Securing GNU/Linux Andika Triwidada
... beberapa hari yang lalu... ● PHB: akan ada mass attack dari negeri jiran, pastikan server kita 100% aman ● admin: ok boss! server:/ # ifconfig eth0 down
security.. ●.. adalah proses ● yang hari ini secure, boleh jadi besok tidak lagi ●.. sebagus titik terlemah dalam sistem
.. step by step.. ● update ● network ● IDS ● lokal ● kernel ● ekstra ● backup, backup, backup!
.. sambil setup.. ● jangan tersambung langsung ke internet ● kecepatan tangan admin kurang dari kecepatan worm atau automated-tool
.. update.. ● apt-get update && apt-get upgrade -u (Debian) ● up2date (RedHat) ● pastikan signature cocok (md5sum, PGP,...) ● bila compile sendiri ● jangan build sebagai root ● jangan build sambil tersambung ke network
.. network.. ● netstat -plunt atau lsof -i -n ● minimisasi daemon ● /etc/inetd.conf ● init scripts (Debian -- /etc/init.d, RedHat – chkconfig) ● inetd -> xinetd ● tcp_wrapper
.. jangan!.. ● jangan memberikan remote root access ● jangan memakai fasilitas yang tidak ter-enkripsi untuk remote access ● telnet -> ssh ● ftp -> scp ● http -> https ● pop/imap -> mutt ;-)
.. sniffing.. ● unix# ngrep -q ‘USER|PASS’ tcp port 21 ● interface: eth0 ( / ) ● filter: ip and ( tcp port 21 ) ● match: USER|PASS ● T :1842 -> :21 [AP] ● USER andika.. ● T :1842 -> :21 [AP] ● PASS rahasia..
.. nmap, nessus?.. ● remote audit tool ● verifikasi penampilan host dimata orang luar
.. iptables.. ● default policy: DROP ● cegah ip spoofing ● dari/ke loopback network tapi bukan dari lo ● dari/ke blok IP privat bila host memakai IP publik ● egress filter
.. SANS/FBI top 20 list.. ● RPC ● Apache (+ open_ssl) ● SSH (+ open_ssl) ● SNMP ● FTP ● R* ● LPD ● Sendmail ● Bind/DNS ● General authentication
.. intrusion detection.. ● network based: snort + acid ● snort sangat fleksibel ● user-defined rule ● rule perlu di-update berkala
.. local filesystem.. ● file mode & ownership ● 777? ● SUID, SGID: perlu, dan perlu dibatasi ● logging ● uninstall extra apps; X, multimedia, compiler di server?
.. password.. ● gunakan shadow ● batasi panjang minimum ● gunakan penguji keamanan password ● aktifkan password aging ● audit dengan crack atau john the ripper ● sudo: akses root terbatas, berdasarkan userid, aplikasi, host
.. host based IDS.. ● tripwire ● menyimpan signature berbagai file dalam keadaan bersih ● database signature perlu di-update setiap ada modifikasi sistem ● network sniffing hanya menangkap apa yang lewat di saluran, apa yang terjadi setelah suatu aplikasi trojan dieksekusi? ● perlu media write-once
.. local system audit.. ● tiger savannah.nongnu.org/projects/tiger/
.. physical security.. ● lilo dengan password ● matikan/rendahkan prioritas boot dari floppy/cdrom ● password untuk akses ke setup BIOS ● ruang dengan akses terbatas dan terawasi
.. kernel update.. ● ● masalah: ● kernel tiap distro berbeda dengan vanilla kernel ● lebih berresiko, apalagi untuk remote host ● frekuensinya jarang
.. kernel enhancement.. ● Security-Enhanced Linux ● mandatory access control ● bahkan root tidak bisa membunuh proses, atau mengakses file bila kondisinya tidak dipenuhi -> remote root exploit belum tentu berhasil
.. backup.. ● reinstall itu mudah ● data itu aset yang paling berharga ● asuransi: kalau tidak ada masalah, resource 'terbuang'... ●... DRC (disaster recovery center)
.. further reading.. ● ● ● ● ● ● security info spesifik distro ● berbagai milis: buqtraq, milis spesifik distro,... ●...