Tetapan untuk Menjadikan Web Server Lebih Selamat

September 5, 2015 0 Comments Server 632 Views
Tetapan untuk Menjadikan Web Server Lebih Selamat

Dalam artikel yang lalu saya telah menunjukkan cara bagaimana melanggan sebuah server di Digital Ocean dan menghasilkan SSH key seterusnya menggunakan PuTTY apabila ingin berkomunikasi dengan server anda.

Anda boleh lawati artikel itu di sini:

  1. Membuka akaun di Digital Ocean dan Memilih Distro Linux
  2. Menghasilkan SSH Key dan Menggunakan PuTTY

Kini saya akan membuat tetapan (setting) untuk server supaya ia lebih selamat. Hidupkan perisian PuTTY anda dan mulakan sambungan dengan menggunakan akses root.

Tetapan Masa

Server maya (virtual server) sudah pun berjaya dihasilkan, sekarang adalah untuk tetap kan masa supaya ia selari dengan waktu Malaysia iaitu +8.

Masukkan command line

 

dpkg-reconfigure tzdata

Anda akan lihat tetingkap sepeti di bawah, gunakan kekunci arah pada keyboard dengan klik arah bawah sehingga menunjukkan Asia dan arah kanan untuk <ok> kemudian tekan enter, pilih pula Kuala_lumpur, kemudian <ok> dan tekan enter.

tetapan_waktu_cli

Setelah selesai kita dapat lihat masa server adalah mengikut masa kita.

Jika anda perasaan terdapat ”Graph this data and manage this system at:  https://landscape.canonical.com/”

Ia sebenarnya adalah iklan yang akan bersilih ganti dengan iklan lain. Ia datang bersama distro Ubuntu dan tiada kena mengena dengan apa yang kita lakukan pada server.

 

Mengemas Kini Sistem

Selalu biasakan sebelum memasang apa-apa sekali program pada server, update package dahulu untuk mendapat senarai perisian terkini.

apt-get update

apt-get upgrade

Selesai mendapat senarai update, tiba masa untuk upgrade pula, dimana kali ini adalah untuk pemasangan perisian terbaru yang terdapat di dalam senarai update. Klik Ctrl-Y untuk setuju.

upgrade_pakej

Segala pakej perisian server iaitu Ubuntu 14.04 telah diisi dengan perisian terkini.

 

Mencipta pengguna baru

Tujuannya adalah untuk mengelak daripada menggunakan root. Root mempunyai banyak kelebihan dan akses kepada folder, fail yang penting. Bagi mengelakkan kesilapan yang boleh merosakkan server secara tidak sengaja dan atas soal keselamatan, lebih baik kita menggunakan pengguna yang kurang berkuasa. Mulakan dengan masukkan nama yang anda mahu.

adduser azri

Masukkan password, walaupun setelah menaip tetapi cursor (penanda yang berwarna hijau)  itu tidak bergerak, ia memang begitu. Retype password sekali lagi.

Masukkan pula particular lain, pastikan ejaan dan fikirkan dengan betul apa yang ingin kita letakkan. Tekan kekunci Enter untuk ke seterusnya. Klik Y bila anda setuju dengan pilihan anda.

butiran_user

Masukkan pengguna baru yang telah dicipta ke dalam kumpulan sudo. Sudo adalah kelebihan yang diberikan kepada pengguna untuk menjalankan perintah (command) di peringkat administrator dan akses yang lebih kepada sistem.

usermod –a –G sudo azri 

Sekarang logout dan mulakan sesi baru.

logout

 

Kita sudah pun log keluar dan akan membuat sambungan sekali lagi dengan PuTTY . Kali ini kita tidak lagi Load tetapan SSH Key (kepunyaan root), tetapi sebaliknya sekadar memasukkan alamat IP sahaja. Klik Open.

cli_tanpa_ssh

Kita sudah pun memasuki semula ke dalam black screen. Kali ini masukkan nama user (cth: azri). Kemudian masukkan password seperti yang telah kita tetapkan di atas.

user_login

Gambar di bawah menunjukkan user kita berjaya dicipta dan boleh memasuki berkomunikasi dengan server, tanpa menggunakan akses root.

sever_komunikasi_user

 

Firewall

Keselamatan untuk server adalah penting. Untuk ini kita akan memasang UFW atau Uncomplicated Firewall. Ia sangat popular dan pembangunan serta sokongan oleh komuniti Linux untuknya juga aktif. UFW selalunya sudah sedia terpasang di kebanyakan distro linux (Linux Distribution).  

Jika anda menaip

sudo ufw status

Anda akan lihat ianya inactive.

Tetapi kita akan teruskan dengan memasangnya juga, taip

sudo apt-get install ufw

Selesai pemasangan, masukkan arahan ini pula supaya ia membenarkan hanya port ini boleh diakses oleh incoming connections (sambungan yang masuk ke dalam server). Untuk sambungan yang keluar dari server (outgoing connection), semuanya dibenarkan.

sudo ufw allow 22

sudo ufw allow 80

sudo ufw allow 443/tcp

firewall-allow-main

Anda juga boleh membuat tambahan, dengan memasukkan arahan di bawah.

sudo ufw allow www

sudo ufw allow ftp

Akhir sekali aktifkan firewall dengan menaip arahan ini.

sudo ufw enable 

Untuk melihat status dan senarai port yang dibenarkan, taip arahan di bawah

sudo ufw status verbose 

firewall-allow-verbose

 

Fail2ban

Fail2ban adalah alat yang dijalankan seiring dengan Firewall UFW di atas. Fungsinya mengawal log masuk terutama jika terdapat Brute Force Attack, iaitu login yang bertalu-talu.

Fail2ban akan menghalang login seterusnya untuk suatu jangka masa setelah beberapa kali cubaan yang tidak berjaya.

Anda boleh memasangnya dengan menaip perintah di bawah.

sudo apt-get install fail2ban 

Sekarang aktifkan nya pula.

sudo service fail2ban start 

Dan jika semuanya Ok anda akan melihat statusnya di sebelah kanan.

Fail2ban_ok

 

 

About author

Related articles

0 Comments

No Comments Yet!

You can be first to comment this post!

Leave a Reply