Securing Linux Tip’s
- Umum
- Menghapus paket program yang tidak perlu
- Nge_patching sistem Linux
- Mendeteksi port yang terbuka
- Menutup port dan menonaktifkan service sistem RunLevel
- Menutup port dan menonaktifkan service Xinetd
- Mengecek Script Boot dan Inittab
- Membatasi akses sistem dari server dan jaringan
- Mengamankan SSH
- Mengamankan Postfix/Sendmail
- Mengamankan NFS
- Menyalin file menggunakan SSH tanpa login terlebih dulu
- Tuning kernel dengan parameter keamanan
- Cek kepemilikan dan perijinan tiap File (Permission and Ownership)
- Cek user akun yang ada
- Aktifkan umur password di tiap user
- Paksa dengan menggunakan password yang sulit
- Batasi penggunaan password lama
- Kunci user yang sering salah memasukkan password
- Batasi akses login langsung untuk sistem dan user
- Batasi penggunaan akses su ke sistem dan user
- Lindungi sistem dari Denial Of Service
- Tampilkan Banner waktu Login
- Lain-lain
Lengkap nya
“Kunci user yang sering salah memasukkan password”…leh tau caranya gimana om ?, saya pake fedora.
jawabannya bisa double di kirim ke email.
makasih
adi
Komentar oleh adi — 2 Agustus 2007 @ 10:35 am
sebenere ini tidak disarankan, kenapa ? karena dapat mengeblok service yang sedang berjalan dengan menggunakan metode ini (login salah terus), misalnya
# su oracle -c id
su: incorrect password
#
di contoh ini akan diperlihatkan cara bagaimana menge-lock user setelah banyak melakukan kesalahan login dengan su atau login biasa.
tambahkan 2 baris berikut ini ke file /etc/pam.d/system-auth
auth required /lib/security/$ISA/pam_tally.so onerr=fail no_magic_root
account required /lib/security/$ISA/pam_tally.so per_user deny=5 no_magic_root reset
sehingga isi file /etc/pam.d/system-auth akan terlihat seperti ini:
auth required /lib/security/$ISA/pam_env.so
auth required /lib/security/$ISA/pam_tally.so onerr=fail no_magic_root
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth required /lib/security/$ISA/pam_deny.so
account required /lib/security/$ISA/pam_unix.so
account required /lib/security/$ISA/pam_tally.so per_user deny=5 no_magic_root reset
account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account required /lib/security/$ISA/pam_permit.so
password requisite /lib/security/$ISA/pam_cracklib.so retry=3
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password required /lib/security/$ISA/pam_deny.so
session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
di baris pertama berfungsi untuk menghitung berapa kali user melakukan kegagalan login atau menggunakan su. untuk mengecek log biasanya ada di /var/log/faillog.
baris kedua lebih spesifik lagi, secara otomatis akan meng-lock setelah 5 kali gagal login (deny=5). counter secara otomatis akan me-reset ke nilai 0 jika isian deny=n belum terpenuhi.
untuk melihat login yang gagal jalankan perintah:
# faillog
untuk meng-unlock akun, jalankanrun:
# faillog -u -r
untuk proses manual lock/unlock user, gunakan perintah:
# passwd -l
# usermod -L
# passwd -u
# usermod -U
Komentar oleh bayuart — 2 Agustus 2007 @ 4:40 pm