Kali ini saya mencoba berbagi tips gimana agar linux server kita selangkah lebih aman, walau sebenernya kita tahu kalau firewall di linux sudah sangat bisa diandalkan dan tidak perlu diragukan lagi ketangguhannya. Namun itu bukan berarti membuat kita terlena, waspada dan lebih baik mencegah daripada kenapa2 … ( diatas langit masih ada langit.. hayah apa hubungannya ya… ^_^ ).
Ok langsung saja..
Untuk melindungi server dari serangan port scanner semacam nmap, fin, syn dll tambahkan pada iptables :
------------------------------------------------------------------------------
#iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,PSH,ACK,URG FIN -j DROP
#iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
#iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
#iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK FIN,PSH,URG -j DROP
#iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG,
FIN,SYN,RST,PSH,ACK,URG -j DROP
#iptables -A FORWARD -p icmp -m icmp --icmp-type any -j DROP
--------------------------------------------------------------------------------
jangan lupa untuk save :
#iptables-save > /etc/iptables.up.rules
kemudian apply :
#iptables-apply /etc/iptables.up.rules
Menkonfigurasi file /etc/sysctl.conf :
#nano /etc/sysctl.conf
Enable TCP SYN Cookie Protection (agar sistem terlindung dari SYN attack, yaitu salah satu jenis Denial of Service Attack (Dos))
-----------------------------------------------------------
net.ipv4.tcp_syncookies=1
-----------------------------------------------------------
mencegah beberapa serangan spoofing
-----------------------------------------------------------
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1
-----------------------------------------------------------
Abaikan broadcast ICMP
-----------------------------------------------------------
net.ipv4.icmp_echo_ignore_broadcasts = 1
-----------------------------------------------------------
kemudian jangan lupa save
Agar ssh server lebih aman dari serangan sniffer, ada baiknya juga mengkonfigurasi file /etc/ssh/sshd_config :
#nano /etc/ssh/sshd_config
Ubah default port 22 menjadi port selain 22, misal 2201
-----------------------------------------------------------
Port 2201
-----------------------------------------------------------
Agar hanya bisa diakses dari ip lokal server(tidak semua ip address di server)
-----------------------------------------------------------
ListenAddress 192.168.1.10
-----------------------------------------------------------
catatan : disini ssh server saya menggunakan ip diatas (sesuaikan dengan server anda)
Batasi user root
-----------------------------------------------------------
PermitRootLogin no
-----------------------------------------------------------
catatan : untuk bisa jadi superuser, perlu login sebagai user dulu
kemudian save dan restart service ssh nya
Sebenarnya masih banyak lagi hal-hal yang harus kita lakukan untuk meningkatkan keamanan server linux kita, namun sekian dulu Semoga bermanfaat dan selamat mencoba … ^_^ !!!
Ok langsung saja..
Untuk melindungi server dari serangan port scanner semacam nmap, fin, syn dll tambahkan pada iptables :
------------------------------------------------------------------------------
#iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,PSH,ACK,URG FIN -j DROP
#iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
#iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
#iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK FIN,PSH,URG -j DROP
#iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG,
FIN,SYN,RST,PSH,ACK,URG -j DROP
#iptables -A FORWARD -p icmp -m icmp --icmp-type any -j DROP
--------------------------------------------------------------------------------
jangan lupa untuk save :
#iptables-save > /etc/iptables.up.rules
kemudian apply :
#iptables-apply /etc/iptables.up.rules
Menkonfigurasi file /etc/sysctl.conf :
#nano /etc/sysctl.conf
Enable TCP SYN Cookie Protection (agar sistem terlindung dari SYN attack, yaitu salah satu jenis Denial of Service Attack (Dos))
-----------------------------------------------------------
net.ipv4.tcp_syncookies=1
-----------------------------------------------------------
mencegah beberapa serangan spoofing
-----------------------------------------------------------
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1
-----------------------------------------------------------
Abaikan broadcast ICMP
-----------------------------------------------------------
net.ipv4.icmp_echo_ignore_broadcasts = 1
-----------------------------------------------------------
kemudian jangan lupa save
Agar ssh server lebih aman dari serangan sniffer, ada baiknya juga mengkonfigurasi file /etc/ssh/sshd_config :
#nano /etc/ssh/sshd_config
Ubah default port 22 menjadi port selain 22, misal 2201
-----------------------------------------------------------
Port 2201
-----------------------------------------------------------
Agar hanya bisa diakses dari ip lokal server(tidak semua ip address di server)
-----------------------------------------------------------
ListenAddress 192.168.1.10
-----------------------------------------------------------
catatan : disini ssh server saya menggunakan ip diatas (sesuaikan dengan server anda)
Batasi user root
-----------------------------------------------------------
PermitRootLogin no
-----------------------------------------------------------
catatan : untuk bisa jadi superuser, perlu login sebagai user dulu
kemudian save dan restart service ssh nya
Sebenarnya masih banyak lagi hal-hal yang harus kita lakukan untuk meningkatkan keamanan server linux kita, namun sekian dulu Semoga bermanfaat dan selamat mencoba … ^_^ !!!
