; TeX output 1999.12.26:1714K>ngIqqecss2074LinuxfSecuritwmyHOWTOversiBahasaIndonesia cG 1 ecrm1000KevinU F*enzi,qL ectt1000kevin@scrye.com&DaveU Wreski,dave@nic.comjv.0.9.11,1Mei1998&6 ecss1000Dokumendinimerupakanringkasanumummengenaiisu-isukeamananyangdihadapiadministratorsistemLinux.IabmencakupbGeberapablosokeamananumumdansejumlahcontohkhusustentangbagaimanamembuatlebihamanasistemLinuxandadariparapGenyusup.6AJugadisertakanpGointerkemateridanprogramkeamanan.6Ay& ecsx1000Catatan:InimerupakandokumenversibGeta.3Perbaikan,%kritikyangmembangun,%pGenambahandankoreksiakanditerimadengan(senanghati.SilakanlayangkansuratumpanbalikandakepadakeduapGenulis.Pastikandansertakan"Linux","security"vatau"HOWTO"dalambarissubyeksuratandauntukmenghindaripGenyaringspamagarsuratandaU dapatsegeramendapatpGerhatiandaripenulis.(&Lt$ffffecbx1440Conctents]f ecbx10001P>endahuluan4ؼ1.1%V*ersiU BaruDokumeniniW.荍......................................w41.2%UmpanU baliku.荍............................................w41.3%KlaimW.荍................................................w41.4%InformasiU HakCipta(.荍........................................w42Gam>baranUmumft52.1%MengapaU kitapGerlukeamanan?c.荍.................................w52.2%SebGerapaU amankqahaman? .荍.....................................w52.3%ApaU yanginginandalindungi?.荍..................................w62.4%MembangunU KebijakqanKeamanan\.荍................................w72.5%Alat-alatU untukmengamankqansiteanda獍.荍.............................w7%2.5.1EKeamananU Hostv.荍......................................w7%2.5.2EKeamananU JaringanAnda.荍.................................w8%2.5.3EKeamananU MelaluiPenyembunyian.荍............................w82.6%OrganisasiU DokumenIniǍ.荍......................................w83KeamananFisiko93.1%KunciU Komputer .荍..........................................w93.2%KeamananU BIOS{.荍..........................................w93.3%KeamananU BoGotLoader #.荍......................................x?103.4%xloGckU danvlock.荍...........................................x?103.5%MendeteksiU GangguanKeamananFisik %.荍..............................x?11*K>썍GCONTENTS2n.\4KeamananLok\|alg&j11ؼ4.1%MembuatU RekeningBaruC.荍.....................................x?124.2%KeamananU RoGot'S.荍..........................................x?125KeamananFiledanSistemFile135.1%SettingU Umaskg.荍...........................................x?155.2%PermisiU File3.荍.............................................x?155.3%PemeriksaanU IntegritasdenganT*ripwires.荍.............................x?175.4%T*ro0janU Horses(Kuda-kudaTroya)Ӎ.荍................................x?186KeamananP>assworddanEnkripsi186.1%PGPU danPublicKeyCryptography m.荍...............................x?196.2%SSL,U S-HTTP*,HTTPSdanS/MIMEx.荍...............................x?196.3%ImplementasiU IPSECpadaLinuxx-kernel/.荍............................x?206.4%SSHU (SecureShell),stelnetk.荍....................................x?206.5%P*AMU -PluggableAuthenticationMoGdules/.荍............................x?216.6%CryptographicU IPEncapsulation(CIPE)2g.荍.............................x?216.7%KerbGerosǍ.荍...............................................x?226.8%ShadowU Passwords.荍.........................................x?226.9%CrackU danJohntheRippGerL.荍....................................x?236.10%CFS-U CryptographicFileSystemdanTCFS-T*ransparentCryptographicFileSystemߍ.荍...x?236.11%X11,U SVGAdankeamanantampilan.荍...............................x?23%6.11.1EX11Y.荍.............................................x?23%6.11.2ESVGA덍.荍............................................x?24%6.11.3EGGIU (GenericGraphicsInterfacePro0ject)e.荍........................x?247KeamananKernel`(247.1%PilihanU KompilasiKernelg.荍.....................................x?247.2%DeviceU Kernelߍ.荍............................................x?258KeamananJaringanVs268.1%PacketU Sniers.荍...........................................x?268.2%PelayananU sistemdantcp_wrappGersˍ.荍...............................x?278.3%MemverikqasiU InformasiDNSAnda*.荍................................x?288.4%identd?.荍................................................x?288.5%SA*TAN,U ISS,danScannerJaringanLainnyak獍.荍...........................x?29$NK>썍GCONTENTS3n.\8.6%Sendmail,U qmaildanMT*AwO.荍.....................................x?29ؼ8.7%SeranganU DenialofServicepC.荍.....................................x?298.8%KeamananU NFS(NetworkU FileSystem){.荍..............................x?308.9%NISU (NetworkInformationService)(dahuluYP)ߍ.荍........................x?318.10%Firewall.荍...............................................x?319P>ersiapanKeamanan(sebQelumon-line)<329.1%BuatU BackupMenyeluruhSistemAndaG.荍..............................x?329.2%MemilihU JadwalBackupyangBaik덍.荍................................x?329.3%BackupU FileDatabaseRPMatauDebianAndaO.荍.........................x?329.4%PeliharaU DataAkuntansiSistemAndaՓ.荍..............................x?339.5%AplikqasikanU SeluruhUpGdateSistemBaru.荍.............................x?3310Apay>angHarusDilakuk\|anKetikadanSetelahBreak-InX3410.1%UsahaU pGenggangguansedangberlangsung.荍............................x?3410.2%GangguanU Keamanansudahterjadi .荍................................x?34%10.2.1EMenutupU Lubang.荍......................................x?35%10.2.2EMempGerkirakqanU KerusakanՍ.荍................................x?35%10.2.3EBackup,U Backup,Backupu.荍.................................x?35%10.2.4EMelacakU PenyusupE.荍.....................................x?3511Sum>bQer-sumberKeamanan23611.1%SiteU FTP.荍..............................................x?3611.2%SiteU W*ebX.荍...............................................x?3611.3%Milis/.荍.................................................x?3711.4%BukuU -MateriBacaanT*ercetak..荍.................................x?3712DaftarIstilahv.3813P>ertanyaan-pQertanyaanY angSeringDiajuk\|anc3914Kesimpulan4015T erimaKasihKepadaM=4016CatatanP>enerjemahS|41RAK>썍G1.8P>endahuluan}4n.\1Pcendahuluan:Dokumen^inimencakupbGeberapa^isuutamakeamananyangmempGengaruhikeamananLinux.1Filosoumum danU sumbGerdayaInternetdidiskusikqan.ؼSejumlahdokumenHOWTOyanglainbGerkqaitandenganisukeamanan,danmerekaakandiacubilamanasesuai.DokumenZfinitidakbGertujuansebagaisebuahdokumenmengenaieksploitasiyangterbaru.Banyakeksploitasibaru)terjadisetiapsaat.O.Dokumeniniakqanmenceritakandimanainformasiterbaruuntukhaltersebut,danbGeberapaU metodeumumuntukmencegaheksploitasitersebutterjadi.#Í!N ecbx12001.1VersiBaruDokumeniniMV*ersibarudokumeniniakqandipGoskansecarapGeriodikkecomp.os.linux.answers.MMerekqajugaakandi-tambahkqankebGeberapasiteFTP`anonimyangmengarsipinformasisemacamitu,U3termasuk:ISebagaitambahan,)zandadapatmempGerolehdokumeninidihomepageLinuxW*orldwideWebmelalui:Akhirnya,Kversi terakhirdokumeninijugatersediadalambGerbagaiformatdi:*#Í1.2UmpanbalikMSeluruh@komentar,lapGorankesalahan,tambahaninformasidankritikdialamatkqanke:4HЃ ecti1000kevin@scrye.c}/omdandave@nic.c}/omCatatan:ZSilakqan''kirimumpanbalikandakepadakeduapGenulis.b-Juga,0Yyakindanmasukkqan"Linux""secu-rity"U atau"HOWTO"dalamsubyekandauntukmenghindaripGenyaringspamkevin.#Í1.3KlaimMT*anggungjawabatasisidokumeninitidakdapatditerima.]SilakqanandatanggungrisikoataspGenggunaaankonsep,Econtohdanisilain.Sebagaitambahan,inimerupakqanversiawal,EdenganbGerbagaikemungkinanketidaktepatanU dankesalahan.SejumlahcontohdandeskripsimenggunakqantataletakdansetupsistempaketRedHat(tm). SistemandamungkinU bGerbeda.SejauhDyangkqamiketahui,zhanyaprogram-programyangdalambGeberapaDhaldapatdigunakqanataudievaluasidemi 7kepGentinganpGersonalyangakqandideskripsikan.KebanyakqanprogramtersediadengankoGdesumbGersesuaiU pGersyaratanserupaGNU.#Í1.4InformasiHakCipta# !", cmsy10Dokumen-dokumenLinuxHOWTOWdapatdireproGduksidandidistribusisecarakeseluruhanatause-bagian,Rdalam 8bGerbagaimediasikatauelektronik,selamapGernyataan 8hakciptainidipertahankqanuNK>썍G2.8Gam>baranUmumdc5n.\diseluruhsalinan.zRedistribusikomersildipGerbolehkqandandianjurkan;namun,3parapGenulismohon dibGeritahuU untukdistribusidemikian.Seluruhterjemahan,pGekerjaanturunan,ataukeseluruhankerjayangmenggunakqandokumen-dokumenLinux|HOWTOharusdilingkupiolehpGernyataanhakciptaini.Artinya,andatidakbGolehmem-proGduksi$pekerjaanturunandarisebuahHOWTOdanmenambahkqanhambatanpadadistribusinya.PerkecualianRuntukaturaninidapatdibGerikqanuntukkondisitertentu;gsilakqanhubungikoGordinatorLinuxU HOWTOdialamatdibawahini.JikqaandamemilikipGertanyaan,NsilakanhubungiTimBynum,NkoGordinatorLinuxHOWTOdilinux-howto@sunsite.unc.e}/du(2GamcbaranG\Umum:DokumenY$iniakqanbGerusahamenjelaskanbGeberapaY$prosedurdansoftware-softwareY$yangbiasadigunakqanuntukmembantumembuatlebihamansistemLinuxanda.Mendiskusikqankonsep-konsepdasardahuluadalahU pGenting,danmembGerilandasansebelumkitamemulai.#Í2.1Mengapakitap_erlukeamanan?MDalam.duniakomunikqasi.dataglobalyangselalubGerubah,e2hubunganInternetyangmurah,e2dancepatnyapGerkembangan bsoftware,7keamananmenjadiisuyangsemakinpGenting.EKeamanansaatinimenjadisuatukebutuhanMdasarkqarenakomputasiglobaltidakaman.[SSebagaicontoh,denganbGerpindahnyadataandadarititikAketitikBdiInternet,iamungkinmelaluibGeberapatitiklainselamapGerjalanan,membukqakesempatanbagioranglainuntukmemotongnya,Cataupunmerubahdataanda.CBahkqanpGenggunalainpadasistemqandadapatmerubahdataandakesesuatuyangtidakandainginkqan..Aksesyangtidakdiijinkqankedalam;XsistemandamungkindapatdipGeroleholehpenyusup,@jugadikenalsebagai"cracker",@yangkemudianmenggunakqanpGengetahuannyauntukbGerpura-purasebagaianda,9mencuriinformasidarianda,ataubahkqanmenolakEaksesandakesumbGerdayaandasendiri.AiJikqaandamasihbGertanya-tanyamengenaipGerbedaanantaraZ"Hacker"dan"Cracker",silakqanlihatdokumenEricRaymond,"HowtoBecomeA>Hacker",tersediadi@.2.2Seb_erapaamank@ ahaman?MPertama,tketahuilahbahwatidakadasistemkomputeryangdapatdiamankqansecaratotal.4cY*angdapatandalakukqanPadalahmembuatkesulitanbagioranguntukmengganggusistemanda.pBagikebanyakqanpGenggunaLinux,tidakterlalubanyakyangdipGerlukqanuntukmenjagasistemandadaricracker.BSedangbagipGenggunaLinuxU proltinggi(bank,pGerusahaantelekomunikqasi,dsb),banyaklagipGekerjaandibutuhkqan.ؼF*aktorNlainyangpGerludiperhatikqanadalahsemakinamansistemandasemakinintrusifkeamanananda.AndaahpGerlumenentukqantindakanyangmembuatsistemandamasihdapatdipakqaidanjugaamandemikebutuhananda.Sebagaicontoh,>Candadapatmemaksasetiaporangyangmendialkesistemandauntukmenggunakqan}moGdemcallbackuntukmemanggilmerekqakembalidirumahmerekqa.Inilebihaman,tetapijikqaseseorangtidakbGeradadirumah,makaakanmenjadisulitbagimerekauntuklogin.QAndadapatjugamensetup@sistemLinuxandadengantanpajaringanatauhubungankeInternet,tetapiinimembuatnyasulituntukU menelusuriweb.K>썍G2.8Gam>baranUmumdc6n.\JikqaandaadalahsiteyangbGerukuranbesarhinggamenengah,andaperlumenetapkqansuatuKebijakan KeamananA(SecurityPolicy)yangbGerisikqantingkatkeamananyangdibutuhkqanolehsiteandadanauditingapaUyangdigunakqanuntukmemeriksanya.sAndadapatmenemukqancontohkebijakqankeamananterkenaldi.3BelumlamainitelahdipGerbaharui,danberisikqankerangkakerjaU yangbaikbagipGenetapankebijakqankeamananpGerusahaananda.#Í2.3Apayanginginandalindungi?MSebGelum;andaberusahamengamankqansistemanda,uZandaperlumenentukqantingkatancamanyangandahadapi,risikoapayangpGerluatautidakperluandaambil,danseberaparentansistemandasebagaihasil-nya.UAndapGerlumenganalisissistemandauntukmengetahuiapayangandalindungi,mengapaandamelin-dunginya,l썍G2.8Gam>baranUmumdc7n.\Hal-halldapayangdipGertaruhkqanbilaseseorangmasukkesistemanda?LT*entusa0japGerhatianpemakqai rumahanHBPPPH?dinamisakqanbGerbedaHBdenganpGerusahaanyangmenghubungkqanmesinnyakeInternet,atauU jaringanbGesarlain.cBerapabanyakwaktuyangdipGerlukqanuntukmengembalikqan/menciptakandatayanghilang?-InvestasiawalsaatinidapatmenghematpuluhankqalilebihbanyakjikakemudianandapGerlumenciptakankembali&Mdatayanghilang.aSudahkqahandamengka0jistrategibackupanda,/danmemastikandataandabGenar?"42.4MembangunKebijak@ anKeamananMCiptakqan\kebijakanumumdansederhanabagisistemandayangdapatdipahamidandiikutiolehpGemakqaianda.cIalharusdapatmelindungidatayangandasimpan,jugaprivqasipGemakai.cBeberapalhalyangpGerludipGertimbangkqanadalahsiapayangmeilikiakseskesistem(Dapatkqahtemansayamenggunakqanrekeningsaya?),siapavPyangdiijinkqanuntukmenginstalsoftwarepadasistem,siapamemilikidataapa,pGerbaikqanbGencana,U danpenggunaanyangtepatsistem.ؼKebijakqanU keamananyangditerimaumumdimulaidenganfrase:ƍ"Hal-hal?apayangtidakdijinkanadalahdilarang"Artinya,F^kecualiBandamembGeriaksessuatupelayananBkepadapGemakqai,F^makapGemakaitidakbGolehmenggu- nakqan^lpGelayanantersebuthinggaandamembGeriakses.ePastikqankebijakqanbGerlakuuntukrekeningpGemakqaireguler6anda.Mengatakqan,"Ah,sayatidakdapatmemecahkqanmasalahpGermisiini,sayaakqanlakukannyasebagaih"roGot"dapatmenyebabkqanh"lubangkeamananyangsangatjelas,danbahkqanyangbGelumtereksploitasi.2.5Alat-alatuntukmengamank@ ansiteandaMDokumen iniakqanmendiskusikanbGerbagaialatyangdapatmengamankanasetyangtelahandakerjakqandenganTkeras:o@mesinlokqalanda,data,pGemakai,jaringan,bahkanTreputasianda.n ApayangakanterjadipadareputasiandajikqaseorangpGenyusupmenghapusdatabeberapapemakqaianda?AtaumerubahwebpageLqanda?nAtaumenebGerbitkqanrencanaproyekpGerusahaanandauntukempatbulanbGerikut?nJikqaandamerencanakqanBinstalasijaringan,#adabGerbagaifaktoryangharusandaperhatikqansebelummenambahkqansebuahU mesintunggalkejaringananda.ؼBahkqan4jikaandamemilikisebuahrekeningPPP4dialup,latausitekecil,ltidaklahbGerartipenyusuptidaktertarikkepadasistemanda.tSitebGesardanproltinggibukqanlahtargetsatu-satunya,+banyakpGenyusuphanya5$inginmengeksploitasisitesebanyak5$mungkin,;tanpamemandangukurannya.fT*ambahanlagi,;merekqamungkinamenggunakqanlubangkeamanandisiteandauntukmempGerolehakseskesitelainyangterhubungdenganU siteanda.ParapGenyusupmemilikibanyakwaktu,dandapatmempGerkirakqanbagaimanaandamenyembunyikqansis-temandadenganhanyamencobaseluruhkemungkinan.T*erdapatpulabGeberapaalasanseorangpGenyusuptertarikU padasistemanda,yangakqankitadiskusikannanti. 2.5.1#!\KeamananHostMMungkinNareayangpalingbanyakmendapatpGerhatiandalamkeamananadalahbGerkqaitandengankeamananbGerbasis[host.Halinibiasanya[melibatkqanpemastianbahwa[sistemandaaman,]danberharapsetiaporangYK>썍G2.8Gam>baranUmumdc8n.\dijaringanandamelakukqanhalyangsama.:Memilikipasswordyangbaik,%mengamankqanpGelayananjaringan lokqaly"hostanda,"menyimpancatatanakuntansiyangbaik,"danmempGerbaharuiprogramdenganeksploitasikeamananyangdiketahuiadalahbGeberapahalyangmenjaditanggungjawabadministratorkeamananlokqal,iniU dapatmerupakqantugasyangmengerikanpadasaatjaringanandabGertambahbesar. 2.5.2#!\KeamananJaringanAndaMKeamanan^jaringanjugamerupakqansuatukeharusansebagaimanakeamananhostlokqal.DengansistemtunggalIanda,ataujaringankomputasiterdistribusi,Internet,atauratusan,bilatidakribuanataulebihkomputerpadajaringanyangsama,*andatidakdapatmengandalkqansetiapsistemaman.MemastikanpGemakqaiyangdijinkanhanyalahsatu-satunyayangmenggunakqansumbGerdayajaringananda,Kmembangunrewall,menggunakqanѡenkripsiyangbaik,danmeyakinkqantidakadamesinyangburuk,atautidakamanpadaU jaringanandaadalahtugasadministratorkeamananjaringan.ؼDokumenĬiniakqanmendiskusikanbGeberapaĬteknikyangdigunakanuntukmengamankansiteanda, danbGerharap,dapatmenunjukkqankepadaandacara-caramencegahpGenyusupmempGerolehakseskeapayanginginU andalindungi.2.5.3#!\KeamananMelaluiP>enyembunyianMSalahesatutipGekeamananyangpGerludidiskusikqanadalah"keamananmelaluipGenyembunyian".fArtinyadenganRmelakukqansesuatusepGertimerubahnamalogin"root"ke"toor",sebagaicontoh,untukRmencobadan_membingungkqanseseorangmasukkesistemandasebagairoGotadalahperkiraanyangsalahtentangkeamanan,ZdanY akqanmengakibatkankonsekuensiyangtidakmengenakkqan.}DHampirpastibahwapGenyerangsistemakqansecaracepatmengetahuikeamanankosongsemacamitu.\hHanyakqarenaandamemilikisitekecilatausecararelatifrendahproltidaklahbGerartipenyusuptidakakqantertarikpadaapayangandamiliki.KitaU akqanmendiskusikanapayangandalindungipadabagianselanjutnya.#Í2.6OrganisasiDokumenIniDokumenxHinitelahdibagikedalamsejumlahbagian.MerekqamencakupbGerbagaimacamisukeamananyangluas.&Y*angpGertama, keamanansik, mencakupbagaimanaandabutuhmelindungimesinandadarigangguan.ҾY*angkeduamendeskripsikqanbagaimanamelindungisistemandadarigangguanpGemakailokal.Y*angketiga,:keamananledansistemlemenunjukkqanbagaimanamensetuplesistemandadanpGer-misiUle.sBerikutnya,keamananpassworddanenkripsimendiskusikqanbagaimanamenggunakanenkripsiuntukLlebihmengamankqanmesindanjaringananda.KeamanankernelmendiskusikqanpilihankernelapayangXpGerludisetatauperludiperhatikqanuntukmemperolehmesinyanglebihaman.)Keamananjaringan,mendeskripsikqanjbagaimanalebihmengamankansistemLinuxandadariseranganjaringan.ZPersiapankea-manan}UmendiskusikqanbagaimanamempGersiapkanmesinandasebGelummembuatnya}Uon-line. Berikutnyamendiskusikqan3apayangpGerludilakukanketikaandamendeteksiadanya3bahayapadasistemandaatauyangtelahterjadi.[LKemudianlinkkesumbGerkeamananlaindisebutkqan,danakhirnyabGeberapapertanyaandanU jawabandankqata-katapGenutupan.ؼDuaU halutamayangpGerludiperhatikqanketikamembacadokumeniniadalah:ؼPerhatikqansistemanda.>PeriksalogsistemsepGerti/vqar/log/messagesdanperhatikqansistemanda,ًdan K>썍G3.8KeamananFisikmi99n.\Buatlah}Ysistemandaselalu"uptodate"denganmemastikqanbahwa}Yandatelahmenginstalversiterbaru softwareadantelahmengupgradesetiapadapGemberitahuanakeamanan.aDenganmelakukqanhal-haliniakqanU menjadikansistemandalebihaman.(3KeamananG\Fisik:LapispGertamakeamananyangpGerluandaperhatikqanadalahkeamanansiksistemkomputeranda.'Siapayangmemilikiaksessikkemesinanda?#Perlukqahmereka?#DapatkahandamelindungimesinandadarigangguanU merekqa?qPerlukahanda?ؼSebGerapaTbanyakkeamanansikyangandapGerlukqanpadasistemandasangattergantungpadasituasianda,dan/atauU anggaran.JikqaandaadalahpGemakairumahan,andamungkintidakpGerlubanyak(meskipunandamungkinbutuhuntuk$melindungimesinandadarigangguananak-anakataukerabatlainnya).akJikqaandadalamlingkunganlab,andapGerlulebih,tetapipGemakqaimasihdapatmelakukanpGekerjaanpadasistem.NBagian-bagianberikutakqanimembantu.Jikaiandaadadalamkantor,nandamungkinatautidakbutuhuntukmengamankqanmesinandapadasaatselesaiataupadasaatandapGergi.8Padabeberapaperusahaan,WmeninggalkqankonsoltidakamanU adalahsuatupGelanggaran.MetoGde-metodekeamanansikyangjelassepGertikuncipintu,e\kqabGel,kabinetyangterkunci,e\danvideopGengawasanU adalahideyangbaik,tetapidiluarcakupandokumenini.q:)#Í3.1KunciKomputerMBanyakr/casePCr(moGdernmenyertakqanr/atribut"penguncian".ȮBiasanyar/iniadalahsoketpadabagiandepancaseyangmemungkinkqanandamemutarkunciyangdisertakqankepGosisiterkunciatautidak.aKuncicasedapatmembantumencegahseseorangmencuriPCtanda,ataumembukqacaseyangsecaralangsungmema-nipulasi/mencurihardwareanda.MerekqadapatpulasuatusaatmencegahseseorangmerebGootkomputerandaU menggunakqanoppyatauhardwaremerekqa.Kunciccaseinimelakukqanhal-halyangbGerbedacsesuaidengandukungandalammotherbGoarddanbagaimanacasedirancang.PadabanyakPC5merekqamembuatnyasehinggaandaharusmenghancurkqancaseuntukmembukqanya.*Pada~yanglain,merekqamembuatnyasehinggatidakmemungkinkqanandamemasangkeybGoarddanmousebaru.PeriksainstruksimotherbGoardataucaseandauntukinformasilebihlanjut.Alatinisewaktu-waktumdapatsangatbGerguna,meskipunkuncinyambiasanyamemilikikualitasrendahdandapatsecaraU mudahdibukqaolehpGenyerangdenganloGcksmithing.BebGerapam\case(kebanyakqanm\SP*ARCmVdanMAC)mVmemiliki"dongle"dibGelakqangsehinggajikaandamenaruhkqabGel sepanjangnya,parapGenyerangharusmemotongkqabGelataumembGongkqarcaseuntukmasuk.GDenganhanyaU menaruhpadloGckataucombGolockmelaluinyadapatmencegahseseorangmencurimesinanda.#Í3.2KeamananBIOSMBIOSadalah+softwaretingkqatterendahyangmengkongurasiataumemanipulasihardwarebGerbasisx86anda.7LILOdanmetoGdebootLinuxlainnyamengaksesBIOSuntukmenentukqanbagaimanamembGootmesinLinuxanda.+HardwarelainyangmenjalankqanLinuxmemilikisoftwareyangserupa(OpGenFirmwarepada K>썍G3.8KeamananFisikhi10n.\MAC2danFSUN,SUNbGootFprom,dsb).XAndadapatmenggunakqanBIOSandauntukmencegahpGenyerang merebGootU ulangmesinandadanmemanipulasisistemLinuxanda.ؼPada-Linux/x86banyakPC-BIOSmembGolehkqanandamensetpasswordbGoot.Halinitidakmemberikqanbanyak>Jkeamanan(BIOS>Ddapatdireset,Bataudihapusjikqaseseorangdapatmasukkecase),BnamunmungkindapatU bGerguna(misalnyaU halinimemerlukqanwaktudanmeninggalkanbGekas).Banyak#BIOS#x86jugamembGolehkqanandamenspesikqasikan#beragamsettingkeamananyangbaiklainnya.PeriksamanualBIOSandaataulihatsaatandabGootup.t$Beberapacontohadalah:ȘtidakmembGolehkqanbGootingU darioppydrivedanpassworduntukmengaksesbGeberapaU atributBIOS.PadaLinux/SP*ARC,SP*ARCEEPROMandadapatdisetagarmemerlukqanpasswordbGoot-up.[InimungkinakqanU mempGerlambatpenyerang.Catatan:xJikqaandamemilikimesinserver,9danandamensetuppasswordbGoot,9mesinandatidakakqanmembGootsecaraotomatis.=IngatbahwaandapGerlumemasukkqanpasswordpadasaatterjadisuatukegagalandaya.q;(#Í3.3KeamananBo_otLoaderMBerbagaibGootloaderLinuxdapatjugamemasangpasswordbGoot.Denganlilo,lihatpadasetting"re-stricted"dan"password".H"password"memungkinkqanandamensetuppasswordbGootup.H"restricted"akqanmembiarkqanU mesinbGootU kecualiseseorangmenspGesikqasikanU optiondililoprompt(seperti'single').Ingatlah~ketikqamensetseluruhpasswordinibahwaandapGerlumengingatmerekqa.]:(JugaingatbahwapasswordiniakqanmempGerlambatpGenyerangyanggigih.adalahprogramkecilsederhanayangmemungkinkqanandamenguncibGeberapa>atauseluruhkonsolvirtual3padamesinLinuxanda.fuAndadapatmenguncihanyasatutempatkerjaandaatauseluruhnya.fuJikqaanda!hanyamenguncisatu,,0oranglaindapatmenggunakqankonsol,,0merekqahanyatidakdapatmenggunakqan eK>썍G4.8KeamananLok\|ale11n.\vtylandahinggaandamembukqanya.cvloGckdiedarkqandenganRedHatLinux,2tetapisistemandamungkin bGerbeda.ؼT*entusa0jamenguncikonsolandaakqanmencegahseseorangmengganggupGekerjaananda,tetapitidakmence-gahWmerekqamerebGootWmesinandaataumerusakpGekerjaananda.yjHalinijugatidakmencegahmerekamen-gaksesU mesinandadarimesinlaindalamjaringandanmenyebabkqanU masalah.#Í3.5MendeteksiGangguanKeamananFisikMHalLpGertamayangharusdiperhatikqanadalahpadasaatmesinadadireboot.#OlehkqarenaLinuxadalahSistemsOpGerasi(SO)syangkuat(robust)danstabil,{saatbagimesinandauntukrebGootsadalahketikqaandamengupgradeSO,pGenukqaranhardware,dansejenisnya.JikqamesinandadirebGoottanpaandalakukan,kesukqarancpakanmuncul.qBanyakcaramesinandadapatdiganggutanpamembutuhkqanpGenyusupuntukrebGootU ataumematikqanmesinanda.Periksa7tanda-tandagangguanpadacasedandaerahkomputer.g{MeskipunbanyakpGenyusupmembGersihkqanjejaknyaU darilog,namunsebaiknyaandamemeriksakeseluruhannyadanmencatatkejanggalan.BebGerapaU haluntukdiperiksapadaloganda:ؼLogU pGendekatautidaklengkqap.LogU yangbGerisikqanwaktuyanganeh.LogU denganpGermisiataukepemilikqanyangtidaktepat.CatatanU pGelayananrebGootataurestart.LogU yanghilang.MasukqanU suataulogindaritempatyangjanggalKitaU akqanmendiskusikandatasistemlogkemudian.(4KeamananG\Lokal:HalDbGerikutnyayangpGerludilihatadalahkeamanansistemandamenghadapiseranganpGemakqailokal.|Apakah kitaU barusa0jamenyebutU "pGemakqailokal"?qya.ؼMempGerolehƈakseskepemakqailokaladalahsalahsatuhalyangdiusahakanpGenyusup,padasaatberusahamengeksploitasi rekeningroGot.Y|Dengankurangnyakeamananlokqal,}mereka laludapatmeng"upgrade"aksespGemakqai2.normalmerekakeaksesroGotmenggunakanbGerbagaibugatausetuppelayanan2.lokqalyangtidakbaik.$Jikqaandamemastikankeamananlokalandaketat,makapGenyusupakanpGerlumelompatirintanganlain.ParaE@pGemakqailokaldapatpulamenyebabkanE@banyakkerusakqanterhadapsistemandameski(khususnya)jikqakmerekabGenar-benarsiapayangmerekqakatakan.JbDenganmembGerikanrekeningkepadaorang-orangyangU tidakandakenalatautidakmemilikikontakinformasiadalahsebuahideyangburuk. FK>썍G4.8KeamananLok\|ale12n.\4.1MembuatRekeningBaruMAnda9pGerlumemastikqanuntukmembGerikqanrekeningpGemakqaihanyasesuaidengankebutuhanuntukmenye- lesaikqantugasmereka.JikaandamembGerikananakanda(usia10)sebuahrekening,?andamungkininginmerekqahanyadapatmengaksespGengolahkqataatauprogramgambar,0tetapitidakdapatmenghapusdatayangU bukqanmiliknya.ؼBebGerapaU aturanyangbaikketikqamembGolehkqanoranglainberhakmengaksesmesinLinuxanda:ؼBeriU merekqafasilitasminimalyangdipGerlukan.Hati-hatiU terhadapsaat/darimanamerekqalogin,atautempatseharusnyaU merekalogin.PastikqanU danhapusrekeningmerekqaketikqamerekatidaklagimembutuhkanakses.BanyakZ rekeningpGemakqailokaldigunakandalamgangguankeamananadalahyangtidakpGernahdigunakqan selama+_bGerbulan-bulanataubertahun-tahun.cKarena+_tidakadayangmenggunakqannyamerekqamenjadialatpGenyeranganU yangideal.#Í4.2KeamananRo_otMRekeningyangpalingdicaridimesinandaadalahrekeningsupGeruser.Rekeninginimemilikiotoritasatasseluruh8mesin,=yangmungkinjugamencakupotoritasatasmesinlainyangadadijaringan.gIngatlahbahwaandahanyapGerlumenggunakqanrekeningroGotuntuktugastertentuyangsingkqatdangunakanlahrekeningpGemakqainormaluntukhallainnya.nMenggunakqanrekeningroGotsepanjangwaktuadalahideyangsangatsangatU sangatburuk.ؼBebGerapaU trikuntukmenghindaripengacauankomputerandasebagairoot:KetikqaEmelakukanpGerintahyangkompleks,Ocobalahdalamcarayangtidakmerusakdulu...terutamapGerintah(yangmenggunakqanglobbing:contoh,]andainginmelakukqan"rmfoGo*.bak",pertama(cobadulu:-5"ls2foGo*.bak"danpastikqanandainginmenghapusle-leyangandapikirkan. MenggunakanechoU sebagaipGenggantipGerintahmerusakterkqadangjugadapatdilakukan.BebGerapaorangmerasaterbantuketikqamelakukan"touch/-i"padasistemmereka.oHaliniakanmembuat;GpGerintah-perintah;Gseperti:"rm-fr*"menanyakqan;GapakahandabGenar-benaringinmenghapusseluruh<le.iX(Shellandamenguraikqan"-i"dulu,AdanmembGerlakukannya썍G5.8KeamananFiledanSistemFileW13n.\Jangan\pGernahmenggunakqanseperangkqatutilitasrlogin/rsh/rexec(disebututilitasr)sebagairoot. Merekqa+menjadisasaranbanyak+serangan,3dansangatbGerbahaya+biladijalankansebagairoGot.cJanganmembuatU le.rhostsuntukroGot.File[ /etc/securettybGerisikqandaftarterminal-terminaltempatrootdapatlogin.Secarabaku(padaRedHat\Linux)disethanyapadakonsolvirtuallokqal(vty).Y3Berhati-hatilahsaatmenambahkqanyanglainqkeleini.rAndaseharusnyalogindarijarakjauhsebagaipGemakqaibiasadankemudian'su'jikqaandabutuh(mudah-mudahanmelaluisshatausaluranterenkripsilain), GsehinggatidakpGerluuntukloginU secaralangsungsebagairoGot.SelalupGerlahandanberhati-hatiketikqamenjadiroot.Tindakqanandadapatmempengaruhibanyakhal.qPikirU sebGelumandamengetik!ؼJikqa|andabGenar-benar|butuhuntukmengijinkanseseorang(semogasangatdapatdipGercaya)|untukmemilikiakses supGeruserpadamesinanda,terdapatbeberapaalatyangdapatmembantu.^ASudomemungkinkqanpGemakqaib|menggunakanpasswordmerekauntukmengaksessejumlahpGerintahterbatassebagairoGot.Haliniakqan|memungkinkanandauntuk,sebagaicontoh,mengijinkqanpGemakaiuntukmengeluarkandanmelakukanmountmediaremovqablepadasistemLinuxanda,̖tetapitidakmemilikikewenanganroGotlainnya.SudojugaRmencatatusahayangbGerhasildangagal, HmemungkinkqanandauntukmelacaksiapayangmenggunakqanpGerintahapauntukmelakukqanhalapa.9UntukalasaninisudobGekerjadenganbaikbahkqanditempatbanyakorang#memilikiaksesroGot, tetapigunakqansudosehinggaandadapatmelacakperubahan-perubahanyangterjadi.ؼMeskipunsudodapatdigunakqanuntukmembGerikewenangankhususbagipGemakqaiuntuktugaskhusus,yiajuga썍G5.8KeamananFiledanSistemFileW14n.\Set,limitsistemle. ƣAndadapatmengendalikqanlimittiappGemakaimenggunakanmoGduleP*AM danim/etc/pam.d/limits.conf.gSebagaicontoh,limituntukkelompGok"users"mungkintampakseba-gaiU bGerikut:qL ectt0900@usershard rcore80 =@usershard rnproc+50@usershard rrss5000AtPerintahinibGerartimelarangpenciptaanlecore,membatasijumlahproseshingga50,danmembatasi pGenggunaanU memoritiapuserhingga5M.FileC/vqar/log/wtmpdan/var/run/utmpbGerisicatatanloginseluruhpemakqaisistemanda.썍G5.8KeamananFiledanSistemFileW15n.\ffG?/root#Nfind/home-name.rhosts-printfFffG Akhirnya,UAsebGelum"merubahpermisidisembarangsistemle,UApastikqanandapahamapayanganda lakukqan.OJangan@pGernahmerubahpermisisuatulehanya@kqarenainitampaknya@merupakancaratermudahmenyelesaikqansesuatu.1lSelalutentukqanmengapalememilikipGermisitersebutsebelummerubahnya.#Í5.1SettingUmaskMPerintahWumaskdapatdigunakqanuntukmenentukqanmoGdepenciptaanlebakudisistemanda.$Iameru-pakqanmkomplemenoktalmoGdeleyangdiinginkqan.OJikamlediciptakqantanpamengindahkansettingpGermisi,pGemakqaisecaratidaksenga0jadapatmemberipermisimembacaataumenuliskepadaseseorangyangtidakseharusnya"memilikipGermisiini.*Umumnya"settingumaskmencakup022,027,dan"077,yangpalingterbatas.Normalnya5eumaskdisetdalam/etc/prole,;sehinggabGerlakuuntuksemuapGemakqaisistem.fSebagaicontoh,andaU mungkinmemilikisebuahbarisyangtampaksepGertiberikut: ffG #NSettheuser'sdefaultumask =umaskN033ffffG ȍPastikqanyzuntukmembuatumaskroGot077,yangakqanmeniadakanpGermisimembaca,menulis,danyzmengek-sekusiU bagipGemakqailain,kecualidirubahsecaraeksplisitmenggunakanchmoGd(1).ؼJikqaandamenggunakanRedHat,danmengikutiskemapGenciptaanIDpemakqaidankelompok(UserPrivqateGroups),H9hanyapGerlumenggunakqan002sebagaiumask.HalinidisebabkankenyataanbahwakongurasibakuU adalahsatuoranguntuksatukelompGok.5.2PermisiFileMPentingduntukmemastikqanbahwalesistemandatidakterbukqauntukpGengeditanolehpemakqaidangrupyangU tidakseharusnyamelakukqanpGemeliharaansistemsemacamitu.ؼUNIXmembGedakqan/kendaliaksespadaledandirektoribGerdasarkqantigakarakteristik:pGemilik(owner),grup,U danyanglain(other).qSelaluterdapatsatupGemilik,sejumlahanggotagrup,dansetiaporanglain.PenjelasanU singkqatpGermisiUNIX:KepGemilikqanT-Pemakaidangrupmanasa0jayangmempGerolehkendaliatassettingpGermisinodedannodeinduk.Permisiu-BityangmampudisetataudiresetuntukmemungkinkqanbGeberapautipeaksestertentuterhadapnya.PermisiU direktorimungkinmemilikiartibGerbedaU denganpGermisisetyangsamauntukle.ReadU (Baca):ؼMampuU melihatisile.MampuU membacadirektori.W*riteU (Menulis):MampuU menambahataumerubahle.!FK>썍G5.8KeamananFiledanSistemFileW16n.\MampuU menghapusataumemindahledalamsebuahdirektori.ؼExecuteU (Eksekusi):MampuU menjalankqanprogrambineratauscriptshell.MampuU mencaridalamsebuahdirektori,dikombinasikqanU denganpGermisiread.Menyimpanatributteks:P(untukdirektori)Bitstickyjugamemilikiartilainketikqadiaplikasikanpada direktori.FXJikqabitstickydisetpadadirektori,makaseorangpGemakaihanyabGolehmenghapusleyangdimilikiTFataudibGeriijinmenulissecaraeksplisit,Trwalaupuniamemilikiakseskedirektori.q7HalinidirancanguntukVdirektorisepGerti/tmp,fyangbGersifatworld-writable,ftetapitidakdiinginkqansetiappGemakaidapatmenghapusU lesesukqanya.qBitU stickydilihatsebagaisebuah't'dalamdaftardirektori.ؼAtribut2SUID:(untukle)AtributinimenggambarkqanpGermisisetIDpemakqaiatasle.KetikamoGdeaksesr5pGermisisetIDr-disetdalampermisipemilik,yzdanleadalaheksekutabel,yzprosesyangmenjalankqannyadibGeriͨijinakseskepadasumbGerdayasistembGerdasarkqanpemakqaiyangmembuatproses.InilahpGenyebabeksploitasiU 'bueroverow'.Atribut[SGID:(untukle)JikqadisetdalampGermisigrup,bitinimengendalikanstatus"setgroupid"le.IaU bGerlakuserupadenganSUID,kecualigrupterpengaruh.qFileharuseksekutabelagardapatberlaku.Atribut#SGID:(untukdirektori)JikqaandamensetbitSGIDpadadirektori(dengan"chmoGdg+sdirektori"),leU yangterciptadidirektoriakqanmemilikigrupyangsamadengangrupdirektori.AndaU -PemilikleGrupU -GrupandabGerada.OrangU lain-SetiaporangyangadadisistemyangbukqanpGemilikatauanggotagrup.ContohU File:卑_۔-rw-r--r-- r1Nkevinusers*114Aug281997.zlogin =_۔1stNbit-direktori?Fے(tidak)d2ndNbit-bacaolehpemilik?!"(ya,olehkevin)iN03rdNbit-tulisolehpemilik?W(ya,olehkevin)n~4thNbit-eksekusiolehpemilik?+(tidak)r5thNbit-bacaolehgrup?/= (ya,olehusers)wz6thNbit-tulisolehgrup?*(tidak)|3h7thNbit-eksekusiolehgrup?W(tidak)8thNbit-bacaolehtiaporang?8(ya,o/tiaporang)9thNbit-tulisolehtiaporang?+(tidak)_R10thNbit-eksekusio/tiaporang?(tidak)ؼBarisbGerikutmerupakqancontohsetminimumpGermisiyangdibutuhkqanuntukmelakukqanaksesyang dideskripsikqan.%AndamungkininginmembGeripermisilebihdaripadayangditampilkqan, tetapiiniakanmendeskripsikqanU apayangdilakukanolehpGermisiminimum:5W-r-------- rMembolehkanNaksesbacafileolehpemilik =5W--w------- rMembolehkanNpemilikuntukmodifikasi/hapusfile5W---x------ rPemilikNdapatmengeksekusiprogram,tapibukanshellscript,n~yangNmasihperluijinbaca-ΠK>썍G5.8KeamananFiledanSistemFileW17n.\5W---s------ rAkanNmengeksekusidenganIDpemakaiefektif=pemilik =5W-------s-- rAkanNmengeksekusidenganIDpemakaiefektif=grup5W-rw------T rTdkNadaupdate"lastmodifiedtime".Biasanyauntukfileswap5W---t------ rTidakNadaefek.(dulunyabitsticky)ؼContohU direktori:卑["Fdrwxr-xr-x r3Nkevinusers*512Sep1913:47.public_html/["F1stNbit-direktori?=h(ya,berisibanyakfile)_۔2ndNbit-bacaolehpemilik?(ya,olehkevin)d3rdNbit-tulisolehpemilik?8(ya,olehkevin)iN04thNbit-eksekusiolehpemilik?(ya,olehkevin)n~5thNbit-bacaolehgrup?%p(ya,olehpemakai)r6thNbit-tulisolehgrup?!"(tidak)wz7thNbit-eksekusiolehgrup?8(ya,olehpemakai)|3h8thNbit-bacaolehtiaporang? r(ya,olehsetiaporang)9thNbit-tulisolehtiaporang? r(tidak)10thNbit-eksekusioleheveryone?(ya,olehtiaporang)Baris-barislJbGerikutadalahcontohsetpermisiminimumyangdipGerlukqanuntukmelakukqanaksesyang dideskripsikqan.8AndamungkininginmembGerilebihpermisidaripadayangdidaftarkqan,namuncontohinidapatU menggambarkqanapayangdilakukqanpGermisiminimumpadadirektori:卑0dr-------- rIsiNdptditampilkan,tapiatributfiletidakdapatdibaca =0d--x------ rDirektoriNdapatdimasuki,dandigunakandlpatheksekusipenuh0dr-x------ rAtributNfiledapatdibacaolehpemilik0d-wx------ rFileNdapatdiciptakan/dihapus,meskibukandirektorisaatini0d------x-t rMencegahNfiledihapusolehoranglaindenganaksestulis.iN0DigunakanNdi/tmp0d---s--s-- rTidakNadaefekFileЫkongurasisistem(biasanyadi/etc/)biasanyamoGde640(-rw-r),)dandimilikiolehroot.EYT*ergantung padapGersyaratankeamanansiteanda,andamungkinpGerlumenyesuaikqannya.N~JanganpGernahmeninggalkqanlesistemdapatditulisiolehgrupatautiaporang._BebGerapalekongurasi,*termasuk/etc/shadow,*hanyabGolehU dibacaolehroot,dandirektoridalam/etctidakbolehdiaksesolehoranglain.ؼScriptCShellSUIDBScriptshellSUIDmerupakqanrisikokeamananyangserius,~danolehkqarenaitukerneltidak zakqanmenganggapnya.XMeski zandamenganggapbGetapaamanscriptshell,5iadapatdieksploitasiuntukmembGeriU crackershellroGot.#Í5.3PemeriksaanIntegritasdenganTripwireMCaranbaiklainuntukmendeteksiseranganlokqal(danjugajaringan)padasistemandaadalahdenganmen-jalankqan^pGemeriksaintegritassepertiT*ripwire.1Tripwire^menjalankqansejumlahchecksumdiseluruhlebinerdancongpGentingandadanmembandingkqannyadengandatabaseterdahulu,4yangdiketahuibaiksebagaireferensi.qOlehU kqarenaitu,setiappGerubahandalamleakandiketahui.MerupakqanB9ideyangbaikuntukmenginstaltripwirekeoppy*,Fdankemudianmengesetwriteprotectsecarasik0&padaoppy*.DengandemikianpGenyusuptidakdapatmengganggutripwireataumerubahdatabase.:K>썍G6.8KeamananP>assworddanEnkripsi I18n.\Sekqaliandatelahmemilikisetuptripwire,=emerupakanideyangbaikuntukmenjalankqannyasebagaitugas administrasiU keamanannormalandauntukmelihatjikqaadapGerubahan.ؼAnda-bahkqandapatmenambahkanentrycrontabuntukmenjalankqantripwiredarioppysetiapmalamdanmengirimkqanU hasilnyakepadaandadipagihari.qSesuatusepGerti: ffG #Nsetmailto =MAILTO=kevin#Nruntripwire15N05***root/usr/local/adm/tcheck/tripwirefFffG ȍakqanU mengirimkanlapGorankepadaandadijam5:15pagihari.T*ripwiredapatpulamenjadipGetunjukyangbaikuntukmendeteksipGenyusupsebGelumandamengetahuinya. OlehkqarenabanyaknyaleyangbGerubahpadarata-ratasistem,2andaharusberhati-hatitentangaktivitascrackerU danapayangandalakukqan.#Í5.4TrojanHorses(Kuda-kudaTroya)MKuda troyadiambilnamanyadarifabGelsastrabesarHomer.IdenyaadalahandamenaruhprogramataubinerHyangtampaknyabagus,JdanmembuatoranglainmendownloadnyadanmenjalankqannyasebagairoGot.Kemudian,andadapatmengganggusistemmerekqasementaramerekqatidakmempGerhatikan.%.Sementaramerekqa\bGerpikirbahwa\lebineryangmerekaambilhanyamelakukqansatuhal(danmungkinsangatbaik),namunU iajugamengganggukeamananmerekqa.AndapGerluwaspadaterhadapprogramapayangandainstaldimesinanda.|RedHatmenyediakqancheck-sum*MD5,dantandaPGP*,leRPMsehinggaandadapatmemverikqasi*bahwaandamenginstalhalyangsebGenarnya.iIDistribusilainmemilikimetodeyangserupa.iIAndasebaiknyatidakmenjalankqansembaranglekbineryangkoGdesumbGernyatidakandamilikiataukenalsebagairoGot!SedikitpenyerangkyangbGersediamengeluarkqanU koGdesumbGeruntukdilihatpublik.Meskiddapatmenjadikompleks,hpastikqanandamempGerolehkoGdesumbGeruntukbGeberapadprogramdarisitedistribusi= sebGenarnya.)=JikqaprogramakanbGerjalansebagairootpastikqanandaatauseseorangyangandapGercayaiU telahmelihatkodesumberdanmemverikqasinya.(6KeamananG\PcassworddanEnkripsi:SalahsatufeaturekeamananyangpGentingyangdigunakqansaatiniadalahpassword.NPentingbagiandadanseluruh3KpGemakqaiandauntukmemilikipasswordyangamandantidakdapatditerkqa.f9Kebanyakan3KdistribusiLinux:terbarumenyertakqanprogram'passwd'yangtidakmembGolehkqanandamensetpasswordyangmudahditerkqa.qPastikanU programpasswdandaterbarudanmemilikifeatureini.Diskusi2\mendalamtentangenkripsiadalahdiluarlingkupdokumenini,tetapipGendahuluannyatidak.EnkripsiNsangatbGerguna,mungkinsangatperludisaatini., T*erdapatberbagaimetodeenkripsidata,yangmemilikiU kqarateristiknyasendiri.Kebanyakqan2unicies(danLinuxbukanlahpGerkecualian)utamanyamenggunakqanalgoritmaenkripsisatuarahq(one-way),4disebutDESC(DataEncryptionStandard)untukmengenkripsipasswordanda.sPasswordterenkripsiinikemudiandisimpan(umumnya)di/etc/passwd(ataukurangumum)di/etc/shadow.]KetikqaandanbGerusahalogin,tapapunyangandaketikkqandienkripsidibandingkandenganmasukandalamleyangHΠK>썍G6.8KeamananP>assworddanEnkripsi I19n.\menyimpan0Mpasswordanda. JikqacoGcok,pastilahpasswordnyasama,danandadibGolehkqanmengakses. Meskipun2DESmerupakqanalgoritmaenkripsiduaarah(andadapatmenkoGdedanmendekoGdepesan,ʷden-gan"membGerikunciyangtepat),,vqarianyangdigunakqankebanyakqanuniciesadalahsatuarah.`ArtinyatidakmungkinU membalikenkripsiuntukmempGerolehpassworddariisi/etc/passwd(atau/etc/shadow).ؼSeranganbruteforce,sepGerti"Crack"atau"JohntheRipper"(lihatdibawah)seringdapatdigunakqanuntuk menerkqapasswordmeskipasswordandacukupacak.DMoGdulP*AM(lihatdibawah)memungkinkqanandaU menggunakqanrutinenkripsiyangbGerbedaU denganpasswordanda(MD5atausejenisnya).Andadapatkehttp://c}/onsult.cern.ch/writeup/security/security_3.htmluntukinformasibagaimanamemilihpasswordU yangbaik.#Í6.1PGPdanPublicKeyCryptographyMPublicKeyCryptography*,#%sepGertiyangdigunakqanuntukPGP*,melibatkqankriptograyangmenggunakqansatu˰kunciuntukenkripsi,-dansatukunciuntukdekripsi.CSecaratradisional,-kriptogramenggunakqankunciyangsamauntukenkripsidandekripsi.@"Kuncipribadi"iniharusdiketahuiolehkeduapihak,%danditransferdariU satukelainnyasecaraaman.EnkripsikuncipublikmembGebaskqankebutuhanuntuksecaraamanmentransmisikunciyangdipGerlukqanuntuk4enkripsidenganmenggunakqanduabuahkuncibGerbeda,kunci4pribadidankuncipublik.IKuncipubliksetiaporangtersediabagisemuaoranguntukmelakukqanenkripsi,sementarapadasaatyangsamasetiaporangU menjagakuncipribadinyaU untukmendekripsipGesanterenkripsidengankuncipublikyangtepat.T*erdapatlkeuntunganpublickeydanprivqatekeycryptography*,danandadapatmembacatentangpGerbedaan-pGerbedaanU inidalamRSACryptographyFAQ,didaftarkqanpadaakhirbagianini.PGP{F(Pretty{GoGodPrivqacy)didukungdenganbaikpadaLinux. V*ersi2.6.2dan5.0dikenalbGekerjadenganb3baik. UntukpGerkenalantentangPGPadanbagaimanamenggunakqan,xsilakanb3lihatPGPFAQhttp://www.p}/gp.com/service/export/faq/55faq.cgi.zPastikqanymenggunakanversiyangdapatdigunakqandinegaraanda,bGerkqaitandenganpembatasaneksporolehpemerintahAS,enkripsikuatdianggapsebuahsenjataU militer,danterlaranguntukditransferdalambGentukelektronikkeluarnegeri.T*erdapatܠpulapanduanlangkqah-demi-langkahܠuntukmengkongurasiPGP}padaLinuxdi.DitulisuntukversiinternasionalPGP*,tetapidapatditerapkqansecaramudahkeversiAS.AndamungkinbutuhpatchbagiversiU terbaruLinux,yangtersediadi.InformasilebihjauhtentangcryptographydapatdijumpaidalamRSApCryptographyFAQ,tersediadihttp://www.rsa.c}/om/rsalabs/newfaq.$>DimYsiniandaakqanmenjumpaiinformasimengenaiistilahsepGerti"Die-Hellman",U "public-keycryptography","DigitalCerticates",dsb.#Í6.2SSL,S-HTTP,HTTPSdanS/MIMEMSeringkqalipGemakaibGertanyamengenaipGerbedaan-perbedaanantaraberbagaiprotokolkeamanan,gLdanbagaimanamenggunakqannya.~Meskiinibukqandokumenenkripsi,merupakanideyangbaikuntukmen-jelaskqanU secarasingkatsetiapprotokoldandimanamencariinformasiyanglebihbanyak.ؼSSLi:iSSL,atauSecureSoGcketsiLayer,nadalahmetoGdeenkripsiyangdikembangkqanolehNetscapGeun-tukmembGerikqankeamanandiInternet.IamendukungbGeberapaprotokolenkripsidanmembGerikqanautentikqasi|clientdanserver.SSL|bGeroperasipadalayertranspGor,smenciptakqansaluranenkripsiyangX|K>썍G6.8KeamananP>assworddanEnkripsi I20n.\amanuntukdata,kdandapatmengenkripsibanyaktipGedata.MHalinidapatdilihatketikqamengunjungi site5yangamanuntukmelihatdokumenonlineamandenganCommunicator,mdanbGerfungsisebagaidasarkomunikqasiyangamandenganCommunicator,־jugadenganenkripsidataNetscapGeCommuni-cation0lainnya.R0Informasilebihbanyakdapatdijumpaidihttp://www.c}/onsensus.com/security/ssl-talk-faq.html.VInformasimengenaiimplementasikeamananNetscapGelainnyadansebagaititikawalyangbaikU untukprotokol-protokolinitersediadihttp://home.netsc}/ape.com/info/security-doc.html.S-HTTP9j:9S-HTTPadalahprotokollainyangmembGerikqanpelayanankeamanandiInternet.Iadi-rancang.untukmembGerikqanconfidentiality,Aqauthenticity,integrity,dan.non-repudiability(tidaka&dapatdianggapsebagaioranglain)sementaramendukungbanyakmekqanismemana0jemenkunci":danalgoritmakriptogramelaluipilihannegosiasiantarpihak-pihakyangterlibatdalamsetiaptransaksi.FS-HTTP=terbatasbpadasoftwarebkhususyangmengimplementasikqannyadanmengenkripsisetiapU pGesansecaraindividual.q(DariRSACryptographyFAQ,hlm.q138)S/MIME:r-S/MIME,atauSecureMultipurpGoseInternetMailExtension, adalahstandarenkripsiyangdigunakqanuntukmengenkripsisuratelektronik,ɗatautipGepesanlaindiInter-net.'Ini4XmerupakqanstandarterbukayangdikembangkqanRSA,sehinggakemungkinanakqankitajumpaidiLinuxsuatuhari. InformasilebihlanjuttentangS/MIMEdapatditemukqandihttp://home.netsc}/ape.com/assist/security/smime/overview.html."p6.3ImplementasiIPSECpadaLinuxx-kernelMBersamadenganCIPE,danbGerbagaibentuklaindataenkripsi,\terdapatpulaimplementasiIPSECluntukLinux.PIPSECadalahsebuahusahaolehIETFuntukmenciptakqankomunikqasiyangamansecarakriptogradietingkqatjaringanIP*,yangjugamembGerikqanautentikqasi,iintegritas,kendalieakses,dankondensial.Infor-masimengenaiIPSECdandraftInternetdapatdijumpaidiIETFFHomep}/age.UAndadapatpulamenemukqanlinkU kebGerbagaiprotokolyangmencakupmana0jemenkunci,dansebuahmailinglistdanarsip.ؼImplementasiLinux,-yangsedangdikembangkqandiUniversitasArizona,-menggunakqankerangkqakerjabGerba-sis-obyekuntukmengimplementasikqanprotokoljaringanyangdisebutx-kernel,dandapatdijumpaidihttp://www.cs.arizona.e}/du/xkernel/hpcc-blue/linux.html._SecaraNsederhana,lx-kerneladalahmetoGdepeny-erahanU pGesanpadatingkqatkernel,yangmemudahkqandalamimplementasi.SamasepGertiberbagaibentukkriptogralainnya,Kx-kerneltidakdidistribusikqandengankernelsecaradefaultkqarenaU adanyapGembatasanekspGor."p6.4SSH(SecureShell),stelnetMSSHddanstelnetadalahprogramyangmemungkinkqanandauntukloginkesistemremotedanmemilikikoneksiU yangterenkripsi.SSHc\adalahcpaketprogramyangdigunakqansebagaipGenggantiyangamanuntukrlogin,Brshdanrcp.Iamenggunakqan^zpublic-keycryptographyuntukmengenkripsikomunikqasiantaraduahost,demikianpulauntukautentikqasipGemakai. Iadapatdigunakanuntukloginsecaraamankeremotehostataumenyalindataantar썍G6.8KeamananP>assworddanEnkripsi I21n.\http://guar}/dian.htu.tuwien.ac.at/therapy/ssh/9GdanjugaimplementasikomersildariDataF*ellows, rPdi http://www.datafellows.c}/omؼSSLeayPadalahimplementasibGebasprotokolSecureSoGcketsLayerNetscapGe,termasukbeberapaaplikqasi,sepGertiSecuretelnet,#smoduluntukApache,#sbGeberapadatabase,danjugabGeberapaalgoritmatermasukDES,U IDEAdanBlowsh.Denganļmenggunakqanpustakaini,pGenggantisecuretelnettelahdiciptakanyangmelakukanenkripsipadakoneksitelnet.KmTidaksepGertiSSH,stelnetmenggunakqanSSL,protokolSecureSoGcketsLayeryangdikem-bangkqanfJNetscapGe.AndadapatmenjumpaiSecuretelnetdanSecureFTPfdenganmelihatduluSSLeayFAQ,U tersediadihttp://www.psy.uq.oz.au"6.5PAM-PluggableAuthenticationMo_dulesMV*ersi\HbarudistribusiRedHatLinuxdikirimkqandenganskemaautentikqasiyangterpadudisebut"P*AM".PAMmemungkinkqan*andamerubahsecaraontheymetoGde*autentikqasianda,pGersyaratan,dan*menyembunyikqanseluruhWEmetoGdeautentikqasilokaltanpapGerlumengkompilasiulangbineranda.wKongurasiP*AMWadalahdiQluarlingkupdokumenini,+tetapipastikqanuntukmelihatwebsiteP*AMQuntukinformasilebihbanyakhttp://www.kernel.or}/g/pub/linux/libs/pamBebGerapaU halyangdapatandalakukqandenganP*AM:DՍMenggunakqanfenkripsinonDESfuntukpasswordanda.&(MembuatnyasulituntukdidekoGdekqansecarabruteU force)d MensetIbatasansumbGerdayapadaseluruhpGemakqaiandasehinggamerekatidakdapatmelakukanseranganU DenialofService(jumlahproses,jumlahmemori,dsb)MemungkinkqanU shadowpasswordsecaraontheyMembGolehkqanU pemakaiU tertentuuntukloginhanyapadawaktutertentudaritempattertentu.DՍDalammbGeberapajamsetelahinstalasidankongurasisistemanda,4andadapatmencegahbanyakseranganse-bGelummerekqaterjadi.QSebagaicontoh,JmenggunakanP*AMuntukmeniadakanpGemakainsecarasystem-wideleedot-rhostsdalamdirektorihomepGemakqaidenganmenambahkanbaris-barisbGerikutke/etc/pam.d/login: ffG Zn~# =n~#NDisablersh/rlogin/rexecforusersn~#n~loginNauthrequiredpam_rhosts_auth.sono_rhostsfFffG6.6CryptographicIPEncapsulation(CIPE)MT*ujuanE`utamasoftwareE`iniadalahmembGerikqanfasilitasbagiinterkoneksisubnetworkyangaman(menghadapi eavesdropping,.termasuktracanalysis,danfakedmessageinjection)melintasijaringanpaketyangtidakamanU sepGertiInternet.ؼCIPE$mengenkripsiJdatapadaleveljaringan.?9Paket-paketyangbGerjalanantarhostpadajaringandienkripsi.MesinU enkripsiditempatkqandekatdriveryangmengirimdanmenerimapaket.TidaksepGertiSSH,yangmengenkripsidatadenganhubungan, padalevelsoket.sKoneksilogikqaantaraprogramU yangbGerjalandihostyangbGerbedaU dienkripsi.{K>썍G6.8KeamananP>assworddanEnkripsi I22n.\CIPEbydapatbdigunakqandalamtunnellingn,&dalamrangkamenciptakanVirtualPrivateNetwork.\Enkripsi level=rendahmemilikikeuntunganyaitudapatdibuattransparanantarduajaringanyangterhubungdalamVPN,U tanpamerubahsoftwareU aplikqasi.ؼRingkqasanAdaridokumentasiCIPE:Standar-standarIPSECmendenisikansejumlahprotokolyangdapatdigunakqan1(diantarabGerbagaihallain)untukmembangunVPNyangterenkripsi.O0Namundemikian,IPSEClebih܁sepGertihimpunanprotokolkelasbGeratdanrumitdenganbanyakpilihan,Yimplementasiseluruhhim-punanprotokolmasihjarangdigunakqandanbGeberapaisu(sepGertimana0jemenkunci)masihbelumterpec-ahkqan.`CIPE"1menggunakan">pGendekatanyanglebihsederhana,,kyaitubanyakhalyangdapatdiparameterkqan(sepGerti\pilihanalgoritmaenkripsiyangdigunakqan)adalahpilihantetappadasaatinstalasi./3Halinimem-batasiU eksibilitas,namunmemungkinkqanimplementasiyangsederhana(makqaesien,mudahdidebug..).InformasiU lebihlanjutdapatditemukqandihttp://www.inka.de/bigr}/ed/devel/cipe.htmlSerupaKdenganbGentukkriptogralainnya,iatidakdidistribusikqandengankernelsecaradefaultkqarenaadanyapGembatasanU ekspor.#Í6.7Kerb_erosMKerbGeros'adalahsebuahsistemautentikqasiyangdikembangkqanolehProyekAthenadiMIT.KetikqapGemakailogin,dKerbGerosumengautentikqasipemakqaitersebut(menggunakanpassword),ddanmembGerikqanpemakqaisuatucaraU untukmembuktikqanidentitasnyakeserverdanhostlainyangtersebardijaringan.AutentikqasiRinikemudiandigunakqanolehprogramsepGertirloginuntukmembGolehkqanpemakqailoginkehostlainl^tanpapassword(sepGertile.rhosts).;Autentikqasijugadigunakanolehsistemsuratdalamrangkamen-jamin,bahwasuratdikirimkqankepadaorangyangtepat,odanjugamenjaminbahwapGengirimadalahbenarorangU yangdiklaimnya.Efek{ukeseluruhanmenginstalasiKerbGerosdanberbagaiprogrambersamanya{uadalahsecaravirtualmenghi-langkqankemampuanpGemakaiuntukmenipu(spGoof)sistemagarmempGercayaibahwamerekqaadalahoranglain.?Sayangnya,instalasiKerbGerossangatsulit,membutuhkqanmoGdikasiataumenggantibGerbagaiprogramstandar.AndaFdapatmenemukqaninformasilebihbanyaktentangkerbGerosdihttp://www.veritas.c}/om/common/f/97042301.htmHdankoGdenyaHdapatditemukqandihttp://nii.isi.e}/du/info/kerberos/(Dari:#Stein,ĭJennifer^G.,CliordNeuman,danJereyL.Schiller.}9"KerbGeros:#AnAuthenticationServiceforU OpGenNetworkU Systems."USENIXConferenceProceedings,Dallas,T*exas,Winter1998.)#Í6.8ShadowPasswordsMShadowpasswordadalahsuatucaramenjagapasswordterenkripsiandadaripGemakqainormal.9[Normal-nya,password/bterenkripsiinidisimpandile/etc/passwddapatdibacasemuapGemakqai. FMereka/blaludapatImenjalankqanprogrampGenerkapassworddanbGerusahamenentukqanpasswordnya. OShadowpass-wordumenyimpaninformasiinikele/etc/shadowyanghanyadapatdibacaolehpGemakqaiyangbGerhak.DalamrangkqamenjalankanshadowpasswordandapGerlumemastikqanbahwaseluruhutilitasandayangpGerluxmengaksesinformasipassworddikompilasiulanguntukmendukungnya.P*AMjugamembGolehkqanandaQ(untukhanyamemasukkqanmoGdulshadowdantidakpGerlumengkompilasiulangeksekutabGel.eAndadapatPmengacupadaShadow-PasswordPHOWTOOuntukinformasilebihlanjutjikqapGerlu. byT*ersediadi7K>썍G6.8KeamananP>assworddanEnkripsi I23n.\http://sunsite.unc.e}/du/LDP/HOWTO/Shadow-Password-HOWTO.html.sIniUsudahkuno, dantidakdibu- tuhkqanU untukdistribusiyangmendukungP*AM.#Í6.9CrackdanJohntheRipp_erMJikqa~untukbGeberapa~alasanprogrampasswdandatidakmemaksapasswordyangtidakmudahditerkqa,andamungkinU inginmenjalankqanprogrampasswordcrackingdanmemastikqanpasswordpGemakqaiandaaman.ؼProgramBpasswordcrackingbGekerjabGerdasarkqanideyangmudah.k(Merekqamencobasetiapkatayangadadikqamus,KdanHkemudianvqariasidarikata-katatersebut.mOMerekamengenkripsisatukatadanmembandingkan-nyaU denganpasswordterenkripsianda.qJikqacoGcokdicatat.T*erdapatsejumlahprogramini...duayangpalingdikenaladalah"Crack"dan"JohntheRippGer"http://www.false.c}/om/security/john/.Merekqaakanmengambilbanyakwaktucpuanda, tetapiandase-harusnya pdapatmengetahuijikqapGenyerangdapatmasukdenganmenggunakqanmerekadenganterlebihdulumenjalankqanmerekadanmembGeritahupGemakqaidenganpasswordlemah.7PerhatikqanbahwapGenyerangharusmenggunakqan[bGeberapalubanglainuntukmemperolehlepasswdanda,namuninilebihumumdaripadayangU andapikirkqan.#Í6.10%}CFS-?9CryptographicFileSystemdanTCFS?)-TransparentCryptographic%}FileSystemMCFS1adalahsuatucaramengenkripsiseluruhsistemledanmemungkinkqanpGemakaiuntukmenyim-pan le-leterenkripsididalamnya. ӱIa menggunakqanserverNFSyangbGerjalanpadamesinlokqal.rpmsdptersediadihttp://www.r}/eplay.com/redhat/dpdaninformasimengenaibagaimanabGekerjanyadpadadiftp://ftp.r}/esearch.att.com/dist/mabTCFSfmempGerbaikiCFS,menambahkqanlebihbanyakintegrasidengansistemle,?sehinggatransparanbagigsemuapGemakqaiyangmenggunakqansistemleyangterenkripsi./VInformasilebihbanyakdihttp://e}/du-gw.dia.unisa.it/tcfs/#Í6.11%}X11,SVGAdankeamanantampilanM6.11.1(X11Penting_bagiandauntukmengamankqantampilangrasandauntukmencegahpGenyerangmelakukqanhal- halsepGerti:mengambilpasswordandaketikqaandaketikqantanpaandaketahui,membacadokumenatauinformasi%yangsedangandabaca,YataubahkqanmenggunakanlubanguntukmempGerolehaksessuperuser.Dengan]menjalankqanaplikasiX.remotemelaluijaringandapatpulamenjadiancaman,QmemungkinkansniermelihatU seluruhinteraksiandadenganremotesystem.Xxmemilikisejumlahmekqanismekendaliakses.Y*angtermudahadalahbGerdasarkqanhost.AndadapatmenggunakqandAxhostuntukmenspGesikasikanhost-hostmanasa0jayangdibGolehkanmengaksestampilananda.NamuninitidakbGegituaman.JJikqaseseorangmemperolehakseskemesinandamerekqadapatxhost+mesinmerekqadandapatmasuksecaramudah.qJuga,ZjikaandamembGolehkanaksesdarimesinyangtidakterpGercaya,U siapapundisanadapatmengganggutampilananda.Ketikqawmenggunakanxdm(xdisplaymanager)untuklogin,2andamempGerolehmetodeaksesyangjauhlebihbaik:MIT-MAGIC-COOKIE-1.)3CoGokie\128-bitdihasilkqandandisimpandalamle.Xauthority*.)3Jikqaanda<K>썍G7.8KeamananKernel^)24n.\butuhPuntukmembGolehkqanremotemesinmengaksestampilananda, \andadapatmenggunakanpGerintah xauthjdaninformasidalamle.XauthorityuntukmembGerikqanhanyaakseskoneksi.LihatRemote-X-Appsmini-howto,U tersediadihttp://sunsite.unc.e}/du/LDP/HOWTO/mini/Remote-X-Apps.htmlؼAnda Xdapatpulamenggunakqanssh(lihatsshdiatas)untukmembGolehkqankoneksiX *yangaman.)Keun-tungannyab@adalahtranparanbagipGemakqaiakhir,edanberartitidakadadatayangtidakterenkripsimelaluijaringan.SilakqanlihatXsecuritymanpageuntukinformasilebihjauhtentangkeamananX.PilihanterbaikadalahmenggunakqanxdmuntukloginkekonsolandadankemudianmenggunakqansshuntukkeremotesiteyanginginU andajalankqanprogramX-nya. 6.11.2(SV>GAMProgram-programSVGAlibumumnyaSUID-roGotdalamrangkqamengakseshardwarevideomesinLinuxanda.* InimenjadikqanmerekasangatbGerbahaya.* Jikamerekacrash, andabiasanyapGerlumerebootmesinandauntukmempGerolehkonsolkembali.Pastikqanprogram-programSVGAyangandajalankqanautentik,danU palingtidakdapatdipGercaya.qLebihU baiklagi,janganjalankqanmerekasamasekali.6.11.3(GGI(GenericGraphicsIn>terfaceProject)MProyekLinuxGGIbGerusahamemecahkqanbeberapamasalahdenganantarmukqavideopadaLinux.GGIakqanmemindahkanbagiankecilcoGdevideokekernelLinux,ndankemudianmengendalikqanakseskesistemvideo.+)ArtinyaGGIakqandapatmengembalikankonsolandasetiapwaktukekeadaanyangbaik.+)Merekqajugaakqanɹmemungkinkankunciatensiyangaman,sehinggaandadapatmemastikanbahwatidakadaprogramloginU kudaT*royaU bGerjalandikonsolanda.qhttp://syner}/gy.caltech.edu/ggi/(7KeamananG\Kernel:Iniadalahdeskripsipilihankongurasikernelyangterkqaitdengankeamanan,@dansebuahpGenjelasanapayangU dilakukqannya,danbagaimanamenggunakqanmereka.ؼOlehkqarenakernelmengendalikanjaringankomputeranda,?pGentingagarkernelsangataman,?dankernelsendiri_tidakakqandiganggu.MUntukmencegahseranganjaringanterkini,aandaharusbGerusahadanmemeli-haraU versikernelanda.qAndadapatmenemukqankernelterbarudiftp://ftp.kernel.or}/g#Í7.1PilihanKompilasiKernel#IP:oDropsourceroutedframes(CONFIG_IP_NOSR)nPilihaniniseharusnyaodiset.tSourceroutedframebGerisikqanseluruhjalurketujuan.ArtinyarouteryangdilaluipakettidakpGerlumemeriksapaket,danqhanyamemforwardnyasa0ja. rHalinidapatmengakibatkqanmasuknyadatakesistemandayangU mungkinmenjadieksploitasipGotensial.IP:OFirewalling(CONFIG_IP_FIREWALL):PilihaninipGerlujikqaandainginmengkongurasimesinandasebagairewall,*melakukqanmasquerading,atauinginmelindungistasiunkerjadial-upandadariseseorangU yangmasukmelaluiantarmukqadial-upPPPanda.K>썍G7.8KeamananKernel^)25n.\IP:יforwarding/gatewaying(CONFIG_IP_FORWARD)zJikqaandamensetIPforwarding,mesinLinux andamakqamenjadirouter.>Jikamesinandaadapadajaringan,:andaharusmemforwarddatadarisatujaringan-keyanglain,danmungkinmembalikrewallyangadadisanauntukmencegahhaliniterjadi.PemakqaiKdial-upnormalmungkininginmeniadakqannya,ӕdanpGemakqailainharusberkonsentrasiKpadaimplikqasiikeamananmelakukanhalini.ZMesin-mesinrewallakanmengadakannya,{danidigunakanbGersamaanU dengansoftwareU rewall.AndaU dapatmengadakqanIPforwardingsecaradinamikmenggunakanpGerintahberikut:XffG?u۔root# rechoN1>/proc/sys/net/ipv4/ip_forwardfFffG danU meniadakqannyadenganpGerintah:ffGu۔root# rechoN0>/proc/sys/net/ipv4/ip_forwardfFffGFilenini(danbanyaknlelaindi/proGc)akqanselalutampakberukurannol,u:tetapikenyataannyantidak. IniadalahfeaturekernelyangbarudipGerkenalkqan,'sehinggapastikanandamenggunakankernel2.0.33atauU lebihbaru.IP:'rewallpacketlogging(CONFIG_IP_FIREWALL_VERBOSE)PilihaninimembGeriandainfor-masiU tentangpaketyangditerimarewallanda,sepGertipengirim,penerima,port,dsb.IP:calwaysdefragment(CONFIG_IP_ALWA*YS_DEFRAG)cUmumnyapilihaniniditiadakqan,gtetapijikqacandamembangunhostrewallataumasquerading,andamungkininginmengadakqannya.AJKetikadataFdikirimdarisatuhostkeyanglain,ӥiatidakselaludikirimsebagaisatupaketdata,ӥtetapidipGecah-pGecahkebeberapabagian.&MasalahdenganhaliniadalahnomorportselaludisimpandalambagianpGertama.KArtinyaRseseorangdapatmemasukkqaninformasikepaket-paketsisanyayangtidakseharusnyaada.IP:_syncoGokies(CONFIG_SYN_COOKIES)_SYNAttack_adalahserangandenialofservice(DoS)yangQmenghabiskqanseluruhsumbGerdayamesinanda,{memaksaandauntukrebGoot.VKamiQtidakdapatmemikirkqanU alasanandameniadakanpilihanini.PacketSignatures(CONFIG_NCPFS_P*ACKET_SIGNING)Iniadalahpilihanyangtersediapadaseri*kernel2.1yangakqanmenandaipaketNCP*yuntukkeamananyanglebihkuat.cLSecaranormalandadapatU membiarkqannyatidakada,tetapiiaadajikqaandamembutuhkqannya.IP:/Firewallpacketnetlinkdevice(CONFIG_IP_FIREWALL_NETLINK)/jIniadalahpilihanyangbaik.yangmemungkinkqanandamenganalisa128bytepGertamapaketdalamprogramuserspace,5untukmenentukqanU bilamanaandainginmenerimaataumenolakpaket,bGerdasarkqanvaliditasnya.#Í7.2DeviceKernelMT*erdapatU sejumlahdeviceblokdankqarakteruntukLinuxyangdapatmembantuandadengankeamanan.ؼDua%Bdevice/dev/randomdan/dev/urandomdisediakqanolehkerneluntukmenerimadatarandomsetiapsaat./dev/randomMdan/dev/urandomkeduanyaMcukupamandigunakqandalammenghasilkankunciPGP*,tanta-nganP~SSH,danaplikqasilaindimanabilanganrandomyangamandibutuhkan.oPenyerangP~seharusnyatidakdapatmempGerkirakqannomorberikutnyabiladiberiurutanawalnomor-nomordarisumberini.T*elahadabanyak"pusahauntukmemastikqanbahwanomoryangandapGerolehdarisumbGeriniadalahrandomdalamsetiapU artikqatarandom.ܠK>썍G8.8KeamananJaringanUo26n.\PerbGedaannyaxadalahbahwax/dev/randommenghasilkqanbyterandomdanmembuatandamenunggulebih banyakkuntukdikumpulkqan. bPerhatikankbahwapadabGeberapasistem,>>iadapatmemblokuntukwaktulamamenunggumasukqanbarupGemakaiuntukdibGerikesistem.v%SehinggaandapGerluberhati-hatisebelummenggunakqana/dev/random.(Mungkinhalterbaikyangdapatdilakukanadalahmenggunakanketikaandamenciptakqaninformasisensitif,J/danandamengatakankepadapGemakaiuntukmenekankeybGoardsecarabGerulang-ulangU hinggaandamencetak"OK,enough").ؼ/dev/random adalahentropikualitastinggi,vdihasilkqandaripGengukuranwaktuinter-interruptdsb.MIamem-blokU hinggacukupdatarandombittersedia./dev/urandom@adalahserupa,kecualiketikqapGenyimpananentropibGerjalanrendahiaakqanmengembalikqanhashU kuatsecarakriptogra.qInitidakaman,tetapicukupbagikebanyakqanU aplikasi.AndaU mungkinmembacadaridevicemenggunakqansesuatusepGerti:卑root#Nhead-c6/dev/urandom|uuencode-ؼIniU akqanmencetakenamkarakterrandomdilayar,U sesuaiuntukpGembuatanpassword.LihatU /usr/src/linux/drivers/char/random.cuntukdeskripsialgoritma.T*erima{kqasihkepadaTheoGdoreY.Ts'o,JohnLewis,danyanglaindariLinux-kernelatasbantuannyakepadasayaU (Dave)untukhalini.(8KeamananG\Jaringan:KeamananݢjaringanmenjadisemakinpGentingdengansemakinbanyaknyawaktuyangdihabiskqanoranguntukbGerhubungan. oMengganggukeamananjaringanseringlebihmudahdaripadasikataulokqal,danlebihU umum.T*erdapatzsejumlahalatyangbaikuntukmembantukeamananjaringan,mdansemakinbanyakdisertakqandalamU distribusiLinux.#Í8.1PacketSniersMSalah satucaraumumyangdigunakqanpGenyusupuntukmempGerolehakseskebanyaksistemdijaringanandaadalah=denganmenggunakqansebuahpacket=snierpadahostyangtelahdiganggu.N5SnierinimendengarkanpGortEthernetuntukhal-halseperti"Password"dan"Login"dan"su"dalamaliranpaketdankemudianmencatats"lalulintassetelahnya.&,Dengancaraini,UpGenyerangmempGerolehpassworduntuksistemyangbahkqantidakU merekqausahakanuntukdibGongkar.qPasswordU teksbiasaadalahsangatrentanterhadapseranganini.Contoh:ehost<.A<(telahdiganggu.i0Penyerangmenginstalsebuahsnier.i0SniermencatatloginadminkehostBdarihostC.IamempGerolehpasswordpersonaladminketikqaialoginkeB.Kemudian,adminmelakukqan'su'8untukmengatasisuatumasalah.qMerekqasekarangmemilikipasswordroGotuntukHostB.KemudianadminymembGolehkqanseseorangtelnetdarirekeningnyakehostZydisitelain.:SekqarangpGenyerangmemilikipassword/loginU dihostZ.Dibmasasekqarang,6pGenyerangbbahkantidakpGerlumengganggusebuahsistemuntukmelakukanhalini,6merekadapatU membawalaptopataupGckesuatugedungdanmenyadapkejaringananda.7K>썍G8.8KeamananJaringanUo27n.\DengankmenggunakqansshataumetoGdepasswordterenkripsilainnyadapatmencegahseranganini.Hal-hal sepGerti@UAPOP@untukrekeningpGopjugadapatmencegahseranganini.3(LoginpopnormalsangatrentanuntukU halini,samasepGertisegalasesuatuyangmengirimpasswordteksbiasamelaluikqabGel).#Í8.2Pelayanansistemdantcp_wrapp_ersMSegeransetelahandamenaruhsistemLinuxandadisembarangjaringan, halpGertamayangharusdilihatadalahbpGelayananyangbutuhandatawarkqan.3APelayanan-pGelayananyangtidakpGerluandatawarkqanseharus-nyaditiadakqansehinggaandamemilikisatuhalyangtidakpGerludikhawatirkqandanpGenyerangmemilikisatuhalU kurangnyauntukmencarilubang.ؼT*erdapat=sejumlahcarauntukmeniadakqanpGelayanandalamLinux. +UAndadapatmelihatpadale/etc/inetd.conf&danmelihatpGelayanan&apayangditawarkqanolehinetdanda.-Tiadakansegalayangtidakanda|vbutuhkqandenganmengkomentari|vmereka(taruh#diawal|vbaris),Kdankemudian|vmengirimkanprosesinetdU andasebuahSIGHUP*.Andadapatpulamenghilangkqan(ataumengkomentari)pGelayanan-pelayanandile/etc/services.,[Halinibe-rarticlientlokqalandatidakakanmenemukanpGelayanan(contoh,jikaandamenghilangkanftp,danbGerusahadanftpkesiteremotedarimesintersebutmakqaakangagaldenganpGesanpelayananyangtidakdikenal).TidaklahIbGerhargauntukmenghilangkqanpelayanan,$kqarenaItidakmemberikqankeamanantambahan.cJikqaorang_lokqalinginmenggunakanftpbahkanyangtelahandakomentari,merekqainginmembuatclientmerekqamenggunakqanU pGortftpumumdanmasihdapatbekerjabaik.BebGerapaU pelayananyanginginandabiarkqanadaadalah:ؼftptelnetmail,U sepGertipop-3atauimapidentdtimeJikqaandatahuandatidakinginmenggunakanbGeberapapakettertentu,andadapatmenghapusnya.8wrpm -exdalamdistribusiRedHatakqanmenghapusseluruhpaket.܇Dalamdebiandpkgakanmelakukanhalyangsama.ؼSebagaitambahan,}andabGenar-benaringinmeniadakqanutilitasrsh/rlogin/rcp,termasuklogin(digunakqanolehsrlogin),Gshell(digunakqanolehrcp),danexec(digunakqanolehrsh)daridimulaidalam/etc/inetd.conf.Protokol-protokolU inisangattidakamandanmenjadipGenyebabU eksploitdahulu.AndaA,pGerlumemeriksa/etc/rc.d/rcN.d,x]denganN@adalahrunlevelsistemandadanmelihatapakqahpelayanandimulaiΣdalamdirektoritersebuttidakdibutuhkqan. Filedalam/etc/rc.d/rcN.dsebGenarnyaadalahlinksimbGolik!kedirektori/etc/rc.d/init.d.`kMenggantinamaledalamdirektoriinit.dmemilikiefekmeniadakqanseluruhdlinksimbGolikdalam/etc/rc.d/rcN.d.JMJikqaandahanyainginmeniadakqanpGelayananuntukrunleveltertentu,U gantinamaleyangsesuaidenganhurufkecil.Jikqa؋andamemilikilercbGergaya؋BSD,andamungkininginmemeriksa/etc/rc*untukprogram-programyangU tidakandabutuhkqan.׀K>썍G8.8KeamananJaringanUo28n.\Kebanyakqan߂distribusiLinuxmenyertakqantcp_wrappGers"wrapping"seluruhpelayanan߂tcp. Sebuah tcp_wrappGersj (tcpd)dipanggildariinetdselaindariserversebenarnya.?tcpGdkemudianmemeriksahostyangmembutuhkqanpGelayanandankemudianmengeksekusiataumenolakaksesserversebGenarnyadarihosttersebut.PtcpGdmemungkinkqanandamembatasiakseskepGelayanantcpanda.PAndapGerlumembuat/etc/hosts.allowU danmenambahkqanhanyahostyangmembutuhkqanakseskepGelayananmesinanda.ؼJikqaVlandaadalahpGemakaidialuprumahan,]kamimenyarankanVlandamenolakseluruhnya.tcpGdVljugamencatatusaha\yanggagaluntukmengaksespGelayanan,PsehinggainidapatmembGeriandaidebahwaandasedangdis-erang.oK>썍G8.8KeamananJaringanUo29n.\8.5SATAN,ISS,danScannerJaringanLainnyaMT*erdapatsejumlahpaketsoftwarebGerbedayangmelakukqanpGenelusuranberdasarkqanportdanpelayanan mesin$ataujaringan.SA*TANdan$ISSadalahduayangpalingdikenal.SoftwareinibGerhubungankemesinsasaranv^(atauseluruhmesinsasarandisuatujaringan)disemuapGortyangada,~danbGerusahamenentukqanpGelayanan$apayangsedangberjalan.aZBerdasarkqaninformasiini,.]andadapatmenemukanmesinyangrentanterhadapU eksploitasitertentupadaserver.ؼSA*TANl(SecurityAdministratorsT*oGolforAnalyzingNetworks)adalahsebuahpGenelusurportdenganantaramukqa\&web.IadapatdikongurasiuntukmelakukqanpGemeriksaanringan,]menengah,ataubGeratpadamesinataupadajaringanmesin.RtAkqanmerupakanideyangbaikuntukmempGerolehSA*TANdanmemeriksamesinatau%jaringananda,/"danmembGenahimasalah-masalahyangditemukqan.aPastikan%andamempGerolehSA*TANdari#-sun-siteatauFTP# atauwebsiteyangbGereputasi.`T*erdapatsalinanTroya#-SATAN# yang#-didistribusikqandiU net.qhttp://www.tr}/ouble.org/zen/satan.htmlISSb(InternetSecurityScanner)adalahpGenelusurberdasarkqanportyanglain. YIalebihcepatdaripadaSA*TAN,danmungkinlebihbaikuntukjaringanyangbGesar.Namundemikian,SA*TANkmembGerikqanlebihbanyakU informasi.Abacus-Sentry21adalahpGenelusurportkomersildariwww.psionic.com.eLihatinformasilebihlanjutdihome-pagenya.qhttp://www.psionic.c}/omMendeteksicpGenelusuranport.T*erdapatbeberapaalatyangdirancanguntukmembGeritahuandaadanyaprobGeESA*TANDdanISSdansoftwarepGenelusuranlainnya.AkNamundemikian,AdenganpGemakqaiantcp_wrappGersz3yangliberaldanmemastikqanuntukmelihatlelogandasecaraberkqala,wandadapatmenge-tahui{SprobGetersebut.Bahkqanpadasettingterendah,SA*TAN{Imasih{SmeninggalkanjejakpadalogdisistemRedU Hat.#Í8.6Sendmail,qmaildanMTAMSalahSsatupGelayananSpentingSyangdapatandasediakqanadalahserversurat.mSayangnya,iajugasangatrentanU diserang,kqarenabanyaknyatugasyangharusdilakukqandandibutuhkannyaU ijinkhusus.JikqaJandamenggunakansendmail,_pGentinguntukmenjagaversiandaagaruptodate."Sendmailmemilikiosejarahpanjangdieksploitasikeamanan. vnSelalupastikqanandamenjalankanversiterbaru.http://www.sendmail.or}/gJikqaandabGosanmengupgradeversisendmailandasetiapminggu,andadapatmempertimbangkqanberalihkerqmail.ʇqmaildirancangdenganpGerhatianpadakeamanansejakawalnya.ʇIacepatdanstabildanaman.http://www.qmail.or}/g#Í8.7SeranganDenialofServiceMSerangandenialofserviceadalahsaatketikqapGenyerangbGerusahamenggunakqanbeberapasumberdayahinggaڍterlalusibukuntukmenjawabpGermintaanyangresmi,ataumenolakpGemakqairesmimengaksesmesinanda.Serangan-serangan\gsemacaminimeningkqatdengancepatpadatahun-tahun\gbGelakanganini.VBebGerapayangpGopuler/danterbaruditampilkqandibawah/ini.=Perhatikan/bahwayangbaruselalumunculsetiapsaat,K>썍G8.8KeamananJaringanUo30n.\sehinggadinihanyadmerupakqancontoh..BacalistLinuxsecuritydanlistsertaarchivebugtraquntukinformasi terkini.ؼSYNFloGoding"-SYNoGoding"adalahserangandenialofservicejaringan.IamengambilkeuntungandariW"loGophole"dalamkoneksiTCPWyangtercipta.zKernelLinuxterbaru(2.0.30keatas)memilikibGeberapaU,pilihankongurasiuntukmencegahseranganSYNoGodU,darimenolakorangakseskemesinatauU pGelayanananda.qLihatbagiankeamanankerneluntukpilihanpGerlindungankernelyangtepat.Pentium"F00F"Bug-InibaruditemukqanbahwaserangkqaiankoGdeassemblyyangdikirimkeprosesorasli4IntelPentiumakqanmerebGoot4mesin.mInimempGengaruhisetiapmesindenganprosesorPentium(bukqanKklon,atauPentiumKProatauPIGI),tidaktergantungpadasistemoperasiyangdijalankqan.KernelLinux a2.0.32keatasmemilikipGemecahanatasbugini,:1mencegahnyamenguncimesinanda.CKernel2.0.33gmemilikiversipGerbaikqanatashalini,l|dandisarankandaripada2.0.32.JikaandamenggunakanPentium,U andaharusupgradesekqarang!PingrFloGoding-Pingoodingadalahserangandenialofservicebruteforcesederhana.Penyerangmengirim"oGod"paketICMPkemesinanda.TJikqamerekamelakukaninidarihostdenganbandwidthyanglebihbaikdaripadamilikanda,?mesinandatidakakqanmampumengirimsesuatukejaringan.V*ariasi seranganini,8disebut"smurng"mengirimpaketICMP kehostdenganIP kembalianmesinanda,memungkinkqandmerekamembanjiriandadengansedikitterdeteksi.zAndadapatmenumukqaninformasiU lebihjauhtentangserangan"smurf"dihttp://www.quadrunner.c}/om/chuegen/smurf.txtJikqaandadiserangpingoGod,,gunakanalatsepGertitcpdumpuntukmenentukqanasalpaket(atautampaknyabGerasal),Vkemudianhubungiproviderandadenganinformasiini._PingoGoddapatsecaramudahU dihentikqandilevelrouterataudenganmenggunakqanrewall.Pingo'Death-SeranganPingo'DeathdisebabkqanlebihbGesarnyapaketICMPECHOREQUESTyang5datangdaripadayangdapatditanganistrukturdatakernel.D2Olehkqarenamengirimsebuahpaket"ping"썍G8.8KeamananJaringanUo31n.\T*erdapatBsedikit"keamanan"dibGolehkqandalammengeksporlesystem.8fAndadapatmembuatpetanfsd pGemakqai#rootremote(uid=0)kepemakqainobody*,membatasiaksestotalkele-leyangdiekspGor.Namundemikian,5kqarenaa1pGemakaiindividumemilikiakseskele-lemereka(ataupalingtidakuidyangsama),supGeruserremotedapatloginatausukerekeningmerekqadanmemilikiaksestotalkele-lemerekqa.JInihanyapGenghalangkecilbagiseorangpenyerangyangmemilikiaksesuntukmelakukqanmountlesystemremoteU anda.ؼJikqaKharusmenggunakanNFS,pastikanandamengekspGorkemesin-mesinyangandabutuhuntukekspGorsa0ja.0kJanganpGernahmengeksporseluruhdirektorirootanda,eksporhanyadirektoriyangperluandaekspor.LihatU NFSHOWTOuntukinformasilebihjauhtentangNFS.#Í8.9NIS(NetworkInformationService)(dahuluYP)MNetworkۻInformationService(dahuluYP)VadalahsuatucaramendistribusikqaninformasikesekelompGokmesin.k'MasterNISmenyimpantabGelinformasidanmengkonversinyakelepGetaNIS.Petainikemudianmelayani~jaringan,memungkinkqanmesinklienNIS~untukmempGerolehlogin,password,direktori~homedaninformasi(shell(seluruhinformasidile/etc/passwdstandar).HalinimemungkinkqanpGemakaimerubahpasswordU merekqasekalidanbGerlakupuladiseluruhmesindalamdomainNIS.NISdtidakĀseluruhnyaaman.IatidakpGernahdimaksudkqandemikian.IadimaksudkqanuntukbGergunadansederhana.&SetiapuorangdapatmenduganamadomainNIStanda(disetiaptempatdiNet)dapatmempGerolehsalinanS!lepasswd,SdanmenggunakqanCrackdanJohntheRippGerterhadappasswordpGemakqaianda.pJuga,adalah"mungkinuntukmenipuNIS"danmelakukqanbGerbagaitrikkotor.`JikqaandaharusmenggunakanNIS,pastikqanU andapahambahayanya.T*erdapat7pGenggantiNIS7yanglebihaman,pdisebutNIS+.SilakqanpGeriksaNIS7HOWTOuntuk7informasilebihU banyak.qhttp://sunsite.unc.e}/du/mdw/HOWTO/NIS-HOWTO.html#Í8.10%}FirewallMFirewalladalahsuatucarauntukmembatasiinformasiyangdibGolehkqanmasukdankeluardarijaringanlokqalanda.Umumnya^hostrewallterhubungkeInternetdanLAN^lokqalanda,asdanaksesLANandakeInternethanyaxmelaluirewall.ܕDengandemikianrewalldapatmengendalikqanapayangditerimadandikirimdariInternetU danLANanda.T*erdapatЀbGeberapatipedanmetodesettingrewall.Mesin-mesinLinuxdapatmenjadirewallyangbaikdangmurah.@KoGderewalldapatdibangunlangsungkedalamkernel2.0ataulebihtinggi.@AlatipfwadmuserspacememungkinkqanandamerubahtipGelalulintasjaringanyangandabGolehkqansecaraonthey*.oAndadapatU pulamencatattipGelalulintasjaringantertentu.FirewalladalahteknikyangsangatbGergunadanpentingdalammengamankqanjaringananda.Penting&untukmenyadaribahwaandatidakbGolehpernahberpikirbahwadenganmemilikire-wall, @kanda\tidakpGerlumengamankqanmesin-mesindibaliknya.4Inikesalahanfatal.4PeriksaFirewall-HOWTOyang>sangatbagusdiarsipterbarusunsiteuntukinformasimengenairewalldanLinux.http://sunsite.unc.e}/du/mdw/HOWTO/Firewall-HOWTO.htmlInformasiXlebihbanyakXjugadapatditemukqandiIP-Masquerademini-howto:http://sunsite.unc.e}/du/mdw/HOWTO/mini/IP-Masquerade.html K>썍G9.8P>ersiapanKeamanan(sebQelumon-line)[32n.\Informasi lebihlanjuttentangipfwadm(Alatyangmemungkinkqanandamerubahsettingrewallanda,dapat ditemukqanU dihomepagenya:qhttp://www.xos.nl/linux/ipfwadm(9PcersiapanG\Keamanan(sebpelumon-line):OK,jadiandatelahmemeriksaseluruhsistemanda, danmenentukqanbahwaiaaman, dansiapmenaruhnyaonline. (IT*erdapatcbGeberapahalyangperluandalakukqankiniagarsiapbilapenyusupanbenarterjadi,sehinggaU andadapatsecaracepatmeniadakqanpGenyusup,dandapatkembalidanbGerjalan.#Í9.1BuatBackupMenyeluruhSistemAndaMDiskusidmengenaimetoGdebackupdanpenyimpanandiluarlingkupdokumenini,46tetapibeberapakqatabGerkqaitanxdenganbackupdankeamanan:),Jikqaandamemilikikurangdari650mbdatauntukdisimpandalampartisi,salinandataandapadaCD-Radlahcarayangbaik(kqarenasulitmerubahnyadanjikqadikembalikqandengan3tepatdapatlestari).KT*apGedanmediarewritablelainnya3harusdiwriteprotectsegerasetelahbackupandaselesaidandiverikqasiuntukmencegahpGerubahan.VPastikqanandamenyimpanbackupandaditempatyangsaman.LBackupyangbaikakqanmemastikanandamemilikititikyangbaikuntukmengembalikqansistemanda.9.2MemilihJadwalBackupyangBaikMSiklussix-tapGeadalahmudahdipelihara.Inimencakupempattapeselamasatuminggu,satutapeuntukJumatsPgenap,zdansatutapGeuntukJumatganjil.Lakukqanincrementalbackupsetiaphari,zdanfullbackuppadatapGeJumatyangtepat.4aJikqaandamembuatpGerubahanpentingataumenambahdatapGentingkesistemanda,U lakukqanbackup.9.3BackupFileDatabaseRPMatauDebianAndaMBilabadapGenyusupan,sandadapatmenggunakqandatabaseRPMJsebagaimanaandamenggunakantripwire,tetapi`UhanyabilaandapastiiabGelumdimodikqasi. AndaperlumenyalindatabaseRPM`keoppy*,#danmemeliharanya.qDistribusiU DebiantampaknyaU memilikihalserupa.ؼSecara\khusus,le/vqar/lib/rpm/leindex.rpmdan/var/lib/rpm/packages.rpmtidakakancukupdisatuoppy*.qKompreslahU makqamasing-masingakancukupdioppyterpisah.Kini,U bilasistemandaterganggu,andadapatmenggunakqanpGerintah: ffG root#Nrpm-VafFffG ȍuntuksmemverikqasisetiapledisistem.DyLihatmanpageRPM,adabGeberapapilihanlainyangdapatdisertakqanU untukmembuatkqankurangdetil.ArtinyasetiapkqaliRPM5baruditambahkankesistem,databaseRPM5pGerludiarsipulang.qAndaperlumemutuskqanU keunggulanversuskelemahan.!'ݠK>썍G9.8P>ersiapanKeamanan(sebQelumon-line)[33n.\9.4PeliharaDataAkuntansiSistemAndaMSangat5tpGentingbahwainformasiyangbGerasaldarisyslogbelumdiganggu.}Membuatledalam/vqar/log dapatU dibacadanditulisolehsejumlahpGemakqaiterbatasadalahawalU yangbaik.ؼY*akinkqanuntukmempGerhatikanapayangditulisdisana,vkhususnyadalamfasilitas'auth'.BanyaknyakegagalanU login,sebagaicontoh,dapatmengindikqasikanU usahabreak-in.KeTmanauntukmelihatlelogandatergantungpadadistribusianda.prDalamsistemLinuxyangsesuaidengan"LinuxFilesystemStandard",NsepGertiRedHat,andainginmelihatke/vqar/logdanmemeriksapGesan-pesan,U mail.logdanlainnya.AndaNdapatmenemukqandimanadistribusiandamencatatdenganmelihatpadale/etc/syslog.conf.% InileU yangmembGeritahusyslogd(thesystemloggingdaemon)dimanamencatatbGerbagaipesan.Andamungkininginmengkongurasiscriptlog-rotatingandaataudaemonuntukmenjagaloglebihpanjangsehinggadandamemilikiwaktuuntukmemeriksanya.!pLihatpaket'logrotate'dalamdistribusiRedHatterkini.DistribusiU lainjugamemilikiprosesyangserupa.Jikqa>lelogandatelahdiganggu,Blihatbilaandadapatmenentukankapanterjadinya,Bdan>hal-halapayangdiganggu.rApakqahadapGeriodewaktuyangtidakdapatdihitung?rPeriksatapGebackup(jikqaandapunya)untukU lelogyangtidaktergangguadalahideyangbaik.File!logumumnya!dimoGdikqasiolehpenyusupdalamrangkqamenutupjejaknya,Ttetapimerekqaharusjugamemeriksaskejadian-kejadiananeh.xAndamungkinmempGerhatikqanpenyusupberusahamemperolehjalanmasuk,atau_mengeksploitasiprogramdalamrangkqamempGerolehrekeningroot.>AndamungkinmelihatmasukqanU logsebGelumpenyusupmemilikiwaktumemoGdikqasimereka.Anda}harusjugayakinuntukmemisahkqanfasilitas'auth'daridataloglain,PtermasukusahauntukmenggantipGemakqaiU menggunakan'su',usahalogin,daninformasiakuntansipGemakailainnya.JikqaUmungkin,kongurasisysloguntukmengirimsalinandatayangpalingpGentingkesistemyangaman.썍G10.8Apay>angHarusDilakuk\|anKetikadanSetelahBreak-In<34n.\10%ApaG\ycangHarusDilakukanKetikadanSetelahBreak-In:JadiϼandatelahmengikutibGeberapaϼnasehatdisini(atauditempatlain)dantelahmendeteksibreakin?E Hal pGertamaxRyangharusdilakukqanadalahtetaptenang.TindakanyangcerobGohakanmengakibatkankerugianyangU lebihdaripadayangdapatdilakukqanpGenyerang.#Í10.1%}Usahap_enggangguansedangberlangsungMMenemukqangangguankeamananyangsedangbGerlangsungdapatmenjadipekerjaanyangbGerat.BBagaimanaandaU bGereaksidapatmemberikonsekuensibesar.ؼJikqaZgangguanyangandalihatadalahsik,8ganjilbilaandamenemukqanseseorangyangtelahmasukkerumah anda,kqantorataulab.4$AndapGerlumembGeritahuotoritaslokqalanda.4$DalamsettinglabandamungkinmenemukqanvseseorangbGerusahamembukqacaseataumerebGootvmesin.'!T*ergantungpadaotoritasdanprosedurlokqal,U andamungkinmemintamerekqauntukbGerhenti,atauhubungiorang-orangkeamananlokqalanda.JikqaQ.andamendeteksipGemakailokalbGerusahamengganggukeamanananda,1halpertamayangdilakukqanadalahumemastikqanmerekaadalahsiapayangandapikirkan.\Periksasitedarimanamerekalogin.\Apakahitusiteyangbiasatempatmerekqamasuk?KemudiangunakqanmedianonelektronikuntukbGerhubungan.Sebagai}!contoh,!telpGonmerekqaataukunjungikantor/rumahmerekadanbGerbicarakepadamereka.JikamerekqaCyakinmerekamemangmasuk, andadapatmemintamerekamenjelaskanapayangmerekalakukanatau_mintamerekqauntukmenghentikqanhaltersebut.>Jikamerekatidakmasuk,dantidaktahuapayangandabicarakqan,-insideninitidakmemerlukaninvestigasilebihlanjut.wLihatinsiden-insidensemacamini,danU ambillahbanyakinformasisebGelummelakukqantuduhan.Jikqaandamendeteksigangguanjaringan,YhalpGertamayangharusdilakukan(jikaandamampu)adalahmemutuskqanjaringananda.JikamerekaterhubungmelaluimoGdem,?oputuskankabGelmodem,?ojikqamerekaterhubungv5melaluiethernet,~zputuskqankabGelethernet.ԿHaliniakanmencegahmerekamelakukankerusakanyangU lebihparah,danmerekqamungkinakqanmelihatnyasebagaimasalahjaringandaripadadeteksi.JikqaNandatidakmampumemutuskanjaringan(jikaandamemilikisiteyangsibuk, atautidakmemilikikendalisik@atasmesinanda),DlangkqahterbaikbGerikutnya@adalahmenggunakansesuatusepGertitcp_wrappersatauipfwadmU untukmenolakaksesdarisitepGenyusup.JikqalandatidakdapatmenolakseluruhorangdarisiteyangsamadenganpGenyusup,andadapatmenguncirekeningDpGemakqai.kPerhatikanDbahwamenguncirekeningbukqanlahhalyangmudah.kAndaharusmengingatleU .rhosts,aksesFTP*,danhostbackdoGor).SetelahԀandaselesaimelakukqansalahsatulangkahdiatas(memutuskanjaringan,Xmenolakaksesdarisitemerekqa,wdan/ataumeniadakanrekeningmereka),wandabutuhmembunuhseluruhprosespGemakqaimerekadanmencatatU merekqa.Anda)pGerlumemonitorsiteandadenganbaikuntukbeberapamenitselanjutnya,^kqarena)penyerang)akqanbGerusahaedanmasukkembali.UBMungkinedenganmenggunakqanrekeningyangbGerbeda,Wdan/atauedarialamatjaringanU yangbGerbeda.#Í10.2%}GangguanKeamanansudahterjadiMJadiandatelahmendeteksigangguanyangtelahterjadiatauandatelahmendeteksinyadanmengunci(mudah-mudahan)U pGenyerangdarisistemanda.qLaluapa?#CCK>썍G10.8Apay>angHarusDilakuk\|anKetikadanSetelahBreak-In<35n.\10.2.1(Men>utupLubangMJikqaandamampumenentukancaraapayangdigunakanpGenyeranguntukmasukkesistemanda,Xanda pGerluberusahadanmenutuplubangitu..Sebagaicontoh,mungkinandamelihatbGeberapamasukqanFTPsebGelumpemakqailogin.RTiadakanpGelayananFTPodanpGeriksadanlihatjikqaadaversipGerbaikqanataudaftarpGerbaikqan.ؼPeriksacseluruhlogleanda,dankunjungilistdanhalamankeamananandadanlihatapakqahadaek-sploitasiLumumbaruyangdapatandapGerbaiki. AndadapatmenemukqanpGerbaikankeamananCalderadihttp://www.c}/aldera.com/tech-ref/security.dRedPHatbGelummemisahkqanperbaikqankeamanandenganper-baikqanibug,ntetapierratadistribusitersediadihttp://www.r}/edhat.com/errata.T*ampaknyaibilasatuvendormengeluarkqanU pGerbaikankeamanan,makavendorLinuxlainnyajugaakqanmelakukanhalyangsama.Jikqa andatidakmenguncipGenyerang,mereka cenderungakankembali.:ATidak hanyakemesinanda,tetapikembalickesuatutempatdijaringananda.gHJikqamerekamenjalankanpaketsnier,&3merekaakanmemilikiaksesU kemesinlainnya. 10.2.2(MempQerkirak\|anKerusakanMHalXpGertamaadalahmemperkirakqankerusakan.^>Apayangtelahdiganggu?JikqaandamenjalankanIntegrityChecker~sepGertiT*ripwireandadapatmembuattripwirebGerjalandanmembGeritahuanda.Jikqatidak,VandaharusU melihatseluruhdatapGentinganda.OlehTkqarenasistemLinuxmenjadisemakinmudahdiinstal,TandapGerlumempertimbangkqanmenyimpanlecongandadankemudianmenghapusseluruhdiskdanmelakukqaninstalulang,ƅkemudianmengembalikanle-lepGemakqaidaribackupdanconganda.HaliniakanmemastikanbahwaandamemilikisistemyangbGersih.HJikqaandamemilikilebackupdarisistemyangterganggu,hati-hatiterhadapbineryangandakembalikqanU karenamungkinituadalahkudatroyayangditempatkqanolehpGenyusup. 10.2.3(Bac>kup,Backup,BackupMMemiliki{backupreguleradalahtindakqankeamananyangbaik. Jikqasistemandadiganggu,andadapatmengembalikqan datayangdibutuhkqandaribackup.`T*entusa0jabGeberapa databGernilaibagipenyerang juga,danUmerekqatidakhanyaUmenghancurkannya,VmerekaUjugamencurinyaUdanmenyalinnya,VtetapiUpalingtidakandaU masihmemilikidata.Anda1pGerlumemeriksabeberapabackupmasalampausebelummengembalikqansuatuleyangtelahter-ganggu.2Penyusupmungkintelahmenggangguleandadahulu,danandadapatmembuatbanyakbackupyangU bGerhasiluntukleterganggu!!!T*entusa0ja,adakeprihatinankeamanandenganbackup.s6Pastikqanandamenyimpannyaditempatyangaman.]2Mengetahui4siapayangmengaksesmerekqa.]2(Jika4pGenyerangdapatmempGerolehbackupanda,$cmerekqadapatU memilikiakseskeseluruhdataandatanpapGernahandaketahui). 10.2.4(MelacakP>enyusupMOK,'pandatelahmenguncipGenyusup,0danmengembalikqansistemanda,0tetapiandabGelumselesai.bEMeskipunkebanyakqanU pGenyusupsangatjarangakqanditangkap,andapGerlumelaporkqanserangan.$SK>썍G11.8Sum>bQer-sumberKeamanan+i˹36n.\AndapGerlumelaporkqanserangankekontakadmindisitedimanapGenyerangmenyerangsistemanda.WnAnda dapatmelihatkontakinimelalui"whois"ataudatabaseinternic.9Andamungkinmengirimimerekqaemaildenganseluruhcatatanlog.DJikqaandamenjumpaisesuatuyangbGerbedatentangpGenyusupanda,8andamungkinDmenyebutkqannyajuga.kSetelahmengirimkqanemail,G}andapGerlu(jikaandabGegituingin)menindak-lanjutidengantelpGon.9JikqaadmintersebutmenemukanpGenyeranganda,CmerekamungkindapatbGerbicaradenganU adminsitedarimanamerekqabGerasaldanseterusnya.ؼHackerqyangbaikselalumenggunakqansistempGerantara.JBeberapaq(ataubanyak)qdiantaranyaqbahkqantidaktahuaBbahwamerekqatelahdiganggu.Berusahamelacakcrackerkesistemhomemerekqadapatmenjadisulit.BersikqapU sopandenganadminyangandaa0jakbicaraakanmemudahkanmendapatbantuandarimereka.Anda=pGerlujugamemberitahu=organisasikeamanandenganandasebagaibagiannya(CER*Tatauyangserupa).(11%Sumcbper-sumberG\Keamanan:T*erdapatbanyaksitebagusbagikeamananUNIXsecaraumumdankeamananLinuxsecarakhusus.[4San-gattpGentingberlangganankesatu(ataulebih)miliskeamanandanterusmengikutipGerbaikqan-perbaikankeamanan.qKebanyakqanU listinibGervolumesangatrendah,dansangatinformatif.#Í11.1%}SiteFTPMCER*TsadalahComputerEmergencyRespGonseTeam.MerekqaseringmengirimkanpGeringatanserangan-seranganU danpGerbaikqanterkini.qcert.orgReplaysmemilikiarsipbanyakprogramkeamanan.(yKarenamerekqabGeradadiluarAS,merekatidakpGerlumematuhiU pGembatasankriptoAS.replay*.comMattGBlazeadalahpGenulisCFSdanpenasihatkeamananyanghebat. fBarang-barangMattBlaze'sftp://ftp.r}/esearch.att.com/dist/mabftp.win.tue.nlU adalahftpsitekeamananyanghebatterdapatdiBelanda.#Í11.2%}SiteWebMFAQU HackeradalahFAQtentanghacker.ArsipU COASTmemilikibanyakprogramkeamananUNIXdaninformasi.RoGotshell.comU adalahsitebagusuntukmelihatapaeksploitasiyangsedangdigunakqanolehcracker.BUGTRAQU menaruhnasihatpadaisu-isukeamanan.CER*T,ComputerEmergencyRespGonseTeam,menaruhnasihat-nasihatatasseranganumumpadaplatformUNIX.DanF*armeradalahpGenulisSATANdanbanyakalatkeamananlain,% homesitenyamemilikiinformasisurveikeamananU danjugaalatkeamanan.LinuxU securityWWWadalahsiteyangbaikuntukinformasikeamananLinux.ReptileU memilikibanyakU informasikeamananLinuxpadasitenya.%cK>썍G11.8Sum>bQer-sumberKeamanan+i˹37n.\InlsecmemilikimesinkerentananyangdapatmembGeritahuandakerentananapayangmempGengaruhiplat- formU tertentu.ؼCIACU mengirimbuletinkeamananpGeriodikU mengenaieksploitasiumum.Titik vawalbaikuntukLinuxPluggableAuthenticationMoGduledapatditemukqandihttp://www.kernel.or}/g/pub/linux/libs/pam.#Í11.3%}MilisMBugtraq:untukbGerlangganankebugtraq,kirimsuratkelistserv@netspace.orgbGerisipesansubscribebug-traq.q(lihatU linkdiatasuntukarsip).CIAC:fkirimemailkema0jordomo@tholia.llnl.gov.]Dalamtubuhsurat(bukqansubyek)taruh:subscribGeciac-bulletin#Í11.4%}Buku-MateriBacaanTercetak.MT*erdapat_sejumlahbukukeamananyangbagus.썍G12.8DaftarIstilaho38n.\12%DaftarG\IstilahHost:qSuatuU sistemkomputeryangterhubungkesuatujaringanFirewall:ASebuah]kompGonenatauseperangkqatkomponenyangmembatasiaksesantarajaringanterlin- dungiU danInternet,atauantarabGeberapaU jaringanlain.BastionHost:Suatusistemkomputeryangharusdiamankqandenganbaikkarenarentanuntukdis-erang,0biasanya4kqarenaiadiekspGoskeInternetdanmerupakqantitikutamahubunganpGemakqaijaringaninternal.SIamempGerolehnamanyadariproyekpGenguatandindingluarbentengjamandahulu.SBastionmelihatareakritispGertahanan,Ebiasanyamemilikidindingyangkuat,ruanguntukpasukqantambahan,danU baktempatminyakU panasuntukmenghambatpGenyerang.Dual-homedU Host:qSistemkomputerserbagunayangpalingtidakmemilikiduaantarmukqajaringan.Packet:qUnitU dasarkomunikqasiU diInternet.PacketeFiltering:K"AksiyangdilakukqandeviceuntuksecaraselektifmengendalikqanalirandatadaridankeK!jaringan.SPacketltermembGolehkqanataumemblokpaket,biasanyaketikqameroutemerekadarisatur jaringankejaringanlain(kebanyakqanInternetkejaringaninternal,Fdansebaliknya).ADenganmemasangpacketltering,andamensetupsepGerangkqataturanyangmenspGesikqasikantipGepaket(dariatauU kealamatIPataupGorttertentu)yangdibGolehkqandantipeapayangdiblok.Perimetermnetwork:Jaringanyangditambahkqanantarajaringanterlindungdanjaringaneksternal,dalamU rangkqamembGerikanlayerU tambahankeamanan.qJaringanpGerimeterkqadangdisebutDMZ.Proxy`server:SuatuprogramyangbGerkqaitandenganservereksternalatasnamaclieninternal.?KlienproxybGerbicarakeserverproxy*,yangmerelaypGermintaanklienyangdisetujuikeserversebGenarnya,danU merelayjawabankeklien.Denial ofService: SerangandenialofserviceadalahketikqapGenyerangmenghabiskqanseluruhsum-bGerdayakomputerandauntukhal-halyangtidakditujukqanuntukdikerjakqan,karenaitumencegahpGemakqaianU normalsumberdayaU jaringanandauntuktujuanyangsah.BuerOverow:QGayapGengkodeanumumadalahtidakpGernahmengalokqasikanbuer"cukupbGesar"danu^tidakmemeriksaoverow.9Ketikqau^buertersebutoverow,}mprogramu^yangmengeksekusi(daemonatauWset-uid)dapatditipuuntukmelakukqanhallain.DSecaraumuminibGekerjadenganmenulisialamatkembalianU suatufungsidistackuntukmenunjukkelokqasilain.IP=aSpGoong:BzIP-Spoong=adalahseranganteknisyangrumityantterdiridaribGeberapa=komponen.Ini /adalaheksploitasikeamananyangbGekerjadenganmenipukomputerdalamhubungankepGercayaanbahwabandaadalahoranglain.eT*erdapatbanyakbmakqalahditulisolehdaemon9,eUroute,danbinnitydiV*olumeU Seven,IssueFourty-EightU ma0jalahPhrack.Authentication:y1SifatmengetahuibahwadatayangditerimaadalahsamadengandatayangdikirimdanU bahwapGengirimyangmengklaimadalahbGenar-benarpengirimsebenarnya.Non-repudiation:5SifattbahwapGenerimamampumembuktikqanbahwapGengirimdatabenar-benarmen-girimаdatabahkqanbilamanapGengirimkemudianаberusahamenyangkqalаpernahmengirimdatatersebut.'xsK>썍G13.8P>ertanyaan-pQertanyaanY angSeringDiajuk\|anG39n.\13%Pcertanyaan-ppertanyaanG\Y(angSeringDia9jukan 9b1.Apakqah]Mlebihamanmengkompilasidukungandriversecaralangsungkedalamkernel,_Xdaripadamem- buatnyaU jadimoGdul?Jawab:2BebGerapaorangberpikirbahwalebihbaikuntukmeniadakqankemampuanuntukmeloaddevicedriverFmenggunakqanmoGdul,karenapGenyusupdapatmemuatmoGdultroyaataumemuatmoGdulyangdapatU mempGengaruhikeamanansistem.Namunwdemikian,dalamrangkqamemuatmoGdul,andaperlumenjadiroot.'FileobyekwmoduljugahanyadapatoditulisolehroGot.ArtinyaopenyusupoperluaksesrootuntukmenyisipkqanmoGdul.JikapGenyusupmempGerolehfaksesroot,jterdapathal-halyanglebihseriusyangpGerludikhawatirkqandaripadaapakahiaU akqanmemuatmoGdul.MoGdulqadalahuntukdukunganpemuatansecaradinamisuntukdevicetertentuyangmungkinjarangdigunakqan.LPada"mesinserver,V ataurewallsebagaicontoh,V inisangatjarangterjadi.LOlehkqarenaalasancini,akqanlebihmasukakaluntukmengkompilasidukungansecaralangsungkekerneluntukmesinyangbGerfungsisebagaiserver.,MoGduljugalebihlambatdaripadadukunganyangdikompilasisecaraU langsungdalamkernel. 9b2.LogcPinsebagairoGotdarimesinremoteselalugagal.Jawab:LihatcPbagiankeamananroot.Halinidilakukqanΰdengansenga0jauntukmencegahpGemakairemotebGerusahaberhubunganmelaluitelnetkemesinznandasebagairoGot,yangmerupakqankerentanankeamananyangserius.kJanganlupa,pGenyusuppGotensialmemilikiwaktudipihaknya, dandapatmenjalankqanprogramotomatisuntukmenemukqanpasswordU anda. 9b3.BagaimanasayamengadakqanshadowpassworddisistemLinuxRedHat4.2atau5.0saya?Jawab:Shadow passwordadalahmekqanismepGenyimpananpasswordandadalamleselainle/etc/passwd.Hal9inimemilikibGeberapa9keunggulan.LY*angpGertamaadalahleshadow,/etc/shadow,hanya9dapatdibacamolehroGot,tidakseperti/etc/passwd,yangharusdapatdibacaolehsetiaporang.AfKeunggulanlain'UntukhaliniandadapatmenggunakqanmoGdul'pam_cracklib',yangmerupakqanbagianP*AM.IamembandingkanpustakaCrackdenganpasswordandauntukmembantuandaU memutuskqanbilaiaterlalumudahditerkqaolehprogrampGemecahpassword. 9b4.BagaimanaU sayamengadakqanekstensiApacheSSL?Jawab:9(a)/AmbilU SSLeay0.8.0atauselanjutnyadariftp://ftp.psy.uq.oz.au/pub/Crypto/SSL(b)/Bangun,U cobadaninstalah!(zK>썍G14.8Kesimpulanx40n.\(c)/AmbilU sumbGerApache1.2.5Z(d)/AmbilU ApacheSSLeayextensionsdari(e)/BukqaU didalamdirektorisumbGerapache-1.2.5danpatchApachesesuaiREADME.dJ(f)/KongurasiU danbangunlah.ZAndaSmungkinjugainginmencobaReplayAssoGciatesyangmemilikibanyakpaketsudahdibangun, danU terletakdiluarAmerikqaSerikat. 9b5.BagaimanaAbsayamemanipulasirekeningpGemakqai,|rdanmasihmempertahankqankeamanan?6EJawab:Distribusi.RedHat,eterutamaRH.v5.0,bGerisisejumlahtoolbagusuntukmerubahpropertirekeningpGemakqai.%/ProgramMpwconvdanunpwconvdapatdigunakqanuntukmengkonversidanmengkonversibalik/antaraU passwordshadowdannon-shadowedZ%/Program̽pwckdangrpGckdapatdigunakqanuntukmemverikqasiorganisasilepasswddangrup/yangU tepat.%/Programuseradd,ausermoGd,danuserdeldapatdigunakqanuntukmenambah,amenghapusdan/mengubah4rekeningpGemakqai.Programgroupadd,9groupmod,dan4groupdelakqanmelakukanhal/yangU samauntukgrup.%/PasswordU grupdapatdibuatdengangpasswd.ZSeluruhprogramini'shadow-aware'yaitu;cjikqaandamengadakanshadowiaakanmenggunakan/etc/shadowU untukinformasipassword,sebaliknyaiatidakakqan.Z7LihatU manpageyangsesuaiuntukinformasilebihlanjut. 9b6.BagaimanasayamemproteksidenganpassworddokumenHTMLtertentumenggunakqanApache?:SayabGertaruhU andatidaktahutentanghttp://www.ap}/acheweek.orgU bukqan?Z7AndaXdapatmenemukqaninformasitentangUserAuthenticationdihttp://www.ap}/acheweek.com/features/userauth jugatipkeamananserverweblainnyadarihttp://www.ap}/ache.org/docs/misc/security_tips.html(xj14%Kesimpulan:DenganhbGerlanggananmilisperingatankeamanan,`zdanselalumengikutiperkembangan,`zandahdapatmelakukqanbanyakhaluntukmengamankqanmesinanda.JikaandamempGerhatikanle-lelogandadanmenjalankqanU sesuatusepGertitripwiresecararutin,andadapatmelakukanyanglebihjauhlagi.ؼTingkqatlkeamanankomputeryangcukuptidaksulitdipGeliharauntukmesinrumahan.1UpayalebihbanyakdibutuhkqanxColehmesinbisnis, tetapiLinuxdapatmenjadiplatformyangaman.OlehkqarenasifatpGengem-banganLinux,pGerbaikqankeamananseringdikeluarkqanlebihcepatdaripadapadasistemopGerasikomersil,membuatU LinuxplatformyangidealketikqakeamananmenjadisuatupGersyaratan.15%T(erimaG\KasihKepada:Informasi.XdisinidikumpulkqandaribGerbagaisumber.)T*erimakqasihkepadayangtelahbGerkontribusibaiksecaraU langsungmaupuntidaklangsung:)K>썍G16.8CatatanP>enerjemahLY޹41n.\:$RobNRiggs =:$S.NCoffin:$ViktorNPrzebinda:$RoelofNOsinga:$KyleNHasselbacher:$"DavidNS.Jackson":$"ToddNG.Ruskell":$RogierNWolff(16%CatatanG\Pcenerjemah:DiterjemahkqanU olehT;e}/diHeriyantoؼT*anggalU 29Maret1999.Kritik,U saranataukomentarU mengenaiterjemahanini,silakqankirimkankeemailsaya.g;KG)qL ectt0900HЃ ecti1000!N ecbx1200]f ecbx1000&Lt$ffffecbx1440y& ecsx10006 ecss1000qL ectt1000Iqqecss2074 1 ecrm1000 !", cmsy10W