2009/9/8 Dwi SP <[email protected]>: > hello all.. > setelah beberapa hari mempelajari SSH,,ada beberapa poin penting yang saya > dapet dari googling...dan pertanyaan2 kemaren dari saya sudah mulai > terjawab.. > > untuk lebih mempermudah bacanya saya bahas dalam bentuk tanya jawab saja : > > 1. mengapa kita perlu mengubah port default SSH? > jawab : tujuan kita mengubah default port SSH untuk meminimalisasi serangan > otomatis yang dilakukan oleh botnet, dimana botnet ini akan secara otomatis > mencari port default SSH yaitu 22 dan melakukan attempt ke SSH Server yang > default port-nya 22, botnet akan mencoba login dengan username dan password > secara acak, hal ini sangat memungkinkan sebuah botnet masuk ke Server kita > jika kita tidak mengubah default port SSH > > 2. apakah jika sudah kita ubah tidak akan terlihat sebagai port yang 'open'? > jawab : tetap akan terlihat sebagai 'open' port, ini tergantung dari > kemampuan tool yang digunakan untuk melakukan scan port > ketika kita menggunakan port scanner, scanner port akan mencari port yang > 'open'. dengan mengubah port default SSH 22 menjadi port yang lain akan > membingungkan attacker untuk melakukan serangan, sehingga bisa saja hal ini > mengakibatkan kesalahan penggunaan tool hacker untuk melakukan serangan, > misal kita ubah port SSH jadi 21,,hal ini bagi attacker akan dikira sebagai > service ftp,, > > 3. apakah ada ketentuan dalam pengubahan port SSH? > jawab : ga ada ketentuan khusus, yang ada jika memang port itu ga > dipakai,,,bisa saja kita pakai untuk SSH. berarti sebelumnya kita musti > ngecek port yang ga kepakai.. > tapi direkomendasikan untuk menggunakan port-port yang unused yaitu diatas > 1024 dan dibawah 65537 > > 4. bagaimana cara mengetahui sebuah port itu sudah diapakai atau belum? > jawab : kita bisa menggunakan command lsof -i:port > sampel: > # lsof -i:80 > COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME > httpd 2816 root 3u IPv6 14383 TCP *:http (LISTEN) > httpd 2820 apache 3u IPv6 14383 TCP *:http (LISTEN) > httpd 2821 apache 3u IPv6 14383 TCP *:http (LISTEN) > httpd 2822 apache 3u IPv6 14383 TCP *:http (LISTEN) > httpd 2823 apache 3u IPv6 14383 TCP *:http (LISTEN) > httpd 2824 apache 3u IPv6 14383 TCP *:http (LISTEN) > httpd 2933 apache 3u IPv6 14383 TCP *:http (LISTEN) > httpd 21922 apache 3u IPv6 14383 TCP *:http (LISTEN) > > # lsof -i:21 > COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME > inetd 2659 root 6u IPv4 13059 TCP *:ftp (LISTEN) > > # lsof -i:22 > COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME > sshd 2666 root 3u IPv6 13095 TCP *:ssh (LISTEN) > sshd 4362 root 3r IPv6 387789 TCP > local.org:ssh->192.168.111.21:proshare2 (ESTABLISHED) > sshd 4364 admin 3u IPv6 387789 TCP local.org:ssh-> > > # lsof -i:23 > > 5. bagaimana cara mengamankan SSH Server kita? > jawab : disini ada beberapa cara yang bisa dilakukan : > - ubah port default SSH sesuai yang direkomendasikan diatas > Port 4215 > - disable direct root login, maksudnya user root tidak diijinkan login > secara langsung ke server via SSH, jadi kita musti login sebagai user biasa > dan kemudian su ke root > PermitRootLogin no > - buatlah user spesifik yang bisa login ke SSH > AllowUsers Dwi > - deny terhadap user yang login tanpa password > PermitEmptyPasswords no > - perkecil waktu logingracetime-nya, ini disetting untuk disconnect server > terhadap user setelah beberapa waktu tidak bisa login > LoginGraceTime 30s > - perkecil MaxAuthTries-nya, ini digunakan untuk disconnect server terhadap > user yang beberapa kali gagal login > MaxAuthTries 2 > - gunakan tool pendukung pengaman service SSH, seperti sshutout, > port-knocking, dsb. > > 6. Referensi > http://seeksadmin.com/blog/server-administation/linux-servers/basic-ssh-security/ > http://forums.freebsd.org/archive/index.php/t-989.html > http://www.foogazi.com/2006/11/29/modify-ssh-to-maximize-security/ > http://www.itworld.com/nls_unixssh0500506 > http://timarcher.com/?q=node/46 > > Mohon dikoreksi kalo ada kesalahan.. > terima kasih.. > >
Mantap Pak... :D kalau bisa dipublikasikan juga via blog KLuB.. btw, gimana nih kabar blog..?? -- seorang calon petani..... --~--~---------~--~----~------------~-------~--~----~ You received this message because you are subscribed to the Google Groups "Klub Linux Bandung" group. To post to this group, send email to [email protected] To unsubscribe from this group, send email to [email protected] For more options, visit this group at http://groups.google.com/group/klub-linux-bandung?hl=en -~----------~----~----~----~------~----~------~--~---
