Gesang_[at]_localbox » linux

Jbchroot, Menjalankan aplikasi dengan chroot sebagai user bukan root

Pamadi Gesang — Sun, 16 Nov 2008 08:45:22 +0000

Menjalankan aplikasi atau service dengan chroot sebagai user bukan root di linux akan menemui kendala tidak seperti di platform *BSD, tapi kadang kita menemui kondisi dimana kita harus me-jail suatu servis/aplikasi di direktori tertentu dan dijalankan sebagai user selain root dengan alasan keamanan. Seperti saya pernah menemui kesulitan untuk menjalankan WebGoat yang sengaja di install untuk demo hacking aplikasi web. Karena WebGoat di buat sedemikian vulnerable maka akan sangat riskan menjalankan WebGoat yag bisa diakses ke publik atau peserta hacking aplikasi web.

WebGoat sendiri berjalan di atas Tomcat, maka untuk meminimalkan resiko saya putuskan untuk men-jail tomcat dan menjalankan sebagai user bukan root. Karena OS yang di gunakan kebetulan linux maka saya berusaha mencari cara untuk melakukan hal tersebut diatas, setelah beberapa lama akhirnya menemukan aplikasi kecil yang bernama jbcroot yang mempunyai kemampuan seperti yang dimaksud diatas. Sourcecode jbchroot dapat di download disini.

Untuk meng-compile sourcecode jbchroot bisa dengan menjalankan perintah sebagai berikut:

# gcc -O jbchroot.c -o jbchroot

Jika berhasil sebaiknya di copy ke direktory /usr/bin/

# cp jbchroot /usr/bin

# chmod ug+x /usr/bin/jbchroot

Untuk menggunakannya jbchroot berikut ini sintax-nya

# jbchroot [-g/G group-yg-dipakai] [-u/U user-yg-dipakai] [newroot-directory] [command]

misal:

# jbchroot -U tomcat /chroot/tomcat /apache-tomcat/bin/startup.sh

Perhatian:

Sebelum menggunakan jbchroot/chroot harus di buat dulu environment yang dibutuhkan untuk aplikasi yang akan dijalankan.
Untuk menjalankan service/aplikasi yg menggunakan port dibawah 1024 harus menggunakan root privilege, maka gunakan port diatas 1024 jika user selain root.

Just my 0,002 cents

Synbak, cara mudah untuk backup

Pamadi Gesang — Tue, 06 Nov 2007 18:22:00 +0000

Dengan synbak kita dapat mem-backup file atau database dengan mudah baik backup lokal dan remote. Konfigurasinya sederhana sehingga memudahkan kita untuk menggunakan synbak sesuai kebutuhan, dimana synbak menngunakan satu file konfigurasi untuk masing-masing metode yang digunakan.

Synbak menggunakan beberapa metode untuk menjalankan backup, antara lain:
- RSync over ssh, rsync daemon, smb dan cifs protocols
- Tar archives (tar, tar.gz dan tar.bz2)
- Tape devices
- LDAP databases
- MySQL databases
- Oracle databases
- CD-RW/DVD-RW

Kehebatan lainnya, setelah mem-backup synbak akan menghasilkan report berupa :
- email
- html
- RSS feeds

Dengan report tersebut memudahkan kita untuk memonitoring backup sehingga jika ada kegagalan dalam proses backup kita dapat segera mengetahuinya.
Proses instalasi synbak juga mudah dan tidak memakan waktu yang lama. Berikut ini akan saya contohkan instalsi synbak dan konfigurasinya.

Instalasi synbak
Sebelumnya kita harus mengunduh source synbak di : http://www.initzero.it/portal/en/products/opensource/synbak/download

masuklah ke direktori hasil download source synbak dan jangan lupa untuk login sebagai root. berikut ini perintah yang dijalankan di konsole :

# tar zxvf synbak-1.0.11.tar.gz -C /usr/src/

masuklah ke direktori hasil extrak synbak dan kemudian di install

# cd /usr/src/synbak-1.0.11/
# ./configure
# make
# make install

Seperti saya katakan diatas bahwa synbak memerlukan satu file konfigurasi untuk masing-masing metode(laserdisc, ldap, mysql, oracle, rsync, tape, tar) backupnya, misal kita menjalankan synbak sebagi user admin(home direktorinya /home/admin) untuk membackup sistem/komputer dengan nama webserver menggunakan metode tar maka synbak akan memabaca file konfigurasi :

/home/admin/.synbak/tar/webserver.conf

jika dengan metode rsync :

/home/admin/.synbak/rsync/webserver.conf

jika dengan metode mysql( untuk backup database MySQL) :

/home/admin/.synbak/mysql/webserver.conf

Jika kita menjalankannya sebagai user root dengan metode rsync untuk membackup sistem/komputer dengan nama www maka synbak akan menggunkana file konfigurasi:

/root/.synbak/rsync/www.conf

Pada saat instalasi synbak tidak membuat file konfigurasi dan direktori untuk masing metode, kita bisa membuatnya secara manual atau dengan menjalankan synbak untuk memacingnya karena ketika dijalankan synbak akan memeriksa apakah direktori dan file konfigurasi sudah ada jika tidak ada maka synbak akan membuatkan direktori tersebut berserta file konfigurasi contoh(~/.synbak/example.conf).

Berikut saya contohkan untuk backup serderhana menggunkan beberapa metode baik untuk baukup lokal maupun remote backup.

Sebagai contoh disini kita login sebagi user root, sebagai persiapannya kita terlebih dahulu membuat direktori yang diperlukan untuk tempat file konfigurasi.

# cd ~
# mkdir .synbak
# cd .synbak
# pwd
/root/.synbak
# mkdir tar mysql rsync

Menggunakan metode tar

sistem/komputer lokal yang akan kita backup di beri nama : lok_etc_squid
dengan direktori yang akan dibackup : /etc/squid
direktori penampung hasil backup : /backup/squid-conf
metode : tar
report : html

maka harus dibuat file configurasi lok_etc_squid.conf di direktori /root/.synbak/tar/, agar lebih mempermudah kita dapat menggunakan contoh file konfigurasi bawaan synbak sebagai acuan ([direktori-hasil-ekstrak-synbak]/examples/example.conf).

# mkdir -p /backup/squid-conf <-- membuat direktori untuk menampung hasil backup
# cd ~/.synbak/tar
# cp /usr/src/synbak-1.0.11/examples/example.conf lok_etc_squid.conf
# pico lok_etc_squid.conf

kemudian editlah file tersebut dan sesuaikan seperti pada baris-baris di bawah ini:

#@@ mandatory backup fields
backup_source = /etc/squid
backup_destination = /backup/squid

#@@ email output reporting
#report_email = no
#report_email_on_errors = yes
#report_email_rcpt = support@initzero.it

#@@ html/rss output reporting
report_html = yes
report_html_on_errors = yes
report_html_destination = /var/www/html/admin/log/backup
report_html_uri = http://localhost/admin/log/backup
report_html_logo = yes
report_html_logo_image =
report_html_logo_link = http://www.initzero.it

Perhatian:
pastikan direktori untuk report_html_destination(/var/www/html/admin/log/backup) ada dan user yang menjalankan synbak mempunyai akses untuk menulis ke direktori tersebut.

setelah disimpan kita sudah bisa melakukan backup dengan perintah :

# synbak -s lok_etc_squid -m tar -M gz

Catatan:

maksud perintah diatas adalah memrintahkan synbak untuk membackup sistem yang bernama lok_etc_squid(-slok_etc_squid) dengan metode tar(-m tar) dan dengan hasil backup yang di kompres(-M gz) dimana hasil dari backup akan berupa file dengan ekstensi tar.gz. Jika kita ingin hasil dari backup berupa file kompresi bz2 maka bisa menggunkan opsi -M bz2. Untuk metode tar terdapat 3 opsi yaitu tar, gz dan bz2.

Ketika dalam proses backup synbak juga menghasilkan report yang ditampilkan pada layar sehingga jika ada error/kegagalan dapat diketahui.

Menggunakan metode rsync untuk remote backup via ssh

Misal kita ingin membackup direktori /var/www/htdoc di komputer lain dengan IP Address 192.168.10.7 dan sistem/komputer tersebut kita beri nama www, file hasil backup akan ditempatkan di direktory /backup/www pada komputer kita.
Karena metode yang digunakan rsync via ssh maka kita harus konfigure ssh server dan client agar autentifikasinya menggunakan key dan pastikan user yang digunakan mempunyai hak akses terhadap data yang akan di backup. Disini tidak akan dijelaskan bagaimana mengkonfigur autentifikasinya ssh dengan key, tutorial untuk membuat autentifikasi ssh dengan key dapat anda lihat di sini.

Setelah konfigurasi ssh dengan autentifikasi key sudah dibuat selanjutnya membuat file konfigurasinya, berikut langkah-langkahnya :

# mkdir /backup/www
# cd ~/.synbak/rsync
# cp /usr/src/synbak-1.0.11/examples/example.conf www.conf

kemudian editlah file tersebut dan sesuaikan seperti pada baris-baris di bawah ini:

#@@ mandatory backup fields
backup_source = /var/www/htdocs
backup_destination = /backup/www

#@@ remote backup
backup_remote_uri = ssh://root@192.168.10.7

#@@ email output reporting
#report_email = no
#report_email_on_errors = yes
#report_email_rcpt = support@initzero.it

setelah disimpan kita sudah bisa melakukan backup dengan perintah :

# synbak -s www -m rsync

Membackup database MySQL

Synbak bisa digunakan untuk membackup database lokal maupun database di mesin lain, tetapi jika dilakukan untuk membackup database secara remote tentunya akan membahayakan apalagi jika koneksinya melalui jaringan publik(internet) karena ada kemungkinan di sadap.
Berikut contoh backup database MySQL dengan menggunakan metode mysql, misal database yang akan di backup berada di mesin lokal yang diberi nama lok_mysql dan hasil backup di tempatkan di direktori /backup/mysql.

# mkdir /backup/mysql
# cd ~/.synbak/mysql
# cp /usr/src/synbak-1.0.11/examples/example.conf lok_mysql.conf

kemudian editlah file tersebut dan sesuaikan seperti pada baris-baris di bawah ini:

#@@ mandatory backup fields
#backup_source = /
backup_destination = /backup/mysql

#@@ remote backup
backup_remote_uri = mysql://user:password@localhost

#@@ email output reporting
#report_email = no
#report_email_on_errors = yes
#report_email_rcpt = support@initzero.it

Perhatian:
pada baris backup_remote_uri = mysql://user:password@localhost, sesuaikan dengan user dan password database MySQL.

setelah disimpan kita sudah bisa melakukan backup dengan perintah :

# synbak -s lok_mysql -m mysql

Hasil backup dengan metode diatas berupa mysql dump yang dikompress dengan format bzip2.

Penjadwalan backup
Jika ingin menjalankan backup secara berkala kita dapat menggunakan cron sehingga kita tidak perlu report menjalankan setiap peride tertentu. Untuk melakukan penjadwalan dengan cron dapat anda lihat di sini. http://www.scrounge.org/linux/cron.html

Referensi

http://www.initzero.it/products/opensource/synbak/

http://www.linux.com/feature/120062

SMS dengan Gammu dan MySQL

Pamadi Gesang — Tue, 18 Sep 2007 15:01:00 +0000

Bersmsria di konsole linux atau menjadikan linux sebagai sms gateway..?
hmmm.. sungguh menyenangkan.
Baiklah, tanpa berpanjang lebar lagi, berikut langkah-langkah untuk membuat linux bisa bersms ria dengan gammu dan sms yang masuk dan keluar di simpan ke dalam database(MySQL)

Persiapan.

Pertama harus disiapkan handphone dengan koneksi ke komputer menggunakan kabel(serial/usb) atau dengan bluetooth, dan jangan lupa mengisi pulsanya karena percumah kita bersusah payah membuat sms server tapi pulsanya tidak ada .
MySQL juga harus sudah terisntall karena semua pesan yang keluar dan masuk akan di simpan ke dalam database dan disini tidak di sertakan cara instalasi MySQL karena sebagian besar distro linux sudah terinstall MySQL atau disertai paket instalasi MySQL.

Perhatian:
Pada tutorial ini gammu yang digunakan sebagai contoh adalah versi 1.13.90

Selanjutnya download source gammu di :
http://dl.cihar.com/gammu/releases/gammu-1.13.90.tar.bz2

# cd /usr/src
# wget http://dl.cihar.com/gammu/releases/gammu-1.13.90.tar.bz2

setelah selasai download langsung di ekstrak

# tar zxvf gammu-1.13.90.tar.bz2

Perhatian :
Sebelum kompilasi pastikan cmake sudah terinstall pada linux box anda, jika belum anda dapat mendownload di sini dan cara installnya bisa dilihat di sini.

Setelah cmake bisa di beresken tanpa error marilah kita lanjutkan urasan kita dengan gammu. Jalankan pada terminal :

# cd gammu-1.13.0
# mkdir build
# cd build
# cmake ..
# make
# make install

Jika sampai disini tidak ada error berarti gammu sudah terinstall, langkah berikutnya tinggal mengkonfigurasi gammu. File konfigurasi gammu terletak di direktori /etc yaitu smsdrc dan gammurc, contoh file konfigurasi tersebut dapat di temukan di dalam direktori "docs/examples/config", karena secara default file konfigurasi tersebut belum ada maka sebaiknya kita kopi, jalankan :

# cp ../docs/examples/config/gammurc ~/.gammurc
# cp ../docs/examples/config/smsdrc /etc

Editlah file tersebut(~/.gammurc) seperti berikut:

#[gammu]
port = /dev/ttyACM0
#model = 6110
connection = at19200
#synchronizetime = yes
#logfile = gammulog
#logformat = textall
#use_locking = yes
#gammuloc = gammu.us
#startinfo = yes

--------------------------- di potong disini ----------------------------------
------- dan untuk sementara bagian bawahnya kita abaikan dahulu ---------

Editlah bada bagian "port" dan sesuaikan dengan koneksi HP/modem GSM nya, begitu juga pada bagian "connection". Pada contoh di atas saya menggunakan koneksi kabel USB dengan Hp SE K550i( sesuai dengan http://cihar.com/gammu/phonedb/sony-ericsson/459/).

Untuk "port" disesuaikan dengan linux mengenal sebagai apa, jika menggunakan kabel serial biasanya di linux di kenal dengan :

"/dev/ttyS*",

jika menggunkan USB biasanya linux mengenalnya dengan :

"/dev/ttyACM*"

atau

"/dev/ttyUSB*",

untuk mempermudah sebaiknya anda sebelum memasang kabel dari HP tersebut ke komputer menjalankan perintah :

# tail -f /var/log/messages

agar ketika kabel tersebut di pasang ke komputer akan terlihat device yang baru terpasang di dalam log dan sebagai apa linux mengenal device tersebut.

Jika menggunakan bluetooth maka portnya diisi dengan dengan bluetooth address-nya. Jika Modem atau Handphone yang di gunakan lain maka untuk petunjuk konfigurasi "connection" silahkan anda cari di sini.

Setelah konfigurasi selesai selanjutnya bisa kita tes menjalankan gammu :

# gammu --identify

jika outputnya tidak error dan berupa informasi mengenai HP yang tersambung maka gammu berhasil jalan..
Nah.. sekarang kita sudah bisa mengirimkan sms dengan menggunakan perintah :

# echo ....isi pesan.... | gammu --sendsms TEXT notujuan

Sampai disini gammu sudah bisa di gunakan untuk mengirim/menerima sms, agar semua sms yang masuk dan keluar di simpan ke dalam database(MySQL) maka kita harus mengkonfigurasi gammu lagi. Untuk itu Editlah file /etc/smsdrc pada bagian setingan untuk database MySQL, seperti di bawah ini

----------------/etc/smsdrc di potong disini --------------------

[smsd]
PIN = 1234
logfile = /var/log/smsdlog
commtimeout = 1
sendtimeout = 10
#receivefrequency = 0
#resetfrequency = 0
#deliveryreport = no
#phoneid = MyPhone1
#deliveryreportdelay = 10

# -----------------SETTINGS FOR --smsd MYSQL --------------
user = root
# user mysql untuk mengakses database, biasanya root
password = password
#isilah dengan password user di mysql tersebut
pc = localhost
database = sms
#nama databasenya
# when you send sms from some SMSC, you can have Delivery/Failed Delivery

--------------/etc/smsdrc di potong disini ------------------

langkah selanjutnya berikutnya membuat database: root@gesang:/usr/src/gammu-1.13.0# mysql -u root -p Enter password: <--- masukan password user root untuk MySQL Setelah masuk buatlah database dengan nama "sms".

mysql>create database sms;
Query OK, 1 row affected (0.00 sec)

mysql>quit
Bye

Setelah databse berhasil di buat, selanjutnya membuat tabel-tabelnya. Untuk memudahkanya masuklah ke direktori hasil ekstrak gammu, di terminal jalankan:

# cd /usr/src/gammu-1.13.0/docs/examples/config/

pastikan di direktory config terdapat file "mysql.sql" untuk membuat tabel yang di butuhkan untuk meyimpan sms yang keluar dan masuk.

# ls -l
total 36
-rw-r--r-- 1 root root 9611 2007-06-11 17:04 gammurc
-rw-r--r-- 1 root root 6016 2006-06-12 13:47 mysql.sql
-rw-r--r-- 1 root root 7460 2007-01-27 03:13 pgsql.sql
-rw-r--r-- 1 root root 7246 2007-08-09 15:43 smsdrc

jika file"mysql.sql" ada, kemudian jalankan perintah :

# mysql -u root -p
Enter password: <-- (jagan lupa masukan password)

mysql>use sms;
mysql>\. mysql.sql
Query OK, 0 rows affected (0.02 sec)
Query OK, 0 rows affected (0.02 sec)
Query OK, 1 row affected (0.01 sec)
Query OK, 0 rows affected (0.03 sec)
Query OK, 0 rows affected (0.03 sec)
Query OK, 0 rows affected (0.02 sec)
Query OK, 0 rows affected (0.02 sec)
Query OK, 0 rows affected (0.03 sec)
Query OK, 0 rows affected (0.02 sec)
Query OK, 0 rows affected (0.03 sec)

mysql>quit
Bye

Nah... sekarang gammu sudah bisa dijalankan dengan MySQL.
Cara menjalankannya :

#echo isi pesan | gammu --sendsmsdsms TEXT notujuan MYSQL /etc/smsdrc

atau dengan

#gammu --smsd MYSQL /etc/smsdrc
Log filename is "/var/log/smsdlog"
Press Ctrl+C to stop the program ...

Untuk membaca sms yang datang anda tinggal melihat di database sms tabel inbox, untuk memudahkan bisa menggunkan phpmyadmin atau menggunakan script php yang bisa di download di sini, dan kemudian ekstrak ke direktory yang bisa diakses dengan browser, tetapi sebelumnya pada file sms.php harus di edit sesuaikan dengan user dan password untuk koneksi MySQL nya dan kemudian jalankan apache.

Nah...
sampai disini kiranya tutorial sms dengan gammu dan mysql, serta masih bisa dikembangkan lagi sesuai kebutuhan dan itu tergantung kemauan dan kreativitas kita.

Referensi :
- http://www.syednetworks.com
- http://www.gammu.org/wiki/index.php?title=Main_Page

Point Penting Keamanan Linux

Pamadi Gesang — Sat, 18 Aug 2007 18:17:00 +0000

Semakin kita merasa aman akan semakin kurang perhatian kita terhadap keamanan itu sendiri yang seharusnya kita selalu waspada. Apalagi jika di komputer terdapat data-data yang sangat rahasia dan merupakan aset penting perusahaan tentunya diperlukan pengamanan ekstra ketat jangan sampai hilang atau bocor ke tangan yang tidak dikehendaki.

Disamping itu kita juga harus selalu mengikuti perkembangan karena setiap saat muncul tehnik baru untuk menjebol/menyusup atau merusak komputer. Alasan untuk selalu waspada karena tehnik menyusup atau merusak selangkah di depan dibanding tehnik mengamankan, seperti halnya virus akan muncul lebih dulu dan vaksinnya baru dibuat setelah virus itu ada.
Hal yang mungkin bisa kita lakukan adalah meminimalisir celah-celah keamanan yang ada pada komputer kita serta selalu waspada karena kunci keamanan sebenarnya ada pada kita sendiri.
Jika ada yang mangatakan bahwa Linux adalah OS yang aman maka hal ini perlu di kaji lagi dan mungkin terlalu percaya diri. Para master security mengatakan bahwa tidak ada OS yang seratus persen aman. Memang linux atau keluarga Unix lebih aman terhadap serangan virus dibanding Microsoft, maaf bukanya mau membanding-bandingkan tetapi ini kenyataan dan tentunya masing-masing punya kelebihan yang tak dipunyai pihak lainnya. Untuk Distro Linux secara default memang sudah disertakan tool untuk mengamankan system dan file permission yang ketat, tinggal bagaimana kita mengkonfigurasinya.

Berikut poin-poin penting untuk mengamankan Linux.

- Kontrol akses fisik. Menempatkan komputer di dalam ruangan yang terkunci atau membatasi orang yang boleh masuk keruangan tersebut, hal ini khususnya untuk komputer yang menyimpan data-data penting. Membatasi akses fisik terhadap komputer tersebut dengan memberi password pada BIOS, GRUB atau LILO boot loader.
- Add users dan passwords. Membuat user berdasarkan keperluan dan hanya memberikan akses terbatas sesuai kepentingan. Selain itu user harus menggunakan password yang baik seperti minimal 6 karakter dan terdiri dari kombinasi huruf, angka dan karakter lain serta mengganti password secara berkala. Memasukan user ke dalam group yang sudah ditentukan hak aksesnya dalam group.
- Pengaturan ijin read, write dan execute. Di Linux, masing-masing item(file, direktory, aplikasi dan peralatan) dapat dibatasi penggunaannya berdasarkan read(baca), write(tulis) dan execute(eksekusi) terhadap user atau group. Maka kita harus berhati-hati dalam menetukan file permission kepada siapa saja dan group mana yang boleh mengases dan yang tidak, terutama file atau aplikasi untuk administrasi sistem dan data-data rahasia. Misal pada user A yang masuk dalam group akunting diperbolehkan menulis dan membaca data-data group akunting yang dibuat oleh user lain yang masih dalam satu group akunting, tetapi user A tidak boleh mengakses data dari group HRD.
- Melindungi user root. Karena user root merupakan user yang mempunyai akses penuh terhadap system tentunya akan sangat membahayakan jika sampai jatuh ke pihak yang tidak dikehendaki. Jangan menggunakan user root jika tidak diperlukan dan berpikirlah sebelum mengetik, menjalankan perintah atau menangani file/data(modifikasi, tulis dsb). Gunakanlah user biasa untuk login ke mode grafik/desktop dan menggunakan sudo untuk menjalankan perintah administrasi akan mengurangi resiko serangan terhadap user root.
- Gunakan software yang terpercaya. Sebagian besar piranti lunak opensource tanpa disertai garansi dari pembuatnya oleh karena itu sebaiknya menggunakan software yang sudah mapan atau stabil dan terpercaya demikian juga untuk update dan add-onnya. Dengan menggunakan Kunci GPG publik yang valid akan membantu untuk meyakinkan bahwa software yang kita install berasal dari vendor yang valid. Jika kita mendownload distribusi full ISO image maka harus di periksa intergritasnya dengan checksum MD5 atau SHA1 yang disedian oleh pembuatnya.
- Selalu mengupdate software. Celah keamanan dan bug sering ditemukan dalam paket software, setiap pembuat distro Linux besar(Debian, Suse, Redhat, Gentoo, Ubuntu dsb) selalu menyediakan tool untuk update, maka pastikan untuk selalu mengupdate khususnya linux yang diajalankan sebagai server.
- Menggunakan aplikasi yang aman. Meskipun suatu aplikasi berjalan stabil dan valid tetapi kita juga harus memilih menggunakan software yang mempunyai tingkat keamanan lebih baik. Misal jika kita ingin login secara remote melalui jaringan publik(internet) sebaiknya menggunakan Secure Shell Service(SSH) daripada menggunakan rlogin dan telnet(mengirimkan passwordnya clear text). Jika kita menjalankan service untuk file sharing(samba atau NFS) sebaiknya jangan dibuka akses untuk jaringan publik(internet) tetapi jika diperlukan untuk mangakses file sharing tersebut dan melalui internet sebaiknya menggunakan VPN tunnels(IPSec atau CIPE).
- Menggunakan firewall untuk membatasi akses keluar dan masuk. Tugas firewall adalah mengijinkan koneksi masuk/keluar dan mencegah koneksi masuk/keluar berdasar rule yang telah di tetapkan sebelumnya. Untuk desktop sebaiknya menolak koneksi yang datang dari luar ke banyak port di komputer desktop tersebut. untuk server sebaiknya hanya mengijinkan koneksi yang datang ke port tertentu saja tergantung service yang di jalankan dan koneksi tersebut harus terkontrol dengan baik.
- Hanya menjalankan sevice yang di perlukan. Service di Linux(samba, http, mail dsb) yang berjalan di background(daemon) akan listen pada beberapa port, dimana tiap-tiap daemon akan listen pada port yang berbeda-beda. Semakin banyak port yang terbuka akan meningkatkan potensi serangan oleh pihak lain, oleh karena itu komputer/server hanya menjalankan service yang diperlukan saja.
- Membatasi akses ke servis. Sebaiknya kita membatasi akses ke servis sesuai yang kita inginkan dengan hanya memperbolehkan akses dari host/network, domain atau network interface tertentu. Hal ini untuk mencegah koneksi yang datang dari pihak yang tidak diinginkan yang juga bisa berpotensi sebagai serangan. Misal samba hanya boleh diakses oleh LAN dan tidak untuk permintan dari internet, lain halnya untuk layanan mail server yang diperuntukan untuk diakses dari internet dan tidak boleh diakses dari LAN ataupun sebaliknya.
- Audit sistem. Linux mempunyai banyak sekali tool untuk memeriksa keamanan sistem. Setelah Linux selesai di install kita dapat mengecek port yang terbuka menggunakan Nmap atau melihat netwotk trafik dengan menggunakan Etheral, untuk memeriksa vulnerability secara keseluruhan bisa menggunakan nessus.
- Memonitor sistem. Di Linux , hampir semua aktifitas sistem dapat di log dengan menggunakan fasilitas syslogd dan klogd yang dapat dikonfigurasi sesuai kebutuhan. Dengan manggunakan tool seperti logwatch akan memudahkan kita untuk monitor sistem yang dapat di forward ke email.
- Menggunakan SELinux(Security Enhancement Linux). SELinux mempunyai fitur yang sangat banyak dan komplek untuk mengatur akses file, direktory, aplikasi dan device pada sistem linux. SELinux akam memperkuat kernel dengan menggunakan metode policy dan context.

Setelah beberapa hal diatas disesuaikan pada sistem linux kita bukan berarti kita sudah bisa tidur nyenyak tanpa memikirkan lagi keamanan sistem linux kita, hal itu adalah keliru karena setiap saat tehnik serangan terus berkembang dan menggunkan cara-cara yang lebih baru.
Jadi kunci keamanan sebenarnya ada pada dirikita sendiri dan satu hal lagi....

Waspadalah.... waspadalah..... (kata bang napi)

Referensi :
Linux Bible 2007