Re: [tanya-jawab] [ASK] Membangun SSH yang Aman
2010/3/4 Firdaus Tjahyadi : > > Tambahkan SSHBlack > > http://www.pettingers.org/code/sshblack.html > > Thanks > > Regards > > -- Saya coba baca-baca dulu Pak. SOL Salam, Thew -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [ASK] Membangun SSH yang Aman
Pada 4 Maret 2010 09:45, Matthew Hezekiel menulis: >> -- > Trims buat masukan teman2,.. > > kondisinya adalah sebagai berikut: > > Ada website customer kami yang bisa di akses dari IP yang di daftarkan > ke mereka, dalam hal ini yang di daftarkan adalah salah satu IP kantor > kami, sementara beberapa user harus bisa mengakses situs tersebut dari > mana saja untuk kepentingan kantor (disini jadi agak sulit membatasi > ip client yang boleh mengakses, mengingat user2 ini sering tugas2 ke > luar kota) makanya di requestlah ssh tunnel, namun saya ingin mereka > hanya bisa menggunakan ssh untuk keperluan tunnel saja. Aktifkan fitur AllowUsers di sshd_config kemudian daftarkan user2 yg boleh login kesana Tambahkan SSHBlack http://www.pettingers.org/code/sshblack.html Thanks Regards -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [ASK] Membangun SSH yang Aman
Matthew Hezekiel wrote: Trims buat masukan teman2,.. kondisinya adalah sebagai berikut: Ada website customer kami yang bisa di akses dari IP yang di daftarkan ke mereka, dalam hal ini yang di daftarkan adalah salah satu IP kantor kami, sementara beberapa user harus bisa mengakses situs tersebut dari mana saja untuk kepentingan kantor (disini jadi agak sulit membatasi ip client yang boleh mengakses, mengingat user2 ini sering tugas2 ke luar kota) makanya di requestlah ssh tunnel, namun saya ingin mereka hanya bisa menggunakan ssh untuk keperluan tunnel saja. Trims buat tanggapan dari teman2, sangat bermanfaat buat saya infonya Salam, Thew oww, kalo seperti ini sih biasanya saya pakai vpn pak. wassalam -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [ASK] Membangun SSH yang Aman
On Thu, 2010-03-04 at 09:45 +0700, Matthew Hezekiel wrote: > 2010/3/4 Masim "Vavai" Sugianto : > > 2010/3/4 Hari Hendaryanto : > >> > >> port sshd di ganti dengan non standard. > >> pakai kombinasi huruf/angka/upper case/lower case yg rumit untuk user/pass, > >> atau sekalian aja authentication nya pakai certificate. > >> allow ip dari client yg boleh konek ke sshd selain ip dari client reject, > >> pakai tcp wrapper(allow|deny.host), atau pakai fail2ban. > >> > >> sshd nya di chroot, batasi yg bisa user lakukan/execute aja di shell > >> mereka. > >> lebih baik membatasi apa aja yg bisa di lakukan user dari pada harus > >> melototi log yg se abrek abrek :D > > > > Tambahan satu lagi, kalau nggak mau pakai fail2ban, batasi berapa kali > > seorang user boleh gagal password. Bisa diset di firewall, misalnya > > kalau gagal 3x memasukkan password, IP-nya diblacklist. > > > > > > -- > Trims buat masukan teman2,.. > > kondisinya adalah sebagai berikut: > > Ada website customer kami yang bisa di akses dari IP yang di daftarkan > ke mereka, dalam hal ini yang di daftarkan adalah salah satu IP kantor > kami, sementara beberapa user harus bisa mengakses situs tersebut dari > mana saja untuk kepentingan kantor (disini jadi agak sulit membatasi > ip client yang boleh mengakses, mengingat user2 ini sering tugas2 ke > luar kota) makanya di requestlah ssh tunnel, namun saya ingin mereka > hanya bisa menggunakan ssh untuk keperluan tunnel saja. > > Trims buat tanggapan dari teman2, sangat bermanfaat buat saya infonya > > Salam, > Thew > Kenapa nggak pasang webserver di server bapak ini? Dan pasang cgi-proxy di sana.. menurut saya ini solusi lebih gampang Nyoman signature.asc Description: This is a digitally signed message part
Re: [tanya-jawab] [ASK] Membangun SSH yang Aman
2010/3/4 Masim "Vavai" Sugianto : > 2010/3/4 Hari Hendaryanto : >> >> port sshd di ganti dengan non standard. >> pakai kombinasi huruf/angka/upper case/lower case yg rumit untuk user/pass, >> atau sekalian aja authentication nya pakai certificate. >> allow ip dari client yg boleh konek ke sshd selain ip dari client reject, >> pakai tcp wrapper(allow|deny.host), atau pakai fail2ban. >> >> sshd nya di chroot, batasi yg bisa user lakukan/execute aja di shell mereka. >> lebih baik membatasi apa aja yg bisa di lakukan user dari pada harus >> melototi log yg se abrek abrek :D > > Tambahan satu lagi, kalau nggak mau pakai fail2ban, batasi berapa kali > seorang user boleh gagal password. Bisa diset di firewall, misalnya > kalau gagal 3x memasukkan password, IP-nya diblacklist. > > > -- Trims buat masukan teman2,.. kondisinya adalah sebagai berikut: Ada website customer kami yang bisa di akses dari IP yang di daftarkan ke mereka, dalam hal ini yang di daftarkan adalah salah satu IP kantor kami, sementara beberapa user harus bisa mengakses situs tersebut dari mana saja untuk kepentingan kantor (disini jadi agak sulit membatasi ip client yang boleh mengakses, mengingat user2 ini sering tugas2 ke luar kota) makanya di requestlah ssh tunnel, namun saya ingin mereka hanya bisa menggunakan ssh untuk keperluan tunnel saja. Trims buat tanggapan dari teman2, sangat bermanfaat buat saya infonya Salam, Thew -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [ASK] Membangun SSH yang Aman
2010/3/4 Hari Hendaryanto : > > port sshd di ganti dengan non standard. > pakai kombinasi huruf/angka/upper case/lower case yg rumit untuk user/pass, > atau sekalian aja authentication nya pakai certificate. > allow ip dari client yg boleh konek ke sshd selain ip dari client reject, > pakai tcp wrapper(allow|deny.host), atau pakai fail2ban. > > sshd nya di chroot, batasi yg bisa user lakukan/execute aja di shell mereka. > lebih baik membatasi apa aja yg bisa di lakukan user dari pada harus > melototi log yg se abrek abrek :D Tambahan satu lagi, kalau nggak mau pakai fail2ban, batasi berapa kali seorang user boleh gagal password. Bisa diset di firewall, misalnya kalau gagal 3x memasukkan password, IP-nya diblacklist. -- Best Regards, Masim "Vavai" Sugianto // Blog (ID) : http://www.vavai.com Blog (EN) : http://www.vavai.net Training Admin Linux : http://bit.ly/cU8amn // -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [ASK] Membangun SSH yang Aman
Matthew Hezekiel wrote: Sore teman2 milis, Saat user sedang melakukan ssh ke server kita, apakah ada konfigurasi tertentu atau software tambahan yang bisa merekam semua kegiatan yang dilakukan user tersebut? dari mulai dia login sampai folder apa saja yang dia buka, melakukan koneksi kemana saja (karena ssh ini akan dibuat menjadi tunnel nantinya). tujuannya biar bisa tidur nyenyak di malam hari dan besok pagi ngecek log ssh, user siapa saja yang login dan melakukan koneksi kemana saja :D Mohon masukan dari teman2 yang lebih berpengalaman. Salam dashyat thew port sshd di ganti dengan non standard. pakai kombinasi huruf/angka/upper case/lower case yg rumit untuk user/pass, atau sekalian aja authentication nya pakai certificate. allow ip dari client yg boleh konek ke sshd selain ip dari client reject, pakai tcp wrapper(allow|deny.host), atau pakai fail2ban. sshd nya di chroot, batasi yg bisa user lakukan/execute aja di shell mereka. lebih baik membatasi apa aja yg bisa di lakukan user dari pada harus melototi log yg se abrek abrek :D ini contoh chrooting di debian, prinsip nya sama aja untuk semua distro. http://www.howtoforge.com/chrooted_ssh_howto_debian cmiiw wassalam -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [ASK] Membangun SSH yang Aman
Untuk lebih aman nya jangan sekedar ganti port. tapi gunakan teknik port knocking. -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
Re: [tanya-jawab] [ASK] Membangun SSH yang Aman
Ehm, SSH itu sudah secure.. Apalagi klo implementasi nya full.. Klo software untuk melacak kegiatan user bisa bikin script sendiri mengolah file2 log, atau history command usernya... Btw agak kurang ngerti sih ssh server untuk banyak user untuk apa, biasanya kan hanya untuk maintain aja..paling admin sm konconya :) --Pesan Asli-- Dari:Matthew Hezekiel Ke:tanya-jawab@linux.or.id Balas Ke:tanya-jawab@linux.or.id Perihal:[tanya-jawab] [ASK] Membangun SSH yang Aman Terkirim:Mar 3, 2010 6:09 PM Sore teman2 milis, Saya ingin membangun sebuah ssh server yang mudah2an bisa menjadi ssh server yang aman. Untuk itu saya perlu masukan dari teman2 disini untuk sharing config ssh yang menurut teman2 disini cukup aman untuk dijadikan server ssh. Sejauh ini yang saya buat hanya mengganti port standar, tidak memberi akses root, dan mendaftarkan public key client. Selanjutnya yang ingin saya tanyakan, Saat user sedang melakukan ssh ke server kita, apakah ada konfigurasi tertentu atau software tambahan yang bisa merekam semua kegiatan yang dilakukan user tersebut? dari mulai dia login sampai folder apa saja yang dia buka, melakukan koneksi kemana saja (karena ssh ini akan dibuat menjadi tunnel nantinya). tujuannya biar bisa tidur nyenyak di malam hari dan besok pagi ngecek log ssh, user siapa saja yang login dan melakukan koneksi kemana saja :D Mohon masukan dari teman2 yang lebih berpengalaman. Salam dashyat thew -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis Powered by Telkomsel BlackBerry®
[tanya-jawab] [ASK] Membangun SSH yang Aman
Sore teman2 milis, Saya ingin membangun sebuah ssh server yang mudah2an bisa menjadi ssh server yang aman. Untuk itu saya perlu masukan dari teman2 disini untuk sharing config ssh yang menurut teman2 disini cukup aman untuk dijadikan server ssh. Sejauh ini yang saya buat hanya mengganti port standar, tidak memberi akses root, dan mendaftarkan public key client. Selanjutnya yang ingin saya tanyakan, Saat user sedang melakukan ssh ke server kita, apakah ada konfigurasi tertentu atau software tambahan yang bisa merekam semua kegiatan yang dilakukan user tersebut? dari mulai dia login sampai folder apa saja yang dia buka, melakukan koneksi kemana saja (karena ssh ini akan dibuat menjadi tunnel nantinya). tujuannya biar bisa tidur nyenyak di malam hari dan besok pagi ngecek log ssh, user siapa saja yang login dan melakukan koneksi kemana saja :D Mohon masukan dari teman2 yang lebih berpengalaman. Salam dashyat thew -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke tanya-jawab-unsubscr...@linux.or.id Arsip dan info milis selengkapnya di http://linux.or.id/milis
