Upload presentasi
Presentasi sedang didownload. Silahkan tunggu
1
Securing GNU/Linux Andika Triwidada andika@cert.or.id http:// www.cert.or.id
2
... beberapa hari yang lalu... ● PHB: akan ada mass attack dari negeri jiran, pastikan server kita 100% aman ● admin: ok boss! server:/ # ifconfig eth0 down
3
security.. ●.. adalah proses ● yang hari ini secure, boleh jadi besok tidak lagi ●.. sebagus titik terlemah dalam sistem
4
.. step by step.. ● update ● network ● IDS ● lokal ● kernel ● ekstra ● backup, backup, backup!
5
.. sambil setup.. ● jangan tersambung langsung ke internet ● kecepatan tangan admin kurang dari kecepatan worm atau automated-tool
6
.. update.. ● apt-get update && apt-get upgrade -u (Debian) ● up2date (RedHat) ● pastikan signature cocok (md5sum, PGP,...) ● bila compile sendiri ● jangan build sebagai root ● jangan build sambil tersambung ke network
7
.. network.. ● netstat -plunt atau lsof -i -n ● minimisasi daemon ● /etc/inetd.conf ● init scripts (Debian -- /etc/init.d, RedHat – chkconfig) ● inetd -> xinetd ● tcp_wrapper
8
.. jangan!.. ● jangan memberikan remote root access ● jangan memakai fasilitas yang tidak ter-enkripsi untuk remote access ● telnet -> ssh ● ftp -> scp ● http -> https ● pop/imap -> mutt ;-)
9
.. sniffing.. ● unix# ngrep -q ‘USER|PASS’ tcp port 21 ● interface: eth0 (192.168.1.0/255.255.255.0) ● filter: ip and ( tcp port 21 ) ● match: USER|PASS ● T 192.168.1.7:1842 -> 192.168.1.12:21 [AP] ● USER andika.. ● T 192.168.1.7:1842 -> 192.168.1.12:21 [AP] ● PASS rahasia..
12
.. nmap, nessus?.. ● remote audit tool ● verifikasi penampilan host dimata orang luar
14
.. iptables.. ● default policy: DROP ● cegah ip spoofing ● dari/ke loopback network tapi bukan dari lo ● dari/ke blok IP privat bila host memakai IP publik ● egress filter
15
.. SANS/FBI top 20 list.. http://www.sans.org/top20/ ● RPC ● Apache (+ open_ssl) ● SSH (+ open_ssl) ● SNMP ● FTP ● R* ● LPD ● Sendmail ● Bind/DNS ● General authentication
16
.. intrusion detection.. ● network based: snort + acid ● snort sangat fleksibel ● user-defined rule ● rule perlu di-update berkala
17
.. local filesystem.. ● file mode & ownership ● 777? ● SUID, SGID: perlu, dan perlu dibatasi ● logging ● uninstall extra apps; X, multimedia, compiler di server?
18
.. password.. ● gunakan shadow ● batasi panjang minimum ● gunakan penguji keamanan password ● aktifkan password aging ● audit dengan crack atau john the ripper ● sudo: akses root terbatas, berdasarkan userid, aplikasi, host
19
.. host based IDS.. ● tripwire ● menyimpan signature berbagai file dalam keadaan bersih ● database signature perlu di-update setiap ada modifikasi sistem ● network sniffing hanya menangkap apa yang lewat di saluran, apa yang terjadi setelah suatu aplikasi trojan dieksekusi? ● perlu media write-once
20
.. local system audit.. ● tiger http:// savannah.nongnu.org/projects/tiger/
21
.. physical security.. ● lilo dengan password ● matikan/rendahkan prioritas boot dari floppy/cdrom ● password untuk akses ke setup BIOS ● ruang dengan akses terbatas dan terawasi
22
.. kernel update.. ● finger @kernel.org ● masalah: ● kernel tiap distro berbeda dengan vanilla kernel ● lebih berresiko, apalagi untuk remote host ● frekuensinya jarang
23
.. kernel enhancement.. ● Security-Enhanced Linux http://www.nasa.gov/selinux/ ● mandatory access control ● bahkan root tidak bisa membunuh proses, atau mengakses file bila kondisinya tidak dipenuhi -> remote root exploit belum tentu berhasil
24
.. backup.. ● reinstall itu mudah ● data itu aset yang paling berharga ● asuransi: kalau tidak ada masalah, resource 'terbuang'... ●... DRC (disaster recovery center)
25
.. further reading.. ● http://www.sans.org/ ● http://www.cert.org/, http://www.cert.or.id/ ● http://online.securityfocus.com/ ● http:// www.securiteam.com/ ● http:// www.auscert.org.au/ ● security info spesifik distro ● berbagai milis: buqtraq, milis spesifik distro,... ●...
Presentasi serupa
