LFCA - Tip Berguna untuk Mengamankan Data dan Linux - Bagian 18

Sejak dirilis di awal tahun sembilan puluhan, Linux telah memenangkan kekaguman komunitas teknologi berkat stabilitas, keserbagunaan, kemampuan penyesuaian, dan komunitas besar pengembang open-source yang bekerja sepanjang waktu untuk memberikan perbaikan bug dan peningkatan pada sistem operasi. Pada umumnya, Linux adalah sistem operasi pilihan untuk cloud publik, server, dan superkomputer, dan hampir 75% dari server produksi yang menghadap internet berjalan di Linux.

Selain menyalakan internet, Linux telah menemukan jalannya ke dunia digital dan belum mereda sejak itu. Ini memberi sejumlah besar gadget pintar termasuk smartphone android, tablet, jam tangan pintar, tampilan pintar dan banyak lagi.

Adalah linux yang aman?

Linux terkenal dengan keamanan tingkat atas dan itu adalah salah satu alasan mengapa itu membuat pilihan favorit di lingkungan perusahaan. Tapi inilah faktanya, tidak ada sistem operasi yang 100% aman. Banyak pengguna percaya bahwa Linux adalah sistem operasi yang sangat mudah, yang merupakan asumsi yang salah. Faktanya, sistem operasi apa pun dengan koneksi internet rentan terhadap potensi pelanggaran dan serangan malware.

Selama tahun-tahun awalnya, Linux memiliki demografis yang jauh lebih kecil dan risiko menderita serangan malware jauh. Saat ini Linux memberi kekuatan besar dari internet, dan ini telah mendorong pertumbuhan lanskap ancaman. Ancaman serangan malware lebih nyata dari sebelumnya.

Contoh sempurna dari serangan malware pada sistem linux adalah Ransomware Erebus, Malware Mengenkripsi File yang mempengaruhi hampir 153 server Linux dari Nayana, sebuah perusahaan hosting web Korea Selatan.

Untuk alasan ini, lebih bijaksana untuk semakin mengeraskan sistem operasi untuk memberikan keamanan yang sangat diinginkan untuk melindungi data Anda.

Tips Pengerasan Server Linux

Mengamankan server linux Anda tidak rumit seperti yang Anda kira. Kami telah menyusun daftar kebijakan keamanan terbaik yang perlu Anda terapkan untuk memperkuat keamanan sistem Anda dan menjaga integritas data.

1. Perbarui paket perangkat lunak secara teratur

Pada tahap awal pelanggaran Equifax, peretas memanfaatkan kerentanan yang diketahui secara luas - Apache Struts - di portal web keluhan pelanggan Equifax.

Apache Struts adalah kerangka kerja open-source untuk membuat aplikasi web Java yang modern dan elegan yang dikembangkan oleh Apache Foundation. Yayasan merilis tambalan untuk memperbaiki kerentanan pada 7 Maret 2017, dan mengeluarkan pernyataan tentang efek itu.

Equifax diberitahu tentang kerentanan dan disarankan untuk menambal aplikasi mereka, tetapi sayangnya, kerentanan tetap tidak ditandingi sampai Juli tahun yang sama pada saat itu sudah terlambat. Para penyerang dapat memperoleh akses ke jaringan perusahaan dan mengekspam jutaan catatan pelanggan rahasia dari database. Pada saat Equifax mendapatkan angin dari apa yang terjadi, dua bulan telah berlalu.

Jadi, apa yang bisa kita pelajari dari ini?

Pengguna atau peretas berbahaya akan selalu menyelidiki server Anda untuk kemungkinan kerentanan perangkat lunak yang kemudian dapat mereka manfaatkan untuk melanggar sistem Anda. Untuk berada di sisi yang aman, selalu perbarui perangkat lunak Anda ke versi saat ini untuk menerapkan tambalan pada kerentanan yang ada.

Jika Anda berlari Ubuntu atau sistem berbasis Debian, langkah pertama biasanya untuk memperbarui daftar paket atau repositori Anda seperti yang ditunjukkan.

$ sudo pembaruan apt 

Untuk memeriksa semua paket dengan pembaruan yang tersedia, jalankan perintah:

$ Sudo APT List -Upradable 

Upgrade aplikasi perangkat lunak Anda ke versi mereka saat ini seperti yang ditunjukkan:

$ sudo apt upgrade 

Anda dapat menggabungkan dua dalam satu perintah ini seperti yang ditunjukkan.

$ sudo apt update && sudo apt upgrade 

Untuk RHEL & Centos Tingkatkan aplikasi Anda dengan menjalankan perintah:

$ Sudo DNF Update (Centos 8 / RHEL 8) $ SUDO YUM UPDATE (versi sebelumnya dari RHEL & CENTOS) 

Opsi lain yang layak adalah mengaktifkan pembaruan keamanan otomatis untuk Ubuntu dan juga mengatur pembaruan otomatis untuk CentOS / RHEL.

2. Hapus Layanan/Protokol Komunikasi Legacy

Terlepas dari dukungannya untuk segudang protokol jarak jauh, layanan warisan seperti Rlogin, Telnet, TFTP dan FTP dapat menimbulkan masalah keamanan besar untuk sistem Anda. Ini adalah protokol tua, ketinggalan zaman, dan tidak aman di mana data dikirim dalam teks biasa. Jika ini ada, pertimbangkan untuk menghapusnya seperti yang ditunjukkan.

Untuk sistem yang berbasis di Ubuntu / Debian, Execute:

$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server 

Untuk RHEL / Centos-Sistem berbasis, jalankan:

$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv 

3. Tutup port yang tidak digunakan di firewall

Setelah Anda menghapus semua layanan tidak aman, penting untuk memindai server Anda untuk port terbuka dan menutup port yang tidak digunakan yang berpotensi dapat digunakan titik masuk oleh peretas.

Misalkan Anda ingin memblokir port 7070 di firewall UFW. Perintah untuk ini adalah:

$ sudo UFW DENY 7070/TCP 

Kemudian muat ulang firewall agar perubahan berlaku.

$ sudo UFW Reload 

Untuk firewalld, jalankan perintah:

$ sudo firewall-cmd--remove-port = 7070/tcp --permanent 

Dan ingatlah untuk memuat ulang firewall.

$ sudo firewall-cmd-reload 

Kemudian periksa silang aturan firewall seperti yang ditunjukkan:

$ sudo firewall-cmd-list-all 

4. Protokol SSH yang aman

Protokol SSH adalah protokol jarak jauh yang memungkinkan Anda untuk terhubung dengan aman ke perangkat di jaringan. Meskipun dianggap aman, pengaturan default tidak cukup dan beberapa penyesuaian tambahan diperlukan untuk lebih mencegah pengguna jahat melanggar sistem Anda.

Kami memiliki panduan komprehensif tentang cara mengeraskan protokol ssh. Berikut adalah sorotan utama.

• Konfigurasikan login SSH tanpa kata sandi & aktifkan otentikasi kunci pribadi/publik.
• Nonaktifkan SSH Remote Root Login.
• Nonaktifkan login SSH dari pengguna dengan kata sandi kosong.
• Nonaktifkan otentikasi kata sandi sama sekali dan tetap berpegang pada otentikasi kunci pribadi/publik SSH.
• Batasi akses ke pengguna SSH tertentu.
• Konfigurasikan batas untuk upaya kata sandi.

5. Menginstal dan mengaktifkan fail2ban

Fail2ban adalah sistem pencegahan intrusi sumber terbuka yang melindungi server Anda dari serangan bruteforce. Ini melindungi sistem Linux Anda dengan melarang IP yang menunjukkan aktivitas jahat seperti terlalu banyak upaya login. Di luar kotak, dikirimkan dengan filter untuk layanan populer seperti Webserver Apache, VSFTPD dan SSH.

Kami memiliki panduan tentang cara mengkonfigurasi fail2ban untuk lebih memperkuat protokol ssh.

6. Menegakkan kekuatan kata sandi menggunakan modul PAM

Menggunakan kembali kata sandi atau menggunakan kata sandi yang lemah dan sederhana sangat merusak keamanan sistem Anda. Anda menegakkan kebijakan kata sandi, menggunakan PAM_CRACKLIB untuk mengatur atau mengonfigurasi persyaratan kekuatan kata sandi.

Menggunakan modul PAM, Anda dapat menentukan kekuatan kata sandi dengan mengedit /etc/pam.D/System-Auth mengajukan. Misalnya, Anda dapat mengatur kompleksitas kata sandi dan mencegah penggunaan kembali kata sandi.

7. Instal Sertifikat SSL/TLS

Jika Anda menjalankan situs web, selalu pastikan untuk mengamankan domain Anda menggunakan sertifikat SSL/ TLS untuk mengenkripsi data yang dipertukarkan antara browser pengguna dan server web.

8. Nonaktifkan Protokol Enkripsi & Kunci Cipher yang lemah

Setelah Anda mengenkripsi situs Anda, pertimbangkan juga menonaktifkan protokol enkripsi yang lemah. Pada saat penulisan panduan ini, protokol terbaru adalah TLS 1.3, yang merupakan protokol yang paling umum dan banyak digunakan. Versi sebelumnya seperti TLS 1.0, tls 1.2, dan SSLV1 ke SSLV3 telah dikaitkan dengan kerentanan yang diketahui.

[Anda mungkin juga suka: cara mengaktifkan TLS 1.3 di Apache dan nginx]

Membungkus

Itu adalah ringkasan dari beberapa langkah yang dapat Anda ambil untuk memastikan keamanan data dan privasi untuk sistem Linux Anda.