Nix Series: Security Hardening

Pada series ini kita akan melakukan dasar konfigurasi security di NixOS. Konfigurasi yang dilakukan cukup standar, seperti: ssh, firewall, dan fail2ban.

SSH (Secure Shell)

Di series nix installation kita melakukan konfigurasi sederhana untuk ssh.

services.openssh = {
  enable = true;
  ports = [
    222
  ];
  settings = {
    PermitRootLogin = "no";
  };
};

Kita akan memindahkan semua konfigurasi security hardening disebuah file security.nix. Buat directory baru modules dan buat file security.nix.

# security.nix
{
  config,
  pkgs,
  lib,
  ...
}:
{
  services.openssh = {
    enable = true;
    ports = [
      222
    ];
    settings = {
      AllowUsers = [ "vboxuser" ];
      PermitRootLogin = "no";
      LogLevel = "VERBOSE";
    };
  };

Enable Firewall

Dengan menggunakan firewall kita bisa memfilter traffic yang masuk ke VirtualBox. Edit file security.nix dan tambahkan konfigurasi ini:

networking.firewall = {
  enable = true;
  allowedTCPPorts = [
    80
    222
    443
  ];
  allowPing = true;
};

Berbeda dengan OS lainnya, di NixOS saat enable firewall secara default akan melakukan restriction terhadap incoming network.

Setup Fail2ban

Fail2ban adalah salah satu tools yang digunakan untuk memblokir IP address jika IP tersebut mencoba authentication ke komputer dan gagal sebanyak rules yang sudah kita terapkan pada fail2ban.

Tambahkan konfigurasi berikut di security.nix:

services.fail2ban = {
  enable = true;
  maxretry = 3;
  bantime = "1h";
  jails = {
    sshd.settings = {
      port = "222";
      mode = "aggressive";
    };
  };
};

Mode di fail2ban ada 3:

• normal: hanya mendeteksi failed password attempts yang eksplisit
• aggressive: mendeteksi lebih banyak pattern seperti invalid user, connection reset, authentication failure dari berbagai metode
• extra: paling broad, termasuk pattern yang lebih jarang muncul

User Configuration

Saat ini konfigurasi user kita ada di configuration.nix, kita akan pindah konfigurasi user ke modules/users.nix:

# users.nix
{...}:
{
  users.users.vboxuser = {
    isNormalUser = true;
    extraGroups = [ "wheel" ]; # Enable ‘sudo’ for the user.
  };
}

Update configuration.nix

Tambahkan users.nix dan security.nix di configuration.nix dan hapus konfigurasi user dan ssh saat ini:

{
  config,
  lib,
  pkgs,
  ...
}:

{
  imports = [
    ./hardware-configuration.nix

    ./modules/security.nix
    ./modules/users.nix
  ];

  # omited
  ...
}

Setelah kita memisahkan konfigurasi user dan security, struktur file akan terlihat seperti ini:

├── configuration.nix
├── flake.lock
├── flake.nix
├── hardware-configuration.nix
├── home.nix
└── modules
    ├── security.nix
    └── users.nix

Kemudian rebuild system dengan menggunakan rebuild (karena di series sebelumnya kita sudah menambahkan alias)

Dari hasil konfigurasi yang kita lakukan, kita bisa validasi konfigurasi fail2ban di /etc/fail2ban/jail.local

Jika menggunakan OS seperti Ubuntu, kita memerlukan copy paste jail.conf -> jail.local lalu menuliskan kebutuhan konfigurasinya. Di NixOS kita tidak perlu melakukan hal tersebut dan di jail.local sudah terkonfigurasi sesuai yang kita deklarasikan pada security.nix

Testing Brute Force

Untuk testing, pertama kita butuh disconnected terlebih dahulu dari ssh saat ini:

exit

Kemudian coba ssh ke VirtualBox dan masukkan invalid password sebanyak tiga kali:

ssh -p 2222 vboxuser@127.0.0.1 

Hasil seperti gambar diatas menandakan bahwa IP dari komputer sudah diblokir oleh fail2ban yang ada di VirtualBox. Kita bisa cek di VirtualBox secara langsung.

Nah untuk melakukan unban, kita bisa melakukan cara seperti ini:

# ubah IP address berdasarkan IP yang di ban
sudo fail2ban-client set sshd unbanip {IP Address}

Bonus: Secure SSH with Key Pairs

Ada cara lain untuk meningkatkan security, yaitu dengan cara menon-aktifkan password authentication pada ssh

1. Generate SSH key

Generate ssh key pada komputer (bukan di VirtualBox):

ssh-keygen -t ed25519 -C "vboxuser"

By default, ssh key akan digenerate di ~/.ssh dan key yang akan kita pasang ke users di VirtualBox adalah public key. Kita bisa salin public key dari file yang berekstensi .pub.

2. Enable SSH Agent

# enable ssh agent
eval $(ssh-agent -s)

# attach ssh key
ssh-add ~/.ssh/id_ed25519 # sesuaikan dengan nama private key

Dengan cara ini kita melakukkan attachment ssh key ke memory, sehingga kita hanya perlu input password ssh satu kali saja.

3. Update users.nix

Lakukan ssh ke VirtualBox:

ssh -p 2222 vboxuser@127.0.0.1 

Kemudian update users.nix yang ada di ~/nix/modules:

{...}:
{
  users.users.vboxuser = {
    isNormalUser = true;
    extraGroups = [ "wheel" ]; # Enable ‘sudo’ for the user.

    openssh.authorizedKeys.keys = [
      "ssh-ed25519 AAAA... your-public-key-here"
    ];
  };
}

4. Update security.nix

Tambahkan konfigurasi ini pada security.nix:

services.openssh = {
  enable = true;
  ports = [
    222
  ];
  settings = {
    AllowUsers = [ "vboxuser" ];
    KbdInteractiveAuthentication = false;
    PasswordAuthentication = false;
    PermitRootLogin = "no";
  };
}

Rebuild system dan lakukan relogin ke VirtualBox.

Penutup

Konfigurasi yang telah kita lakukan mencakup tiga lapisan pertahanan dasar: SSH hardening untuk membatasi akses, firewall untuk memfilter traffic, dan Fail2ban untuk mencegah brute force. Namun dari ketiganya, beralih ke SSH key pairs adalah langkah yang paling signifikan, karena sekalipun IP rotation bisa mengakali Fail2ban, private key yang kita simpan pada komputer pribadi jauh lebih sulit untuk dicuri atau ditebak. Security bukan tentang satu solusi, melainkan tentang berlapis-lapis perlindungan yang saling melengkapi.

References

• Fail2ban
• Firewall
• SSH
• Hasil Konfigurasi