DEV Community: Muhammad Fauzi

"I Forgot my Linux root Password!!😥" DO THIS!! Resetting the Root Password

Muhammad Fauzi — Tue, 02 Apr 2024 12:45:05 +0000

Resetting the Root Password from the Boot Loader

Mereset password root harus bisa dilakukan oleh system administrator. Ada beberapa metode untuk menetapkan root kata sandi baru. Seorang administrator sistem dapat mem-boot sistem menggunakan Live CD, memasang sistem file root dari sana, dan mengedit file /etc/shadow. Pada bagian ini, kami mengeksplorasi metode yang tidak memerlukan penggunaan media eksternal.

Nyalakan ulang sistem. Tekan Ctrl + Alt + Del.
Hentikan hitungan mundur boot loader dengan menekan tombol apa saja, kecuali Enter , misalnya saya tekan D .
Pindahkan kursor ke entri kernel untuk boot.
Tekan e untuk mengedit entri yang dipilih.
Pindahkan kursor ke baris perintah kernel (baris yang dimulai dengan linux). Kemudian tekan tombol End untuk memindahkan kursor ke baris paling akhir.
Menambahkan rd.break. Dengan opsi itu, sistem akan rusak tepat sebelum sistem menyerahkan kendali dari sistem initramfs ke sistem sebenarnya.
Tekan Ctrl + x untuk keluar dan booting menggunakan konfigurasi yang dimodifikasi.
Saat switch_root diminta, pasang kembali /sysroot sistem file read/write, lalu gunakan chroot untuk masuk ke chroot di /sysroot.

switch_root:/# mount -o remount,rw /sysroot
switch_root:/# chroot /sysroot

Tetapkan kata sandi baru root.

sh-4.4# passwd root

Pastikan semua file yang tidak berlabel, termasuk /etc/shadow diberi label ulang saat boot.

sh-4.4# touch /.autorelabel

Gunakan comand exit dua kali. Perintah pertama keluar dari chroot, kedua keluar dari initramfs debug shel. SELinux _merelabel ulang _semua file saat booting lagi.

Inspecting Logs

Melihat log dari boot yang gagal sebelumnya dapat bermanfaat. Gunakanlah jurnalctl. Secara default jurnal sistem diimpan di direktori /run/log/journal dan akan dihapus saat sistem di boot ulang. Sendangkan yang disimpan di /var/log/journal akan tetap ada saat reboot. Setel storage ke persistant dalam /etc/systemd/journal.conf.

[root@host ~]# vim /etc/systemd/journald.conf
...output omitted...
[Journal]
Storage=persistent
...output omitted...
[root@host ~]# systemctl restart systemd-journald.service

Untuk memeriksa log boot sebelumnya gunakan journalctl -b. dengan angka negatif sebagai argumen.

[root@host ~]# journalctl -b -1 -p err

Repairing Systemd Boot Issues

Enabling the Early Debug Shell

Enable kan service debug-shell dengan systemctl enable debug-shell.service, sistem memunculkan root shell TTY9( Ctrl + Alt + F9 ) di awal selama booting. Shel otomatis login sebagai root, memungkinkan debuging saaat system sedang booting. Jan gan lupa untuk mematikan service ini setelah debuging.

Using the Emergency and Rescue Targets

Dengan menambahkan salah satu systemd.unit=rescue.target atau systemd.unit=emergency.target ke baris perintah kernel dari boot loader, sistem akan memunculkan shell penyelamat atau darurat alih-alih memulai secara normal. Kedua shell ini memerlukan root kata sandi.
Tulis mount -o remount,rw / agar _root mendapat izin untuk membuat perubahan /etc/fstab _.

Mengidentifikasi Pekerjaan yang Terjebak

Selama startup, systemd memunculkan sejumlah pekerjaan. Jika beberapa pekerjaan ini tidak dapat diselesaikan, maka pekerjaan lain akan diblokir agar tidak dapat dijalankan. Untuk memeriksa daftar pekerjaan saat ini , administrator dapat menggunakan perintah systemctl list-jobs .

Managing SELinux is easy v:(Indonesian Version)

Muhammad Fauzi — Fri, 22 Mar 2024 11:56:46 +0000

A. Controlling SELinux File Contexts

Ketika suatu system menjalankan SELinux, semua proses dan file diberi label. Hal itu untuk mewakili keamanan yang relevan, biasanya dikenal dengan konteks SELinux. File baru yang dibuat pada direktori biasanya labelnya akan mengikuti direktory induknya, untuk memastikan file itu memiliki konteks yang tepat.

Pada umumnya konsep tersebut dapat dirusak.
Pertama, ketika kita membuat suatu file dalm direktory kemudian labelnya akan mengikuti directory induknya, namun ketika kita memindahkannya ke directory yang berbedadengan comand mov file yang dipindahkan tetap akan memiliki label yang sama dengan directory dimana ia dibuat bukan directory di mana ia dipindahkan.
Dua, dengan menyalin file dari directory asalnya kedirectory tujuan dengan mempertahankan konteks SELinuxnya, misalnya dengan comand cp -a, konteks SELinuk akan mempertahankan file asli dari file yang di copy. Namun jika kita hanya menggunakan perintah cp file yang kita copy labelnya akan mengikuti di directory mana file tersebut ditujukan. Gunakan comand ls -Z melihat konteks SELinux pada sebuah file dan ls -Zd untuk melihat konteks SELinux sebuah directory. Semoga mudah dipahami 😊.

Changing the SELinux context of a file

Beberapa cara untuk mengubah konteks sebuah file pada Linux. Gass kita oprek-oprek!.

1. semanage fcontext. Adalah suatu metode untuk mendeklarasikan label default untuk sebuah file yang kemudian menerapkan konteks tersebut ke file dengan command restorasicon. Hal ini dapat memastikan bahwa pelabelan akan sesuai dengan keinginan bahkan setelah system diberi relabled/pelabelan ulang secara menyeluruh.

[root@host ~]# ls -Z /var/www/html/file*
unconfined_u:object_r: user_tmp_t:s0 /var/www/html/file1  unconfined_u:object_r: httpd_sys_content_t:s0/var/www/html/file2
[root@host ~]# semanage fcontext -l
...keluaran dihilangkan...
/var/www(/.*)? semua file system_u:object_r:httpd_sys_content_t:s0
...keluaran dihilangkan... 
[root@host; ~]# restorecon -Rv /var/www/
Relabeled/var/www/html/ file1dari unconfined_u:object_r: user_tmp_t:s0 ke unconfined_u:object_r: : httpd_sys_content_ts0
 [root@host ~]# ls -Z /var/www/html/file*
unconfined_u:object_r: httpd_sys_content_t:s0 /var/www/html/ file1  unconfined_u:object_r: httpd_sys_content_t:s0 /var/www/html/file2

2. chorn. Adalah comand untuk mengubah konteks Linux dan mengatur konteks keamanan pada sebuah file, yang disimpan pada system file. Gunanya untuk menguji dan bereksperimen. Akan tetapi, hal ini tidak menyimpan perubahan konteks dalam database SELinux. Ketika perintah restorecron dijalankan, perubahan yang dilakukan chron akan dipulihkan seperti sebelumnya. Selain itu, jika seluruh file system di relabled/di pelabelan ulang maka, pengubahan konteks dengan chron akan dikembalikan.

[root@host ~]# chcon -t httpd_sys_content_t /virtual
[root@host ~]# ls -Zd /virtual
drwxr-xr-x. root root unconfined_u:object_r: httpd_sys_content_t:s0 /virtual
[root@host ~]# restorecon -v /virtual
Relabeled/virtual dari unconfined_u:object_r: httpd_sys_content_t:s0 ke unconfined_u:object_r: default_t:s0
[root@host ~]# ls -Zd /virtual
drwxr-xr-x. root root unconfined_u:object_r: default_t:s0 /virtual

Defining SELinux Default File Context Rules

semanage fcontext command untuk melihat _dan **_restorecon** untuk mengatur konteks kedefaultnya. Ia menggunakan ekspresi reguler yang diperluas untuk menentukan jalur dan nama file. Untuk expresi reguler yang diperluas umumnya menggunakan fcontext aturan yaitu (/.)?, maksudnya “opsional, / untuk banyak angka atau karakter”.
Opsi *semanage fcontext** adalah -a, --add , -d, --delete , -l, --list.
Untuk mengontrol SELinux konteks intall terlebih dahulu policycoreutils package dan policycoreutils-python, yang akan berisi command restorecon dan semanage. Untuk melihat konteks yang berjalan gunakan semanage fconteks -l di ikuti dengan restorecon.

B. Adjusting SELinux Policy with Booleans

SELinux booleans

SELinux booleans adalah saklar yang mengubah perilaku kebijakan SELinux atau dengan kata lain aturan yang dapat diaktifkan atau dinonaktifkan. Biasanya digunakan oleh administrator keamanan untuk menyesuaikan kebijakan untuk membuat penyesuaian yang selektif.

Command getsebool digunakan untuk mencantumkan boolean dan statusnya. setsebool untuk mengubah boolean. setsebool -P memodifikasi kebijakan SELinux agar modifikasi tetap ada. Dan semanage boolean -l melaporkan apakah suatu boolean persisten atau tidak, bersama dengan deskripsi singkat tentang boolean tersebut. Pengguna tanpa hak istimewa hanya bisa menggunakan command getsebool, selain command itu untuk menjalankanya harus supper user.

[user@host ~]$ getsebool -a
abrt_anon_write --> off
abrt_handle_event --> off
abrt_upload_watch_anon_write --> on
antivirus_can_scan_system --> off
antivirus_use_jit --> off
...output omitted...
[user@host ~]$ getsebool httpd_enable_homedirs
httpd_enable_homedirs --> off
[user@host ~]$ setsebool httpd_enable_homedirs on
Could not change active booleans. Please try as root: Permission denied
[user@host ~]$ sudo setsebool httpd_enable_homedirs on
[user@host ~]$ sudo semanage boolean -l | grep httpd_enable_homedirs
httpd_enable_homedirs          (on   ,  off)  Allow httpd to enable homedirs
[user@host ~]$ getsebool httpd_enable_homedirs
httpd_enable_homedirs --> on

Gunakan opsi -P untuk membuatnya menulis nilai yang tertunda ke kebijakan dan tetap ada setelah di reboot.

[user@host ~]$ setsebool -P httpd_enable_homedirs on
[user@host ~]$ sudo semanage boolean -l | grep httpd_enable_homedirs
httpd_enable_homedirs          (on   ,   on)  Allow httpd to enable homedirs

Untuk melihat list boolean yang dalam keaddan default gunakan semanage boolean -l -C .

[user@host ~]$ sudo semanage boolean -l -C
SELinux boolean                State  Default Description

cron_can_relabel               (off   ,   on)  Allow cron to can relabel

SELinux? What is that? Penting kah?

Muhammad Fauzi — Fri, 22 Mar 2024 08:28:26 +0000

How SELinux Protects Resources

SELinux adalah keamanan penting bagi linux. Akses ke file dan sumber daya lainnya dikontrol pada tingkat yang sangat terperinci. Proses hanya diizinkan mengakses sumber daya yang ditentukan oleh kebijakannya, atau pengaturan boolean SELinux.

Mengontrol izin file pengguna atau grup pengguna mana yang dapat mengakses file tertentu. Namun, pengguna yang diberi akses baca atau tulis ke file tertentu dapat menggunakan file tersebut dengan cara apa pun yang dipilih pengguna, meskipun penggunaan tersebut bukanlah cara penggunaan file tersebut.

SELinux merupakan serangkaian kebijakan yang ditentukan oleh pengembang software, yang dengan tepat menyatakan tindakan dan akses apa yang tepat dan diperbolehkan untuk setiap biner yang dapat dieksekusi, konfigurasi file, dan file apa yang digunakan.

Why use Security Enhanced Linux?

SELinux menerapkan aturan untuk mencegah kelemahan dalam system aplikasi yang memengaruhi aplikasi lain atau system yang mendasarinya. Ia memberikan keamanan tambahan, hal ini menambah kompleksitas yang dapat membuat seseorang yang awam tidak menyukai system ini.

Tiga mode SELinux :

Enforcing: SELinux menerapkan aturan pengontrolan akses. Ia akan monolak jika ada pelanggaran dalam kontrol akses.
Permissive: SELinux aktif tetapi tidak sepenuhnya menerapkan kontrol akses. Ia mencatat peringatan aturan yang dilanggar. Digunakan untuk pengujian dan pemecahan masalah
Disabled: SELinux dimatikan, yang membuat tidak ada penolakan, atau dicatatnya pelanggaran pada system.

Basic SELinux security concepts

SELinuk merupakan lapisan tambahan pada lapisan keamanan. Tujuan utamanya untuk melindungi data dari pengguna dari layanan sistem yang telah diretas. Bekerja dengan menerapkan kebijakan kontrol akses yang ketat untuk mengontrol akses ke file, direktori, dan port. Dengan ini, SELinux membantu melindungi sistem bahkan jika layanan atau proses tertentu diretas, karena SELinux dapat mencegah akses yang tidak sah.
Setiap file, proses, direktori, dan port memiliki label keamanan khusus yang disebut SELinuxcontext. Konteks adalah nama yang digunakan oleh kebijakan SELinux untuk menentukan apakah suatu proses dapat mengakses file, direktori, atau port. Secara default, kebijakan ini tidak mengizinkan interaksi apa pun kecuali aturan eksplisit memberikan akses. Jika tidak ada aturan izinkan, maka akses tidak diperbolehkan.

Label SELinux memiliki beberapa konteks: user, role, type, dan sensitivity. Pada umumnya setiap service memiliki context yang berbeda dan memiliki peraturan penggunaan direktori yang berbeda pula. Dengan maksud meningkatkan tingkat keamanan.
Banyak commands untuk melihat context SELinux dengan menggunakan opsi – Z. misalnya ps, ls, cp, mkdir.

Changing the current SELinux mode

Untuk menentukan SELinux mode, gunakan getenforce. Untuk_ mengganti modenya_ gunakan setenforce diikuti modenya. Argumen enforcing 0 Permisive dan enforcing 1 Enforcing. Untuk mematikan SELinux selinux 0 dan untuk mengaktifkan selinux 1.

[user@host ~]# getenforce
Permissive
[user@host ~]# setenforce Enforcing
[user@host ~]# getenforce
Enforcing

Setting the default SELinux mode

Anda dapat mengkonfigurasi SELinux secara default dengan mengubah file /etc/selinux/config. Misalnya enforcing .

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes
#               are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

Bash Shell Script

Muhammad Fauzi — Sun, 17 Mar 2024 07:21:40 +0000

Writing Simple Bash Scripts

Membuat dan Menjalankan Bash Shell Script
Bash shell adalah file yang dapat dieksekusi yang berisi daftar perintah, dan mungkin dikombinasikan dengan logika pemrograman untuk mengontrol pengambilan keputusan dalam keseluruhan tugas. Jika ditulis dengan baik, skrip shell merupakan alat baris perintah yang kuat, dan dapat dimanfaatkan oleh skrip lain.
Pengetahuan tentang skrip shell sangat penting dalam lingkungan perusahaan, di mana penggunaan skrip dapat meningkatkan efisiensi dan akurasi penyelesaian tugas rutin.

Menentukan Penerjemah Perintah
Baris pertama suatu script harus diawali dengan notasi #!, biasa disebut sh-bang atau she-bang, nama kedua karakter tersebut, sharp “#” dan bang “!”. Notasi dua byte khusus ini menunjukkan skrip interpretatif; sintaks yang mengikuti notasi adalah nama file yang sepenuhnya memenuhi syarat untuk command interpreterkebutuhan yang benar untuk memproses baris skrip ini. Untuk file skrip yang menggunakan sintaks skrip Bash, baris pertama skrip shell dimulai sebagai berikut:

#!/bin/bash

Menjalankan Bash Shell Script
Ketika file script telah dibuat dan selesai, harus diberikan permissions executable(x) dengan perintah chmod, agar bisa dijalankan. Anda juga bisa mencantumkan file script tersebut pada directory Shell PATH agar anda dapat memanggil script anda hanya dengan nama filenya saja tanpa menuliskan path absolutnya. Gunakan command which diikuti nama file anda untuk melihat nama path dapat di jalankan.

[user@host ~]$ which hello
~/bin/hello
[user@host ~]$ echo $PATH
/home/user/.local/bin:/home/user/bin:/usr/share/Modules/bin:/usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin

Quoting Special Characters
Sejumlah karakter dan kata memiliki arti khusus pada shell Bash. Namun, terkadang Anda ingin menggunakan karakter ini untuk nilai literalnya, bukan untuk arti khususnya. Untuk melakukan ini, gunakan salah satu dari tiga alat untuk menghapus (ataumelarikan diri) arti khusus: garis miring terbalik (\), tanda kutip tunggal (''), atau tanda kutip ganda ("").

Karakter # adalah sebuah komen yang tidak dijalankan oleh bash. Kecuali jika anda menambahkan karakter / sebelum # maka akan ditafsirkan/jalankan.
Gunakan tanda kutip ganda (" ") untuk menekan ekspansi globbing dan shell, namun tetap mengizinkan substitusi perintah dan variabel. Substitusi variabel secara konseptual identik dengan substitusi perintah, tetapi dapat menggunakan sintaks kurung kurawal opsional.
Gunakan tanda kutip tunggal (' ') untuk menafsirkan seluruh teks secara harfiah. Selain menekan ekspansi globbing dan shell, kutipan mengarahkan shell untuk juga menekan substitusi perintah dan variabel. Tanda tanya ( ? )adalah tanda meta-characteryang juga perlu dilindungi dari perluasan.

Memberi Output dari Shell Script
echo menampilkan teks arbitrer dengan meneruskan teks tersebut sebagai argumen ke perintah. Secara default, teks ditampilkan aktifkeluaran standar (STDOUT), tapi bisa juga ditujukan kekesalahan standar (STDERR) menggunakan pengalihan keluaran.

Loops to Iterate Commands

Memungkinkan kemudahan bagi seorang administrasi untuk menggunakan beberapa comand yang berulang dalam waktu tertentu misalkan selama 10 menit dalam sehari.

Memproses Item dari Baris Perintah
Anda dapat menggunakan struktur seperti:

for VARIABLE in LIST; do
COMMAND VARIABLE
done

Loop memproses string yang disediakan di LIST secara ber urutan satu per satu dan dikeluarkan setelah memproses string terakhir dalam daftar. Setiap daftar disimpan pada VARIABLE untuk sementara saat foor loop mengeksekusi perintah yang dalam kontruksinya. Contoh:

[user@host ~]$ for HOST in host{1,2,3}; do echo $HOST; done

Kode Keluar dalam Skrip
exit digunakan untuk menghentikan eksekusi script dan mengembalikan nilai keluaran (exit code). Merupakan kode keluaran yang akan dikembalikan oleh sistem operasi. Dapat berupa angka dari 0 – 255. Nila 0 berarti tidak terjadi eror/script berjalan sukses dan 1-255 menunjukan adanya eror dalam menjalankan script. Kode keluar ini disimpan dalam variabel ?.

[user@host bin]$ cat hello
#!/bin/bash
echo "Hello, world"
exit 0
[user@host bin]$ ./hello
Hello, world
[user@host bin]$ echo $?
0

Testing Script Inputs
test memriksa integritas. Perintah ini menghasilkan kode keluar yang disimpan sebagai nilai pada $?.
untuk menampilkan nilainya, tampilkan nilainya dengan echo $? Setelah perintah test. Nilai 0 adalah True dan 1 adalah False. Pengujian dapat menggunakan berbagai operator, misalnya lebih besar dari, lebih besari atau sama dengan, lebih kecil dari, lebih kecil atau sama dengan, atau sama dengan.

[user@host ~]$ test [ 1 -gt 0 ] ; echo $?
0
[user@host ~]$ test [ 0 -gt 1 ] ; echo $?
1

Struktur Bersyarat

Konstruksi if/then
Jika suatu kondisi terpenuhi, maka satu atau lebih tindakan akan dieksekusi. Jika kondisi tertentu tidak terpenuhi, maka tidak ada tindakan yang dijalankan.

[user@host ~]$ if  [ $? -ne 0 ]; then
> sudo systemctl start psacct
> fi

Konstruksi if/then/else
Konstruknya if/then dapat diperluas lebih lanjut sehingga rangkaian tindakan yang berbeda dapat diambil tergantung pada apakah suatu kondisi terpenuhi. Hal ini dicapai dengan if/then/else.

[user@host ~]$ systemctl is-active psacct > /dev/null 2>&1
[user@host ~]$ if  [ $? -ne 0 ]; then
> sudo systemctl start psacct
> else
> sudo systemctl stop psacct
> fi

Kontruksi if/then/elif/then/else
Untuk menguji lebih dari satu kondisi, mengeksekusi serangkaian tindakan yang berbeda ketika suatu kondisi terpenuhi.

[user@host ~]$ systemctl is-active mariadb > /dev/null 2>&1
MARIADB_ACTIVE=$?
[user@host ~]$ sudo systemctl is-active postgresql > /dev/null 2>&1
POSTGRESQL_ACTIVE=$?
[user@host ~]$ if  [ "$MARIADB_ACTIVE" -eq 0 ]; then
> mysql
> elif  [ "$POSTGRESQL_ACTIVE" -eq 0 ]; then
> psql
> else
> sqlite3
> fi

Mencocokkan Teks dalam Output Perintah
grep adalah perintah yang digunakan untuk mencari teks dalam satu atau lebih file atau output dari perintah lain. Berikut adalah beberapa contoh penggunaan umum.
Contoh berikutnya menggunakan beragam file konfigurasi dan file log.
Ekspresi reguler peka huruf besar-kecil secara default. Gunakan -i opsi dengan grep untuk menjalankan pencarian yang tidak peka huruf besar-kecil. Contoh berikut mencari server root.

[user@host ~]$ cat /etc/httpd/conf/httpd.conf
...output omitted...
ServerRoot "/etc/httpd"

#
# Listen: Allows you to bind Apache to specific IP addresses and/or
# ports, instead of the default. See also the <VirtualHost>
# directive.
#
# Change this to Listen on specific IP addresses as shown below to
# prevent Apache from glomming onto all bound IP addresses.
#
#Listen 12.34.56.78:80
Listen 80
...output omitted...

[user@host ~]$ grep -i serverroot /etc/httpd/conf/httpd.conf
# with "/", the value of ServerRoot is prepended -- so 'log/access_log'
# with ServerRoot set to '/www' will be interpreted by the
# ServerRoot: The top of the directory tree under which the server's
# ServerRoot at a non-local disk, be sure to specify a local disk on the
# same ServerRoot for multiple httpd daemons, you will need to change at
ServerRoot "/etc/httpd"