Buat para newbie yang baru saja mencoba membangun server(seperti saya), tentu sulit untuk mematikan sshd. Kemudahan akses terhadap komputer asal tidak dibelakang firewall membuat kita terlena. Awas, hati-hati, bahaya mengancam server dan sshdmu.
Beberapa minggu yang lalu, saya diminta membangun server oleh seorang teman saya. Okeh, saya installkan Slackware 12.1 plus squid, webmin, httpd, sshd. Malam itu pun digunakan untuk mengutak-atik server, tanpa menyadari ada penyusup yang mencoba masuk. Dibawah ini adalah potongan lognya, sebagai catatan, login yang berhasil pada baris paling atas adalah login yang saya lakukan untuk melakukan instalasi dan setting terhadap squid dan webmin.
Aug 22 18:51:51 gerbang sshd[9701]: Accepted publickey for root from 192.168.1.212 port 50392 ssh2
Aug 22 18:55:33 gerbang sshd[9758]: Did not receive identification string from 117.74.99.186
Aug 22 18:56:31 gerbang sshd[9764]: Did not receive identification string from 58.26.138.229
Aug 22 18:58:37 gerbang sshd[9799]: Failed password for root from 117.74.99.186 port 52191 ssh2
Aug 22 18:58:42 gerbang sshd[9803]: Invalid user admin from 117.74.99.186
Aug 22 18:58:42 gerbang sshd[9803]: Failed password for invalid user admin from 117.74.99.186 port 52356 ssh2
Aug 22 18:58:46 gerbang sshd[9807]: Invalid user test from 117.74.99.186
Aug 22 18:58:46 gerbang sshd[9807]: Failed password for invalid user test from 117.74.99.186 port 52527 ssh2
Tanpa saya sadari, ternyata semalaman itu komputer entah jauh disana sedang melakukan usaha pembobolan terhadap server ini. Sayangnya akun root dilindungi oleh password yang terdiri dari angka, huruf, dan simbol. Beberapa menit kemudian, percobaan untuk membobol server baru ini semakin menggila.
Aug 22 19:29:29 gerbang sshd[4976]: Failed password for invalid user ian from 117.74.99.186 port 35035 ssh2
Aug 22 19:29:33 gerbang sshd[4982]: Invalid user ian from 117.74.99.186
Aug 22 19:29:33 gerbang sshd[4982]: Failed password for invalid user ian from 117.74.99.186 port 40011 ssh2
Aug 22 19:29:38 gerbang sshd[4988]: Invalid user ismail from 117.74.99.186
Aug 22 19:29:38 gerbang sshd[4988]: Failed password for invalid user ismail from 117.74.99.186 port 40279 ssh2
Aug 22 19:29:42 gerbang sshd[4992]: Invalid user ismail from 117.74.99.186
Attacker ini mencoba berbagai macam nama user. Entah apa saja password yang dicoba, saya juga tidak tahu. Segera saya buat user baru dengan group user, dengan nama yang sulit ditebak (penggunaan garis bawah dan singkatan disarankan, contoh: flm_mst) dan password yang sulit. Perintah untuk melakukannya di Slackware 12.1 adalah :
#adduser
Perintah di atas akan memandu anda untuk menambah user baru ke dalam sistem. Setelah selesai, kemudian saya mematikan akses login terhadap root pada file konfigurasi /etc/ssh/sshd.conf dengan cara mengedit baris “PermitRootLogin” menjadi seperti ini,
PermitRootLogin 0
Kemudian melakukan restart sshd dengan cara :
#/etc/rc.d/rc.sshd restart
Tenang saja, walaupun sshd direstart, koneksi yang masih berlangsung tidak akan terputus, hal ini dibuat agar jika setingan sshd anda salah, anda masih bisa membetulkannya. Setelah melakukan restart jangan terburu-buru keluar, lakukan test dengan mencoba login ssh dengan user yang baru saja dibuat.
$ssh nama_user@alamat_server
Jika anda berhasil login, berarti konfigurasi berhasil dibuat, coba lagi login dengan user root, jika gagal, maka konfigurasi sukses dan anda dapat keluar dari ssh. Untuk melakukan maintenance, login memakai user yang baru saja dibuat, kemudian lakukan su,
$su
Pengamanan tambahan bisa dilakukan dengan cara :
- Mengganti port listening sshd dari 22 ke 2222 atau 1234, atau angka port lain yang menurut anda cantik.
- Menggunakan pair key untuk login ke dalam ssh.
- Menggunakan port knocking untuk mengaktifkan port sshd.
- Menggunakan aplikasi yang secara otomatis memblokir komputer yang melakukan bruteforce, atau melambatkan banyaknya request koneksi. Misalnya saja iptables, deny_host, atau script bash sederhana.
pada tahap awal dia lakukan probing untuk mengetahui open port dan version.. setelah itu baru dia melakukan actual login tapi gagal.. just my two cents :p
Selain ssh ternyata service http juga dicoba-coba untuk jadi proxy. Rupanya sudah diseting supaya secara otomatis mencari kesalahan setting admin.
Klo servernya pakai ubuntu 8.10…apa caranya sama bos
@romo
umumnya sama mas, cuma mungkin tool dan lokasi konfigurasi letaknya berbeda. Misal tool menambah user yang digunakan bukan adduser tetapi useradd, kemudian untuk init script bukan di /etc/rc.d tapi di /etc/init.d/ sesuai dengan konfigurasi Debian (bapak ubuntu).
halo mas, bisa jelasin tentang sistem keamanan firewall yg menggunakan port knocking ga tuk ngeremot port 22, yg menggunakan iptables dengan distro centOS 5.3 karna q lg cb buat server tuk d kampus ni. trimah kasih n salam kenal