a CUPS of Security on Linux

Secangkir linux di masa teknologi berkembang. Sebuah analogi ‘asal-asalan’ saya untuk menggambarkan masa dimana selalu muncul ide dan inovasi baru dalam hal teknologi, yang pasti ada kandungan positif dan negatif didalamnya. Apa senjata kita untuk menguasai hal positif dari teknologi ?? Ilmu..Apa senjata kita untuk membentengi diri dari hal negatif teknologi ??.. bukan Firewall tools atau yg lainnya, tapi Iman.

Jadi teringat bagaimana sebuah site yang pernah saya tangani terserang DDOS, posisi saya adalah Victim of Man the middle of attack. Kala itu saya coba telusuri secara awam pada Logging /var/log/secure ada banyak usaha Bruteforce yang datang dari China, ‘baru’ sekitar 24K usaha login..ya.. itu ‘baru’, kala itu saya tangani hanya dengan portsentry, change default secure shell (Port 17135), dan DROP request ping ( -A INPUT -p icmp -m icmp –icmp-type 8 -j DROP ). Tidak memperbolehkan login root secara langsung (PermitRootLogin no), blacklist IP (sshd: ), serta melihat ARP cache yang tersimpan (arp -a) merupakan sedikit cara, disamping menambah parameter berikut untuk ‘menyesuaikan waktu tunggu/ TIME_WAIT‘ dan koneksi yang ESTABLISHED di dalam system control kernel.

# Decrease TIME_WAIT seconds
net.ipv4.tcp_fin_timeout = 30
# Recycle and Reuse TIME_WAIT sockets faster
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1

Selanjutnya  menekan, mencegah, dan sedikitnya saya bisa meminimalisir usaha seperti bruteforce, ARP spoofing, poisoning, dan lain-lain, maka saya harapkan penyesuaian di kernel langsung lewat file sysctl.conf -nya dapat menjadi sebuah alternatif yang lebih tepat sasaran. Temen-temen bisa lihat dan unduh di sini –> kernel-sysctl-configuration-file-for-red-hat-linux

Saya sadar hal itu adalah sementara karena semakin berkembangnya teknologi, makin banyak cara membuat sebuah hole . Setelah saya siasati, jadi kelihatan sedikit beda aja ketika melihat kembali kondisi traffic.
-bash-4.1# netstat -an | grep ‘EST’
.  .  .
tcp        0  14828 x.x.x.x:80            119.160.118.179:40521       ESTABLISHED
tcp        0  59752 x.x.x.x:80            119.160.68.136:18073        ESTABLISHED
tcp        0     48 x.x.x.x:17135         202.53.227.146:40718        ESTABLISHED
.  .  .

Yang lebih ekstrim lagi, kita limit koneksi ‘aneh’ yang masuk dan daftarkan langsung IP yang tidak kita suka dengan parameter berikut di iptables, sebagai contoh saja (jangan hiraukan parameter double yang ditulis) :
iptables-save

Itu baru bentuk serangan, bagaimana dengan situs terlarang??. Nah, karena itulah kembali ke individu masing-masing, tidak munafik jika saya bilang bahwa Iman dan taqwa adalah sebaik-baiknya alat.

Kebanyakan dari kita itu malas rehat sejenak untuk melihat kebelakang atas apa yang telah kita kerjakan, atas dasar apa kita melakukan, dan untuk apa. Kebanyakan fokus kita adalah pada point terakhir yg kita sebut. Ya.. hasil (untuk apa kita melakukan), tak peduli apakah yang lalu ada banyak kesalahan di hal yg sama sehingga kita malas mengevaluasi, atau atas dasar apa kita melakukan ini itu, apa landasan nya.

Contoh kecil saja, dulu saya menggunakan aplikasi Common Unix Printing System di OpenSuSE emerald 11.2 untuk mencetak. Perlu konfigurasi sana sini, tapi sekarang kita mau yg tinggal ‘colok’.  Aplikasi yg ingin dijalankan pun menggunakan pihak ketiga, Crossover atau wine contohnya, kita menolak perintah ./configure dan sejenisnya. Terima beres.

CUPS2

CUPS4

Saya masih ingat tentang tulisan dari seorang dosen ITB menceritakan bagaimana para programmer sekarang dituntut deadline/ milestone dari kantor nya untuk menyelesaikan aplikasinya. Yang penting jadi dan jalan. Hadooh. Untuk urusan ‘mikir-mikir’ yg lainnya belakangan, itu pun klw ingat. 😛 . Bagaimana sulitnya orang terdahulu memanfaatkan resources/ requirement yg amat sangat terbatas, CPU dg memori hanya 128MB misalnya. Mereka lalu berpikir untuk membuat kode-kode optimasi yang efektif dan efisien.

Agaknya saya juga tertular yg seperti itu itu, ini coba menulis blog via asus zenfone 5 karena ingin instant tidak repot2 buka laptop 🙂 .

Yah.. saya, anda, kita semua, punya perenungan yang berbeda.

Advertisements

Tinggalkan pesan atau komentar

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s