Presentasi sedang didownload. Silahkan tunggu

Presentasi sedang didownload. Silahkan tunggu

Securing GNU/Linux Andika Triwidada

Presentasi serupa


Presentasi berjudul: "Securing GNU/Linux Andika Triwidada"— Transcript presentasi:

1 Securing GNU/Linux Andika Triwidada

2 ... beberapa hari yang lalu... ● PHB: akan ada mass attack dari negeri jiran, pastikan server kita 100% aman ● admin: ok boss! server:/ # ifconfig eth0 down

3 security.. ●.. adalah proses ● yang hari ini secure, boleh jadi besok tidak lagi ●.. sebagus titik terlemah dalam sistem

4 .. step by step.. ● update ● network ● IDS ● lokal ● kernel ● ekstra ● backup, backup, backup!

5 .. sambil setup.. ● jangan tersambung langsung ke internet ● kecepatan tangan admin kurang dari kecepatan worm atau automated-tool

6 .. update.. ● apt-get update && apt-get upgrade -u (Debian) ● up2date (RedHat) ● pastikan signature cocok (md5sum, PGP,...) ● bila compile sendiri ● jangan build sebagai root ● jangan build sambil tersambung ke network

7 .. network.. ● netstat -plunt atau lsof -i -n ● minimisasi daemon ● /etc/inetd.conf ● init scripts (Debian -- /etc/init.d, RedHat – chkconfig) ● inetd -> xinetd ● tcp_wrapper

8 .. jangan!.. ● jangan memberikan remote root access ● jangan memakai fasilitas yang tidak ter-enkripsi untuk remote access ● telnet -> ssh ● ftp -> scp ● http -> https ● pop/imap -> mutt ;-)

9 .. sniffing.. ● unix# ngrep -q ‘USER|PASS’ tcp port 21 ● interface: eth0 ( / ) ● filter: ip and ( tcp port 21 ) ● match: USER|PASS ● T :1842 -> :21 [AP] ● USER andika.. ● T :1842 -> :21 [AP] ● PASS rahasia..

10

11

12 .. nmap, nessus?.. ● remote audit tool ● verifikasi penampilan host dimata orang luar

13

14 .. iptables.. ● default policy: DROP ● cegah ip spoofing ● dari/ke loopback network tapi bukan dari lo ● dari/ke blok IP privat bila host memakai IP publik ● egress filter

15 .. SANS/FBI top 20 list.. ● RPC ● Apache (+ open_ssl) ● SSH (+ open_ssl) ● SNMP ● FTP ● R* ● LPD ● Sendmail ● Bind/DNS ● General authentication

16 .. intrusion detection.. ● network based: snort + acid ● snort sangat fleksibel ● user-defined rule ● rule perlu di-update berkala

17 .. local filesystem.. ● file mode & ownership ● 777? ● SUID, SGID: perlu, dan perlu dibatasi ● logging ● uninstall extra apps; X, multimedia, compiler di server?

18 .. password.. ● gunakan shadow ● batasi panjang minimum ● gunakan penguji keamanan password ● aktifkan password aging ● audit dengan crack atau john the ripper ● sudo: akses root terbatas, berdasarkan userid, aplikasi, host

19 .. host based IDS.. ● tripwire ● menyimpan signature berbagai file dalam keadaan bersih ● database signature perlu di-update setiap ada modifikasi sistem ● network sniffing hanya menangkap apa yang lewat di saluran, apa yang terjadi setelah suatu aplikasi trojan dieksekusi? ● perlu media write-once

20 .. local system audit.. ● tiger savannah.nongnu.org/projects/tiger/

21 .. physical security.. ● lilo dengan password ● matikan/rendahkan prioritas boot dari floppy/cdrom ● password untuk akses ke setup BIOS ● ruang dengan akses terbatas dan terawasi

22 .. kernel update.. ● ● masalah: ● kernel tiap distro berbeda dengan vanilla kernel ● lebih berresiko, apalagi untuk remote host ● frekuensinya jarang

23 .. kernel enhancement.. ● Security-Enhanced Linux ● mandatory access control ● bahkan root tidak bisa membunuh proses, atau mengakses file bila kondisinya tidak dipenuhi -> remote root exploit belum tentu berhasil

24 .. backup.. ● reinstall itu mudah ● data itu aset yang paling berharga ● asuransi: kalau tidak ada masalah, resource 'terbuang'... ●... DRC (disaster recovery center)

25 .. further reading.. ● ● ● ● ● ● security info spesifik distro ● berbagai milis: buqtraq, milis spesifik distro,... ●...


Download ppt "Securing GNU/Linux Andika Triwidada"

Presentasi serupa


Iklan oleh Google