Issue‎ > ‎Issue 07‎ > ‎

023.txt


	____________________   ___ ___ ________   
	\_   _____/\_   ___ \ /   |   \\_____  \  
	 |    __)_ /    \  \//    ~    \/   |   \ 
	 |        \\     \___\    Y    /    |    \
	/_______  / \______  /\___|_  /\_______  /
	        \/         \/       \/         \/ 


					    .OR.ID
ECHO-ZINE RELEASE
       07

Author: \conan\ aka sugar_free || sugar_free@telkom.net
Online @ www.echo.or.id :: http://ezine.echo.or.id

== Trik Meningkatkan Security Linux Box  ==



Bagaimana cara membuat Box Linux kita aman, ini buat tambahan bagi admin yang 
pengen boxnya aman dari tangan2 yang tidak bertanggung jawab, ciehhh …..
Oke deh, sekarang kita coba, …
Seperti biasa yang harus disediakan adalah
1) Rokok djie sam soe dan kopi torabika 3in1
2) Linux Box (gw biasanya pake Redhat, tapi untuk linux yang lain kemungkinan 
   besar bisa juga )
3) Sedikit kesabaran untuk membaca
4) Sedikit Keberuntungan

Cuma itu doank kok…

Yang pertama dan utama adalah Mengecek Box kita dari Serangan intruder maupun 
backdoor (kecuali fresh install), 

 Jelas donk sebelum kita mengamankan box, kita harus mengecek apakah box kita 
 masih “bersih” atau sudah ternodai , kekeekkeke .Untuk mengeceknya mungkin teman² 
 dah pada tau, kita menggunakan chkrootkit untuk mengecek apakah telah ada rootkit 
 atau backdoor yang “bercokol ” box kita.Langkah-langkahnya sbb.

 1.wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
 2.tar –xzvf chkrootkit.tar.gz
 3.cd chkrootkit
 4.make sense
 5.dan yang terakhir adalah “./chkrootkit” gak pake petik. Setelah itu akan berjalan 
  proses pembersihan dan pengecekan apakah rootkit sudah terinstall atau belum

Yang kedua adalah penggunaan password yang “bagus”
	
 Bagaimanakah criteria password yang bagus ?
 Kebanyakan dari admin ataupun penghuni dunia cyber selalu menggunakan password 
 yang gampang di ingat, dan sayangnya kebanyakan juga yang selalu digunakan itu 
 gak jauh² dari nama pacar,nomor rumah,“asdfghjkl” atau “qwerty”. Dan kesemuanya 
 itu dengan gampangnya di crack dengan menggunakan brute force attack.

 Untuk mengetes apakah password kita telah sedikit “aman” atau masih ada kemungkinan 
 bisa di attack dengan menggunakan program brute force attack, kita dapat melihat 
 trik yang sering di gunakan cracker 
 di http://ezine.echo.or.id/ezine5/ez-r05-moby-artpass.txt :)

Yang ketiga adalah rutinitas update system

 Karena box yang gw pake adalah redhat, kita bias menggunakan “up2date” tanpa petik, 
 dan segera box kita akan mendapatkan update dari site redhat.com. namun untuk 
 distro lain dapat dibaca pada website distro masing2


Yang keempat , mematikan service yang tidak kita gunakan
	
 Jika tidak mempunyai alas an yang kuat untuk menjalankan sebuah service sebaiknya 
 kita harus mematikan service tersebut. Menjalankannya berarti menambah kemungkinan 
 hole pada box.

Yang kelima, 

 Jika Kita menggunakan FTP untuk mentranfer file kedalam box, gunakan Secure FTP

 Seperti telah kita tau besama, bahwa ftp menggunakan text murni tanpa enkripsi dalam 
 pengiriman data, ini berarti username dan password yang kita kirim adalah text yang 
 dapat di baca. Seseorang dengan pengetahuan sedikit mengenai linux, dapat menjalankan 
 paket sniffer pada jaringan, dan mendapatkan username dan password dari ftp kita. 
 Oleh Karena itu sangat disarankan untuk menggunakan secure FTP 

Yang Keenam Pengamanan SSH
	
 Jika kita ingin mengakses box linux kita, disarankan untuk menggunakan SSH, 
 dibandingkan Telnet.
 
 Untuk konfigurasinya sbb.
 1.nano /etc/ssh/sshd_config
 2.cari baris yang ada tulisan #Port 22 , unkoment dan ganti port 22 menjadi angka 
   yang susah untuk ditebak misal 5110 , ini akan sedikit menolong box kita untuk 
   menjaga hal-hal seperti masscanner SSH atau worm yang akan menyecan SSH dan melihat 
   apakah SSH yang kita gunakan dapat di exploit. Ini dapat meningkatkan sedikit 
   tingkat keamanan box kita dari serangan Cracker2 baru
 3.Cari #Protocol 2,1 , unkoment dan ganti menjadi Protocol 2. Ini akan memaksa SSHD 
   untuk menggunakan SSH versi 2 dibanding Versi 1. Yang di claim lebih aman dari Versi 1
 4.Cari #PermitRoorLogin yes, Unkoment dan ganti dengan “PermitRootLogin No” ini akan 
   menjaga kita untuk menggunakan user root. Namun kita harus menggunakan user dengan 
   level lebih rendah kemudian menggunakan “su –“ untuk menjadi root. Untuk Cracker yang 
   akan mendapatkan akses pada box kita, cracker tersebut harus mengetahui user name 
   kita dan password serta password dari root itu sendiri
 5.Save file tersebut kemudian restart SSHD. Biasanya /etc/init.d/sshd restart
 6.cek dengan menggunakan “netstat -plnat” |grep sshd ,tanpa petik dan kita akan melihat 
   bahwa SSHD kita berjalan pada port yang kita inginkan

Jika Linux Box kira berada di internet dan kita mengakses melalui SSH, dan IP kita 
menggunakan alamat static, maka kita harus mengconfigure agar Box Linux kita hanya 
menerima akses SSH dari IP address kita

 1.nano /etc/hosts.allow
 2.tambahkan “sshd: ip” tanpa kutip, (ganti ip dengan ip static kita)
 3.save file tersebut. Kemudian buka /etc/hosts.deny
 4.Tambahkan “sshd: ALL” tanpa petik kemudian di save

Ke Tujuh , Sembunyikan informasi mengenai Versi Service

 1 .Jika kita harus menjalankan web service seperti Apache kita harus mendisable atau 
    mengganti versi apache untuk menghindari cracker amatir dan menghentikan automatic 
    script yang akan mencari versi apache kita.Caranya sangat gampang, buka file httpd.conf 
    (biasanya /etc/httpd/conf/httpd.conf) dan cari “ServerSignature” ganti menjadi 
    “ServerSignature off” dan juga ganti “ServerTokens ” menjadi “ServerTokens ProductOnly” 
    tanpa kutip. Save kemudian restart apache.Ini akan menyembunyikan Versi dari server.
    Atau kita bisa “menipu” ? Para cracker dengan mengganti nama atau versi dari apache kita 
    pada file httpd.h kemudian kompile ulang apache. Atau dengan cara licik (bukan attacker 
    doank yg bisa licik kekekekek) kita edit file binary httpd kemudian cari didalam binary 
    tersebut Apache (silahkan mengedit)

2 .Jika kita menggunakan php, kita dapat menyembunyikan versi php dengan mengedit file 
   /etc/php.ini, cari “expose_php = On”, dan ganti dengan “expose_php = Off”. Save kemudian
   restart apache agar bias keliatan efeknya

3 .Jika kita menggunakan sendmail (tidak direkomendasikan), maka bersiaplah akan serangan 
   dari cracker, namun kita dapat menyembunyikan versi dengan mengedit /etc/mail/sendmail.mc 
   kemudian tambahkan (`confSMTP_LOGIN_MSG',' Welcome all custome to my Mail Server '), 
   kemudian jalankan m4 /etc/mail/sendmail.mc > /etc/sendmail.cf atau make –C /etc/mail. 
   Kemudian edit file dengan echo smtp Help > /etc/mail/helpfile .

namun cara tersebut hanya mengurangi cracker dan bukan merupakan solusi mutlak, solusi paling 
utama adalah mengupdate dengan versi paling baru

Ke Delapan, Menginstall Libsafe

Libsafe, adalah salah satu solusi untuk menghindari serangan string dan buffer overflows. 
Ini akan secara dinamis mengganti LD_PRELOAD. 
Untuk menginstall Libsafe adalah sbb
1.wget http://www.research.avayalabs.com/project/libsafe/src/libsafe-2.0-16.i386.rpm
2.rpm –ivh libsafe-2.0-16.i386.rpm
3.untuk melihat bahwa libsafe telah terinstall kita bisa mengecek dengan menggunakan 
  “cat /etc/ld.so.preload”

Ke Sembilan, Menginstall  GRSecurity kernel patch

GRSecutiry adalah kernel pacth yang akan meningkatkan kemampuan dari linux box kita melawan 
buffer overflow dan kasus lain pada kernel. Untuk informasi dapat dilihat di
http://www.grsecurity.net/download.php

Ke Sepuluh, Mount /tmp dengan noexec

Salah satu yang akan dilakukan cracker setelah mendapatkan shell adalah berusaha untuk 
menaikkan previllage menjadi root atau setara dengan root, dan tempat favorit adalah 
/tmp, /usr/tmp, /var/tmp (kekekkek,pengalaman pribadi ?)
Untuk melakukannya dengan langkah sbb

1.cd /dev
2.dd if=/dev/zero of=securetmp bs=1024 count=100000
3.mke2fs /dev/securetmp
4.cp -R /tmp /tmp_backup
5.mount -o loop,noexec,nosuid,rw /dev/securetmp /tmp
6.chmod 0777 /tmp
7.cp -R /tmp_backup/* /tmp/
8.rm -rf /tmp_backup
9.kemudian tambahkan “mount -o loop,noexec,nosuid,rw /dev/securetmp /tmp” pada /etc/rc.local 
  atau di /etc/fstab 

  /dev/tmpMnt             /tmp                   ext2    loop,noexec,nosuid,rw  0 0

10. save file tersebut
11. Coba test directory tmp tersebut dengan menambahan file ke tmp directory dan coba jalankan 
    file tersebut , akan muncul pesan “Permission Deniad”

Ulangi untuk /var/tmp dan /usr/tmp

Ke Sebelas, Install Firewall

 Kita dapat menggunakan APF (Advance Policy Firewall) , script yang menggunakan IPtables dan 
 sangat mudah untuk di install

1. wget http://www.rfxnetworks.com/downloads/apf-current.tar.gz
2. tar -xzvf apf-*
3. cd apf-*
4. sh install.sh
5. cat README

Ke duabelas, Sembunyikan / Ubah Versi Operating system

 Ada 4 buah TCP setting yang akan memungkinkan cracker untuk melihat versi dari operating 
 system dari Box Linux kita. 2 dari 4 settingan tersebut sangat disarankan untuk diganti 
 jika kita ingin menyembunyikan versi O/S dari cracker baru dan mempunyai pengetahuan yang 
 kurang pada operating system (kayak gw, ?). 2 buah setting tersebut adalah Windows Size 
 dan Default Time to Live. Untuk melihat list fingerprint dapat dilihat pada 
 http://www.honeynet.org/papers/finger/traces.txt yang akan menunjukkan default setting 
 untuk tiap O/S, ingat !! Dengan mengubah settingan ini dapat menurunkan atau bahkan 
 meningkatkan dari performansi Box kita, jadi jangan lupa untuk menyimpan default dari  
 O/S kita , Salah satu triknya adalah sbb

1.echo 60 > /proc/sys/net/ipv4/ip_default_ttl
2.echo 32768 > /proc/sys/net/core/rmem_max 
3.echo 32768  > /proc/sys/net/core/rmem_default
4.jangan lupa untuk menambahkannya pada /etc/rc.local atau /etc/sysctl.conf

ada cara lain untuk membohongi scanner yang paling terkenal, yaitu nmap. tapi untuk saat 
ini blom dibahas

REFERENSI a.k.a bacaan :
1.http://www.google.com
2.http://www.google.com
3.http://www.google.com


*greetz to: 
All cyber squad crew
All #neoteker,#wongkito @dalnet crew
All TeleInformatics Labs STTTelkom Crew
	
kirimkan kritik && saran ke sugar_free@telkom.net
Comments