DEV Community: Ilham Bagus Prasetyo

ACL File

Ilham Bagus Prasetyo — Thu, 04 Apr 2024 03:10:47 +0000

Bagian

A. Penjelasan tentang ACL file
B. Fungsi dan cara kerja ACL

Mari simak materi berikut.

A. Penjelasan tentang ACL file

ACL (Access Control List) merupakan metode selektivitas terhadap packet data yang akan dikirimkan pada alamat yang dituju. Secara sederhana ACL dapat kita ilustrasikan seperti halnya sebuah standard keamanan. Hanya packet yang memiliki kriteria yang sesuai dengan aturan yang diperbolehkan melewati gerbang keamanan, dan bagi packet yang tidak memiliki kriiteria yang sesuai dengan aturan yang diterapkan, maka paket tersebut akan ditolak. ACL dapat berisi daftar IP address, MAC Address, subnet, atau port yang diperbolehkan maupun ditolak untuk melewati jaringan.

ACL atau Daftar Kontrol Akses, adalah sebuah mekanisme keamanan yang digunakan dalam sistem komputer dan jaringan untuk mengatur dan mengendalikan hak akses pengguna atau entitas lain terhadap sumber daya yang dilindungi. Sumber daya ini bisa berupa file, direktori, layanan jaringan, atau objek lainnya dalam lingkungan IT.

Dalam konteks ACL, setiap entitas atau pengguna memiliki entri tersendiri yang menjelaskan apa yang diperbolehkan atau dilarang dilakukan terhadap sumber daya tertentu. Entri tersebut mencakup informasi seperti identitas pengguna, jenis izin (seperti membaca, menulis, atau menjalankan), serta sumber daya yang dapat diakses.

Penerapan ACL sangat membantu dalam menjaga keamanan sistem, karena administrator dapat secara detail mengontrol siapa yang memiliki akses ke informasi dan fungsionalitas tertentu. Ini meminimalkan risiko akses yang tidak sah, penggunaan yang tidak benar, dan potensi pelanggaran keamanan.

- Contoh Access Control List
Berikut adalah beberapa contoh sederhana tentang bagaimana Access Control List (ACL) dapat diterapkan dalam berbagai lingkungan IT:

Sistem Operasi Windows
Dalam lingkungan Windows, ACL dapat diterapkan pada file dan direktori. Misalnya, pada sebuah folder yang berisi file-file keuangan yang sensitif, administrator dapat mengatur ACL sehingga hanya kelompok “Keuangan” yang memiliki izin membaca dan menulis, sementara kelompok lainnya hanya memiliki izin membaca.
Database
Pada database, ACL dapat diterapkan pada tabel dan kolom tertentu. Misalnya, dalam sebuah basis data pelanggan, hanya pengguna dengan peran “Customer Support” yang diizinkan untuk mengakses informasi pribadi pelanggan, sementara pengguna lainnya tidak memiliki izin.
Sistem Jaringan
Dalam perangkat jaringan seperti router atau firewall, ACL digunakan untuk mengatur lalu lintas jaringan. Contohnya, sebuah ACL pada router dapat mengizinkan hanya lalu lintas dari jaringan internal yang dapat mengakses layanan web, sementara lalu lintas dari luar jaringan diblokir.
Aplikasi Web
Dalam aplikasi web, ACL dapat mengontrol akses ke fitur dan konten tertentu. Misalnya, dalam platform e-learning, hanya instruktur yang memiliki izin untuk membuat atau mengedit materi pelajaran, sementara siswa hanya dapat mengakses materi yang sudah dibagikan.
Cloud Computing
Pada layanan cloud seperti Amazon Web Services (AWS), ACL dapat digunakan untuk mengatur akses terhadap instance komputasi. Sebagai contoh, hanya admin dan pengembang yang diizinkan untuk mengakses instance produksi, sementara pengguna lainnya hanya memiliki akses ke lingkungan pengembangan.

Semua contoh di atas menunjukkan bagaimana ACL dapat diterapkan dalam berbagai konteks untuk mengatur hak akses dengan lebih terperinci dan sesuai dengan kebutuhan dan kebijakan keamanan yang ada.

B. Fungsi dan cara kerja ACL

- Fungsi Access Control List

Pengaturan Hak Akses yang Terperinci
Salah satu fungsi utama ACL adalah memberikan pengaturan hak akses yang sangat terperinci terhadap sumber daya di dalam lingkungan IT.
Setiap pengguna atau entitas yang terdaftar dalam ACL memiliki entri khusus yang menentukan jenis akses yang mereka izinkan, seperti membaca, menulis, menjalankan, mengedit, atau menghapus sumber daya tertentu.
Hal ini memungkinkan administrator untuk mengontrol akses dengan sangat presisi, sesuai dengan tugas dan tanggung jawab masing-masing entitas.
Pemisahan Akses Berdasarkan Penggun
ACL memungkinkan administrator untuk memisahkan hak akses berdasarkan pengguna atau kelompok pengguna tertentu. Ini berarti bahwa setiap pengguna atau kelompok dapat memiliki hak akses yang berbeda terhadap sumber daya yang sama.
Contohnya, dalam lingkungan bisnis, bagian keuangan mungkin memiliki akses penuh ke dokumen keuangan, sementara bagian pemasaran hanya memiliki akses baca.
Kontrol Terhadap Akses Tidak Sah
Salah satu tujuan utama ACL adalah mencegah akses yang tidak sah terhadap sumber daya. Dengan mengatur izin dan pembatasan melalui ACL, administrator dapat mengurangi risiko akses oleh entitas yang tidak berhak atau entitas yang berniat jahat. Ini membantu mencegah pencurian data, penggunaan tidak sah, atau manipulasi sumber daya oleh pihak yang tidak diizinkan.
Pemeliharaan Kerahasiaan
Dengan ACL, administrator dapat memastikan bahwa informasi sensitif hanya dapat diakses oleh pihak yang memiliki izin khusus. Misalnya, dalam sebuah perusahaan, dokumen strategis atau data pribadi karyawan hanya bisa diakses oleh individu yang memiliki izin khusus. Ini membantu menjaga kerahasiaan dan mencegah bocornya informasi penting.
Pemeliharaan Integritas Data
ACL juga berfungsi untuk menjaga integritas data. Dengan mengatur izin yang tepat, administrator dapat mencegah perubahan atau manipulasi data oleh pihak yang tidak berwenang. Misalnya, hanya pengguna yang diizinkan yang dapat mengedit atau menghapus file tertentu.

- Cara Kerja Access Control List

Identifikasi Sumber Daya
Langkah pertama dalam cara kerja ACL adalah mengidentifikasi sumber daya yang akan diatur hak aksesnya. Ini bisa berupa file, direktori, database, atau layanan jaringan. Setiap sumber daya perlu memiliki identifikasi yang jelas dan unik agar ACL dapat bekerja dengan efektif.
Pengidentifikasian Entitas
Setelah sumber daya diidentifikasi, langkah berikutnya adalah mengidentifikasi entitas pengguna atau grup yang akan diberikan hak akses terhadap sumber daya tersebut. Entitas ini bisa berupa individu pengguna, kelompok pengguna, atau perangkat lain dalam jaringan.
Pembuatan Entri ACL
Setiap entitas pengguna atau grup memiliki entri dalam ACL yang mencatat jenis izin atau pembatasan yang diberikan terhadap sumber daya. Entri ini berisi informasi tentang entitas, sumber daya yang terkait, dan jenis izin yang diberikan. Misalnya, pengguna A diberi izin membaca dan menulis pada file X.
Penerapan Mode Akses
Mode akses ACL, yaitu “izin hanya” atau “larangan,” diterapkan pada setiap entri. Dalam mode “izin hanya”, entitas hanya diizinkan melakukan tindakan yang telah ditentukan dalam entri. Dalam mode “larangan”, entitas diizinkan melakukan semua tindakan kecuali yang telah dilarang dalam entri.
Penanganan Konflik
Jika terdapat konflik antara entri ACL yang berbeda terhadap entitas yang sama dan sumber daya yang sama, aturan penanganan konflik diterapkan. Ini mungkin berarti memberikan prioritas tertentu pada izin atau mengikuti aturan “terberi izin lebih tinggi yang berlaku”.

Mengelola Keamanan SELinux

Ilham Bagus Prasetyo — Wed, 03 Apr 2024 16:31:22 +0000

Bagian

A. Penjelasan tentang SELinux
B. Penjelasan 3 mode kerja SELinux

Mari simak penjelasan berikut.

A. Penjelasan tentang SELinux

Security Enhanced Linux (SELinux) adalah lapisan tambahan keamanan sistem. Tujuan utama SELinux adalah untuk melindungi data pengguna dari layanan sistem yang telah dikompromikan. Sebagian besar administrator Linux terbiasa dengan model keamanan izin pengguna/grup/standar dan lainnya. Ini adalah model berbasis pengguna dan grup yang dikenal sebagai kontrol akses diskresioner. SELinux menyediakan lapisan keamanan tambahan yang berbasis objek dan dikendalikan oleh aturan yang lebih canggih, yang dikenal sebagai kontrol akses wajib.

Untuk memungkinkan akses anonim jarak jauh ke server web, port firewall harus dibuka. Namun, ini memberi orang jahat kesempatan untuk membahayakan sistem melalui kerentanan. Jika mereka berhasil mengkompromikan proses server web, mereka mendapatkan izinnya. Secara khusus, izin pengguna dan grup. Pengguna dan grup tersebut memiliki akses baca ke root dokumen. Ini juga memiliki akses ke file dan direktori yang dapat ditulis dunia. apacheapache/var/www/html/tmp/var/tmp

SELinux adalah seperangkat aturan keamanan yang menentukan proses mana yang dapat mengakses file, direktori, dan port mana. Setiap file, proses, direktori, dan port memiliki label keamanan khusus yang disebut SELinux context. context adalah nama yang digunakan oleh kebijakan SELinux untuk menentukan apakah suatu proses dapat mengakses file, direktori, atau port. Secara default, kebijakan tidak mengizinkan interaksi apa pun kecuali aturan eksplisit memberikan akses. Jika tidak ada aturan izinkan, tidak ada akses yang diizinkan.

SELinux adalah fitur keamanan penting dari Linux. Akses ke file dan sumber daya lainnya dikendalikan pada tingkat yang sangat terperinci. Proses hanya diizinkan untuk mengakses sumber daya yang ditentukan oleh kebijakan mereka, atau pengaturan SELinux boolean.

Izin file mengontrol pengguna atau grup pengguna mana yang dapat mengakses file tertentu. Namun, pengguna yang diberi akses baca atau tulis ke file tertentu dapat menggunakan file itu dengan cara apa pun yang dipilih pengguna.

Contohnya, dengan akses menulis ke sebuah file, apakah sebuah file data terstruktur yang dirancang untuk ditulis hanya menggunakan program tertentu, boleh dibuka dan diubah oleh editor lain yang bisa menyebabkan kerusakan?

Izin file tidak dapat menghentikan akses yang tidak diinginkan seperti itu. Mereka tidak pernah dirancang untuk mengontrol bagaimana sebuah file digunakan, tetapi hanya siapa yang diizinkan untuk membaca, menulis, atau menjalankan sebuah file.

B. Penjelasan 3 mode kerja SELinux

SELinux terdiri dari “policies”, yaitu peraturan yang memperbolehkan atau mencegah penggunaan aplikasi tertentu. Ada tiga status SELinux, yaitu:

1. Enforcing yang artinya semua akses tanpa otorisasi akan ditolak. Dalam kondisi ini, SELinux sedang aktif.
2. Permissive yang artinya SELinux membolehkan akses tanpa otorisasi, tetapi diikuti oleh peringatan.
3. Disable yang artinya SELinux dalam keadaan mati dan tidak akan memberi peringatan apa pun.

melihat status selinux

[root@reizzo ~]# getenforce

Enforcing

# enforcing   ⇒  SELinux is enabled (default)

# permissive  ⇒  MAC is not enabled, but only records audit logs according to Policies

# disabled    ⇒  SELinux is disabled

atau menggunakan sestatus jika ingin mendisplay statusnya saja.

[root@reizzo ~]# sestatus

SELinux status:                 enabled

SELinuxfs mount:                /sys/fs/selinux

SELinux root directory:         /etc/selinux

Current mode:                   enforcing
Loaded policy name:             targeted


Mode from config file:          enforcing

Memory protection checking:     actual (secure)
Policy MLS status:              enabled

Policy deny_unknown status:     allowed


Max kernel policy version:      31

Jika ingin merubah mode dari selinux, maka caranya sebagai berikut.

[root@reizzo ~]# vi /etc/selinux/config
# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

#     permissive - SELinux prints warnings instead of enforcing.
#     enforcing - SELinux security policy is enforced.


#     disabled - No SELinux policy is loaded.

# change value you'd like to set

SELINUX=enforcing

# SELINUXTYPE= can take one of these three values:
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     targeted - Targeted processes are protected,


#     mls - Multi Level Security protection.

SELINUXTYPE=targeted



# restart to apply change

[root@reizzo ~]# reboot

Sebagai catatan, jika merubah selinux dari disable menjadi enforcing/ permisive, maka perlu melabel ulang file sistem menggunakan Selinux , karena jika sebuah file atau direktory dibuat ketika selinux dalam keadaan disable, maka file atau direktory tersebut tidak terlabeli oleh selinux makadari itu kita perlu melabeli nya juga. berikut caranya;

[root@reizzo ~]# touch /.autorelabel
[root@reizzo ~]# reboot

Penggunaan OpenSSH

Ilham Bagus Prasetyo — Tue, 02 Apr 2024 04:26:38 +0000

Bagian

A. Penjelasan tentang OpenSSH
B. Mengakses VM dengan SSH

Mari simak penjelasan berikut

A. Penjelasan tentang OpenSSH

OpenSSH adalah versi sumber terbuka dari alat Secure Shell (SSH) yang digunakan oleh administrator Linux dan non-Windows lainnya untuk manajemen lintas platform sistem jarak jauh. Secure Shell (SSH) adalah protokol yang memungkinkan konektivitas masuk jarak jauh dengan mengenkripsi semua lalu lintas antara klien dan server. Ini membantu menghilangkan risiko penyadapan, pembajakan koneksi, dan serangan lainnya.

OpenSSH mengimplementasikan protokol Secure Shell atau SSH dalam sistem Red Hat Enterprise Linux. Protokol SSH memungkinkan sistem untuk berkomunikasi dengan cara yang terenkripsi dan aman melalui jaringan yang tidak aman.

Anda dapat menggunakan perintah ssh untuk membuat koneksi aman ke sistem jarak jauh, mengautentikasi sebagai pengguna tertentu, dan mendapatkan sesi shell interaktif pada sistem jarak jauh sebagai pengguna tersebut. Anda juga dapat menggunakan perintah ssh untuk menjalankan perintah individual pada sistem jarak jauh tanpa menjalankan shell interaktif.

SSH mengamankan komunikasi melalui enkripsi kunci publik. Ketika klien SSH terhubung ke server SSH, server mengirimkan salinan kunci publiknya ke klien sebelum klien masuk. Ini digunakan untuk mengatur enkripsi aman untuk saluran komunikasi dan untuk mengotentikasi server ke klien.

Ketika pengguna menggunakan perintah ssh untuk terhubung ke server SSH, perintah memeriksa untuk melihat apakah ia memiliki salinan kunci publik untuk server tersebut di file host lokal yang dikenal. Administrator sistem mungkin telah mengonfigurasinya sebelumnya di, atau pengguna mungkin memiliki file di direktori home mereka yang berisi kunci. /etc/ssh/ssh_known_hosts~/.ssh/known_hosts

Jika klien memiliki salinan kunci, ssh akan membandingkan kunci dari file host yang dikenal untuk server tersebut dengan yang diterimanya. Jika kunci tidak cocok, klien mengasumsikan bahwa lalu lintas jaringan ke server dapat dibajak atau bahwa server telah dikompromikan, dan mencari konfirmasi pengguna tentang apakah atau tidak untuk melanjutkan dengan koneksi.

B. Mengakses VM dengan SSH

Dari , buka sesi SSH ke sebagai

[student@servera ~]$ **ssh student@serverb**
The authenticity of host 'serverb (172.25.250.11)' can't be established.
ECDSA key fingerprint is SHA256:ERTdjooOIrIwVSZQnqD5or+JbXfidg0udb3DXBuHWzA.
Are you sure you want to continue connecting **(yes/no)? yes**
Warning: Permanently added 'serverb,172.25.250.11' (ECDSA) to the list of known hosts.
student@serverb's password: **student**
...output omitted...
[student@serverb ~]$

Atau bisa SSH langsung ke superuser asalkan tau sandinya.

[student@servera ~]$ ssh root@serverb
root@serverb's password: redhat
...output omitted...
[root@serverb ~]#

Kunci host direkam dalam file untuk mengidentifikasi karena pengguna telah memulai koneksi SSH dari . Jika file belum ada, itu muncul sebagai file baru bersama dengan entri baru di dalamnya. Perintah ssh gagal dijalankan dengan benar jika host jarak jauh tampaknya memiliki kunci yang berbeda dari kunci yang direkam. /home/student/.ssh/known_hostsserveraserverbstudentservera/home/student/.ssh/known_hosts

Jalankan perintah w untuk menampilkan pengguna yang saat ini masuk ke serverb.

[student@serverb ~]$ **w**
18:49:29 up  2:55,  1 user,  load average: 0.00, 0.00, 0.00
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
student  pts/0    172.25.250.10    18:33    0.00s  0.01s  0.00s w

Sistem File Linux

Ilham Bagus Prasetyo — Mon, 01 Apr 2024 02:47:13 +0000

Bagian

A. Memasang dan Melepas Sistem File
B. Mengakses Sistem File Linux

Mari Simak Penjelasan Berikut.

A. Memasang dan Melepas Sistem File
Tujuan

Memasang Sistem File Secara Manual Sistem file yang berada pada perangkat penyimpanan yang dapat dilepas perlu dipasang untuk mengaksesnya. Perintah mount memungkinkan pengguna untuk memasang sistem file secara manual. Argumen pertama dari perintah mount menentukan sistem file yang akan dipasang. Argumen kedua menentukan direktori yang akan digunakan sebagai titik kait dalam hierarki sistem file.root

Ada dua cara umum untuk menentukan sistem file pada partisi disk ke perintah mount:

- Dengan nama file perangkat yang di isi sistem file. /dev

Mengidentifikasi Perangkat Blok
Perangkat penyimpanan hot-pluggable, apakah hard disk drive (HDD) atau perangkat solid-state (SSD) di caddy server, atau perangkat penyimpanan USB, mungkin dicolokkan ke port yang berbeda setiap kali mereka terpasang ke sistem.
Gunakan perintah lsblk untuk mencantumkan detail perangkat blok tertentu atau semua perangkat yang tersedia.

[root@host ~]# lsblk
NAME                      MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
vda                       253:0    0   12G  0 disk
├─vda1                    253:1    0    1G  0 part /boot
├─vda2                    253:2    0    1G  0 part [SWAP]
└─vda3                    253:3    0   11G  0 part /
vdb                       253:16   0   64G  0 disk
└─vdb1                    253:17   0   64G  0 part

Jika Anda tahu bahwa Anda baru saja menambahkan perangkat penyimpanan 64 GB dengan satu partisi, maka Anda dapat menebak dari output sebelumnya yaitu partisi yang ingin Anda pasang. /dev/vdb1

Contoh berikut memasang sistem file di partisi pada direktori.
/dev/vdb1/mnt/data

[root@host ~]# mount /dev/vdb1 /mnt/data

Untuk memasang sistem file, direktori tujuan harus sudah ada. Direktori ada secara default dan dimaksudkan untuk digunakan sebagai titik kait sementara. /mnt

- Dengan UUID ditulis ke sistem file, pengidentifikasi unik secara universal.

Salah satu pengidentifikasi stabil yang dikaitkan dengan sistem file adalah UUID-nya, angka heksadesimal yang sangat panjang yang bertindak sebagai pengidentifikasi unik secara universal. UUID ini adalah bagian dari sistem file dan tetap sama selama sistem file tidak dibuat ulang.

Perintah lsblk -fp mencantumkan jalur lengkap perangkat, bersama dengan UUID dan titik kait, serta jenis sistem file di partisi.

[root@host ~]# lsblk -fp
NAME        FSTYPE LABEL UUID                                 MOUNTPOINT
/dev/vda                                                      
├─/dev/vda1 xfs          23ea8803-a396-494a-8e95-1538a53b821c /boot
├─/dev/vda2 swap         cdf61ded-534c-4bd6-b458-cab18b1a72ea [SWAP]
└─/dev/vda3 xfs          44330f15-2f9d-4745-ae2e-20844f22762d /
/dev/vdb
└─/dev/vdb1 xfs          46f543fd-78c9-4526-a857-244811be2d88

Pasang sistem file dengan UUID sistem file.

[root@host ~]# mount UUID="46f543fd-78c9-4526-a857-244811be2d88" /mnt/data

Melepas Sistem File

Prosedur shutdown dan reboot meng-unmount semua sistem file secara otomatis. Sebagai bagian dari proses ini, setiap data sistem file yang di-cache dalam memori disiram ke perangkat penyimpanan sehingga memastikan bahwa sistem file tidak mengalami kerusakan data. -Untuk meng-unmount sistem file, perintah umount mengharapkan titik mount sebagai argumen.

[root@host ~]# umount /mnt/data

-Melepas tidak dimungkinkan jika sistem file yang dipasang sedang digunakan. Dalam contoh di bawah ini, umount gagal karena sistem file sedang digunakan (shell menggunakan sebagai direktori kerjanya saat ini), menghasilkan pesan kesalahan. /mnt/data

[root@host ~]# cd /mnt/data
[root@host data]# umount /mnt/data
umount: /mnt/data: target is busy.

-Perintah lsof mencantumkan semua file yang terbuka dan proses mengaksesnya di direktori yang disediakan. Hal ini berguna untuk mengidentifikasi proses mana yang saat ini mencegah sistem file berhasil dilepas.

[root@host data]# lsof /mnt/data
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
bash    1593 root  cwd    DIR 253,17        6  128 /mnt/data
lsof    2532 root  cwd    DIR 253,17       19  128 /mnt/data
lsof    2533 root  cwd    DIR 253,17       19  128 /mnt/data

-Setelah proses diidentifikasi, tindakan dapat diambil, seperti menunggu proses selesai atau mengirim sinyal atau ke proses. Dalam hal ini, cukup untuk mengubah direktori kerja saat ini ke direktori di luar titik kait.

[root@host data]# cd
[root@host ~]# umount /mnt/data

B. Mengakses Sistem File Linux
mengidentifikasi UUID untuk dan mount dengan UUID-nya pada direktori. serverbroot/dev/vdb1/dev/vdb1/mnt/freespace

Gunakan perintah lsblk -fp untuk menentukan UUID perangkat. /dev/vdb

[root@host ~]# lsblk -fp /dev/vdb
NAME        FSTYPE LABEL UUID                                 MOUNTPOINT
/dev/vdb
└─/dev/vdb1 xfs          a04c511a-b805-4ec2-981f-42d190fc9a65

Buat direktori bebas. contoh /mnt/freespace

[root@host ~]# mkdir /mnt/freespace

Pasang perangkat dengan menggunakan UUID pada direktori. /dev/vdb1/mnt/freespace

[root@host ~]# mount UUID="a04c511a-b805-4ec2-981f-42d190fc9a65" /mnt/freespace

Verifikasi bahwa perangkat dipasang pada direktori. /dev/vdb1/mnt/freespace

[root@host ~]# lsblk -fp /dev/vdb1
NAME        FSTYPE LABEL UUID                                 MOUNTPOINT
/dev/vdb
└─/dev/vdb1 xfs          a04c511a-b805-4ec2-981f-42d190fc9a65 /mnt/freespace

Buat laporan penggunaan disk direktori, dan simpan hasilnya dalam file. /usr/share/mnt/freespace/results.txt

[root@host ~]# du /usr/share > /mnt/freespace/results.txt