DEV Community: hairynigga77

Configuring and Securing SSH

hairynigga77 — Wed, 03 Apr 2024 02:31:46 +0000

Apa itu OpenSSH?

OpenSSH mengimplementasikan protokol Secure Shell atau SSH di sistem Red Hat Enterprise Linux. Protokol SSH memungkinkan sistem untuk berkomunikasi dengan cara yang terenkripsi dan aman melalui jaringan yang tidak aman.

Anda dapat menggunakan perintah ssh untuk membuat koneksi aman ke sistem remote, mengautentikasi sebagai pengguna tertentu, dan mendapatkan sesi shell interaktif di sistem remote sebagai pengguna tersebut. Anda juga dapat menggunakan perintah ssh untuk menjalankan perintah individu di sistem remote tanpa menjalankan shell interaktif.

Contoh Secure Shell

Perintah ssh berikut akan memasukkan Anda ke server remotehost menggunakan nama pengguna yang sama dengan pengguna lokal saat ini. Dalam contoh ini, sistem remote meminta Anda mengautentikasi dengan kata sandi pengguna tersebut.

[user01@host ~]$ ssh remotehost
user01@remotehost's password: redhat
...output omitted...
[user01@remotehost ~]$

Anda dapat menggunakan perintah exit untuk keluar dari sistem remote.

[user01@remotehost ~]$ exit
logout
Connection to remotehost closed.
[user01@host ~]$

Perintah ssh berikutnya akan memasukkan Anda ke server remotehost menggunakan nama pengguna user02. Sekali lagi, Anda akan diminta oleh sistem remote untuk mengautentikasi dengan kata sandi pengguna tersebut.

[user01@host ~]$ ssh user02@remotehost
user02@remotehost's password: shadowman
...output omitted...
[user02@remotehost ~]$

Perintah ssh ini akan menjalankan perintah hostname di sistem remotehost sebagai pengguna user02 tanpa mengakses shell interaktif remote.

[user01@host ~]$ ssh user02@remotehost hostname
user02@remotehost's password: shadowman
remotehost.lab.example.com
[user01@host ~]$

Perhatikan bahwa perintah sebelumnya menampilkan output di terminal sistem lokal.

Mengidentifikasi Pengguna Jarak Jauh

Perintah w menampilkan daftar pengguna yang sedang login ke komputer. Hal ini sangat berguna untuk menunjukkan pengguna mana yang login menggunakan ssh dari lokasi terpencil mana, dan apa yang mereka lakukan.

[user01@host ~]$ ssh user01@remotehost
user01@remotehost's password: redhat
[user01@remotehost ~]$ w
16:13:38 up 36 min, 1 user, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
user02 pts/0 172.25.250.10 16:13 7:30 0.01s 0.01s -bash
user01 pts/1 172.25.250.10 16:24 3.00s 0.01s 0.00s w
[user02@remotehost ~]$

Keluaran sebelumnya menunjukkan bahwa pengguna user02 telah masuk ke sistem pada terminal pseudo 0 pukul 16:13 hari ini dari host dengan alamat IP 172.25.250.10, dan telah tidak aktif di prompt shell selama tujuh menit dan tiga puluh detik. Keluaran sebelumnya juga menunjukkan bahwa pengguna user01 telah masuk ke sistem pada terminal pseudo 1 dan telah tidak aktif sejak tiga detik yang lalu setelah menjalankan perintah w.

Kunci host SSH

SSH mengamankan komunikasi melalui enkripsi kunci publik. Ketika klien SSH terhubung ke server SSH, server mengirimkan salinan kunci publiknya ke klien sebelum klien masuk. Ini digunakan untuk menyiapkan enkripsi aman untuk saluran komunikasi dan untuk mengautentikasi server ke klien.

Saat pengguna menggunakan perintah ssh untuk terhubung ke server SSH, perintah tersebut akan memeriksa apakah pengguna memiliki salinan kunci publik untuk server tersebut di file host lokal yang diketahui. Administrator sistem mungkin telah melakukan pra-konfigurasi di /etc/ssh/ssh_known_hosts, atau pengguna mungkin memiliki ~/.ssh/known_hostsfile di direktori home mereka yang berisi kunci tersebut.

Jika klien mempunyai salinan kunci, ssh akan membandingkan kunci dari file host yang dikenal untuk server tersebut dengan yang diterima. Jika kunci tidak cocok, klien berasumsi bahwa lalu lintas jaringan ke server dapat dibajak atau server telah disusupi, dan meminta konfirmasi pengguna apakah akan melanjutkan koneksi atau tidak.

Jika klien tidak memiliki salinan kunci publik di file host yang diketahui, perintah ssh akan menanyakan apakah Anda tetap ingin masuk. Jika Anda melakukannya, salinan kunci publik akan disimpan dalam ~/.ssh/known_hostsfile Anda sehingga identitas server dapat dikonfirmasi secara otomatis di masa mendatang.

[user01@host ~]$ ssh newhost
The authenticity of host 'remotehost (172.25.250.12)' can't be established.
ECDSA key fingerprint is SHA256:qaS0PToLrqlCO2XGklA0iY7CaP7aPKimerDoaUkv720.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'newhost,172.25.250.12' (ECDSA) to the list of known hosts.
user01@newhost's password: redhat
...output omitted...
[user01@newhost ~]$

Manajemen Kunci Known Hosts SSH

Jika kunci publik server berubah karena kunci hilang akibat kegagalan hard drive, atau diganti karena alasan yang sah, Anda perlu mengedit file known hosts untuk memastikan entri untuk kunci publik lama digantikan dengan entri dengan kunci publik baru agar dapat login tanpa kesalahan.

Kunci publik disimpan di file /etc/ssh/ssh_known_hosts dan file ~/.ssh/known_hosts untuk setiap pengguna di klien SSH. Setiap kunci berada di satu baris. Bidang pertama adalah daftar nama host dan alamat IP yang menggunakan kunci publik tersebut. Bidang kedua adalah algoritma enkripsi untuk kunci tersebut. Bidang terakhir adalah kunci itu sendiri.

[user01@host ~]$ cat ~/.ssh/known_hosts
remotehost,172.25.250.11 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBOsEi0e+FlaNT6jul8Ag5Nj+RViZl0yE2w6iYUr+1fPtOIF0EaOgFZ1LXM37VFTxdgFxHS3D5WhnIfb+68zf8+w=

Setiap server SSH remote yang Anda hubungkan menyimpan kunci publiknya di direktori /etc/ssh dalam file-file dengan ekstensi .pub.

[user01@remotehost ~]$ ls /etc/ssh/*key.pub
/etc/ssh/ssh_host_ecdsa_key.pub /etc/ssh/ssh_host_ed25519_key.pub /etc/ssh/ssh_host_rsa_key.pub

Accessing the Command Line

hairynigga77 — Sun, 31 Mar 2024 08:00:00 +0000

Pengantar Bash Shell

Sebuah baris perintah adalah antarmuka berbasis teks yang dapat digunakan untuk memasukkan instruksi ke dalam sistem komputer. Baris perintah Linux disediakan oleh sebuah program yang disebut shell. Berbagai opsi untuk program shell telah dikembangkan selama bertahun-tahun, dan pengguna yang berbeda dapat dikonfigurasi untuk menggunakan shell yang berbeda. Namun, sebagian besar pengguna tetap menggunakan default saat ini.

Shell default untuk pengguna di Red Hat Enterprise Linux adalah GNU Bourne-Again Shell (bash). Bash merupakan versi yang ditingkatkan dari salah satu shell yang paling sukses digunakan pada sistem UNIX-like, yaitu Bourne Shell (sh).

Ketika sebuah shell digunakan secara interaktif, ia menampilkan sebuah string saat menunggu perintah dari pengguna. Ini disebut sebagai prompt shell. Ketika seorang pengguna biasa memulai sebuah shell, prompt default berakhir dengan karakter $, seperti yang ditunjukkan di bawah ini.

[user@host ~]$

Karakter $ digantikan dengan karakter # jika shell berjalan sebagai superuser, root. Ini membuatnya lebih jelas bahwa ini adalah shell superuser, yang membantu menghindari kecelakaan dan kesalahan yang dapat memengaruhi seluruh sistem. Prompt shell superuser ditunjukkan di bawah ini.

[root@host ~]#

Menggunakan bash untuk menjalankan perintah dapat menjadi sangat kuat. Shell bash menyediakan bahasa scripting yang dapat mendukung otomatisasi tugas. Shell ini memiliki kemampuan tambahan yang dapat menyederhanakan atau memungkinkan operasi yang sulit dilakukan dengan efisien menggunakan alat grafis.

Dasar-dasar Shell

Perintah yang dimasukkan di prompt shell memiliki tiga bagian dasar:

Command, untuk perintah yang akan dijalankan.
Options, untuk menyesuaikan perilaku perintah.
Arguments, yang umumnya merupakan target dari perintah tersebut.

Perintah adalah nama program yang akan dijalankan. Ini dapat diikuti oleh satu atau lebih opsi, yang menyesuaikan perilaku perintah atau apa yang akan dilakukannya. Opsi biasanya dimulai dengan satu atau dua tanda strip (-a atau --all, misalnya) untuk membedakannya dari argumen. Perintah juga dapat diikuti oleh satu atau lebih argumen, yang sering menunjukkan target yang harus dioperasikan oleh perintah tersebut.

Sebagai contoh, perintah usermod -L user01 memiliki sebuah perintah (usermod), sebuah opsi (-L), dan sebuah argumen (user01). Efek dari perintah ini adalah mengunci kata sandi dari akun pengguna user01.

Masuk ke Komputer Lokal

Untuk menjalankan shell, Anda perlu masuk ke komputer pada sebuah terminal. Sebuah terminal adalah antarmuka berbasis teks yang digunakan untuk memasukkan perintah dan mencetak keluaran dari sistem komputer. Ada beberapa cara untuk melakukannya.

Melalui Konsol Fisik: Komputer dapat memiliki keyboard dan layar langsung yang terhubung kepadanya, disebut konsol fisik. Konsol fisik mendukung beberapa konsol virtual yang dapat menjalankan terminal terpisah. Setiap konsol virtual ini mendukung sesi login independen. Pengguna dapat beralih di antara konsol-konsol ini dengan menekan Ctrl+Alt dan tombol fungsi (F1 hingga F6) secara bersamaan. Setelah login dengan benar, pengguna akan mendapatkan prompt shell.
Melalui Prompt Login Grafis: Komputer juga dapat memberikan prompt login grafis di salah satu konsol virtual. Pengguna dapat menggunakan ini untuk masuk ke lingkungan grafis. Lingkungan grafis juga berjalan pada konsol virtual. Untuk mendapatkan prompt shell, pengguna harus memulai program terminal di lingkungan grafis. Prompt shell akan disediakan dalam jendela aplikasi program terminal grafis.

Pada Red Hat Enterprise Linux 8, jika lingkungan grafis tersedia, layar login akan berjalan pada konsol virtual pertama, disebut tty1. Lima prompt login teks tambahan tersedia pada konsol virtual dua hingga enam.

Pada Red Hat Enterprise Linux 8, terdapat beberapa hal terkait dengan pengelolaan sesi login dan lingkungan grafis:

Saat lingkungan grafis tersedia, layar login akan berjalan pada konsol virtual pertama (tty1), dan lima prompt login teks tambahan tersedia pada konsol virtual dua hingga enam.
Jika login dilakukan melalui layar login grafis, lingkungan grafis akan dimulai pada konsol virtual pertama yang tidak digunakan oleh sesi login lainnya. Biasanya, ini berarti konsol virtual kedua (tty2), kecuali jika konsol tersebut sedang digunakan oleh sesi login teks aktif, maka konsol virtual kosong berikutnya akan digunakan sebagai gantinya.
Layar login grafis terus berjalan pada konsol virtual pertama (tty1). Jika pengguna sudah masuk ke sesi grafis dan masuk sebagai pengguna lain atau beralih pengguna dalam lingkungan grafis tanpa keluar, lingkungan grafis baru akan dimulai pada konsol virtual kosong berikutnya.
Ketika pengguna keluar dari lingkungan grafis, konsol fisik secara otomatis beralih kembali ke layar login grafis pada konsol virtual pertama.

Masuk Melalui Jaringan

Pengguna dan administrator Linux sering perlu mendapatkan akses shell ke sistem remote dengan menghubunginya melalui jaringan. Dalam lingkungan komputasi modern, banyak server tanpa kepala sebenarnya adalah mesin virtual atau berjalan sebagai instansi cloud publik atau privat. Sistem-sistem ini bukanlah fisik dan tidak memiliki konsol perangkat keras yang nyata. Mereka bahkan mungkin tidak menyediakan akses ke konsol fisik (simulasi) atau konsol serial mereka.

Pada Linux, cara paling umum untuk mendapatkan prompt shell di sistem remote adalah dengan menggunakan Secure Shell (SSH). Sebagian besar sistem Linux (termasuk Red Hat Enterprise Linux) dan macOS menyediakan program baris perintah OpenSSH ssh untuk tujuan ini.

Dalam contoh ini, seorang pengguna dengan prompt shell pada mesin host menggunakan ssh untuk masuk ke sistem Linux remotehost sebagai pengguna remoteuser:

[user@host ~]$ ssh remoteuser@remotehost
remoteuser@remotehost's password: password
[remoteuser@remotehost ~]$

Perintah ssh mengenkripsi koneksi untuk mengamankan komunikasi dari penyadapan atau pembajakan kata sandi dan konten.

Beberapa sistem (seperti contoh cloud baru) tidak mengizinkan pengguna menggunakan kata sandi untuk masuk dengan ssh untuk keamanan yang lebih ketat. Cara alternatif untuk mengautentikasi ke mesin jarak jauh tanpa memasukkan kata sandi adalah melalui autentikasi kunci publik.

Dengan metode autentikasi ini, pengguna memiliki berkas identitas khusus yang berisi kunci pribadi, yang setara dengan kata sandi, dan dirahasiakan. Akun mereka di server dikonfigurasikan dengan kunci publik yang cocok, yang tidak harus dirahasiakan. Ketika masuk, pengguna dapat mengonfigurasi ssh untuk menyediakan kunci privat dan jika kunci publik yang cocok dipasang pada akun di server jarak jauh tersebut, maka ia akan memasukkan mereka tanpa meminta kata sandi.

Pada contoh berikut, seorang pengguna dengan prompt shell pada host mesin masuk ke host jarak jauh sebagai remoteuser menggunakan ssh, menggunakan autentikasi kunci publik. Opsi -i digunakan untuk menentukan berkas kunci privat pengguna, yaitu mylab.pem. Kunci publik yang cocok sudah diatur sebagai kunci resmi dalam akun remoteuser.

[user@host ~]$ ssh -i mylab.pem remoteuser@remotehost
[remoteuser@remotehost ~]$

Untuk agar ini berfungsi, file kunci privat harus dapat dibaca hanya oleh pengguna yang memiliki file tersebut. Pada contoh sebelumnya, di mana kunci privat berada dalam file mylab.pem, perintah chmod 600 mylab.pem dapat digunakan untuk memastikan hal ini. Cara mengatur izin file dibahas secara lebih detail dalam bab selanjutnya.

Pengguna juga mungkin memiliki kunci privat yang dikonfigurasi untuk dicoba secara otomatis, namun pembahasan tersebut melebihi cakupan bagian ini. Referensi di akhir bagian ini berisi tautan ke informasi lebih lanjut tentang topik ini.

Log Out

Ketika Anda selesai menggunakan shell dan ingin keluar, Anda dapat memilih salah satu dari beberapa cara untuk mengakhiri sesi. Anda dapat memasukkan perintah exit untuk mengakhiri sesi shell saat ini. Alternatifnya, selesaikan sesi dengan menekan Ctrl + D .

Berikut ini adalah contoh pengguna keluar dari sesi SSH:

[remoteuser@remotehost ~]$ exit
logout
Connection to remotehost closed.
[user@host ~]$