Praktik terbaik keamanan server Linux

Langkah pertama setelah Anda membuat Linux® Cloud Server adalah mengatur keamanannya. Anda harus melakukan langkah penting ini di setiap server untuk mencegah pelaku jahat mendapatkan akses yang tidak diinginkan. Tindakan ini menghasilkan lingkungan yang lebih aman yang membantu mencegah Anda dan bisnis Anda disusupi. Melakukan langkah-langkah dasar ini dan memperkuat keamanan di server Anda mencegah pelaku jahat dan membuat mereka beralih ke target baru.

Pengelolaan pengguna

Secara default, pengguna root dibuat sebagai pengguna pertama di setiap sistem Linux. Anda harus menonaktifkannya melalui Secure Shell (SSH). Menonaktifkan pengguna root ini melalui SSH mempersulit aktor jahat untuk mendapatkan akses ke sistem. Karena pengguna root dibuat secara default di setiap server Linux, aktor jahat sudah memiliki setengah dari informasi yang mereka butuhkan untuk masuk ke server Anda jika pengguna root diaktifkan melalui SSH. Situasi ini memungkinkan serangan SSH secara paksa hingga hash kata sandi rusak.

Untuk menghindari situasi ini, Anda harus membuat pengguna sekunder ketika Anda perlu masuk dan mengelola sistem. Setiap pengguna akhir pada sistem harus memiliki kredensial login mereka sendiri untuk tujuan logging. Bergantung pada tindakan yang perlu dilakukan pengguna akhir, mereka mungkin memerlukan sudo izin untuk menyelesaikan tindakan administratif. Bagian ini memberikan contoh tentang cara menambahkan pengguna dengan izin sudo pada sistem berbasis Debian® dan Red Hat® Enterprise Linux.

Pedoman kekuatan sandi

Sebelum Anda membuat pengguna apa pun, pastikan Anda menggunakan kata sandi yang kuat yang memerlukan panjang karakter minimum (dan bahkan mungkin menyertakan tanggal kedaluwarsa). Berikut adalah pedoman umum yang dianjurkan oleh para pendukung keamanan sistem perangkat lunak:

• Gunakan panjang sandi minimal 12 hingga 14 karakter, jika diizinkan.
• Sertakan huruf kecil dan huruf besar, angka, dan simbol, jika diizinkan.
• Buat sandi secara acak, jika memungkinkan.
• Hindari penggunaan sandi yang sama untuk beberapa pengguna, akun, atau sistem perangkat lunak.
• Hindari pengulangan karakter, pola keyboard, kata kamus, urutan huruf atau angka, nama pengguna, nama kerabat atau hewan peliharaan, tautan romantis (saat ini atau masa lalu), atau informasi pribadi (misalnya, nomor ID, nama leluhur, atau tanggal).
• Hindari penggunaan informasi yang atau mungkin terkait secara publik dengan pengguna atau akun tersebut.
• Hindari penggunaan informasi yang mungkin diketahui oleh rekan atau kenalan pengguna terkait dengan pengguna.
• Jangan gunakan sandi yang terdiri dari komponen yang lemah.

Tambahkan pengguna (sistem operasi Debian dan Ubuntu)

Untuk sistem operasi Debian dan Ubuntu®, tambahkan pengguna dengan mengikuti langkah-langkah berikut:

1. Buat pengguna baru dan atur kata sandi mereka:

   useradd {namapengguna}passwd {namapengguna}

2. Berikan pengguna baru sudo izin untuk operasi istimewa pada sistem. Pengguna ini adalah pengguna utama untuk masuk dari jarak jauh dan membuat perubahan pada server.

   Gunakan salah satu metode berikut untuk mengimplementasikan sudo izin untuk pengguna.

   sebuah. Jalankan perintah berikut untuk menambahkan pengguna ke admin grup pengguna.

   usermod -aG admin {username}
   

   Atau, Anda dapat memodifikasi sudoers file untuk memberi pengguna sudo izin.

   sebuah. Jalankan perintah berikut sebagai root untuk mengedit daftar izin pengguna:

   visudo
   

   Catatan: Pada beberapa distribusi, sistem menggunakan vi editor teks untukvisudo . Karena vi bukan editor yang mudah digunakan, Anda mungkin perlu membaca tutorial vi untuk mendapatkan bantuan.

   b. Tambahkan baris berikut tepat setelah baris yang berisi root ALL=(ALL:ALL) ALL :

   {username}     ALL=(ALL:ALL) ALL
   

   c. Simpan dan keluar.

3. Beralih ke pengguna baru dan uji izin mereka dengan menggunakan sudo untuk menjalankan perintah yang membutuhkan akses root, seperti perintah berikut:

   su {username}
   sudo systemctl status sshd
   

   Prompt meminta Anda memasukkan sandi pengguna baru untuk verifikasi sebelum menjalankan perintah.

4. Anda juga dapat memverifikasi bahwa pengguna Anda dapat naik ke root akun dengan menjalankan perintah berikut:

    sudo -i
   

Jika Anda melakukan langkah-langkah ini dengan benar, pengguna Anda sekarang memiliki sudo akses dan dapat meningkatkan izin. Jika tidak dijalankan dengan benar, Anda mendapatkan pesan yang menunjukkan bahwa pengguna tidak berada di sudoers file ketika Anda mencoba untuk mengautentikasi.

Tambahkan pengguna (Red Hat dan CentOS)

Untuk sistem operasi Red Hat dan CentOS®, tambahkan pengguna dengan mengikuti langkah-langkah berikut:

1. Buat pengguna baru dengan adduser dan atur kata sandi pengguna dengan passwd :

   useradd {username}
   passwd {username}
   

2. Berikan pengguna baru sudo izin untuk operasi istimewa pada sistem. Pengguna ini adalah pengguna utama untuk masuk dari jarak jauh dan membuat perubahan pada server.

   Gunakan salah satu metode berikut untuk mengimplementasikan sudo izin untuk pengguna.

   sebuah. Jalankan perintah berikut untuk menambahkan pengguna ke wheel grup

   usermod -aG wheel {username}
   

   Atau, Anda dapat memodifikasi sudoers file untuk memberi pengguna sudo izin.

   sebuah. Jalankan perintah berikut:

   visudo
   

   Catatan: Pada beberapa distribusi, editor teks yang digunakan sistem untukvisudo adalah vi . Karena vi bukan editor yang mudah digunakan, Anda mungkin perlu membaca tutorial vi untuk mendapatkan bantuan.

   b. Tambahkan baris berikut langsung setelah baris yang berisiroot ALL=(ALL:ALL) ALL :

   {username}     ALL=(ALL)       ALL
   

   c. Simpan dan keluar.

3. Beralih ke pengguna baru dan uji izin mereka dengan menggunakan sudo untuk menjalankan perintah yang memerlukan akses root:

   su {username}
   sudo systemctl status sshd
   

   Prompt meminta Anda memasukkan sandi pengguna baru untuk verifikasi sebelum menjalankan perintah.

4. Anda juga dapat memverifikasi bahwa pengguna Anda dapat naik ke root akun dengan menjalankan perintah berikut:

    sudo -i
   

Jika Anda melakukan langkah-langkah ini dengan benar, pengguna Anda sekarang memiliki sudo akses dan dapat meningkatkan izin. Jika tidak dijalankan dengan benar, Anda mendapatkan pesan yang menunjukkan bahwa pengguna tidak berada di sudoers file ketika Anda mencoba untuk mengautentikasi.

Buat pasangan kunci SSH

Untuk metode login yang lebih aman daripada menggunakan kata sandi, buat pasangan kunci SSH untuk digunakan dengan pengguna yang Anda buat sebelumnya. Instruksi ini bekerja dengan semua distribusi Linux.

Catatan: Petunjuk ini untuk desktop Linux dan macOS®. Jika Anda tersambung dari desktop Windows®, ikuti petunjuk di Membuat kunci RSA dengan gen SSH PUTTY dan Masuk dengan kunci pribadi SSH di Windows untuk membuat dan menambahkan pasangan kunci SSH.

1. Jalankan perintah berikut untuk membuat pasangan kunci di lokal your Anda Komputer Linux atau Mac®:

   ssh-keygen -b 4096 -t rsa
   

   Saat ditanya di mana menyimpan kunci, gunakan lokasi default. Menambahkan kata sandi adalah opsional dan lebih aman, tetapi bisa merepotkan.

   Operasi ini membuat dua file. Nama defaultnya adalah id_rsa untuk kunci pribadi Anda dan id_rsa.pub untuk kunci publik Anda.

2. Setelah Anda membuat pasangan kunci di komputer lokal Anda, unggah kunci publik ke server jauh Anda untuk pengguna yang Anda buat sebelumnya.

   Peringatan: Pastikan untuk mengunggah publik kunci, dan tidak kunci pribadi.

   ssh-copy-id -i ~/.ssh/id_rsa.pub {username}@{remotePublicIPAddress}
   

3. Hubungkan ke server jauh dengan menggunakanssh {username}@{remotePublicIPAddress} dan jalankan perintah berikut untuk memverifikasi bahwa tidak ada kunci tambahan yang ditambahkan yang tidak Anda harapkan:

   cat .ssh/authorized_keys
   

Pada titik ini, Anda telah menambahkan ssh-key dan otentikasi kata sandi untuk pengguna. Bagian selanjutnya membahas langkah-langkah opsional tentang cara menonaktifkan otentikasi kata sandi.

Konfigurasi daemon SSH Linux

Sekarang Anda memiliki pengguna baru dengan sudo izin dan pasangan kunci SSH, Anda dapat bekerja dengan konfigurasi daemon (server) SSH untuk meningkatkan keamanan.

Catatan: Hanya untuk pelanggan Operasi Terkelola dan RackConnect: Untuk memastikan bahwa sistem otomatis kami memiliki akses ke server Anda saat diperlukan, kami meminta Anda untuk tidak mengubah konfigurasi SSH dan melompat ke bagian berikutnya. Saat menghubungkan ke server Anda, tim Dukungan Rackspace masuk sebagai rack user pengguna dan menggunakan otentikasi kata sandi pada port 22. Selain itu, membangun kembali server yang ada atau membangun server baru dari snapshot mengharuskan Anda mengaktifkan login root dengan menyetel PermitRootLogin pilihan untuk yes . Jika Anda perlu mengubah nilai-nilai ini, bicarakan dengan anggota tim Dukungan Rackspace Anda agar perubahan dilakukan dengan cara yang tidak memengaruhi kemampuan kami untuk memberikan Anda Pengalaman Fanatik™.

Contoh perintah untuk sisa artikel mengasumsikan bahwa Anda masuk sebagai pengguna baru Anda, menggunakan sudo untuk melakukan operasi istimewa.

Opsi konfigurasi SSH

Bagian ini mencakup opsi umum dalam file konfigurasi SSH yang membantu meningkatkan keamanan. Informasi ini digunakan untuk mengonfigurasi firewall Anda nanti.

Bagian ini hanya menguraikan beberapa opsi untuk mengubah dan menjelaskan apa yang mereka lakukan. Untuk detail tentang opsi konfigurasi lainnya, lihat dokumentasi OpenSSH.

Bagian ini berfokus pada opsi berikut:

• Port XX :Opsi ini adalah port tempat daemon SSH mendengarkan (secara default port 22).
• PermitRootLogin :Bendera ini mengaktifkan (ya) atau menonaktifkan (tidak) login root melaluiSSH. Secara default, baris ini dikomentari dan memungkinkan login root.
• PubkeyAuthentication :Bendera ini mengaktifkan (ya) atau menonaktifkan (tidak) kunci SSH untuk otentikasi. Secara default, baris ini dikomentari dan mengizinkan ssh-key akses.
• PasswordAuthentication :Bendera ini mengaktifkan (ya) atau menonaktifkan (tidak) otentikasi kata sandi. Secara default, opsi ini diaktifkan.

SSH menggunakan port 22 secara default untuk komunikasi. Aktor jahat mencoba port 22 dengan nama pengguna root pada setiap server yang mereka serang. Karena alasan ini, menonaktifkan pengguna root melalui SSH dan mengubah SSH untuk mendengarkan pada port yang tidak standar membantu mencegah pelanggaran.

Mengubah port tidak akan menghentikan penyusup yang ditentukan, tetapi itu menyebabkan sebagian besar pemindaian dangkal untuk peluang koneksi SSH mengabaikan server Anda. Demikian pula, menghapus akses SSH untuk pengguna root mengganggu serangan brute force biasa melalui SSH.

Anda juga harus mempertimbangkan metode otentikasi mana yang akan digunakan saat masuk. Secara default, semua sistem Linux menggunakan otentikasi kata sandi. Ada banyak cara untuk melakukan otentikasi di server, tetapi dua yang utama adalah dengan menggunakan kata sandi dan kunci SSH.

Kunci SSH dibuat berpasangan, satu publik dan lainnya pribadi, dan Anda hanya dapat menggunakannya dalam kombinasi satu sama lain. Anda harus menyimpan kunci pribadi di lokasi aman di komputer tempat Anda terhubung, dan Anda tidak boleh memberikannya. Anda dapat memberikan kunci publik, dan itu adalah kunci yang Anda tempatkan di server yang Anda hubungkan. Kunci pribadi di komputer lokal Anda berjalan melalui algoritme saat Anda membuat sambungan, memberikan akses jika hash pasangan kunci cocok dengan kunci publik.

Ubah sshd_config

Pada titik ini, Anda telah menambahkan pengguna baru dengan sudo izin, membuat pasangan kunci SSH, dan mengunggah kunci SSH publik Anda. Anda sekarang dapat mengubah file konfigurasi SSH Anda untuk meningkatkan keamanan Anda. Untuk melakukan ini, Anda dapat mengubah SSH untuk mendengarkan pada port kustom, membatasi login root melalui SSH, mengaktifkan otentikasi kunci publik, dan menonaktifkan otentikasi kata sandi dengan menggunakan langkah-langkah berikut:

1. Buka file konfigurasi daemon SSH untuk diedit:

   sudo vim /etc/ssh/sshd_config
   

2. Ubah baris berikut:

   Catatan :Secara default, Port dan PermitRootLogin baris dikomentari seperti yang ditunjukkan oleh # simbol. Ketika dikomentari, baris-baris ini dibaca sebagai opsi default, bahkan jika perubahan dilakukan pada baris tersebut. Untuk menerapkan perubahan ini, Anda perlu menghapus komentar pada baris terkait dengan menghapus # simbol di awal baris terkait. Selain itu, sebelum menonaktifkan PasswordAuthentication pastikan Anda telah mengonfigurasi kunci SSH atau Anda tidak dapat terhubung ke server.

   Ubah:

   #Port 22
   #PermitRootLogin yes
   PasswordAuthentication yes     
   

   Kepada:

   Port 2222
   PermitRootLogin no
   PasswordAuthentication no
   

   Ganti 2222 dengan port yang ingin Anda gunakan. Pastikan port baru belum digunakan oleh program lain dengan menggunakan netstat.

   Penting: Seperti disebutkan sebelumnya, Anda tidak boleh membuat perubahan ini padasshd_config file jika server Anda memiliki tingkat layanan Operasi Terkelola. Perubahan ini dapat menolak akses Rackspace ke server Anda.

3. Uji konfigurasi SSH yang diubah untuk menemukan kesalahan dengan menjalankan perintah berikut:

   sshd -t
   

Jika Anda tidak menerima kesalahan, SSH sekarang dikonfigurasi untuk berjalan pada port kustom dan hanya menerima pengguna non-root yang memberikan kunci SSH yang valid. Agar pengaturan ini dapat diterapkan dan dipertahankan, Anda harus memulai ulang layanan SSH. Namun, jangan mulai ulang layanan tersebut. Memulai ulang SSH sekarang mungkin akan mengunci Anda dari server, mengharuskan Anda menggunakan mode penyelamatan atau konsol web untuk memulihkan konfigurasi. Anda harus mengkonfigurasi firewall sebelum memulai ulang server. Kami membahas firewall di bagian selanjutnya.

Ubah firewall perangkat lunak dan mulai ulang SSH

Catatan: Pelanggan RackConnect: Untuk mengelola aturan firewall, gunakan manajemen RackConnect alih-alih iptables di server. Anda tidak boleh mengubah port SSH jika Anda menggunakan RackConnect. Untuk informasi selengkapnya tentang firewall dan RackConnect, lihat Mengelola kebijakan jaringan RackConnect v2.0.

Setiap distribusi Linux menggunakan solusi firewall perangkat lunak yang berbeda. Di Red Hat Enterprise Linux (RHEL) dan CentOS 7, firewall default adalah firewalld . Pada distribusi berbasis Debian dan Ubuntu, solusi firewall default adalah Uncomplicated Firewall (UFW). Untuk RHEL dan CentOS 6, solusi defaultnya adalah iptables . Lihat bagian berikut untuk OS server Anda.

RHEL, CentOS 7, dan firewalld

1. Buka port SSH baru dengan menjalankan perintah berikut:

    sudo firewall-cmd --permanent --remove-service=ssh
    sudo firewall-cmd --permanent --add-port=2222/tcp
    sudo firewall-cmd --reload
   

   Ganti 2222 dengan port yang Anda gunakan untuk daemon SSH.

2. Mulai ulang sshd service dengan menjalankan perintah berikut:

    sudo systemctl restart sshd
   

3. Verifikasi bahwa port SSH khusus Anda dibuka di server:

    netstat -plnt | grep ssh
   

Jika Anda mengikuti langkah-langkah ini, Anda akan melihat sesuatu yang mirip dengan output berikut:

    tcp        0      0 0.0.0.0:2222            0.0.0.0:*               LISTEN      1341/sshd           
    tcp6       0      0 :::2222                 :::*                    LISTEN      1341/sshd 

Ubuntu, Debian, dan UFW

1. Buka port SSH baru dengan menjalankan perintah berikut:

    sudo ufw allow 2222
   

   Ganti 2222 dengan port yang Anda gunakan untuk daemon SSH.

2. Mulai ulang sshd service dengan menjalankan perintah berikut:

    sudo systemctl restart sshd
   

3. Verifikasi bahwa port SSH khusus Anda dibuka di server dengan menjalankan perintah berikut:

    netstat -plnt | grep ssh
   

Jika Anda mengikuti langkah-langkah ini, Anda akan melihat sesuatu yang mirip dengan output berikut:

    tcp        0      0 0.0.0.0:2222            0.0.0.0:*               LISTEN      1341/sshd           
    tcp6       0      0 :::2222                 :::*                    LISTEN      1341/sshd 

CentOS 6 dan iptables

Catatan :RHEL dan CentOS 6 akan ditandai End of Life pada November 2020. Untuk praktik keamanan terbaik, kami sangat menyarankan Anda mempertimbangkan versi OS yang lebih baru untuk menghosting aplikasi atau situs web Anda.

1. Buka port SSH baru dengan menjalankan perintah berikut:

   sudo iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 2222 -j ACCEPT
   sudo service iptables-save
   

   Ganti 2222 dengan port yang Anda gunakan untuk daemon SSH.

2. Jalankan perintah berikut untuk me-restart daemon SSH sehingga daemon menerapkan konfigurasi baru yang Anda atur:

   sudo service sshd restart
   

3. Verifikasi bahwa port SSH khusus Anda dibuka di server dengan menjalankan perintah berikut:

    netstat -plnt | grep ssh
   

Jika Anda mengikuti langkah-langkah ini, Anda akan melihat sesuatu yang mirip dengan output berikut:

    tcp        0      0 0.0.0.0:2222            0.0.0.0:*               LISTEN      1341/sshd           
    tcp6       0      0 :::2222                 :::*                    LISTEN      1341/sshd 

Setelah Anda membuat perubahan untuk OS Anda, buka jendela terminal lain di mesin lokal Anda dan masuk ke server sebagai pengguna yang Anda buat sebelumnya. Ingatlah untuk menentukan port yang baru diubah. Pertahankan koneksi asli Anda tetap aktif jika Anda perlu memecahkan masalah konfigurasi.

Untuk terhubung ke SSH dengan konfigurasi baru, Anda mungkin perlu menentukan nomor port dan kunci yang akan digunakan. Misalnya:

    ssh -p 2222 -i ~/.ssh/id_rsa {username}@{remotePublicIPAddress}

-p opsi menentukan port, dan -i opsi menentukan kunci pribadi yang akan digunakan untuk koneksi.

Jika Anda terhubung dari desktop Windows, saat Anda membuat koneksi di Putty, Anda dapat menentukan nomor port dan kunci pribadi.

Pencegahan intrusi sederhana

Sebagian besar calon penyusup menjalankan beberapa serangan terhadap port yang sama untuk mencoba menemukan sesuatu yang dapat mereka eksploitasi dalam perangkat lunak yang berjalan pada port tersebut. Untungnya, Anda dapat menyiapkan alat pencegahan intrusi seperti fail2ban di server Anda untuk memblokir serangan berulang pada port.

Catatan: Server Operasi Terkelola memiliki fail2Ban diinstal dan dikonfigurasi secara default untuk mengawasi upaya login SSH. Hubungi tim Dukungan Anda jika Anda memiliki pertanyaan atau masalah.

fail2ban memonitor log dan secara otomatis memblokir koneksi jika melihat terlalu banyak dari host yang sama dalam waktu singkat. Untuk mengatur dan mengkonfigurasi fail2ban di server Anda, gunakan langkah-langkah berikut:

1. Untuk menginstal fail2ban di server Anda, jalankan salah satu perintah berikut.

   RHEL dan CentOS:

   sudo yum install fail2ban
   

   Debian dan Ubuntu:

   sudo apt-get install fail2ban
   

2. Gunakan perintah berikut untuk menyalin fail2ban default Anda konfigurasi File yang baru dibuat akan menggantikan konfigurasi default dan memungkinkan Anda untuk memodifikasi file dengan aman.

   sudo cp -pf /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
   

3. Ubah file Anda untuk menyesuaikan tingkat keamanan Anda di fail2ban .

   vim /etc/fail2ban/jail.local
   

   Dalam file ini, Anda dapat mengatur opsi berikut:

   • ignoreip :Parameter ini memungkinkan Anda untuk menentukan alamat IP apa pun yang tidak boleh dilarang.
   • bantime :Parameter ini memungkinkan Anda menentukan jumlah detik untuk memblokir alamat IP.
   • findtime :Parameter ini memeriksa indikasi maxretry pemicu dalam waktu yang ditentukan.
   • maxretry :Parameter ini menetapkan jumlah percobaan ulang yang diizinkan sebelum alamat IP dilarang.

4. Buat file jail untuk upaya login SSH.

   vim /etc/fail2ban/jail.d/sshd.local
   

5. Dalam file yang dibuat, salin dan tempel teks berikut:

   [sshd]
   enabled = true
   port = ssh
   #action = firewallcmd-ipset
   logpath = %(sshd_log)s
   maxretry = 3
   bantime = 86400
   

   Opsi ini melarang alamat IP setelah tiga kali gagal terhubung melalui SSH selama 24 jam. Jika Anda mengetahui alamat IP lokal Anda, kami sangat menyarankan agar Anda menambahkan alamat IP ini di bagian sebelumnya sebagai ignoreip parameter.

6. Mulai dan aktifkan fail2ban di server Anda dengan menggunakan perintah berikut:

   RHEL dan CentOS 7 atau Debian dan Ubuntu:

    sudo systemctl start fail2ban
    sudo systemctl enable fail2ban
   

   RHEL dan CentOS 6:

    sudo service fail2ban start
    sudo chkconfig fail2ban on
   

Deteksi intrusi

Sistem deteksi intrusi (IDS) dapat membantu administrator memantau sistem untuk aktivitas mencurigakan dan kemungkinan eksploitasi. IDS lebih tangguh daripada alat pencegahan seperti fail2ban tetapi bisa lebih rumit untuk disiapkan dan dipelihara.

IDS open-source yang populer adalah OSSEC. OSSEC memelihara agen di beberapa sistem yang melaporkan kembali ke server utama, memungkinkan penyelidikan log dan peringatan dari server yang berpotensi disusupi bahkan jika server itu dimatikan.

Jika Anda mencurigai bahwa suatu sistem telah disusupi, Anda dapat menyelidikinya dengan prosedur seperti memeriksa pintu belakang dan penyusup, serta penyelidikan mode penyelamatan.

Selalu perbarui OS Anda (patching)

Menjaga kernel, paket, dan dependensi Anda tetap mutakhir sangat penting, terutama untuk modul dan paket yang terkait dengan keamanan. Beberapa pembaruan, seperti pembaruan kernel, mengharuskan Anda untuk me-reboot server Anda. Anda harus menjadwalkan pemeliharaan untuk dilakukan selama waktu yang paling tidak mengganggu pengguna karena pemeliharaan ini menyebabkan waktu henti yang singkat.

Penting :Meskipun menjaga agar sistem Anda tetap mutakhir adalah sangat penting, pastikan bahwa pembaruan yang Anda terapkan tidak berdampak negatif pada lingkungan produksi Anda.

Untuk memeriksa dan menginstal pembaruan pada sistem operasi Ubuntu dan Debian, jalankan perintah berikut:

sudo apt-get update
sudo apt-get upgrade

Untuk memeriksa dan menginstal pembaruan pada sistem CentOS, Red Hat, dan Fedora, jalankan perintah berikut:

sudo yum update

Akhir masa pakai sistem operasi

Cari tahu kapan rilis distribusi Linux yang Anda jalankan di server Anda mencapai akhir masa pakainya (EOL). Saat rilis mencapai EOL-nya, pengelola distribusi tidak lagi mendukungnya atau menyediakan pembaruan paket melalui repositori resmi mereka. Anda harus merencanakan migrasi ke rilis yang lebih baru jauh sebelum rilis Anda saat ini mencapai EOL-nya.

Gunakan tautan berikut untuk mengetahui kapan rilis distribusi Linux Anda diatur untuk mencapai EOL-nya:

• Sistem operasi Ubuntu:https://wiki.ubuntu.com/Releases
• Red Hat Enterprise Linux (RHEL):https://access.redhat.com/support/policy/updates/errata/
• CentOS:Sama seperti Red Hat
• Fedora:https://fedoraproject.org/wiki/End_of_life
• Debian:https://wiki.debian.org/DebianReleases

Keamanan tingkat akun

Meskipun mengamankan server Anda adalah bagian penting dari operasi di Internet, mengamankan akun Anda juga diperlukan. Nama akun, kata sandi, dan kunci API Anda adalah bagian penting dari cara Anda berinteraksi dengan penawaran Rackspace Cloud. Sama seperti kata sandi atau kredensial akses lainnya, Anda ingin menjaganya tetap aman. Namun, Anda juga perlu mengizinkan tim Anda untuk mengambil tindakan dan melakukan tugas yang diperlukan.

Dengan menggunakan Kontrol Akses Berbasis Peran (RBAC), Anda dapat membuat pengguna dan memberikan izin kepada individu atau aplikasi yang bertanggung jawab untuk menggunakan berbagai layanan Rackspace. Dengan memanfaatkan RBAC, Anda dapat memberi tim dan kontraktor Anda akses hanya ke utilitas yang mereka butuhkan dan mencabut akses jika perlu.

Berikut adalah beberapa skenario penggunaan:

• Beri kontraktor akses untuk menyiapkan lingkungan yang Anda sewa untuk mereka buat, tetapi batasi kemampuan mereka untuk melihat atau mengubah informasi kartu kredit atau menghapus akun Anda.
• Izinkan akuntan Anda melihat tagihan tetapi tidak menghapus server Anda.
• Sewa administrator Database (DBA) dan berikan DBA akses ke instans DBaaS Anda.
• Izinkan klien mengunggah file langsung ke akun File Cloud Anda.
• Konfigurasikan server Anda untuk mendaftar dan menggunakan pengguna tertentu untuk agen pemantau dan cadangan Anda yang terpisah dari akun admin Anda.

Untuk informasi selengkapnya tentang RBAC, lihat FAQ Kontrol Akses Berbasis Peran (RBAC).