DEV Community: Restu Yuni

Configuring and Securing SSH Chapter 10

Restu Yuni — Tue, 02 Apr 2024 02:45:02 +0000

What is Open SSH?

OpenSSH mengimplementasikan protokol Secure Shell atau SSH dalam sistem Red Hat Enterprise Linux. Protokol ini memungkinkan sisitem untuk berkomunikasi terenkripsi dan aman melalui jaringan yang tidak aman.

Secure Shell Examples
Perintah ssh berikut ini akan memasukkan Anda ke dalam server jarak jauh remotehost menggunakan nama pengguna yang sama dengan pengguna lokal saat ini. Pada contoh ini, sistem jarak jauh meminta Anda untuk mengautentikasi dengan kata sandi pengguna tersebut.

Anda dapat menggunakan perintah exit untuk keluar dari sistem jarak jauh.

Perintah ssh berikutnya akan memasukkan Anda ke dalam server jarak jauh remote host menggunakan nama pengguna user02. Sekali lagi, Anda akan diminta oleh sistem jarak jauh untuk mengautrntikasi dengan kata sandi pengguna tersebut.

Perintah ssh ini akan menjalankan perintah nama-host pada sistem jarak jauh remotehost sebagai pengguna user02 tanpa mengakses shell interaktif jarak jauh.

Perhatikan bahwa perintah sebelumnya menampilkan output di terminal sistem lokal.

Identifying Remote Users
Perintah w menampilkan daftar pemngguna yang saat ini masuk ke komputer. Hal ini sangat berguna untuk menunjukkan pengguna mana yayng masuk menggunakan ssh dari lokasi jarak jauh, dan apa yang mereka lakukan.

Outout sebelumnya menunjukkan bahwa pengguna user02 telah masuk ke sistem pada terminal semu 0 pada pukul 16.13 hari ini dari host dengan alamat IP 172.25.250.10, dan telah menganggur pada prompt shell selama tujuh menit tiga puluh detik. Output sebelumnya juga menunjukkan bahwa pengguna user01 telah masuk ke sistem pada terminal semu 1 dan telah menganggur sejaktiga detik terakhir setelah mengeksekusi perintah w.

SSH host keys
SSh mengamankan komunikasi melalui enlripsi kunci publik. Ketika klien SSH tersambung ke server SSH, server akan mengirimkan salinan kunci publik ke klien masuk. Ini digunakan untuk mengatur enkripsi yang aman untuk saluran komunikasi dan untuk mengautentikasi server ke klien.

Ketika pengguna menggunakan perintah ssh untuk menyambung ke server SSH, perintah ini akan memeriksa apakah ia memiliki salinan kunci publik untuk server tersebut dalam berkas hos lokal yang dikenal. Administrator sistem mungkin telah mengkonfigurasinya di /etc/ssh/ssh_known_hosts, atau pengguna mungkin memiliki berkas ~/.ssh/known_hosts di direktori home yang berisi kunci tersebut.

Jika klien memiliki salinan kunci, ssh akan membandingkan kunci dari berkas known hosts untuk server tersebyt dengan kunci yang diterimanya. Jika kunci tidak cocok, klien mengasumsikan bahwa lalu lintas jaringan ke server mungkin telah dibajak atau server telah disusupi, dan meminta konfirmasi dari pengguna untuk melanjutkan sambungan atau tidak.

Note
Atur parameter StrictHostKeysChecking ke yes pada berkas ~/.ssh/config khusus pengguna atau /etc/ssh/ssh_config di seluruh sistem untuk membuat perintah ssh selalu membatalkan sambungan SSH jika kunci publik tidak cocok.

Jika klien tidak memiliki salinan kunci publik pada berkas hos yang dikenal, perintah ssh akan menanyakan apakah anda tetap ingin masuk. Jika anda melakukannya, salinan kunci publik akan disimpan dalam berkas ~/.ssh/known_hosts sehingga identitas sever dapat dikonfirmasi secara otomatis di masa mendatang.

SSH Known Hosts Key Management
Jika kunci publik server diubah karena kunci hilang akibat kegagalan hard drive, atau diganti karena alasan yang sah, anda perlu mengedit berkas known hosts untuk memastikan entri untuk kunci publik yang lama diganti dengan entri dengan kunci publik yang baru agar dapat masuk tanpa kesalahan.

Kunci publik disimpan di dalam berkas /etc/ssh/ssh_known_hosts dan berkas ~/.ssh/known_hosts milik setiap pengguna padaklien SSH. Tiap kunci berada pada satu baris. Kolom pertama adalah daftar nama hosts dan alamat IP yang berbagi kunci publik tersebut. Kolom kedua adalah alogaritma enkripsi untuk kunci tersebut. Kolom terakhir adalah kunci itu sendiri.

Setiap server SSH jarak jauh yang dnada sambungkan menyimpan kunci pybliknya di direktori /etc/ssh dalam berka dengan ekstensi .pub.

Managing Files From the Command Line Chapter 3

Restu Yuni — Mon, 01 Apr 2024 02:52:01 +0000

Hierarki Sistem File (The File-system Hierarchy)

Semua berkas pada sistem Linux disimpan pada sistem berkas, yang disusun dalam sebuah pohon direktori yang terbalik, yang dikenal sebagai hierarki sistem berkas. Pohon ini dikatakan terbalik karena akar dari pohon tersebut berada di puncak hierarki, dan cabang-cabang direktori dan subdirektori membentang bawah akar.

/ directory adalah direktori akar di bagian atas hierarki sistem file. / character juga digunakan ssebagai pemisah direktori padanama file. Sebagai contoh, jika etc merupakan subdirektori dari direktori / , Anda dapat merujuk direktori tersebut sebagai / etc. Demikian juga, jika direktori /etc berisi file bernama issue, Anda dapat merujuk file tersebut sebagai /etc/issue.

Subdirektori / digunakan uuntuk tujuan standat untuk mengatur file berdasarkan jenis dan tujuan. Hal ini memudahkan untuk menemukan file. Sebagai contoh, pada direktori root, subdirektori /boot digunakan untuk menyimpan file yang dibutuhkan untuk booting sistem.

statis(static) konten tetap tidak berubah sampai diedit atau dikonfigurasi ulang secara eksplisit.
dinamis(dynamic) atau variabel(variable) konten dapat dimodifikasi atau ditambahkan oleh proses aktif.
persisten(peristent) konten tetap ada setelah reboot, sepeti pengaturan konfigurasi.
waktu(runtime) proses konten adalah konten khusus proses atau sistem yang dihapus dengan reboot. Tabel berikut mencantumkan beberapa direktori terpenting pada sistem berdasarkan nama dan tujuannya.

Di Red Hat Enterprise Linux 7 dan yang lebih baru, empat direktori lama memiliki /konten yang identik dengan direktori lainnya yang terletak di /usr:

/bin and /usr/bin
/sbin and /usr/sbin
/lib and /usr/lib
/lib64 and /usr/lib64

Di versi Red Hat Enterprise Linux sebelumnya, ini adalah direktori berbeda yang berisi kumpulan file berbeda.

Di Red Hat Enterprise Linux 7 dan yang lebih baru, direktori di dalam /adalah tautan simbolis ke direktori yang cocok di /usr.

Mengelola Pengguna dan Grup Lokal Bab 6

Restu Yuni — Sun, 24 Mar 2024 14:36:58 +0000

Apa itu Pengguna?
Seorang pengguna akun digunakan untu memberikan batasan keamanan antara orang dan program berbeda yang dapat menjalankan perintah.

Pengguna punya nama pengguna untuk mengidentifikasinya kepada pengguna manusia. Secara internal, sistem membedakan akun pengguna berdasarkan nomor identifikasi unik yang diberikan kepada mereka, yaitu user ID atau UID. Jika akun pengguna digunakan oleh manusia, biasanya akun tersebut akan diberi kata sandi yang akan digunakan pengguna untuk membuktikan bahwa mereka adalah pengguna sah sebenarnya saat masuk.

Akun pengguna sangat penting untuk keamanan sistem. Setiap proses(program yang berjalan) pada sistem berjalan sebagai pengguna tertentu. Setiap file memiliki pengguna tertetntu sebagai pemiliknya. Kepemilikan file membantu sistem menerapkan kontrol akses bagi pengguna file. Pengguna yang terkait dengan proses yang berjalan menentukan file dan direktori yang dapat diakses oleh proses tersebut.

Ada tiga jenis utama akun pengguna: the superuser, system users, dan regular users.

The superuser account adalah untuk administrasi sistem. Nama pengguna supernya (superuser) adalah root dan akunnya memiliki UID 0. Pengguna super memiliki akses penuh ke sistem.
The system has system user accounts yang digunakan plej proses yang menyediakan layanan pendukung. Proses-proses ini, atau daemons, biasanya tidak perlu dijalankan sebagai pengguna super(superuser). Mereka diberi akun tanpa hak istimewa yang memungkinkan mereka mengamankan file dan sumber daya lainnya dari satu sama lain dan dari pengguna biasa di sistem. Pengguna tidak login secara interaktif menggunakan akun pengguna sistem.
Sebagian besar pengguna memiliknya regular user accounts yang mereka gunakan untuk pekerjaan sehari-hari. Seperti halnya pengguna sistem, pengguna biasa mempunyai akses terbatas terhadap sistem.

Anda dapat menggunakan perintah id untuk menampilkas informasi pengguna yang sedang login.

Untuk melihat informasi dasar tentang pengguna lain, teruskan nama pengguna ke perintah id sebagai argumen.

Untuk melihat pemilik file gunakan perintah ls-l. Untuk melihat pemilik direktori gunakan perintah ls-ld. Pada otput berikut, kolom ketiga menunjukkan nama pengguna.

Untuk melihat informasi proses, gunaka perintah ps. Standarnya adalah hanya menampilkan proses di shell saat ini. Tambahkan a option untuk melihat semua proses dengan terminal. Untuk melihat pengguna yang terkait dengan suatu proses, sertakan u option. Pada keluaran berikut, kolom pertama menunjukkan nama pengguna.

Output dari perintah sebelumnya menampilkan pengguna berdasarkan nama, namun secara internal sistem operasi menggunakan UID untuk melacak pengguna. Pemetaan nama penggun UID ditentukan dalam database informasi akun. Secara default, sistem menggunakan /etc/passwd file tersebut untuk menyimpan informasi tentang pengguna lokal.

Setiap baris dalam /etc/passwd file berisi infomasi tentang satu pengguna. Berikut adalah contoh dari /etc/passwd:

Nama pengguna untuk pengguna ini (user01).
Kata sandi pengguna dulunya disimpan di sini dalam format terekripsi. Itu telah dipindahkan ke /etc/shadow file, yang akan dibahas nanti. Bidang ini harus selalu ada x.
Nomor UID unutk akun pengguna ini (1000).
Nomor GID untuk grup utama akun pengguna ini (1000). Grup akan dibahas nanti di bagian ini.
Nama asli pengguna ini (User One).
Direktori home untuk pengguna ini (/home/user01). Ini adalah direktori kerja awal ketika shell dimulai dan berisi data pengguna dan pengaturan konfigurasi.
Program shell default untuk pengguna ini, yang berjalan saat login (/bin/bash). Untuk pengguna biasa, ini biasanya merupakan program yang menyiddiakan prompt baris perintah pengguna. Pengguna sistem mungkin menggunakan /sbin/nologin jika login interaktif tidak diperbolehkan untuk pengguna tersebut.

Apa itu Grup?
Grup adalah kumpulan pengguna yang perlu berbagi akses ke file dan sumber daya sistem lainnya. Grup dapat digunakan untuk memberikan akses ke file kepada sekumpulan pengguna, bukan hanya satu pengguna.

Seperti halnya pengguna, grup juga punya nama grup untuk membuatnya lebih mudah untuk diajak bekerja sama. Secara internal, sistem membedakan kelompok berdasarkan nomor identifikasi unik yang diberikan kepada mereka, yaitu ID grup atau GID.

Pemetaan nama grup ke GID ditentukan dalam database informasi akun grup. Secara default, sistem menggunakan /etc/group file tersebut untuk menyimpan informasi tentang grup lokal.

Setiap baris dalam /etc/group file berisi informasi tentang satu grup. Setiap entri grup dibagi menjadi empat bidang yang dipisahkan titik dua. Berikut adalah contoh baris dari /etc/group:

Nama grup untuk grup ini (group01)
Bidang kata sandi grup tidak berlaku lagi. Bidang ini harus selalu ada x.
Nomor GID untuk grup ini (10000).
Daftar pengguna yang menjadi anggota grup ini sebagai grup tambahan (user01, user02, user03). Grup primer (atau default) dan grup tambahan dibahas nanti di bagian ini.

Kelompok Primer dan Kelompok Pelengkap (Primary Groups and Supplementary Groups)
Setiap pengguna memiliki tepat satu grup utama. Untuk pengguna lokal, ini adalah grup yang dicantumkan berdasarkan nomor GID di /etc/passwd file. Secara defaault, ini adalah grup yang akan memiliki file baru yangdibuat oleh pengguna.

Biasanya, saat Anda membuat pengguna regular baru, grup baru dengan nama yang sama dengan pengguna tersebut akan dibuat. Grup tersebut digunakan sebagai grup utama untuk pengguna baru, dan pengguna tersebut adalah satu-satunya anggotanya Gup Pribadi Pengguna(User Private Group). Ternyata hal ini membantu mempermudah pengelolaan izin file, yang akan dibahas nanti dalam kursus ini.

Pengguna mungkin juga memilikinya kelompok tambahan(Supplementary Group). Keanggotaan dalam kelompok tambahan ditentukan oleh /etc/group berkas. Pengguna diberikan akses ke file berdasarkan apakah ada grup mereka yang mereka akses. Tidak masalah apakah grup atau grup yang memiliki akses adalah grup utama atau tambahan bagi pengguna.

Misalnya, jika pengguna user01 memiliki grup utama user01 tambahan wheel dan webadmin, maka pengguna tersebut dapat membaca file yang dapat dibaca oleh salah satu dari ketiga grup tersebut.

Perintah id juga dapat digunakan untuk mengetahui keanggotaan grup suatu pengguna.

Pada contoh sebelumnya, user03 gunakan grup user03 sebagai grup utama (gid). Item tersebut groups mencantumkan semua grup untuk pengguna ini, dan selain grup utama user03, pengguna memiliki grup whell dan group01 sebagai grup tambahan.

Controlling Access to Files Chapter 7

Restu Yuni — Wed, 20 Mar 2024 00:50:22 +0000

Izin Sistem File Linux

Izin file mengontrol akses ke file. File memilliki tiga kategori pengguna yang izinnya berlaku. File tersebut dimiliki oleh pengguna, biasanya orang yang membuat file tersebut. File juga dimiliki oleh satu grup, biasanya grup utama pengguna yangg membuat file, namun hal ini dapat diubah. Izin yang berbeda dapat diatur unutuk pengguna pemilik, grup pemilik, dan untuk semua pengguna lain di sistem yang bukan pengguna atau anggota grup pemilik. Izin yang paling spesifik diutamakan. Izin pengguna mengesampingkan izin grup, yang mengesampingkan izin lainnya. Contoh keanggotaan kelompok untuk memfasilitasi kolaborasi,joshua adalah anggota grup joshua dan web, dan allison adalah anggota allison, wheel, dan web. Ketika joshua dan allison perlu berkolaborasi, file-file tersebut harus dikaitkan dengan grup web dan izin grup harus mengizinkan akses yang diinginkkan.

Gambar diatas adalah contoh keanggotaan kelompok untuk memfasilitasi kolaborasi

Tiga kategori izin berlaku: baca, tulis, dan jalankan. Tabel berikut menjelaskan bagaimana izin ini memengaruhi akses ke file dan direktori.

Pengguna biasanya memiliki izin baca dan eksekusi pada direktori hanya baca sehngga mereka dapat membuat daftar direktori dan memiliki izin akses penuh hanya baca ke kontennya. Jika pengguna hanya memiliki akses baca pada direktori, nama file di dalamnya dapat dicantumkan, namun tidak ada informasi lain, termasuk izin atau stempel waktu
, yang tersedia, juga tidak dapat diakses. Jika pengguna hanya memiliki akses eksekusi pada suatu direktori, mereka tidak dapat mencantumkan nama file dalam direktori tersebut. Jika mereka mengetahui nama file yng mereka punya izin untuk membacanya, mereka dapat mengakses konten file tersebut dari luar direktori dengan secara eksplisit menentukan nama file relatif.

Sebuah file dapat dihapus oleh siapa saja yang memiliki kepemilikan atau izin menulis pada direktori tempat file tersebyt berada, terlepas dari kepemilikan atau izizn file pada file itu sendiri.

Catatan
Izin file Linux bekerja secara berbeda dari sistem izin yang digunakan oleh sistem file NTFS untuk Mizrosoft Windows. Di Linux, izin hanya berlaku untuk file atau direktori tempat izin tersebut ditetapkan.
Izin membaca pada direktori di Linux kira-kira setara dengan Daftar isi folder di Windows.
Izin menulis pada direktori di Linux setara dengan Memodifikasi di Windows; itu menyiratkan kemampuan untuk menghapus file dan subdirektori. Di Linux, jika Write dan Sticky bit keduanya diatur pada sebuah direktori, maka hanya pemilik file atau subdirektori yang dapat menghapusnya, serupa dengan perilaku izin Windows Write.
Pengguna root Linux memiliki izin Kontrol Penuh Windows yang setara pada semua file. Namun, akses root mungkin dibatasi oleh kebijakan SELinux sistem menggunakan konteks keamanan proses dan file.

Melihat Izin dan Kepemilikan File dan Direktori

Karakter pertama dari daftar panjang adalah jenis file, diartikan seperti ini:

- adalah file biasa.
d adalah direktori.
l adalah soft link.
Karakter lain mewakili perangkat keras (b dan c) atau file tujuan khusus lainnya (p dan s).

Sembilan karakter berikutnya dalah izin file. Ini ada dalam tiga karakter: izin yang berlaku untuk pengguna yang memiliki file, grup yang memiliki file, dan semua pengguna lainnya. Jika kumpulan menunjukan rwx, kategori tersebut memiliki tiga izin, baca, tulis, dan jalankan. Jika ada huruf yang diganti dengan -, maka kategori tersebut tidak mempunyai izin tersebut.

Setelah penghitungan tautan, nama depan menentukan pengguna pemilik file, dan nama kedua grup pemilik file. Kumpulan izin yang palig spesifik berlaku. Jadi jika student memiliki izin yang berbeda dari grup student, dan pengguna student juga merupakan anggota grup tersebut, maka izin penggunalah yang berlaku.

Contoh Efek Izin
Contoh berikut akan membantu mengilustrasikan bagaimana izin file berinteraksi. Untuk contoh ini, kami memiliki empat pengguna dengan keanggotaan grup berikut:

Pengguna tersebut akan bekerja dengan file di dir direktori. Ini adalah daftar panjang file-file di direktori itu:

Opsi ini -a menunjukkan izin file tersembunyi, termasuk file khusus yang digunakan untuk mewakili direktori induknya. Dalam contoh ini, . mencerminkan izin dir dirinya sendiri, dan ..izin direktori induknya.

Apa izinnya rfile1?Pengguna yang memiliki file (database1) telah membaca dan menulis tetapi tidak mengeksekusi. Grup yang memiliki file (consultant1) telah membaca dan menulis tetapi tidak mengeksekusi. Semua pengguna lain telah membaca tetapi belum menulis atau mengeksekusi.

Tabel berikut mengeksplorasi beberapa dampak kumpulan izin bagi pengguna ini: