Firewall seperti firewalld dan iptables adalah garis pertahanan pertama yang hebat terhadap penyusupan, tetapi mereka tidak sempurna. Mereka dapat diretas dan juga mengalami kerentanan sesekali. Tetapi Anda harus menjalankan firewall berbasis host. Ini hanyalah salah satu hal yang Anda instal dan konfigurasikan di setiap sistem. Dan Anda harus mengonfigurasi firewall Anda sebelum melakukan pekerjaan apa pun di sistem Anda. Dengan kata lain, kunci sistem Anda segera setelah online.
Setelah sistem baru Anda aktif dan berjalan dan Anda telah mengamankannya dengan firewall, saatnya untuk membuat baris pertahanan kedua dengan entri yang sesuai di /etc/hosts.allow (hosts.allow) dan /etc/hosts. tolak (hosts.deny) file. Jika firewall dihentikan, karena alasan apa pun, entri hosts.allow dan hosts.deny akan terus melindungi sistem Anda dari penyusupan. Lapisan tambahan inilah yang meningkatkan keamanan sistem Anda dengan menyediakan failsafe untuk firewall Anda.
Buat entri ALLOW
Saya harap Anda telah membaca artikel saya, "Alat Sysadmin:Cara menggunakan iptables". Jika tidak, harap luangkan beberapa menit untuk membacanya sebelum masuk ke file hosts.allow dan hosts.deny Anda karena saya akan menggunakan artikel iptables sebagai referensi untuk membuat entri yang sesuai.
Catatan:Di sini dinyatakan bahwa entri yang dibuat di hosts.allow dapat mengunci Anda keluar dari sistem Anda, yang bukan itu yang Anda inginkan. Jika itu terjadi, Anda harus mendapatkan akses ke konsol sistem melalui KVM, KVM virtual, iLO, atau konsol mesin virtual.
Aturan SSH dari artikel yang disebutkan di atas berbunyi, iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT . Aturan ini mengizinkan sistem apa pun di jaringan 192.168.1.0/24 untuk terhubung ke sistem lokal melalui SSH. Entri yang sesuai di hosts.allow adalah:
SSHD: 192.168.1.*
Entri ini memungkinkan semua sistem dari jaringan 192.168.1.0 untuk terhubung ke sistem melalui SSH.
Catatan:Anda perlu menambahkan baris kosong di akhir file hosts.allow Anda agar dapat beroperasi seperti yang dirancang. Saya berjuang dengan ini selama beberapa hari dan itu sangat membuat frustrasi.
File hosts.allow dibaca sebelum file hosts.deny dibaca, jadi tempatkan semua entri yang diizinkan dalam file ini sebelum menempatkan apapun ke dalam file hosts.deny. Anda dapat menempatkan entri DENY di file hosts.allow tetapi saya lebih suka memisahkan keduanya. Saya pikir itu akan membingungkan saya untuk memiliki kedua jenis entri di file hosts.allow.
Setelah Anda membuat perubahan pada file hosts.allow dan host.deny, file tersebut akan aktif. Tidak ada daemon yang harus dimulai ulang untuk mengaktifkannya, yang merupakan alasan lain untuk memperingatkan Anda agar membuat entri dengan sangat hati-hati kecuali jika Anda tinggal di dekat pusat data.
Buat entri DENY
Setelah Anda membuat semua entri iptables yang sesuai dengan host.allow, saatnya untuk membuat entri hosts.deny. Seperti file iptables, hosts.allow dan hosts.deny dibaca dari atas ke bawah, jadi tambahkan entri DENY ALL di bagian bawah file hosts.deny.
ALL: ALL
Entri sederhana ini berarti menolak semua protokol dari semua host. Anda bisa lebih spesifik jika Anda hanya ingin menolak satu protokol atau jaringan tertentu.
SSHD: ALL #Deny SSH access from all networks but allowing other protocols.
atau
ALL: 192.168.1.* #Deny all protocols from the 192.168.1.0 network.
atau
SSHD: 192.168.1.* #Deny SSH access from the 192.168.1.0 network.
Menutup
Seperti yang dapat Anda lihat dari contoh-contoh ini dan dari yang diberikan dalam artikel iptables, keduanya memiliki kesamaan dalam struktur dan perilaku. Keduanya dibaca dari atas ke bawah dan entri ALLOW dibaca sebelum entri DENY. Satu hal yang perlu diingat saat membuat entri hosts.allow/deny dan entri iptables adalah keduanya saling berhubungan. Jika mereka berkonflik, ini akan meningkatkan kerumitan upaya pemecahan masalah Anda secara signifikan. Untuk tujuan pengujian, matikan firewall Anda dan amati perilaku konektivitas file hosts.allow dan hosts.deny Anda.
[ Ingin tahu lebih banyak tentang jaringan dan keamanan jaringan? Lihat lembar contekan jaringan Linux. ]