Tips Security dan Hardening Apache Web Server On CentOS

Sedikit rangkuman tips untuk security dan hardening apache web server di centos hasil mengembara sana-sini. Untuk tahap awal, sediakan linux centos dan install apachenya.

1. Menyembunyikan Versi Apache dan Identitas OS dari Error

Membaca Informasi Network Card di Linux

Terkadang kita ingin mengetahui nama produk Network Card yang terpasang di linux kita, misalnya untuk mencari informasi apakah drivernya cocok untuk kernel tertentu atau bisa juga untuk membaca kecepatan Network Card kita 10Mbps/100Mbps/1Gbps/10Gbps.

Ada 3 tools dilinux yang bisa digunakan. Khususnya pembahasan ini untuk linux distro debian based (debian, ubuntu, dll.) dan redhat based (redhat, centos, fedora, dll.).

Install FTP Server Pada CentOS

Tahap awal yang dilakukan adalah install package yang dibutuhkan

yum install vsftpd

Setelah selesai di install, coba hidupkan service nya.

service vsftpd start

Jangan lupa untuk di set auto start juga dengan perintah

chkconfig vsftpd on

Setelah semua tahap diatas selesai dan normal, kita masuk kedalam file konfigurasinya. Buka file konfigurasinya yang ada di /etc/vsftpd/vsftpd.conf dengan file editor kesukaan masing-masing. Hal-hal berikut yang harus diperhatikan dalam file konfigurasinya:

Install Zimbra Pada Centos 6

nb: yang di tebalkan adalah perintah-perintah yang kita ketikkan/jalankan di server kita.
Setelah selesai instal Centos 6 (disarankan minimal install), jangan lupa untuk setting IP Address

vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE="eth0"
NM_CONTROLLED="yes"
ONBOOT=yes
HWADDR=22:1A:09:16:BD:3A
TYPE=Ethernet
BOOTPROTO=none
IPADDR=192.168.3.102
PREFIX=24
GATEWAY=192.168.3.11
DNS1=192.168.3.11
DEFROUTE=yes
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
NAME="System eth0"
UUID=5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03

Lalu mengganti Hostname

VLAN Dengan "mode trunk" Dan "mode access"

Contoh study case membuat vlan dengan "mode trunk" dan "mode access". Untuk penjelasan tentang vlan itu apa, bisa searching di google :D

Langsung ke pembahasan, siapkan packet tracer sebagai aplikasi simulasinya.

Setting Waktu Di Router Board Mikrotik Menggunakan Fasilitas Ntp Client

Secara default, router board tidak memiliki baterai CMOS untuk menyimpan waktu.

Menggunakan fasilitas NTP (Network Time Protocol) sebagai sinkronisasi waktu ke server tertentu adalah salah satu solusinya.

Silahkan menggunakan winbox untuk mensetting seperti tampak dibawah ini:

Setelah masuk ke router melalui winbox, ada di bagian system -> SNTP Client. Maka akan tampak box seperti dibawah ini:

Load Balance Dengan Metode PCC

Kebutuhan pertama adalah RB750. Dengan 2 sumber koneksi internet, dan 1 keluaran untuk LAN. Ini bersifat dokumentasi khusus untuk pribadi tapi bisa juga diimplementasikan untuk umum. Mohon dibaca dengan baik dan seksama.

Pertama, kita bikin mangle nya dulu.

/ip firewall mangle
add action=mark-connection chain=input comment="NEW Load Balance" connection-state=new disabled=no in-interface=ether1 new-connection-mark=maxi_conn passthrough=yes
add action=mark-connection chain=input connection-state=new disabled=no in-interface=ether2 new-connection-mark=fm_conn1 passthrough=yes
add action=mark-routing chain=output connection-mark=maxi_conn disabled=no new-routing-mark=jalur-1 passthrough=no
add action=mark-routing chain=output connection-mark=fm_conn1 disabled=no new-routing-mark=jalur-2 passthrough=no
add action=mark-connection chain=prerouting disabled=no dst-address-type=!local in-interface=ether5 new-connection-mark=maxi_conn passthrough=yes per-connection-classifier=both-addresses-and-ports:2/0
add action=mark-connection chain=prerouting disabled=no dst-address-type=!local in-interface=ether5 new-connection-mark=fm_conn1 passthrough=yes per-connection-classifier=both-addresses-and-ports:2/1
add action=mark-routing chain=prerouting connection-mark=maxi_conn disabled=no in-interface=ether5 new-routing-mark=jalur-1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=fm_conn1 disabled=no in-interface=ether5 new-routing-mark=jalur-2 passthrough=yes

Lalu NAT koneksinya.

/ip firewall nat
add chain=srcnat action=masquerade src-address="IP Lokal"

Tinggal step terakhir adalah routing.

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ether1 routing-mark=Jalur-1
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ether2 routing-mark=Jalur-2
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway="ether1, ether2"
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=ether2
add disabled=no distance=3 dst-address=0.0.0.0/0 gateway=ether1

Mengamankan Ssh Server

Selain mengganti port untuk login ke suatu server menggunakan akses ssh, kita juga bisa mendisable user root ketika mengakses server menggunakan jalur SSH. Berikut tahap-tahapnya:

Buka file konfigurasi (biasanya di lokasi ini):

nano /etc/ssh/sshd_config

Cari PermitRootLogin menggunakan ctrl+w. Rubah:

PermitRootLogin yes

Menjadi:

PermitRootLogin no

Jangan lupa untuk menghapus tanda pagar didepannya. Finish :D

Mengganti Logo Booting Linux Ubuntu

Untuk mengganti logo booting di linux ubuntu, lokasinya ada di /lib/plymouth/. Yang harus dirubah dilokasi tersebut adalah:

/lib/plymouth/ubuntu-logo.png
/lib/plymouth/themes/ubuntu-logo/ (disini semuanya ada, tinggal dirubah)

Tools yang dibutuhkan:
- Gimp
- Terminal

Step-step:
- Buka terminal, masuk ke root dengan perintah sudo su
- Jalankan nautilus dengan root
- Masuk ke dalam tujuan kita /lib/plymouth/
- Lakukan perubahan dengan GIMP :)

~ Semoga Bermanfaat ~

Mengganti Output Dari Perintah 'uname' di Linux Ubuntu

Lagi iseng-iseng bikin remastering, pas temen ngecek kok masih ketawan kalo itu hasil remastering dari linux apa, nah ini dokumentasi cara mengganti hasil output pada saat kita menjalankan perintah uname di linux ubuntu (karena remasteringnya dari linux ubuntu :D).

1. Buka terminal, jalankan sudo user jika kita login sebagai user biasa.

sudo su

2. Membackup perintah uname yang asli dengan cara merubah namanya.

mv /bin/uname /bin/uname-asli

3. Membuat uname yang baru (ini bagian paling seru).

nano /bin/uname

#!/bin/sh
echo "Hasil Output"
/bin/uname-asli

4. Merubah file uname yang baru kita buat menjadi executable.

chmod +x /bin/uname

5. Finish...!!!

Untuk mencoba berhasil atau tidaknya, coba jalankan perintah uname. Bagaimana? :D

Hal-hal menarik tentang remastering yang berikutnya juga akan terus didokumentasikan, jadi jangan lupa pantengin terus... :D

Disable USB by System

Sedikit trik untuk keamanan linux desktop(ubuntu) kita, buat temen-temen semua yang tidak mau datanya diambil secara sembarangan melalui USB. Sebenernya cara ini bisa kita lakukan dari settingan BIOSnya, tapi trik ini adalah trik yang akan agak sedikit menipu karena pada settingan BIOS si USB tidak di disable, tapi tetep saja si USB tidak mau kebaca (rukak kali usb nya :-D).

Oke, kita mulai saja. Step one, lakukan penambahan script pada "/etc/modprobe.d/blacklist.conf", letakkan di bagian paling bawah

blacklist usb_storage

Step two, restart pc kita :-D

Demi keamanan data, silahkan dicoba.

Instalasi VOIP Server (Ubuntu, Asterisk, FreePBX)

Voip (Voice Over IP - http://id.wikipedia.org/wiki/Voip) adalah salah satu teknologi yang membuat kita bisa berkomunikasi melalu internet. Kali ini saya coba sharing untuk instalasi server VOIP menggunakan Ubuntu 10.04.02(Latest Stable Edition)-Server.

Setelah instalasi ubuntu servernya selesai (dalam keadaan bersih belum terinstall apa-apa dan belum di update), recomended siyh rubah reponya terlebih dahulu supaya agak cepet pada saat proses update, upgrade, dan instalasi paket yang lainnya. Arahkan reponya ke:

deb http://dl2.foss-id.web.id/ubuntu lucid main restricted universe multiverse
deb-src http://dl2.foss-id.web.id/ubuntu lucid main restricted universe multiverse
deb http://dl2.foss-id.web.id/ubuntu lucid-updates main restricted universe multiverse
deb-src http://dl2.foss-id.web.id/ubuntu lucid-updates main restricted universe multiverse
deb http://dl2.foss-id.web.id/ubuntu lucid-security main restricted universe multiverse
deb-src http://dl2.foss-id.web.id/ubuntu lucid-security main restricted universe multiverse

deb http://kambing.ui.edu/ubuntu lucid main restricted universe multiverse
deb-src http://kambing.ui.edu/ubuntu lucid main restricted universe multiverse
deb http://kambing.ui.edu/ubuntu lucid-updates main restricted universe multiverse
deb-src http://kambing.ui.edu/ubuntu lucid-updates main restricted universe multiverse
deb http://kambing.ui.edu/ubuntu lucid-security main restricted universe multiverse
deb-src http://kambing.ui.edu/ubuntu lucid-security main restricted universe multiverse

deb http://kambing.ui.ac.id/ubuntu lucid main restricted universe multiverse
deb-src http://kambing.ui.ac.id/ubuntu lucid main restriced universe multiverse
#deb http://kambing.ui.ac.id/ubuntu lucid-backport main restricted universe multiverse
#deb-src http://kambing.ui.ac.id/ubuntu lucid-bakport main restricted universe multiverse
deb http://kambing.ui.ac.id/ubuntu lucid-proposed main restricted universe multiverse
deb-src http://kambing.ui.ac.id/ubuntu lucid-proposed main restricted universe multiverse
deb http://kambing.ui.ac.id/ubuntu lucid-security main restricted universe multiverse
deb-src http://kambing.ui.ac.id/ubuntu lucid-security main restricted universe multiverse
deb http://kambing.ui.ac.id/ubuntu lucid-updates main restricted universe multiverse
deb-src http://kambing.ui.ac.id/ubuntu lucid-updates main restricted universe multiverse

gunakan salah satunya.

Setelah selesai dirubah, lakukan update lalu di upgrade.
Instal paket-paket yang dibutuhkan:

apt-get install tasksel
tasksel install lamp-server
apt-get install asterisk asterisk-mysql asterisk-mp3 php-db php5-gd php-pear sox curl asterisk asterisk-mysql asterisk-mp3 php-db php5-gd php-pear sox curl

setelah selesai terinstall, lakukan penambahan user:

adduser www-data asterisk

rubah hak akses folder /usr/share/asterisk menjadi miliknya www-data dan group asterisk:

chown www-data.asterisk -R /usr/share/asterisk

rubah Apache agar jalan sebagai asterisk. caranya dengan merubah apache usernya menjadi asterisk di file /etc/apache2/envvars :

#export APACHE_RUN_USER=www-data
#export APACHE_RUN_GROUP=www-data
export APACHE_RUN_USER=asterisk
export APACHE_RUN_GROUP=asterisk

restart apache:

apache2ctl graceful

Untuk menjalankan server FOP(Flash Operator Panel), coba ganti default user shell untuk user asterisk di set menjadi "false":

usermod -s /bin/bash asterisk

di /usr/sbin/safe_asterisk rubah variable "BACKGROUND" yang tadinya 0 menjadi 1

download freepbx di http://www.freepbx.org/download-freepbx untuk melihat release terakhirnya. Untuk update terakhir pada saat dibuatnya tutorial ini adalah versi 2.9.0:

cd /usr/src
wget http://mirror.freepbx.org/freepbx-2.9.0.tar.gz
tar freepbx-2.9.0.tar.gz
cd freepbx-2.9.0

Kondisi terakhir kita berada di folder /usr/src/freepbx-2.9.0/. Lakukan persiapan database:

mysqladmin create asterisk -u root -p
mysqladmin create asteriskcdrdb -u root -p
mysql asterisk < SQL/newinstall.sql -u root -p
mysql asteriskcdrdb < SQL/cdr_mysql_table.sql -u root -p
mysql -u root -p
GRANT ALL PRIVILEGES ON asterisk.* TO asteriskuser@localhost IDENTIFIED BY 'amp109';
GRANT ALL PRIVILEGES ON asteriskcdrdb.* TO asteriskuser@localhost IDENTIFIED BY 'amp109';
flush privileges;
quit

SSEBELUM MELAKUKAN INSTALASI, BACKUP TERLEBIH DAHULU FILE /etc/asterisk/modules.conf:

cp /etc/asterisk/modules.conf /home/(user)/

Memulai instalasi freepbx:

./install_amp

Pada saat instalasi, yang wajib diganti adalah pada saat dia meminta IP Address, kita ketikkan dengan alamat IP kita sendiri. Dan rubah default folder web aplikasinya ke [b]/var/www/freepbx[/b]
Perhatian: Jika kita manjadikan folder freepbx sebagai subfolder, panel tidak akan berjalan dengan lancar. kita lakukan sedikit hard code lagih :-D dengan membuat virtual Host di web server kita.
buat file di /etc/apache2/sites-available/freepbx dan taro code berikut ini:

################# Named VirtualHosts


ServerName freepbx
ServerAlias freepbx

ServerAdmin yourname@yourdomain.com
ErrorLog /var/log/apache2/freepbx.error.log
CustomLog /var/log/apache2/freepbx.access.log combined

DocumentRoot /var/www/freepbx

Options Indexes FollowSymLinks MultiViews
Order allow,deny
AllowOverride All
Allow from all



AuthType Basic
AuthName "Restricted Area"
AuthUserFile freepbx-passwd
Require user admin





##################################################################

Buatlah symlink untuk menjalankan file diatas:

ln -s /etc/apache2/sites-available/freepbx /etc/apache2/sites-enabled/099-freepbx

dan tambahkan password file sesuai dengan yang diinginkan:

htpasswd -c /etc/apache2/freepbx-passwd admin

Restart Apache

/etc/init.d/apache2 restart

Restore backup dari modules.conf

cp /home/(user)/ /etc/asterisk/modules.conf

Jika apachenya masih running sebagai www-data, tambahkan script ini di /etc/amportal.conf

AMPASTERISKUSER=www-data
AMPASTERISKGROUP=asterisk

Untuk menjadikannya selalu jalan setiap saat, kita lakukan sedikit injeksi di /etc/rc.local sebelum line exit 0:

/usr/local/sbin/amportal start
exit 0

Reboot Ubuntunya dan lakukan administrasi di http://alamatIP/freepbx. Server voip sudah running, selamat menikmati. :-D
Untuk testing, nantikan di postingan berikutnya :-D

Menghidupkan Login Otomatis di Windows XP

Kali ini kita akan membahas membuat windows XP kita menjadi "Automatic Login" ketika kita mempunya 2 atau lebih user dan masing-masing user berbeda jenis.

Kondisi:
1. User Canopy (password) - Computer Administrator
2. User Tamu - Limited Account


3. Setelah booting, langsung masuk ke "Tamu"
4. Melakukan perubahan instalasi dan konfigurasi di "Canopy" dengan melakukan Log Off terlebih dahulu baru masuk ke user "Canopy"

How To:
1. Klik Start, klik Run, ketik Regedit, lalu klik ok


2. Buka register key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
3. Rubah DefaultUserName menjadi tamu (dikondisikan sesuai dengan user yang akan dibuat login otomatis)


4. Isi DefaultPassword jika ada password, jika tidak menggunakan password biarkan kosong.
Jika tidak ada DefaultPassword, silahkan buat "New->String Value->(DefaultPassword)"


5. Rubah isi AutoAdminLogon menjadi "1".
Jika tidak ada AutoAdminLogon, silahkan buat "New->String Value->(AutoAdminLogon)"

Restart komputer, lalu windows akan masuk otomatis ke user "Tamu"

Menambahkan Account Yahoo di Pidgin (buat pemula)

Request temen yang tidak bisa online yahoo karena dilinuxnya cuman ada pidgin. Diajarin berkali-kali tidak mengerti-mengerti juga, maka dari itu saya buatkan tutorial ini. Buat temen-temen yang lain yang kebetulan nyasar kesini juga. Selamat Menikmati.

• Buka aplikasi pidgin yang sudah terinstall.


• Klik add, maka akan keluar pembuatan account.



• Pilih "Protocol" yahoo dan masukkan username - password.


• Ceklis "Remember password" jika yang digunakan adalah komputer/laptop sendiri, tidak direkomendasikan untuk komputer/laptop yang dipakai bersama-sama.



• Klik "Add", dan selesai.

Sudah bisa kan??? ^_^

Matikan DeepFreeze (cukup ampuh)

Udah lama tidak posting dan melakukan hal-hal gila di blog ini, bertemu dengan pengalaman yang cukup lumayan menantang karena coba mengakali deepfreeze dari jam 5 sore sampai jam 3 pagi baru ketemu solusi terbaiknya dan sangat ampuh, maka dari itu saya coba share disini.

Langsung ke tahap persiapan:

• CD Linux / USB Linux / Linux yang sudah terinstall di PC / CD Windows (apa saja asal bisa masuk ke fasilitas repair dan mendapatkan command prompt)
• Download file $Persi0.sys

Step Linux:

1. Booting linux (bisa terminal atau desktop, tapi lebih recomended desktop)
2. Copy file $Persi0.sys ke tempat aslinya (biasanya ada di Drive C dimana windows terinstall)
3. Reboot
4. Dan kemabali ke Windows.

Step Windows *Anggap saja kita memakai CD Windows XP Professional untuk masuk DOS versi XP(Recovery Console Windows XP)*:

1. Rename persi0.sys dengan nama lain
2. Copy file $Persi0.sys ke tempat aslinya (biasanya ada di Drive C dimana windows terinstall)
3. Restart

Catatan:
Ini buat yang udah mentok pengen matiin deepfreeze tanpa install ulang dan permanen mati. Sesuai JUDUL "Matikan DeepFreeze".

Thanks To:
Anonymous (share buat windowsnya)
Distornity (yang udah setengah ngantuk ngupload filenya :D)