Mengamankan VPS Linux

Mengontrol server Linux Anda sendiri adalah kesempatan untuk mencoba hal-hal baru dan memanfaatkan kekuatan dan fleksibilitas platform yang hebat. Namun, administrator server Linux harus berhati-hati yang sesuai dengan mesin yang terhubung ke jaringan agar tetap aman dan aman.
Ada banyak topik keamanan berbeda yang termasuk dalam kategori umum "keamanan Linux" dan banyak pendapat tentang seperti apa tingkat keamanan yang sesuai untuk server Linux.

Memblokir Akses dengan Firewall
Salah satu langkah termudah untuk merekomendasikan kepada semua pengguna adalah mengaktifkan dan mengkonfigurasi firewall. Firewall bertindak sebagai penghalang antara lalu lintas umum internet dan mesin Anda. Mereka melihat lalu lintas yang masuk dan keluar dari server Anda, dan memutuskan apakah harus memungkinkan informasi dikirimkan.
Mereka melakukan ini dengan memeriksa lalu lintas yang dipermasalahkan terhadap seperangkat aturan yang dikonfigurasi oleh pengguna. Biasanya, server hanya akan menggunakan beberapa port jaringan spesifik untuk layanan yang sah. Sisa port tidak digunakan, dan harus dilindungi dengan aman di balik firewall, yang akan menolak semua lalu lintas yang ditujukan untuk lokasi ini.
Ini memungkinkan Anda untuk menjatuhkan data yang tidak Anda harapkan dan bahkan mengkondisikan penggunaan layanan nyata Anda dalam beberapa kasus. Aturan firewall waras memberikan dasar yang baik untuk keamanan jaringan.
Ada beberapa solusi firewall yang tersedia. Kami akan membahas secara singkat beberapa opsi yang lebih populer di bawah ini.
UFW
UFW adalah singkatan dari firewall yang tidak rumit. Tujuannya adalah untuk memberikan perlindungan yang baik tanpa sintaksis rumit dari solusi lain.
UFW, dan juga sebagian besar firewall Linux, sebenarnya merupakan front-end untuk mengendalikan firewall netfilter yang disertakan dengan kernel Linux. Ini biasanya firewall sederhana untuk digunakan bagi orang-orang yang belum terbiasa dengan solusi firewall Linux dan umumnya merupakan pilihan yang baik.
Anda dapat mempelajari cara mengaktifkan dan mengkonfigurasi firewall UFW dan mencari tahu lebih banyak dengan mengklik tautan ini.

Tabel IP
Mungkin solusi firewall Linux yang paling terkenal adalah iptables. IPTables adalah komponen lain yang digunakan untuk mengelola firewall netfilter yang termasuk dalam kernel Linux. Sudah ada sejak lama dan telah menjalani audit keamanan yang intens untuk memastikan keamanannya. Ada versi iptables yang disebut ip6tables untuk membuat pembatasan IPv6.
Anda mungkin akan menemukan konfigurasi iptables selama Anda mengelola mesin Linux. Sintaksnya mungkin sulit untuk dipahami pada awalnya, tetapi itu adalah alat yang sangat kuat yang dapat dikonfigurasi dengan set aturan yang sangat fleksibel.
Anda dapat mempelajari lebih lanjut tentang cara menerapkan beberapa aturan firewall iptables di sistem Ubuntu atau Debian di sini, atau mempelajari cara menggunakan iptables di distro berbasis CentOS / Fedora / RHEL di sini.

Tabel IP6
Seperti disebutkan di atas, iptablesdigunakan untuk memanipulasi tabel yang berisi aturan IPv4. Jika Anda memiliki IPv6 diaktifkan pada server Anda, Anda akan perlu juga memperhatikan setara IPv6: ip6tables.
Firewall netfilter yang termasuk dalam kernel Linux membuat lalu lintas IPv4 dan IPv6 benar-benar terpisah. Ini disimpan dalam tabel yang berbeda. Aturan yang menentukan nasib akhir suatu paket ditentukan oleh versi protokol yang digunakan.
Apa artinya ini bagi administrator server adalah bahwa aturan yang terpisah harus dipertahankan ketika versi 6 diaktifkan. The ip6tablesperintah saham sintaks yang sama seperti iptablesperintah, sehingga menerapkan set yang sama pembatasan dalam versi 6 tabel biasanya lurus ke depan. Anda harus yakin lalu lintas yang cocok diarahkan pada alamat IPv6 Anda, agar ini berfungsi dengan benar.

NFTables
Walaupun iptables telah lama menjadi standar untuk firewall di lingkungan Linux, firewall baru bernama nftables baru-baru ini ditambahkan ke dalam kernel Linux. Ini adalah proyek oleh tim yang sama yang membuat iptables, dan dimaksudkan untuk akhirnya menggantikan iptables.
Firewall nftables mencoba mengimplementasikan sintaks yang lebih mudah dibaca daripada yang menemukan pendahulunya iptables, dan mengimplementasikan dukungan IPv4 dan IPv6 ke dalam alat yang sama. Walaupun sebagian besar versi Linux saat ini tidak memberikan kernel yang cukup baru untuk mengimplementasikan nftables, itu akan segera menjadi hal yang biasa, dan Anda harus mencoba membiasakan diri dengan penggunaannya.

Menggunakan SSH untuk Masuk dengan Aman dari Jarak Jauh
Saat mengelola server di mana Anda tidak memiliki akses lokal, Anda harus masuk dari jarak jauh. Cara standar dan aman untuk mencapai ini pada sistem Linux adalah melalui protokol yang dikenal sebagai SSH, yang merupakan singkatan dari secure shell.
SSH menyediakan enkripsi ujung ke ujung, kemampuan untuk mengarahkan lalu lintas yang tidak aman melalui koneksi yang aman, penerusan X (antarmuka pengguna grafis melalui koneksi jaringan), dan banyak lagi. Pada dasarnya, jika Anda tidak memiliki akses ke koneksi lokal atau manajemen out-of-band, SSH harus menjadi cara utama Anda berinteraksi dengan mesin Anda.
Meskipun protokol itu sendiri sangat aman dan telah menjalani penelitian dan tinjauan kode yang luas, pilihan konfigurasi Anda dapat membantu atau menghambat keamanan layanan. Kami akan membahas beberapa opsi di bawah ini.

Kata sandi vs SSH-Key Login
SSH memiliki model otentikasi fleksibel yang memungkinkan Anda masuk menggunakan sejumlah metode berbeda. Dua pilihan yang paling populer adalah otentikasi kata sandi dan kunci SSH.
Walaupun otentikasi kata sandi mungkin merupakan model yang paling alami bagi sebagian besar pengguna, itu juga kurang aman dari dua pilihan ini. Login kata sandi memungkinkan penyusup potensial untuk terus menebak kata sandi sampai kombinasi yang berhasil ditemukan. Ini dikenal sebagai brute-forcing dan dapat dengan mudah diotomatisasi oleh calon penyerang dengan alat-alat modern.
Kunci SSH, di sisi lain, beroperasi dengan menghasilkan pasangan kunci yang aman. Kunci publik dibuat sebagai jenis tes untuk mengidentifikasi pengguna. Ini dapat dibagikan secara publik tanpa masalah, dan tidak dapat digunakan untuk apa pun selain mengidentifikasi pengguna dan memungkinkan masuk ke pengguna dengan kunci pribadi yang cocok. Kunci pribadi harus dirahasiakan dan digunakan untuk lulus uji kunci publik terkait.
Pada dasarnya, Anda dapat menambahkan kunci SSH publik Anda di server, dan itu akan memungkinkan Anda untuk masuk dengan menggunakan kunci pribadi yang cocok. Kunci-kunci ini sangat kompleks sehingga kekerasan tidak praktis. Selain itu, Anda dapat menambahkan frasa sandi yang panjang ke kunci Anda yang menambah keamanan.

Jangan Gunakan FTP; Gunakan SFTP Sebagai gantinya
Ini mungkin sulit bagi banyak orang untuk menerima kata sepakat, tetapi FTP adalah protokol yang secara inheren tidak aman. Semua otentikasi dikirim dalam teks biasa, yang berarti bahwa siapa pun yang memonitor koneksi antara server Anda dan mesin lokal Anda dapat melihat detail login Anda.
Hanya ada beberapa contoh di mana FTP mungkin dapat diimplementasikan. Jika Anda menjalankan mirror unduhan anonim, publik, dan hanya-baca, FTP adalah pilihan yang layak. Kasus lain di mana FTP adalah pilihan yang baik adalah ketika Anda hanya mentransfer file antara dua komputer yang berada di belakang firewall yang diaktifkan-NAT, dan Anda yakin jaringan Anda aman.
Dalam hampir semua kasus lain, Anda harus menggunakan alternatif yang lebih aman. SSH suite dilengkapi dengan protokol alternatif yang disebut SFTP yang beroperasi di permukaan dengan cara yang serupa, tetapi didasarkan pada keamanan yang sama dari protokol SSH.
Ini memungkinkan Anda untuk mentransfer informasi ke dan dari server Anda dengan cara yang sama seperti yang biasanya Anda gunakan FTP, tetapi tanpa risiko. Sebagian besar klien FTP modern juga dapat berkomunikasi dengan server SFTP.

Periksa Malware secara teratur di Server Anda
Walaupun Linux pada umumnya kurang ditargetkan oleh Malware daripada Windows, Linux tidak kebal terhadap perangkat lunak berbahaya. Sehubungan dengan penerapan IDS untuk mendeteksi upaya intrusi, pemindaian malware dapat membantu mengidentifikasi jejak aktivitas yang menunjukkan bahwa perangkat lunak tidak sah diinstal pada mesin Anda.
Ada sejumlah pemindai malware yang tersedia untuk sistem Linux yang dapat digunakan untuk memvalidasi integritas server Anda secara teratur. Linux Malware Detect, juga dikenal sebagai maldetatau LMD, adalah salah satu opsi populer yang dapat dengan mudah diinstal dan dikonfigurasi untuk memindai tanda tangan malware yang dikenal. Hal ini dapat dijalankan secara manual untuk melakukan pemindaian satu kali dan juga dapat digunakan untuk menjalankan pemindaian terjadwal yang teratur. Laporan dari pemindaian ini dapat diemailkan ke administrator server.