Sejak diluncurkan pada awal tahun sembilan puluhan, Linux telah memenangkan kekaguman komunitas teknologi berkat stabilitas, fleksibilitas, kemampuan penyesuaian, dan komunitas besar pengembang sumber terbuka yang bekerja sepanjang waktu untuk menyediakan perbaikan bug dan peningkatan pada operasi sistem. Pada umumnya, Linux adalah sistem operasi pilihan untuk cloud publik, server, dan superkomputer, dan hampir 75% server produksi yang terhubung ke internet berjalan di Linux.
Selain memberi daya pada internet, Linux telah menemukan jalannya ke dunia digital dan belum mereda sejak saat itu. Ini mendukung beragam gadget pintar termasuk smartphone Android, tablet, jam tangan pintar, layar pintar, dan banyak lagi.
Linux terkenal dengan keamanan tingkat atas dan itu adalah salah satu alasan mengapa ia menjadi pilihan favorit di lingkungan perusahaan. Tapi inilah faktanya, tidak ada sistem operasi yang 100% aman. Banyak pengguna percaya bahwa Linux adalah sistem operasi yang sangat mudah, yang merupakan asumsi yang salah. Faktanya, sistem operasi apa pun dengan koneksi internet rentan terhadap potensi pelanggaran dan serangan malware.
Selama tahun-tahun awalnya, Linux memiliki demografi tech-centric yang jauh lebih kecil dan risiko menderita serangan malware sangat kecil. Saat ini Linux mendukung sebagian besar internet, dan ini telah mendorong pertumbuhan lanskap ancaman. Ancaman serangan malware lebih nyata dari sebelumnya.
Contoh sempurna serangan malware pada sistem Linux adalah Ransomware Erebus, malware enkripsi file yang memengaruhi hampir 153 server Linux NAYANA, perusahaan hosting web Korea Selatan.
Untuk alasan ini, adalah bijaksana untuk lebih memperkuat sistem operasi untuk memberikan keamanan yang sangat diinginkan untuk melindungi data Anda.
Mengamankan server Linux Anda tidak serumit yang Anda bayangkan. Kami telah menyusun daftar kebijakan keamanan terbaik yang perlu Anda terapkan untuk memperkuat keamanan sistem Anda dan menjaga integritas data.
Pada tahap awal Pelanggaran ekuifaks, peretas memanfaatkan kerentanan yang dikenal luas – Apache Struts – di portal web keluhan pelanggan Equifax.
Apache Struts adalah kerangka kerja sumber terbuka untuk membuat aplikasi web Java modern dan elegan yang dikembangkan oleh Apache Foundation. Yayasan merilis tambalan untuk memperbaiki kerentanan pada 7 Maret 2017, dan mengeluarkan pernyataan tentang hal itu.
Equifax diberitahu tentang kerentanan dan disarankan untuk menambal aplikasi mereka, tetapi sayangnya, kerentanan tetap tidak ditambal hingga Juli tahun yang sama di mana saat itu sudah terlambat. Para penyerang dapat memperoleh akses ke jaringan perusahaan dan mengekstrak jutaan catatan rahasia pelanggan dari database. Pada saat Equifax mengetahui apa yang terjadi, dua bulan telah berlalu.
Jadi, apa yang bisa kita pelajari dari ini?
Pengguna atau peretas jahat akan selalu menyelidiki server Anda untuk kemungkinan kerentanan perangkat lunak yang kemudian dapat mereka manfaatkan untuk menembus sistem Anda. Agar aman, selalu perbarui perangkat lunak Anda ke versi saat ini untuk menerapkan tambalan ke setiap kerentanan yang ada.
Jika Anda sedang berlari Ubuntu atau Sistem berbasis Debian, langkah pertama biasanya memperbarui daftar paket atau repositori Anda seperti yang ditunjukkan.
$ sudo apt pembaruan.
Untuk memeriksa semua paket dengan pembaruan yang tersedia, jalankan perintah:
$ sudo apt list --upgradeable.
Tingkatkan aplikasi perangkat lunak Anda ke versi saat ini seperti yang ditunjukkan:
$ sudo apt upgrade.
Anda dapat menggabungkan keduanya dalam satu perintah seperti yang ditunjukkan.
$ sudo apt update && sudo apt upgrade.
Untuk RHEL & CentOS tingkatkan aplikasi Anda dengan menjalankan perintah:
$ sudo dnf update ( CentOS 8 / RHEL 8 ) $ sudo yum update ( Versi RHEL & CentOS sebelumnya)
Pilihan lain yang layak adalah untuk aktifkan pembaruan keamanan otomatis untuk Ubuntu dan juga atur pembaruan otomatis untuk CentOS / RHEL.
Terlepas dari dukungannya untuk berbagai protokol jarak jauh, layanan lama seperti rlogin, telnet, TFTP, dan FTP dapat menimbulkan masalah keamanan besar bagi sistem Anda. Ini adalah protokol lama, usang, dan tidak aman di mana data dikirim dalam teks biasa. Jika ini ada, pertimbangkan untuk menghapusnya seperti yang ditunjukkan.
Untuk sistem berbasis Ubuntu/Debian, jalankan:
$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server.
Untuk RHEL / CentOS-sistem berbasis, jalankan:
$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv.
Setelah Anda menghapus semua layanan tidak aman, penting untuk pindai server Anda untuk port terbuka dan tutup semua port yang tidak digunakan yang berpotensi digunakan sebagai titik masuk oleh peretas.
Misalkan Anda ingin memblokir port 7070 pada firewall UFW. Perintah untuk ini akan menjadi:
$ sudo ufw menyangkal 7070/tcp.
Kemudian muat ulang firewall agar perubahan diterapkan.
$ sudo ufw memuat ulang.
Untuk Firewalld, jalankan perintah:
$ sudo firewall-cmd --remove-port=7070/tcp --permanent.
Dan ingat untuk memuat ulang firewall.
$ sudo firewall-cmd --reload.
Kemudian periksa ulang aturan firewall seperti yang ditunjukkan:
$ sudo firewall-cmd --list-all.
Protokol SSH adalah protokol jarak jauh yang memungkinkan Anda terhubung dengan aman ke perangkat di jaringan. Meskipun dianggap aman, pengaturan default tidak cukup dan beberapa penyesuaian tambahan diperlukan untuk lebih mencegah pengguna jahat melanggar sistem Anda.
Kami memiliki panduan lengkap tentang cara mengeraskan protokol SSH. Berikut adalah sorotan utama.
Fail2ban adalah sistem pencegahan intrusi sumber terbuka yang melindungi server Anda dari serangan bruteforce. Ini melindungi sistem Linux Anda dengan melarang IP yang menunjukkan aktivitas berbahaya seperti: terlalu banyak upaya masuk. Di luar kotak, ia dikirimkan dengan filter untuk layanan populer seperti server web Apache, vsftpd dan SSH.
Kami memiliki panduan tentang cara konfigurasikan Fail2ban untuk lebih memperkuat SSH protokol.
Menggunakan kembali kata sandi atau menggunakan kata sandi yang lemah dan sederhana sangat merusak keamanan sistem Anda. Anda menerapkan kebijakan sandi, menggunakan pam_cracklib untuk menyetel atau mengonfigurasi persyaratan kekuatan sandi.
Menggunakan modul PAM, Anda dapat menentukan kekuatan kata sandi dengan mengedit /etc/pam.d/system-auth mengajukan. Misalnya, Anda dapat mengatur kompleksitas kata sandi dan mencegah penggunaan kembali kata sandi.
Jika Anda menjalankan situs web, selalu pastikan untuk mengamankan domain Anda menggunakan Sertifikat SSL/TLS untuk mengenkripsi data yang dipertukarkan antara browser pengguna dan server web.
Setelah Anda mengenkripsi situs Anda, pertimbangkan juga untuk menonaktifkan protokol enkripsi yang lemah. Pada saat penulisan panduan ini, protokol terbaru adalah TLS 1.3, yang merupakan protokol yang paling umum dan banyak digunakan. Versi sebelumnya seperti TLS 1.0, TLS 1.2, dan SSLv1 hingga SSLv3 telah dikaitkan dengan kerentanan yang diketahui.
[ Anda mungkin juga menyukai: Cara Mengaktifkan TLS 1.3 di Apache dan Nginx ]
Itu adalah ringkasan dari beberapa langkah yang dapat Anda ambil untuk memastikan keamanan data dan privasi untuk sistem Linux Anda.