Ketika pertama-tama kali membangun server Ubuntu 16.04 bagi VPS, ada beberapa konfigurasi mendasar yang perlu Sahabat terapkan. Konfigurasi mendasar ini dapat meningkatkan keamanan server. Selain itu, konfigurasi mendasar ini pun akan mempermudah Sahabat pada menjalankan beberapa paket instalasi di server.
Setidaknya ada 7 konfigurasi mendasar yang mesti Sahabat lakukan. Apa saja strategi konfigurasi tersebut? Kami akan menjelaskan semuanya satu per satu di artikel ini
Konfigurasi Awal di VPS Ubuntu 16.04
Berikut ini pembahasan dari langkah awal konfigurasi VPS Ubuntu 16.04:
1. Root Login
Root login digunakan bagi proses masuk server. Sahabat dapat memperoleh detail Login di panel ataupun email ketika Sahabat membeli VPS.
Apabila menggunakan Windows, Sahabat akan membutuhkan program seperti PuTTY. Masukan IP di kotak Host Name (or IP address) lalu klik Open.
Berikutnya akan muncul halaman bagi masukkan user login as, lalu masukkan password yang telah diberikan di email ketika pembelian VPS Indonesia Terbaik.
Sedangkan bagi Linux dan Mac, Sahabat dapat menggunakan terminal yang telah menjadi program bawaan di aplikasi operasinya. Masukkan petunjuk dibawah ini bagi login server.
$ ssh root@server_IP_AndaSetelah proses login selesai, Sahabat akan menerima peringatan mengenai keaslian host.
Setelah klik YES kemudian Sahabat akan diminta bagi masukkan user login as dan kata sandi.
Apabila ini yakni pertama-tama kalinya Sahabat masuk ke server dengan kata sandi, Sahabat dapat cek kata sandi di email yang Sahabat gunakan bagi pembelian VPS disitu akan ada informasi bagi login SSH.
2. Update dan Upgrade Server
Setelah login ke server, Sahabat perlu menjalankan update dan upgrade server bagi memastikan program atau program yang digunakan tak terjadi error.
Update server yakni pembaharuan sebuah program komputer atau menambah data pendukung, termasuk pun memperbaiki kelemahan-kelemahan (bug) dan meningkatkan kegunaan atau daya kerjanya. Bagi menjalankan update, gunakan petunjuk ini:
$ sudo apt-get update
Upgrade server digunakan bagi menginstall versi terbaru dari segala paket ketika ini yang diinstall di aplikasi dari sumber-sumber yang telah disebutkan pada /etc/apt/sources.list. Paket yang terinstall akan di-upgrade dengan versi terbaru yang terdapat. Bagi menjalankan upgrade server, gunakan petunjuk ini:
$ sudo apt-get upgrade
3. Membangun User Baru
Setelah Sahabat masuk selaku root, Sahabat dapat menambahkan pengguna akun baru yang nantinya dapat Sahabat gunakan bagi masuk/login server. Manfaat dari user baru di sini yakni bagi menambahkan tingkat keamanan ketika login sehingga tak sembarang orang dapat login ke server VPS Sahabat. Selain itu, mempermudah pada proses pengaturan dan pengolahan sever.
Di contoh di bawah ini, kami membangun user baru dengan nama “dev”. Sahabat dapat membangun user dengan nama yang sesuai dengan keinginan dan keperluan Sahabat :
$ adduser dev
Setelah itu, Sahabat akan diminta bagi memasukkan password baru. Bikin password yang unik, fungsinya yakni bagi keamanan server Sahabat.
Selain itu, Sahabat pun akan diminta mengisi beberapa detail informasi seperti Full Name, Room Number, Work Phone dan Home Phone. Tetapi pada penginputan informasi tersebut yakni opsional.
Selesai, Sahabat telah berhasil membangun user baru. Pada penambahan user, Sahabat dapat menambahkan sesuai keperluan. Sahabat dapat mengulangi petunjuk di atas bagi membangun user baru.
4. Tambahkan Public Key Authentication (Recommended)
Langkah berikutnya pada mengamankan server yakni mengatur Public Key Authentication bagi pengguna baru Sahabat. Public Key Authentication akan memberikan kenyamanan dan keamanan bagi login lewat SSH karena user tak perlu memasukkan username dan password seperti biasanya (dan rawan brute-force).
Bagi membangun Public Key Authentication, Sahabat perlu generate Key Pair SSH. Berikut yakni cara membangun public key authentication:
4.1. Generate a Key Pair
Bagi menghasilkan New Key Pair SSH, masukkan petunjuk berikut di terminal Sahabat:
$ ssh-keygenDengan asumsi pengguna lokal Sahabat disebut “Local User”, Sahabat akan melihat output yang terlihat seperti berikut:
Generating public/private rsa key pair.Enter file in which to save the key (/Users/localuser/.ssh/id_rsa):Tekan ENTER bagi menerima nama dan jalur file ini.
Berikutnya, Sahabat akan diminta bagi memasukan passphrase (frasa sandi) bagi mengamankan key. Sahabat dapat memasukkan kata sandi atau membiarkan kata sandi kosong.
Sahabat telah berhasil membangun Key Pair yang terdiri dari Private Key id_rsa dan Public Key, id_rsa.pub. Sahabat dapat melihat file Public Key dengan nama Private Key, id_rsa dan Public Key di direktori .ssh.
Note
Apabila Sahabat membiarkan kata sandi kosong, Sahabat akan dapat menggunakan private key bagi otentikasi tanpa memasukan kata sandi. Apabila memasukkan passphrase, Sahabat akan memerlukan private key dan passphrase bagi login. Mengamankan key Sahabat dengan passphrase lebih aman, tetapi kedua sistem mempunyai penggunaannya dan lebih aman dari di otentikasi kata sandi mendasar.
4.2. Salin Public Key
Setelah sukses membangun Public Key Authentication, kini Sahabat perlu menyalinnya ke server baru Sahabat. Terdapat dua cara bagi menyalin Public Key ini, yaitu menggunakan ssh-copy-id dan dengan cara manual. Pilih diantara cara di bawah ini yang menurut Sahabat gampang.
- Alternatif 1 Gunakan ssh-copy-id
Jalankan ssh-copy-id dengan menggunakan petunjuk di bawah ini. (Ganti IP_server_Anda dengan tempat tinggal IP server Sahabat yang sesungguhnya).
$ ssh-copy-id dev@IP_server_AndaBerikutnya Sahabat akan diminta bagi memasukan kata sandi user yang telah Sahabat bikin., Setelah itu, Public Key Sahabat akan ditambahkan .ssh/authorized_keys bagi remote user. Sekarang ini Public Key dapat digunakan bagi masuk server.
- Alternatif 2 Install Secara Manual
Cara lain bagi menyalin Public Key yakni dengan cara manual jalankan petunjuk di bawah ini bagi membangun Public Key Sahabat (id_rsa.pub).
$ cat /.ssh/id_rsa.pubIni akan menampilkan Public Key Sahabat, yang akan terlihat seperti berikut ini:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC2JKuvHbEnEr7n2VbT48+feqkQxKOuQ+HwKJDSTTAnFr8IMa9xwvCvKMh6u/Cgej6fb7OAeCd77ExFsYCE+e6ny4935sg119H3qa1C3ZGH/OWSAsihRpGrsIMxle+PL38T9ExMmeiYB+VWt7X/s63//Fg8Pz5NekRGGd514qclyXtbP50KQ/Vno6R3usSfv01a8c4RD4tCCAEFaIzUovT/WO8n9ia6Wztm9dxqlVNHJj0zTta/0szhCanIFTbm1bHeXcJCLYrs+QootWGPyvhORHjkC0+7KMkA51OiCTAOV7xNpWOWYlJ85dw5H2E6/riyH513gNo0u7YnKA0ekZDJ root@dapitkurniawan.ioSahabat mesti menambahkan file Public Key di atas ke file khusus di direktori home/user. Berikut cara menambahkan file Private Key id_rsa dan Public Key, id_rsa.pub:
Apabila Sahabat masih login selaku root, masukkan petunjuk berikut ini bagi beralih ke pengguna baru:
# su - devSahabat akan berada di direktori home/new user Sahabat.
Bikin direktori baru yang disebut .ssh dan batasi izinnya dengan petunjuk berikut ini:
$ mkdir /.ssh$ chmod 700 /.sshSekarang ini buka file yang .ssh disebut authorized_keys dengan editor teks. Kami akan gunakan petunjuk nano bagi mengedit file.
$ nano /.ssh/authorized_keysKetikkan petunjuk ini bagi kembali ke user root:
$ exitSelesai kini Sahabat telah berhasil menambahkan Public Key Authentication di server.
5. Nonaktifkan Password Authentication (Recommended)
Sahabat dapat meningkatkan keamanan server Sahabat dengan menonaktifkan otentikasi kata sandi. Menjalankan hal itu akan membatasi akses SSH ke server Sahabat hanya bagi otentikasi Public Key. Artinya, satu-satunya cara bagi masuk ke server Sahabat selain dari konsol yakni dengan mempunyai Private key.
Bagi menonaktifkan otentikasi kata sandi di server Sahabat, ikuti strategi ini.
$ sudo nano /etc/ssh/sshd_configDapatkan baris yang menentukan PasswordAuthentication, hapus tanda # lalu ubah nilainya menjadi “NO”. Seperti di gambar di bawah ini.
Berikut yakni dua pengaturan lain yang urgen bagi otentikasi kunci saja dan ditetapkan secara default. Apabila belum mengubah file ini sebelumnya, Sahabat tak perlu mengubah pengaturan ini:
Ketika Sahabat selesai menjalankan perubahan, simpan dan tutup file menggunakan petunjuk Ctrl+X, lalu Y, lalu ENTER.
Ketik ini bagi menjalankan restart SSH :
$ sudo systemctl reload sshdSekarang ini otentikasi kata sandi dinonaktifkan. Server Sahabat kini hanya dapat diakses dengan otentikasi kunci SSH.
6. Test Log In
Sebelum Sahabat keluar dari server, Sahabat mesti menguji konfigurasi baru Sahabat. Jangan putuskan sambungan hingga Sahabat mengkonfirmasi bahwa Sahabat dapat masuk lewat SSH.
Masuk ke server Sahabat menggunakan akun baru yang Sahabat bikin. Bagi melakukannya, gunakan petunjuk ini:
$ ssh dev@IP_Server_AndaApabila Sahabat menambahkan otentikasi Public Key ke New User, seperti yang dideskripsikan pada langkah empat dan lima, Private Key Sahabat akan digunakan selaku otentikasi. Apabila tak, Sahabat akan diminta kata sandi pengguna Sahabat. Setelah otentikasi diberikan ke server, Sahabat akan masuk selaku New User.
Baca Pun: 15+ Tips Keamanan Server VPS
7. Konfigurasi Firewall Menggunakan UFW
Uncomplicated Firewall (UFW) yakni sebuah interface dari Linux iptables. iptables sendiri yakni tools yang benar-benar bagus bagi menjalankan konfigurasi firewall di aplikasi operasi dengan menggunakan Linux. Namun iptables lumayan rumit bagi dimengerti oleh sebahagian orang. UFW hadir bagi mengatasi permasalahan tersebut dengan cara menyederhanakan petunjuk konfigurasi firewall sehingga mempermudah aplikasi administrator pada mengelola firewall.
Di bawah ini kami akan menjelaskan cara konfigurasi firewall menggunakan ufw.
7.1. Mengaktifkan Service UFW
Berikut yakni strategi konfigurasi firewall menggunakan UFW.Sebelum menjalankan konfigurasi firewall menggunakan ufw, Sahabat mesti memastikan service ufw telah berjalan di server Sahabat dengan petunjuk:
$ sudo systemctl status ufwBila ternyata service ufw yakni inactive (dead), Sahabat mesti mengaktifkannya dengan cara di bawah ini:
$ sudo systemctl start ufw$ sudo systemctl enable ufwSetelah menjalankan petunjuk diatas, pastikan kali ini status service ufw yakni active (exited)seperti di gambar di bawah ini.
7.2. Mengaktifkan Firewall Menggunakan UFW
Walaupun service ufw telah aktif, firewall rule belum diaktifkan. Sahabat dapat mengeceknya dengan petunjuk ini:
$ sudo ufw statusBila output petunjuk tersebut Status: inactive karenanya artinya ufw belum aktif dan default policy dari firewall yakni ACCEPT.
Cek kembali dengan petunjuk di bawah ini.
$ sudo iptables -LKarenanya Sahabat akan memperoleh output kurang lebih seperti ini.
Kondisi seperti ini akan mengijinkan seluruh koneksi keluar dan masuk ke server Sahabat. Sekarang ini aktifkan lah ufw dengan petunjuk.
$ sudo ufw enableKemudian tekan y bila memperoleh pesan seperti di tampilan di bawah ini:
Bila berhasil, Sahabat akan memperoleh pesan Firewall is active and enabled on system startup. Bagi menjalankan pengecekan status jalankan petunjuk ini.
Bagi melihat default policy setelah UFW diaktifkan. Contoh output petunjuk tersebut yakni
$ sudo ufw status verbose
Penjelasan Default Policy :
- Melarang (deny) seluruh paket masuk, kecuali yang diizinkan.
- Mengijinkan (allow) seluruh paket yang masuk.
- Tak mengaktifkan (disabled) paket routing.
7.3. Mengaktifkan UFW Application Profile
UFW telah menyediakan berjenis-jenis Application profile yang berisi default rule berjenis-jenis program populer. Sahabat dapat melihat daftar Application profile tersebut dengan menggunakan petunjuk.
$ sudo ufw app listOutput petunjuk tersebut bergantung di program yang Sahabat install pada komputer Sahabat. Berikut contoh output petunjuk di atas:
Sahabat dapat mengizinkan program tertentu dengan petunjuk
$ sudo ufw allow nama programSahabat dapat melihat policy yang terdapat pada masing-masing Application profile dengan petunjuk sudo ufw app informasi <nama program>. Berikut yakni contoh output ketika menjalankan petunjuk di atas.
7.4. Mengizinkan Akses Layanan SSH
Bagi mengizinkan layanan SSH menggunakan ufw, Sahabat dapat melakukannya dengan mengizinkan Application profile OpenSSH menggunakan petunjuk ini:
$ sudo ufw allow OpenSSHAtau Sahabat dapat melakukannya secara manual dengan cara
$ sudo ufw allow 22/top7.5. Mengizinkan Layanan Apache
Setelah memberi izin di SSH berikutnya yakni mengizinkan layanan Apache Cara sangat gampang mengizinkan layanan Web server Apache, bagus itu port 80 bagi protokol HTTP dan port 443 bagi protokol HTTPS dengan petunjuk
$ sudo ufw allow ‘Apache Full’Atau Sahabat dapat melakukannya secara manual dengan cara
$ sudo ufw allow 80/tcp$ sudo ufw allow 443/tcpJalankan petunjuk di bawah ini bagi mengecek akibat perubahan firewall policy
$ sudo ufw status verbose
7.6. Mengizinkan Port dan Protokol Tertentu
Kemudian Sahabat dapat mengizinkan port dan protokol tertentu dengan format petunjuk.
$ sudo ufw allow 80/tcpPermintaan diatas akan mengizinkan akses ke port 80 dengan protokol TCP, sedangkan petunjuk
$ sudo ufw allow 53/udpPermintaan diatas akan mengizinkan akses ke port 53 dengan protokol UDP.
7.7. Mengizinkan Port dengan Range dan Protokol Tertentu
Setelah itu, Sahabat dapat mengizinkan port dengan range dan protokol tertentu dengan format petunjuk
$ sudo ufw allow 8000:8100/tcpPermintaan diatas akan mengizinkan akses ke port 8000 hingga 8100 dengan protokol TCP,
$ sudo ufw allow 5300:5500/udpsedangkan petunjuk, diatas akan mengizinkan akses ke port 5300 hingga 5500 dengan protokol TCP
7.8. Mengizinkan IP tertentu
Sahabat dapat mengizinkan IP dengan format petunjuk yang tujuannya yakni mengizinkan akses dari IP tertentu di server.
$ sudo ufw allow from 104.28.29.182Command di atas akan mengizinkan segala akses dari IP 104.28.29.182 masuk ke komputer Sahabat. Bila ingin hanya IP tertentu yang dapat mengakses port tertentu di server, Sahabat dapat menjalankan petunjuk
$ sudo ufw allow from 104.28.29.182 to any port 227.9. Mengizinkan Subnet tertentu
Sahabat dapat mengizinkan Subnet dengan format petunjuk yang berfungsi bagi mengizinkan segala akses dari Subnet yang masuk ke server Sahabat.
$ sudo ufw allow from 104.28.29.180/24Command di atas akan mengizinkan segala akses dari subnet 104.28.29.180/24 masuk ke server Sahabat. Bila ingin hanya Subnet tertentu yang dapat mengakses port tertentu di server , Sahabat dapat menjalankan petunjuk
$ sudo ufw allow from 104.28.24.40/24 to any port 22Command diatas akan mengizinkan akses dari IP 104.28.24.40/24 masuk ke port 22 di server Sahabat.
7.10. Memblokir Akses dari IP atau Subnet Tertentu
UFW dapat Sahabat manfaatkan bagi memblokir IP atau Subnet tertentu. Bagi memblokir IP tertentu gunakan petunjuk.
$ sudo ufw deny from 104.17.170.122Bila Sahabat ingin memblokir Subnet tertentu, gunakan petunjuk dengan format
$ sudo ufw deny from 104.17.170.122/24Kesimpulan
Dengan menjalankan segala langkah konfigurasi mendasar di atas, server Sahabat telah mempunyai mendasar keamanan yang kuat. Dengan demikian itu Sahabat dapat menggunakannya dengan aman.
Seperti itulah langkah awal pengaturan VPS Ubuntu 16.04. Apabila masih ada pertanyaan jangan sungkan bagi meninggalkan di kolom komentar. Jangan lupa pun subscribe bagi memperoleh informasi VPS dan WordPress dari kami.
Sumber https://niagahoster.co.id/