahkan tunggu

F r e e B S D System Hardening

Diterbitkan olehNada Riza Telah diubah "9 tahun yang lalu

Presentasi serupa

Presentasi berjudul: "F r e e B S D System Hardening"— Transcript presentasi:

1 F r e e B S D System Hardening
Jim Geovedi

2 hello, humans!

3 FOKUS PRESENTASI System Hardening FreeBSD OS untuk digunakan dalam lingkungan produksi. Tips dan trik seputar FreeBSD Security.

4 PERLU DIINGAT! Selalu membuat BACKUP sebelum melakukan segala sesuatunya.

5 BASIC SYSTEM HARDENING

6 BASIC SYSTEM HARDENING
Gunakan selalu FreeBSD versi STABLE Jangan menjalankan services yang tidak perlu. lihat /etc/inetd.conf, /etc/rc.conf

7 SERVICES PROTECTION

8 SERVICES PROTECTION Gunakan chroot(8) atau jail(8) untuk menjalankan program-program yang berisiko vulnerable. Memfilter setiap akses terhadap services menggunakan Firewall atau Packet Filtering software seperti ipfw atau IPF (ipfilter). Aktifkan option log_in_vain="YES" untuk melihat koneksi ke port-port TCP/UDP yang tidak menjalankan services.

9 SECURE LOGGING

10 SECURE LOGGING Non-aktifkan syslogd logging ke mesin remote. gunakan option “-s -s” Pastikan pada /etc/syslog.conf terdapat: security.* /var/log/security ftp.* /var/log/ftpd.log auth.* /var/log/auth.log Aktifkan ipfw atau IPF logging pada /etc/syslog.conf

11 B O F H (bastard operator from hell)

12 B O F H (bastard operator from hell)
Gunakan AllowUsers/AllowGroups pada konfigurasi SSH untuk menentukan siapa saja user yang dapat login menggunakan SSH. Gunakan tcp wrappers untuk mengijinkan atau melarang akses pada tcp-based services. Berikan shell /sbin/nologin pada user yang hanya membutuhkan akses ftp. Lakukan user accounting. accounting_enable="YES"

13 LOCKING-DOWN FILESYSTEM

14 LOCKING-DOWN FILESYSTEM
Selalu membuat beberapa partisi. Mount semua partisi kecuali /usr dengan argument ‘nosuid’ Hilangkan suid bits pada binary yang tidak digunakan (seperti pada UUCP binary files) Gunakan chflags dengan variable sappnd pada logfiles, dan schg pada binary files. # ls -lo /usr/bin/su -r-sr-x root wheel schg 8200 May 1 09:37 /usr/bin/su

15 KERNEL SECURELEVELS

16 KERNEL SECURELEVELS Variable kernel securelevels menunjukkan level security. Value antara ‘-1’ sampai ‘3’, dan ‘0’ adalah ‘insecure mode’. Securelevel hanya dapat meningkat nilainya, dan tidak dapat turun pada multiuser mode. Securelevel dikontrol menggunakan sysctl(8) dan sysctl.conf(5).

17 KERNEL SECURELEVELS Securelevel 1 = flag sappnd dan schg tidak dapat diubah, kernel module tidak dapat diload/unload. Securelevel 2 = securelevel 1 + tidak dapat menulis pada disk kecuali mount(2) Securelevel 3 = securelevel 2 + ipfw rules tidak dapat dimodifikasi

18 KERNEL STATES CONTROL & SYSTEM CONFIGURATION

19 sysctl & rc.conf net.inet.tcp.blackhole=2, net.inet.udp.blackhole=1 untuk tidak membuat RST pada portscan kern_securelevel_enable="YES", kern_securelevel="?" # range: -1..3; icmp_drop_redirect="YES" fsck_y_enable="YES"

20 SECURE REMOTE CONNECTIONS

21 SECURE REMOTE CONNECTIONS
Non-aktifkan telnet, dan r* commands, gunakan SSH atau OpenSSH sebagai pengganti Gunakan sftp sebagai pengganti ftp Gunakan otentifikasi pubkey pada SSH Pertimbangkan kembali penggunaan OTP (One-Time-Password)

22 FIREWALL / PACKET FILTERING

23 FIREWALL / PACKET FILTERING
Sebuah firewall dapat: melakukan deny/permit packets membedakan rules setiap interfaces

24 FIREWALL / PACKET FILTERING
Software yang dapat digunakan: ipfw (IPFirewall): options IPFIREWALL enable ipfw options IPFIREWALL_VERBOSE enable firewall logging options IPFIREWALL_VERBOSE_LIMIT limit firewall logging options IPDIVERT enable divert(4) sockets IPF (IPFilter): PF (PacketFilter):

25 SECURITY CHECKS

26 SECURITY CHECKS nmap, swiss-army knife, err network mapper ;) snort, Lightweight network intrusion detection system tripwire, Filesystem security & verification program chkrootkit, memeriksa apakah terdapat rootkit pada local system. dsniff, monkey watch monkey sniff

27 WHAT’S NEXT?

28 WHAT’S NEXT? FreeBSD Security web page: FreeBSD Security How-To: FreeBSD Security advisories: ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/ FreeBSD Hardening Project:

29 WHAT’S NEXT? FreeBSD ipfw howto: IPF (ipfilter) howto: Cerb, security kernel module: Packetstorm Defense Tools:

30 acknowledgments CoreBSD, “will hack for bandwidth”
BHC Community, “Iblis imut doyan MMX” Universitas Katolik Parahyangan “we make IT simple” #indofreebsd/dalnet,

31 T H E E N D

32 GOT ROOT, err QUESTION ?

Download ppt "F r e e B S D System Hardening"

Presentasi serupa

SSH dan SFTP By Team Dosen PENS-ITS.

SSH dan SFTP By Team Dosen PENS-ITS.
INTERNET BANKING SECURITY

INTERNET BANKING SECURITY
KEAMANAN KOMPUTER.

KEAMANAN KOMPUTER.
FIREWALL.

FIREWALL.
Pertemuan 3 Keamanan Sistem Informasi.

Pertemuan 3 Keamanan Sistem Informasi.
BAB II FIREWALL Ibarat sebuah rumah yang memiliki pagar sebagai pelindungnya, baik dari kayu,tembok beton, kawat berduri ataupun kombinasi.

BAB II FIREWALL Ibarat sebuah rumah yang memiliki pagar sebagai pelindungnya, baik dari kayu,tembok beton, kawat berduri ataupun kombinasi.
VIRTUAL PRIVATE SERVER

VIRTUAL PRIVATE SERVER
KEAMANAN JARINGAN One_Z Keamana Komputer.

KEAMANAN JARINGAN One_Z Keamana Komputer.
REMOTE AKSES dan FILE TRANSFER PROTOCOL

REMOTE AKSES dan FILE TRANSFER PROTOCOL
Ubuntu Server 9.04 Remote Administrator.

Ubuntu Server 9.04 Remote Administrator.
Struktur direktori linux mazzimam.

Struktur direktori linux mazzimam.
(TK-3193) KEAMANAN JARINGAN

(TK-3193) KEAMANAN JARINGAN
Firewall.

Firewall.
Information Security Engineer Natural Born Junker OpenSource Developer FreeBSD Project OpenBSD Project High Quality Jomblo nanosleep(2); “willhackforbandwidth”...

Information Security Engineer Natural Born Junker OpenSource Developer FreeBSD Project OpenBSD Project High Quality Jomblo nanosleep(2); “willhackforbandwidth”...
Securing GNU/Linux Andika Triwidada

Securing GNU/Linux Andika Triwidada
FIREWALL.

FIREWALL.
Protokol Transfer File

Protokol Transfer File
File System Linux Pertemuan Minggu Ke-7.

File System Linux Pertemuan Minggu Ke-7.
FreeBSD Ports dan Packages

FreeBSD Ports dan Packages
Keamanan Komputer.

Keamanan Komputer.

Presentasi serupa

Iklan oleh Google