Lapis pertama keamanan yang perlu anda perhatikan adalah keamanan fisik sistem komputer anda. Siapa yang memiliki akses fisik ke mesin anda? Perlukah mereka? Dapatkah anda melindungi mesin anda dari gangguan mereka? Perlukah anda?
Seberapa banyak keamanan fisik yang anda perlukan pada sistem anda sangat tergantung pada situasi anda, dan/atau anggaran.
Jika anda adalah pemakai rumahan, anda mungkin tidak perlu banyak (meskipun anda mungkin butuh untuk melindungi mesin anda dari gangguan anak-anak atau kerabat lainnya). Jika anda dalam lingkungan lab, anda perlu lebih, tetapi pemakai masih dapat melakukan pekerjaan pada sistem. Bagian-bagian berikut akan membantu. Jika anda ada dalam kantor, anda mungkin atau tidak butuh untuk mengamankan mesin anda pada saat selesai atau pada saat anda pergi. Pada beberapa perusahaan, meninggalkan konsol tidak aman adalah suatu pelanggaran.
Metode-metode keamanan fisik yang jelas seperti kunci pintu, kabel, kabinet yang terkunci, dan video pengawasan adalah ide yang baik, tetapi di luar cakupan dokumen ini. :)
Banyak case PC modern menyertakan atribut "penguncian". Biasanya ini adalah soket pada bagian depan case yang memungkinkan anda memutar kunci yang disertakan ke posisi terkunci atau tidak. Kunci case dapat membantu mencegah seseorang mencuri PC anda, atau membuka case yang secara langsung memanipulasi/mencuri hardware anda. Mereka dapat pula suatu saat mencegah seseorang mereboot komputer anda menggunakan floppy atau hardware mereka.
Kunci case ini melakukan hal-hal yang berbeda sesuai dengan dukungan dalam motherboard dan bagaimana case dirancang. Pada banyak PC mereka membuatnya sehingga anda harus menghancurkan case untuk membukanya. Pada yang lain, mereka membuatnya sehingga tidak memungkinkan anda memasang keyboard dan mouse baru. Periksa instruksi motherboard atau case anda untuk informasi lebih lanjut. Alat ini sewaktu-waktu dapat sangat berguna, meskipun kuncinya biasanya memiliki kualitas rendah dan dapat secara mudah dibuka oleh penyerang dengan locksmithing.
Beberapa case (kebanyakan SPARC dan MAC) memiliki "dongle" di belakang sehingga jika anda menaruh kabel sepanjangnya, para penyerang harus memotong kabel atau membongkar case untuk masuk. Dengan hanya menaruh padlock atau combo lock melaluinya dapat mencegah seseorang mencuri mesin anda.
BIOS adalah software tingkat terendah yang mengkonfigurasi atau memanipulasi hardware berbasis x86 anda. LILO dan metode boot Linux lainnya mengakses BIOS untuk menentukan bagaimana memboot mesin Linux anda. Hardware lain yang menjalankan Linux memiliki software yang serupa (OpenFirmware pada MAC dan SUN, SUN boot prom, dsb). Anda dapat menggunakan BIOS anda untuk mencegah penyerang mereboot ulang mesin anda dan memanipulasi sistem Linux anda.
Pada Linux/x86 banyak PC BIOS membolehkan anda menset password boot. Hal ini tidak memberikan banyak keamanan (BIOS dapat direset, atau dihapus jika seseorang dapat masuk ke case), namun mungkin dapat berguna (misalnya hal ini memerlukan waktu dan meninggalkan bekas).
Banyak BIOS x86 juga membolehkan anda menspesifikasikan beragam setting keamanan yang baik lainnya. Periksa manual BIOS anda atau lihat saat anda boot up. Beberapa contoh adalah : tidak membolehkan booting dari floppy drive dan password untuk mengakses beberapa atribut BIOS.
Pada Linux/SPARC, SPARC EEPROM anda dapat diset agar memerlukan password boot-up. Ini mungkin akan memperlambat penyerang.
Catatan: Jika anda memiliki mesin server, dan anda mensetup password boot, mesin anda tidak akan memboot secara otomatis. Ingat bahwa anda perlu memasukkan password pada saat terjadi suatu kegagalan daya. ;(
Berbagai boot loader Linux dapat juga memasang password boot. Dengan lilo, lihat pada setting "restricted" dan "password". "password" memungkinkan anda mensetup password bootup. "restricted" akan membiarkan mesin boot kecuali seseorang menspesifikasikan option di lilo prompt (seperti 'single').
Ingatlah ketika menset seluruh password ini bahwa anda perlu mengingat mereka. :( Juga ingat bahwa password ini akan memperlambat penyerang yang gigih. Hal ini tidak akan mencegah seseorang membooting dari floppy, dan melakukan mount partisi root anda. Jika anda menggunakan keamanan bersama dengan boot loader, anda perlu juga mematikan booting dari floppy di BIOS anda, dan juga memberi password protecting BIOS komputer anda.
Jika seseorang memiliki informasi keamanan bagi boot loader lain, kami sangat ingin mendengarnya. (grub, silo, milo, linload, dsb).
Catatan: Jika anda memiliki mesin server, dan anda mensetup password boot, mesin anda tidak akan memboot secara otomatis. Ingat bahwa anda perlu memasukkan password pada saat terjadi suatu kegagalan daya. ;(
Jika anda sering meninggalkan mesin anda, adalah baik untuk dapat mengunci konsol anda sehingga tidak seorang pun dapat mengganggu atau melihat kerja anda. Dua buah program yang melakukannya adalah : xlock dan vlock.
Xlock adalah sebuah pengunci tampilan X. Ia seharusnya disertakan di setiap distribusi Linux yang mendukung X. Periksa man pagenya untuk pilihan lebih banyak, tetapi secara umum anda dapat menjalankan xlock dari sembarang xterm di konsol anda dan ia akan mengunci tampilan dan membutuhkan password anda untuk membukanya.
vlock adalah program kecil sederhana yang memungkinkan anda mengunci beberapa atau seluruh konsol virtual pada mesin Linux anda. Anda dapat mengunci hanya satu tempat kerja anda atau seluruhnya. Jika anda hanya mengunci satu, orang lain dapat menggunakan konsol, mereka hanya tidak dapat menggunakan vty anda hingga anda membukanya. vlock diedarkan dengan RedHat Linux, tetapi sistem anda mungkin berbeda.
Tentu saja mengunci konsol anda akan mencegah seseorang mengganggu pekerjaan anda, tetapi tidak mencegah mereka mereboot mesin anda atau merusak pekerjaan anda. Hal ini juga tidak mencegah mereka mengakses mesin anda dari mesin lain dalam jaringan dan menyebabkan masalah.
Hal pertama yang harus diperhatikan adalah pada saat mesin ada direboot. Oleh karena Linux adalah Sistem Operasi (SO) yang kuat (robust) dan stabil, saat bagi mesin anda untuk reboot adalah ketika anda mengupgrade SO, penukaran hardware, dan sejenisnya. Jika mesin anda direboot tanpa anda lakukan, kesukaran akan muncul. Banyak cara mesin anda dapat diganggu tanpa membutuhkan penyusup untuk reboot atau mematikan mesin anda.
Periksa tanda-tanda gangguan pada case dan daerah komputer. Meskipun banyak penyusup membersihkan jejaknya dari log, namun sebaiknya anda memeriksa keseluruhannya dan mencatat kejanggalan.
Beberapa hal untuk diperiksa pada log anda :
Kita akan mendiskusikan data sistem log kemudian.