Friday, July 07, 2006

Mengamankan Server Linux dengan TCP Wrappers

Salah satu langkah pengamanan server anda dari gannguan dari luar adalah dengan membatasi servis - servis yang bisa diakses secara remote dan hanya mengizinkan host tertentu untuk mengakses.
Salah satu tools yang dimanfaatkan adalah dengan menggunakan tcp wrappers. Asumsi O/S linux yang digunakan adalah Red Hat Linux. TCP Wrappers dikendalikan oleh dua file, yakni file '/etc/hosts.allow' dan file '/etc/hosts.deny'.Langkah - langkahnya adalah sebagai berikut :

Langkah 1 :
Edit file '/etc/hosts.deny' dan tambahkan baris berikut ini:
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!
# Deny access to everyone

ALL: ALL@ALL, PARANOID

Yang berarti semua servis, semua 'host' atau komputer yang tidak secara eksplisit terdaftar akan ditolak dan hanya mengizinkan 'host' yang terdaftar pada file '/etc/hosts.allow'
Perlu diperhatikan, bahwa dengan adanya parameter 'PARANOID' di atas, jika Anda bermaksud menjalankan servis telnet atau ftp pada server anda, jangan lupa untuk menambahkan nama komputer klien dan alamat IP mereka pada file '/etc/hosts' atau anda akan menunggu beberapa menit untuk mendapatkan time out dari DNS lookup sebelum anda melihat prompt 'login:'.

Langkah 2:
#
# hosts.allow This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
# list allow
ALL : 127.0.0.1
in.telnetd: 192.168.0.1 oke.hostboleh.org
sshd: 202.77.123.44 boleh.publicserver.com

Contoh diatas menunjukkan hanya alamat IP 192.168.0.1 dengan nama oke.hostboleh.org yang dapat melakukan telnet se server anda dan alamat IP 202.77.12.44 dengan nama 'boleh.publicserver.com' hanya dapat melakukan 'ssh' ke server anda.
Baris pertama 'ALL:127.0.0.1' perlu ditambahkan, mengingat beberapa servis lokal seperti 'comsat' yang memerlukan alamat loopback tersebut.
Lebih baik mencegah kan.. daripada mengobati :)....selamat mencoba
Referensi :
http://www.redhat.com/docs/manuals/linux/RHL-7.3-Manual/ref-guide/ch-tcpwrappers.html
Posted by at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)