Dokumen ini akan berusaha menjelaskan beberapa prosedur dan software-software yang biasa digunakan untuk membantu membuat lebih aman sistem Linux anda. Mendiskusikan konsep-konsep dasar dahulu adalah penting, dan memberi landasan sebelum kita memulai.
Dalam dunia komunikasi data global yang selalu berubah, hubungan Internet yang murah, dan cepatnya perkembangan software, keamanan menjadi isu yang semakin penting. Keamanan saat ini menjadi suatu kebutuhan dasar karena komputasi global tidak aman. Sebagai contoh, dengan berpindahnya data anda dari titik A ke titik B di Internet, ia mungkin melalui beberapa titik lain selama perjalanan, membuka kesempatan bagi orang lain untuk memotongnya, atau pun merubah data anda. Bahkan pengguna lain pada sistem anda dapat merubah data anda ke sesuatu yang tidak anda inginkan. Akses yang tidak diijinkan ke dalam sistem anda mungkin dapat diperoleh oleh penyusup, juga dikenal sebagai "cracker", yang kemudian menggunakan pengetahuannya untuk berpura-pura sebagai anda, mencuri informasi dari anda, atau bahkan menolak akses anda ke sumber daya anda sendiri. Jika anda masih bertanya-tanya mengenai perbedaan antara "Hacker" dan "Cracker", silakan lihat dokumen Eric Raymond, "How to Become A Hacker", tersedia di http://sagan.earthspace.net/~esr/faqs/hacker-howto.html.
Pertama, ketahuilah bahwa tidak ada sistem komputer yang dapat diamankan secara total. Yang dapat anda lakukan adalah membuat kesulitan bagi orang untuk mengganggu sistem anda. Bagi kebanyakan pengguna Linux, tidak terlalu banyak yang diperlukan untuk menjaga sistem anda dari cracker. Sedang bagi pengguna Linux profil tinggi (bank, perusahaan telekomunikasi, dsb), banyak lagi pekerjaan dibutuhkan.
Faktor lain yang perlu diperhatikan adalah semakin aman sistem anda semakin intrusif keamanan anda. Anda perlu menentukan tindakan yang membuat sistem anda masih dapat dipakai dan juga aman demi kebutuhan anda. Sebagai contoh, anda dapat memaksa setiap orang yang mendial ke sistem anda untuk menggunakan modem call back untuk memanggil mereka kembali di rumah mereka. Ini lebih aman, tetapi jika seseorang tidak berada di rumah, maka akan menjadi sulit bagi mereka untuk login. Anda dapat juga mensetup sistem Linux anda dengan tanpa jaringan atau hubungan ke Internet, tetapi ini membuatnya sulit untuk menelusuri web.
Jika anda adalah site yang berukuran besar hingga menengah, anda perlu menetapkan suatu Kebijakan Keamanan (Security Policy) yang berisikan tingkat keamanan yang dibutuhkan oleh site anda dan auditing apa yang digunakan untuk memeriksanya. Anda dapat menemukan contoh kebijakan keamanan terkenal di http://ds.internic.net/rfc/rfc2196.txt. Belum lama ini telah diperbaharui, dan berisikan kerangka kerja yang baik bagi penetapan kebijakan keamanan perusahaan anda.
Sebelum anda berusaha mengamankan sistem anda, anda perlu menentukan tingkat ancaman yang anda hadapi, risiko apa yang perlu atau tidak perlu anda ambil, dan seberapa rentan sistem anda sebagai hasilnya. Anda perlu menganalisis sistem anda untuk mengetahui apa yang anda lindungi, mengapa anda melindunginya, nilai apa yang dimilikinya, dan siapa yang memiliki tanggung jawab terhadap data dan aset lain anda.
get his foot in the door). Sekali seorang penyusup memiliki rekening pemakai di sistem anda, atau sistem orang lain, akan dapat digunakan untuk memperoleh akses ke sistem lain atau rekening lain.
Ciptakan kebijakan umum dan sederhana bagi sistem anda yang dapat dipahami dan diikuti oleh pemakai anda. Ia harus dapat melindungi data yang anda simpan, juga privasi pemakai. Beberapa hal yang perlu dipertimbangkan adalah siapa yang meiliki akses ke sistem (Dapatkah teman saya menggunakan rekening saya?), siapa yang diijinkan untuk menginstal software pada sistem, siapa memiliki data apa, perbaikan bencana, dan penggunaan yang tepat sistem.
Kebijakan keamanan yang diterima umum dimulai dengan frase :
"Hal-hal apa yang tidak dijinkan adalah dilarang"
Artinya, kecuali anda memberi akses suatu pelayanan kepada pemakai, maka pemakai tidak boleh menggunakan pelayanan tersebut hingga anda memberi akses. Pastikan kebijakan berlaku untuk rekening pemakai reguler anda. Mengatakan, "Ah, saya tidak dapat memecahkan masalah permisi ini, saya akan lakukannya sebagai root" dapat menyebabkan lubang keamanan yang sangat jelas, dan bahkan yang belum tereksploitasi.
Dokumen ini akan mendiskusikan berbagai alat yang dapat mengamankan aset yang telah anda kerjakan dengan keras: mesin lokal anda, data, pemakai, jaringan, bahkan reputasi anda. Apa yang akan terjadi pada reputasi anda jika seorang penyusup menghapus data beberapa pemakai anda? Atau merubah web page anda ? Atau meneberbitkan rencana proyek perusahaan anda untuk empat bulan berikut ? Jika anda merencanakan instalasi jaringan, ada berbagai faktor yang harus anda perhatikan sebelum menambahkan sebuah mesin tunggal ke jaringan anda.
Bahkan jika anda memiliki sebuah rekening PPP dialup, atau site kecil, tidaklah berarti penyusup tidak tertarik kepada sistem anda. Site besar dan profil tinggi bukanlah target satu-satunya, banyak penyusup hanya ingin mengeksploitasi site sebanyak mungkin, tanpa memandang ukurannya. Tambahan lagi, mereka mungkin menggunakan lubang keamanan di site anda untuk memperoleh akses ke site lain yang terhubung dengan site anda.
Para penyusup memiliki banyak waktu, dan dapat memperkirakan bagaimana anda menyembunyikan sistem anda dengan hanya mencoba seluruh kemungkinan. Terdapat pula beberapa alasan seorang penyusup tertarik pada sistem anda, yang akan kita diskusikan nanti.
Mungkin area yang paling banyak mendapat perhatian dalam keamanan adalah berkaitan dengan keamanan berbasis host. Hal ini biasanya melibatkan pemastian bahwa sistem anda aman, dan berharap setiap orang di jaringan anda melakukan hal yang sama. Memiliki password yang baik, mengamankan pelayanan jaringan lokal host anda, menyimpan catatan akuntansi yang baik, dan memperbaharui program dengan eksploitasi keamanan yang diketahui adalah beberapa hal yang menjadi tanggung jawab administrator keamanan lokal, ini dapat merupakan tugas yang mengerikan pada saat jaringan anda bertambah besar.
Keamanan jaringan juga merupakan suatu keharusan sebagaimana keamanan host lokal. Dengan sistem tunggal anda, atau jaringan komputasi terdistribusi, Internet, atau ratusan, bila tidak ribuan atau lebih komputer pada jaringan yang sama, anda tidak dapat mengandalkan setiap sistem aman. Memastikan pemakai yang dijinkan hanyalah satu-satunya yang menggunakan sumber daya jaringan anda, membangun firewall, menggunakan enkripsi yang baik, dan meyakinkan tidak ada mesin yang buruk, atau tidak aman pada jaringan anda adalah tugas administrator keamanan jaringan.
Dokumen ini akan mendiskusikan beberapa teknik yang digunakan untuk mengamankan site anda, dan berharap dapat menunjukkan kepada anda cara-cara mencegah penyusup memperoleh akses ke apa yang ingin anda lindungi.
Salah satu tipe keamanan yang perlu didiskusikan adalah "keamanan melalui penyembunyian". Artinya dengan melakukan sesuatu seperti merubah nama login "root" ke "toor", sebagai contoh, untuk mencoba dan membingungkan seseorang masuk ke sistem anda sebagai root adalah perkiraan yang salah tentang keamanan, dan akan mengakibatkan konsekuensi yang tidak mengenakkan. Hampir pasti bahwa penyerang sistem akan secara cepat mengetahui keamanan kosong semacam itu. Hanya karena anda memiliki site kecil atau secara relatif rendah profil tidaklah berarti penyusup tidak akan tertarik pada apa yang anda miliki. Kita akan mendiskusikan apa yang anda lindungi pada bagian selanjutnya.
Dokumen ini telah dibagi ke dalam sejumlah bagian. Mereka mencakup berbagai macam isu keamanan yang luas. Yang pertama, keamanan fisik, mencakup bagaimana anda butuh melindungi mesin anda dari gangguan. Yang kedua mendeskripsikan bagaimana melindungi sistem anda dari gangguan pemakai lokal. Yang ketiga, keamanan file dan sistem file menunjukkan bagaimana mensetup file sistem anda dan permisi file. Berikutnya, keamanan password dan enkripsi mendiskusikan bagaimana menggunakan enkripsi untuk lebih mengamankan mesin dan jaringan anda. Keamanan kernel mendiskusikan pilihan kernel apa yang perlu diset atau perlu diperhatikan untuk memperoleh mesin yang lebih aman. Keamanan jaringan, mendeskripsikan bagaimana lebih mengamankan sistem Linux anda dari serangan jaringan. Persiapan keamanan mendiskusikan bagaimana mempersiapkan mesin anda sebelum membuatnya on-line. Berikutnya mendiskusikan apa yang perlu dilakukan ketika anda mendeteksi adanya bahaya pada sistem anda atau yang telah terjadi. Kemudian link ke sumber keamanan lain disebutkan, dan akhirnya beberapa pertanyaan dan jawaban dan kata-kata penutupan.
Dua hal utama yang perlu diperhatikan ketika membaca dokumen ini adalah :