Keamanan? Mungkin yang terbayang dalam benak kita ketika mendengar kata itu adalah… SATPAM? Hehe.. bisa jadi, setidaknya itu yang terlintas di benak saya. :p Tapi yang akan dibahas disini adalah tentang satpam,. eh.. keamanan system operasi, terutama Linux. Bagi anda yang pengguna Windows mungkin sudah sangat mengenal berbagai macam aplikasi untuk keamanan seperti antivirus, firewall, dll. Memang sih, dilihat dari pengalaman sehari2, OS dari Windows memang cenderung lebih rentan terhadap serangan2 virus, spyware, dan bahkan manusianya langsung. Sedangkan Linux cenderung lebih aman dalam hal tersebut.


Namun, kadangkala bagi pengguna Linux, mereka seringkali melupakan tentang keamanan itu sendiri, karena mungkin sudah mentang2 merasa lebih aman ketimbang Windows. Jika ada yang mengatakan bahwa Linux adalah OS yang aman maka hal ini perlu di kaji lagi dan mungkin terlalu percaya diri. Para master security mengatakan bahwa tidak ada OS yang seratus persen aman. Yaa, meskipun Linux atau keluarga Unix memang lebih aman ketimbang keluarga Microsoft.

Tapi tak perlu khawatir, karena disini saya akan memberikan beberapa poin2 penting dalam mengoptimalkan satpam alias keamanan pada Linux. Terutama ketika PC ataupun laptop kita berisikan file2 penting, berharga, dan mungkin sangat rahasia. Dan berikut ini adalah poin2nya:

  • Kontrol akses fisik. Menempatkan komputer di dalam ruangan yang terkunci atau membatasi orang yang boleh masuk keruangan tersebut, hal ini khususnya untuk komputer yang menyimpan data-data penting. Membatasi akses fisik terhadap komputer tersebut dengan memberi password pada BIOS, GRUB atau LILO boot loader.
  • Add users dan passwords. Membuat user berdasarkan keperluan dan hanya memberikan akses terbatas sesuai kepentingan. Selain itu user harus menggunakan password yang baik seperti minimal 6 karakter dan terdiri dari kombinasi huruf, angka dan karakter lain serta mengganti password secara berkala. Memasukan user ke dalam group yang sudah ditentukan hak aksesnya dalam group.
  • Pengaturan ijin read, write dan execute. Di Linux, masing-masing item(file, direktory, aplikasi dan peralatan) dapat dibatasi penggunaannya berdasarkan read(baca), write(tulis) dan execute(eksekusi) terhadap user atau group. Maka kita harus berhati-hati dalam menetukan file permission kepada siapa saja dan group mana yang boleh mengases dan yang tidak, terutama file atau aplikasi untuk administrasi sistem dan data-data rahasia. Misal pada user A yang masuk dalam group akunting diperbolehkan menulis dan membaca data-data group akunting yang dibuat oleh user lain yang masih dalam satu group akunting, tetapi user A tidak boleh mengakses data dari group HRD.
  • Melindungi user root. Karena user root merupakan user yang mempunyai akses penuh terhadap system tentunya akan sangat membahayakan jika sampai jatuh ke pihak yang tidak dikehendaki. Jangan menggunakan user root jika tidak diperlukan dan berpikirlah sebelum mengetik, menjalankan perintah atau menangani file/data(modifikasi, tulis dsb). Gunakanlah user biasa untuk login ke mode grafik/desktop dan menggunakan sudo untuk menjalankan perintah administrasi akan mengurangi resiko serangan terhadap user root.
  • Gunakan software yang terpercaya. Sebagian besar piranti lunak opensource tanpa disertai garansi dari pembuatnya oleh karena itu sebaiknya menggunakan software yang sudah mapan atau stabil dan terpercaya demikian juga untuk update dan add-onnya. Dengan menggunakan Kunci GPG publik yang valid akan membantu untuk meyakinkan bahwa software yang kita install berasal dari vendor yang valid. Jika kita mendownload distribusi full ISO image maka harus di periksa intergritasnya dengan checksum MD5 atau SHA1 yang disedian oleh pembuatnya.
  • Selalu mengupdate software. Celah keamanan dan bug sering ditemukan dalam paket software, setiap pembuat distro Linux besar(Debian, Suse, Redhat, Gentoo, Ubuntu dsb) selalu menyediakan tool untuk update, maka pastikan untuk selalu mengupdate khususnya linux yang diajalankan sebagai server.
  • Menggunakan aplikasi yang aman. Meskipun suatu aplikasi berjalan stabil dan valid tetapi kita juga harus memilih menggunakan software yang mempunyai tingkat keamanan lebih baik. Misal jika kita ingin login secara remote melalui jaringan publik(internet) sebaiknya menggunakan Secure Shell Service(SSH) daripada menggunakan rlogin dan telnet(mengirimkan passwordnya clear text). Jika kita menjalankan service untuk file sharing(samba atau NFS) sebaiknya jangan dibuka akses untuk jaringan publik(internet) tetapi jika diperlukan untuk mangakses file sharing tersebut dan melalui internet sebaiknya menggunakan VPN tunnels(IPSec atau CIPE).
  • Menggunakan firewall untuk membatasi akses keluar dan masuk. Tugas firewall adalah mengijinkan koneksi masuk/keluar dan mencegah koneksi masuk/keluar berdasar rule yang telah di tetapkan sebelumnya. Untuk desktop sebaiknya menolak koneksi yang datang dari luar ke banyak port di komputer desktop tersebut. untuk server sebaiknya hanya mengijinkan koneksi yang datang ke port tertentu saja tergantung service yang di jalankan dan koneksi tersebut harus terkontrol dengan baik.
  • Hanya menjalankan sevice yang di perlukan. Service di Linux(samba, http, mail dsb) yang berjalan di background(daemon) akan listen pada beberapa port, dimana tiap-tiap daemon akan listen pada port yang berbeda-beda. Semakin banyak port yang terbuka akan meningkatkan potensi serangan oleh pihak lain, oleh karena itu komputer/server hanya menjalankan service yang diperlukan saja.
  • Membatasi akses ke servis. Sebaiknya kita membatasi akses ke servis sesuai yang kita inginkan dengan hanya memperbolehkan akses dari host/network, domain atau network interface tertentu. Hal ini untuk mencegah koneksi yang datang dari pihak yang tidak diinginkan yang juga bisa berpotensi sebagai serangan. Misal samba hanya boleh diakses oleh LAN dan tidak untuk permintan dari internet, lain halnya untuk layanan mail server yang diperuntukan untuk diakses dari internet dan tidak boleh diakses dari LAN ataupun sebaliknya.
  • Audit sistem. Linux mempunyai banyak sekali tool untuk memeriksa keamanan sistem. Setelah Linux selesai di install kita dapat mengecek port yang terbuka menggunakan Nmap atau melihat netwotk trafik dengan menggunakan Etheral, untuk memeriksa vulnerability secara keseluruhan bisa menggunakan nessus.
  • Memonitor sistem. Di Linux , hampir semua aktifitas sistem dapat di log dengan menggunakan fasilitas syslogd dan klogd yang dapat dikonfigurasi sesuai kebutuhan. Dengan manggunakan tool seperti logwatch akan memudahkan kita untuk monitor sistem yang dapat di forward ke email.
  • Menggunakan SELinux(Security Enhancement Linux). SELinux mempunyai fitur yang sangat banyak dan komplek untuk mengatur akses file, direktory, aplikasi dan device pada sistem linux. SELinux akam memperkuat kernel dengan menggunakan metode policy dan context.

Setelah semua itu terpenuhi, Anda bisa sedikit lebih lega, karena security PC/laptop anda akan lebih terjamin, tapi bukan berarti itu 100% aman, karena setiap waktu teknik2 penyerangan akan selalu berkembang, sehingga kita pun harus tetap bersiap2… 😉