Setelah Anda menginstal server CentOS 8 / RHEL 8 Anda, mengamankannya untuk mencegah akses dan intrusi yang tidak sah menjadi prioritas kedua. Seperti kata pepatah , “Mencegah lebih baik daripada mengobati” demikian juga pencegahan peretasan lebih baik daripada melakukan upaya perbaikan.
Mari jelajahi beberapa langkah yang dapat Anda ambil untuk memperkuat dan mengamankan server CentOS 8 / RHEL 8 dan menggagalkan upaya peretasan.
1) Siapkan firewall
Sebagai pengguna Linux yang berpikiran keamanan, Anda tidak akan hanya mengizinkan lalu lintas apa pun ke sistem CentOS 8 / RHEL 8 Anda karena alasan keamanan. Sebenarnya, menyiapkan firewall adalah salah satu tugas penyiapan server awal yang perlu dilakukan oleh administrator sistem untuk hanya membuka port tertentu dan mengizinkan layanan yang sedang digunakan.
Secara default, sistem CentsO8 / RHEL 8 dikirimkan dengan firewall firewall yang dapat dijalankan dan diaktifkan saat startup dengan menjalankan perintah:
$ sudo systemctl start firewalld $ sudo systemctl enable firewalld
Untuk memeriksa layanan yang diizinkan di firewall, cukup jalankan perintah:
$ sudo firewall-cmd --list all
Untuk membuka port pada firewall, misalnya port 443, jalankan perintah:
$ sudo firewall-cmd --add-port=443/tcp --zone=public --permanent
Untuk mengizinkan layanan misalnya ssh , gunakan perintah:
$ sudo firewall-cmd --add-service=ssh --zone=public --permanent
Untuk menghapus port dan layanan , gunakan –remove-port dan –remove-service atribut masing-masing.
Agar perubahan diterapkan , selalu muat ulang firewall seperti yang ditunjukkan.
$ sudo firewall-cmd --reload
2) Nonaktifkan layanan yang tidak digunakan / tidak diinginkan
Itu selalu disarankan untuk mematikan layanan yang tidak digunakan atau tidak perlu di server Anda. Ini karena semakin tinggi jumlah layanan yang berjalan, semakin banyak jumlah port yang terbuka di sistem Anda yang dapat dimanfaatkan oleh penyerang untuk mendapatkan akses ke sistem Anda. Selain itu, berhenti menggunakan layanan lama dan tidak aman seperti telnet yang mengirimkan lalu lintas dalam teks biasa
Praktik keamanan terbaik merekomendasikan untuk menonaktifkan layanan yang tidak digunakan dan menyingkirkan semua layanan tidak aman yang berjalan di sistem Anda. Anda dapat menggunakan alat nmap untuk memindai sistem Anda dan memeriksa port mana yang terbuka dan sedang didengarkan.
3) Mengamankan file penting
Sangat penting untuk mengunci file penting untuk mencegah penghapusan atau pengeditan yang tidak disengaja. File tersebut termasuk /etc/passwd dan /etc/gshadow yang berisi kata sandi hash. Untuk membuat file tidak dapat diubah (yaitu mencegah modifikasi atau penghapusan tidak disengaja) gunakan perintah chattr seperti yang ditunjukkan:
$ sudo chattr +i /etc/passwd $ sudo chattr +i /etc/shadow
Ini memastikan bahwa peretas tidak dapat mengubah kata sandi pengguna atau menghapusnya yang mengarah ke penolakan masuk ke sistem.
4) Protokol SSH yang aman
Protokol SSH adalah protokol yang populer digunakan untuk login jarak jauh. Secara default , protokol tersebut memiliki kelemahan asli yang dapat dimanfaatkan oleh peretas.
Secara default, SSH mengizinkan login jarak jauh oleh pengguna root. Ini adalah celah potensial dan jika seorang peretas bisa mendapatkan kata sandi root ke sistem Anda, server Anda sangat bergantung pada belas kasihan mereka. Untuk mencegah hal ini, disarankan untuk menolak login root jarak jauh dan sebagai gantinya membuat login pengguna biasa dengan hak sudo. Anda dapat melakukan ini dengan memodifikasi file konfigurasi SSH /etc/ssh/sshd_config dan menonaktifkan login root seperti yang ditunjukkan:
PermitRootLogin
Cara lain Anda dapat mengamankan SSH adalah dengan mengatur otentikasi tanpa kata sandi SSH dengan menggunakan kunci ssh. Alih-alih menggunakan otentikasi kata sandi yang rentan terhadap serangan brute force, kunci SSH lebih disukai karena hanya mengizinkan masuknya pengguna dengan kunci ssh untuk masuk ke server jarak jauh dan memblokir pengguna lain. Langkah pertama dalam mengaktifkan otentikasi tanpa kata sandi adalah membuat pasangan kunci menggunakan perintah:
$ ssh-keygen
Ini menghasilkan pasangan kunci publik dan pribadi. Kunci pribadi berada di host sementara kunci publik disalin ke sistem jarak jauh atau server. Setelah pasangan ssh-key disalin, Anda dapat dengan mudah masuk ke sistem jarak jauh tanpa dimintai kata sandi. Selanjutnya, nonaktifkan otentikasi kata sandi dengan memodifikasi file konfigurasi /etc/ssh/sshd_config dan menyetel nilai ini:
PasswordAuthentication no
Setelah Anda membuat perubahan, pastikan untuk memulai ulang layanan SSH agar perubahan diterapkan.
$ sudo systemctl restart sshd
5 ) Tentukan batas percobaan sandi
Untuk lebih memperkuat server Anda, Anda dapat mempertimbangkan untuk membatasi jumlah upaya kata sandi saat masuk melalui SSH untuk mencegah serangan brute force. Sekali lagi, buka file konfigurasi SSH, gulir dan temukan parameter “MaxAuthTries”. Batalkan komentar dan tetapkan nilai , misalnya 3 seperti yang ditunjukkan.
MaxAuthTries 3
Ini berarti bahwa setelah 3 kali mencoba kata sandi yang salah, sesi akan ditutup. Ini sangat berguna terutama saat Anda ingin memblokir skrip/program robot yang mencoba mendapatkan akses ke sistem Anda.
6) Siapkan sistem pencegahan intrusi (IPS)
Sejauh ini, kami telah membahas langkah-langkah dasar yang dapat Anda ambil untuk memperkuat server CentOS 8 / RHEL 8 Anda. Untuk menambahkan lapisan lain, Anda disarankan untuk menginstal sistem deteksi intrusi. Contoh sempurna dari IPS adalah Fail2ban.
Fail2ban adalah sistem pencegahan intrusi sumber terbuka dan gratis yang melindungi server dari serangan brute force dengan melarang alamat IP setelah sejumlah upaya login tertentu yang dapat ditentukan dalam file konfigurasinya. Setelah diblokir, pengguna jahat atau tidak sah bahkan tidak dapat memulai upaya login SSH.
7) Perbarui server Anda secara teratur
Artikel ini tidak akan lengkap tanpa menekankan betapa pentingnya memperbarui server Anda secara teratur. Ini memastikan bahwa server Anda mendapatkan fitur terbaru dan pembaruan keamanan yang penting dalam mengatasi masalah keamanan yang ada.
Anda dapat mengatur pembaruan otomatis menggunakan utilitas kokpit yang merupakan alat manajemen server berbasis GUI yang juga melakukan sejumlah tugas lainnya. Ini sangat ideal terutama jika Anda berniat untuk tinggal lama atau berlibur tanpa akses ke server.