bengkel virtual

Just another WordPress.com weblog

tips sysadmin linux

leave a comment »

Tips Untuk System Administrator (repost)

from http://kandou.web.id/2008/06/26/tips-untuk-system-administrator/

Ini adalah salah satu tulisan saya pada blog lama yang hilang tanpa bekas. Terima kasih buat rekan-rekan blogger yang sudah memuat tulisan ini dan masih menyertakan nama saya sebagai penulisnya pada blog mereka. :

Re-post “Tips Untuk System Administrator”

Bekerja sebagai seorang System Administrator (sysadmin) tidaklah sesulit atau semudah yang anda bayangkan. Namun jauhkan dulu bayangan anda dari seorang sysadmin pada perusahaan besar sekaliber Yahoo dan Google, atau sysadmin pada perusahaan telekomunikasi sekelas XL, Telkom, Indosat dan lainnya di Indonesia. Coba anda bayangkan sebuah warnet kecil atau perusahaan kecil yang hanya memiliki 10 unit komputer workstation dengan 1 atau 2 buah server yang menjalankan service dns, proxy, web dan mail selain juga berfungsi sebagai internet gateway.

Berikut beberapa tips yang saya praktekan sebagai seorang sysadmin. Tulisan ini berdasarkan pengalaman pribadi saya dalam mengelola server dan workstation beserta jaringannya di beberapa warnet kecil, beberapa kantor pemerintah, beberapa perusahaan hingga ISP juga masukan dari teman-teman sesama sysadmin, beberapa diantaranya adalah referensi yang pernah saya baca di internet tapi saya lupa penulisnya. Beritahu saya jika anda menemukan tulisan anda disini, saya dengan senang hati akan mengupdate tulisan ini dan mencantumkan nama anda tentunya.

Tips ini pasti sudah basi bagi para sysadmin kawakan, tapi mungkin berguna bagi para sysadmin pemula dalam bersikap dan bertindak sebagai seorang sysadmin pada tempatnya bekerja.

Kenali semua hardware yang ada di lingkungan kerja anda.
Anda akan kebingungan setengah mati ketika salah satu komputer di tempat anda bekerja rusak, entah rusak hardwarenya atau hanya softwarenya sehingga harus diinstall ulang sedangkan anda tidak memiliki drivernya. Anda hanya dapat mendownload drivernya dari internet tentunya jika anda mengenal persis hardwarenya.

Kuasailah lebih dari satu sistem operasi.
Setiap sistem operasi memiliki keunggulan tersendiri. Anda tentunya harus dapat menggabungkan keunggulan-keunggulan ini hingga tercipta sebuah jaringan komputer yang handal dalam mendukung kinerja teman-teman sekantor anda atau pengguna warnet tempat anda bekerja.

Pahami aplikasi yang sering digunakan di kantor/warnet tempat anda bekerja.
Ruang lingkup pekerjaan sysadmin tidak hanya menginstall dan mengawasi kinerja server, workstation, jaringan atau printer. Tak jarang sysadmin juga akan didera dengan pertanyaan sepele, contohnya seperti “bagaimana memasukan gambar di word?”. Tentunya anda malu bukan jika orang sekantor mengatakan anda “sysadmin kok nggak bisa ini… nggak bisa itu”. Padahal memang mereka aja yang bego dan itu bukan salah satu skill yang anda jual di CV saat melamar kerja.

Jangan pernah memberikan password super user anda kepada orang lain selain kepada sesama sysadmin di tempat anda bekerja.
Akses super user selain merupakan kebanggaan seorang sysadmin juga merupakan nyawa anda dalam bekerja. Kehilangan akses ini adalah malapetaka bagi anda apalagi jika didalamnya tersimpan data-data penting perusahaan. Anda harus bekerja ekstra (mungkin sendirian) untuk mendapatkan kembali akses ini beserta data-data di dalamnya dengan cara apapun secepatnya.

Berikan akses terbatas bagi pengguna workstation atau server.
Masih berkaitan dengan tip sebelumnya, disinilah letak perbedaan seorang sysadmin dengan karyawan lainnya hehehe.

Biasakanlah mencatat semua kejadian.
Sejauh yang saya tahu, jarang pemimpin perusahaan/warnet yang meminta laporan harian, mingguan atau bulanan dari sysadminnya atau dari departemen IT-nya. Tapi sebaiknya kejadian sekecil apapun yang terjadi pada lingkup pekerjaan sysadmin bisa tercatat untuk mempermudah dalam mengatasi masalah-masalah baru yang mungkin timbul dikemudian hari.

Aktifkan system logging di server dan router dan siapkan waktu khusus hanya untuk membaca berkas log ini.
Hampir tidak ada perusahaan kecil/warnet yang menggaji 2 orang atau lebih sysadmin, sedangkan anda sendiri tidak mungkin berada di depan layar komputer selama 24 jam. Dengan mengaktifkan system logging ini anda akan tau apa saja yang terjadi selama anda away from keyboard (AFK). Jika memungkinkan buatlah server khusus untuk sentralisasi berkas log ini (syslog server). Selain system log, ada beberapa berkas log lain yang seperti tidak berguna antara lain access log web dan proxy server namun sebenarnya sangat penting dalam menganalisa atau memantau aktivitas keluar masuk jaringan komputer kantor/warnet tempat anda bekerja.

Install tool seperti MRTG untuk memantau penggunaan bandwidth lokal maupun ke internet juga CPU/Memory load pada server dan workstation.
Dengan hanya memantau grafik MRTG ini, anda akan segera mengetahui keanehan yang terjadi didalam jaringan atau komputer-komputer yang berada di jaringan anda. Jika anda masih pemula dalam menggunakan tool seperti ini, percaya saya, bahwa anda akan betah seharian memandang naik-turun grafik ini.

Tutup semua layanan yang tidak penting pada server anda.
Anda mungkin akan dikatakan sebagai sysadmin yang terlalu paranoid. Tapi ketahuilah, hanya sysadmin yang paranoid yang bisa menjadi seorang sysadmin handal. Lagipula untuk apa menjalankan service yang tidak akan digunakan? atau mengapa harus membiarkan paket data bebas lalu lalang lewat port 6660-7000 atau port 5050 jika di kantor anda melarang karyawannya chatting selama jam kerja?.

Un-install semua aplikasi yang tidak dibutuhkan di workstation.
Kali ini anda mungkin akan dikatakan sebagai seorang sysadmin yang kejam, tapi itulah tugas anda. Perbiasakan diri anda untuk tidak mau direpotkan dengan aplikasi-aplikasi yang sebenarnya tidak penting dan tidak pernah digunakan di kantor yang justru mengganggu aplikasi-aplikasi penting yang sering digunakan.

Jangan perbaiki sesuatu yang tidak rusak!
“If it ain’t broke, don’t fix it”, saya pertama kali diperkenalkan dengan kata ini oleh seorang teman yang juga salah satu guru komputer saya -Iwan Kilis. Hal ini sering menjadi penyakit sysadmin pemula dikarenakan rasa ingin tahu yang sangat besar. Kebiasaan mengutak-atik konfigurasi atau mengupgrade sebuah software yang sedang running well bisa menjadi salah satu sumber malapetaka. Apalagi jika anda melakukannya pada sebuah server penting yang melayani seluruh kegiatan kantor/warnet anda. Jika memungkinkan, lakukan ini pada mesin uji coba yang tidak penting.

Ikuti perkembangan sistem operasi dan aplikasi yang digunakan di kantor/warnet tempat anda bekerja. Segera upgrade jika dibutuhkan.
Saya tahu, anda mungkin bilang tip ini kontra dengan tip sebelumnya diatas (jangan kuatir, anda nantinya akan mengerti hubungan dan perbedaannya). Untuk itu anda perlu mengetahui perbedaan versi lama dan baru sebuah software, apa saja yang ditambahkan, ditambalkan atau malah dikurangi dari versi sebelumnya. Lakukan upgrade hanya jika anda menemukan perbedaan penting yang akan memberikan pengaruh besar terhadap kinerja kantor/warnet anda. Misalnya security patch atau tambahan fitur baru yang menurut anda berguna.

Bergaul!
Ya.. bergaul, mendaftarlah pada mailing-list atau forum yang membahas sistem operasi dan aplikasi (software) serta hardware yang sering anda hadapi dalam pekerjaan anda sebagai seorang sysadmin. Dalam bertanya, berikan petunjuk yang lengkap misalnya log atau konfigurasi anda, sebab peserta mailing-list atau forum yang anda ikuti bukan paranormal. Malu bertanya, sesat dijalan, tapi perlu diingat pula bahwa terlalu banyak bertanya artinya tidak tahu malu, cobalah sekali sekali menjawab pertanyaan orang lain tentunya anda harus memberikan jawaban yang tidak asal-asalan. Perhatikan tata tertib mailing-list atau forum yang anda ikuti, selalu ucapkan terima kasih atas saran-saran yang diberikan.

Diatas semua tips yang saya tulis disini, yang terpenting yang harus dikuasai oleh seorang sysadmin adalah ketelitian. Anda akan terlihat sangat bodoh jika tidak teliti.

README, FAQ, CHANGELOG, INSTALL, SETUP, HOWTO adalah beberapa nama berkas yang akan sering anda baca. Jangan malu atau merasa bodoh ketika anda terlihat sedang membaca berkas ini berulang kali, sebab berkas ini dibuat untuk dibaca.

Menjadi seorang sysadmin adalah sebuah kesempatan dan kepercayaan yang diberikan, bukan keputusan anda sendiri, jadi pergunakan kesempatan dan kepercayaan tersebut sebaik-baiknya.

Written by gadingkelana

July 22, 2008 at 4:59 am

Posted in linux umum, system admin

basic security linux

leave a comment »

from http://www.linux.ucla.edu/guides/security.php3

Linux Security: How Not to Get Hacked

This is a brief security overview for Linux beginners, covering the basics of maintaining a relatively secure Linux system.

I. What, me worry?

Should you worry about your computer’s security? Ask yourself this: Do you lock your house when you’re not home and draw your curtains when you want some privacy? Of course you do. Just because break-ins are rare doesn’t mean that you should carelessly leave everything wide open.

Types of people who might hack your system:

  • enemies specifically targeting your computer: unlikely unless you have enemies
  • script kiddies randomly scanning for insecure computers: pretty likely, especially if you have a dedicated network connection

II. Hack your own system

In order to secure your computer, you’ve got to figure out how a malicious hacker would view the system. What services are potential holes just waiting to be exploited?

  1. If you don’t need something, disable it!
    1. Disable unused services in /etc/inetd.conf by putting a “#” in front of each line that you don’t want to use and then restarting inetd. You probably won’t need any of the following services on a typical machine, so they can be safely disabled in inetd.conf:
      • echo: network diagnostics
      • chargen: random character generation
      • discard: throws away data
      • daytime: time synchronization
      • time: time synchronization
      • ftp: File Transfer Protocol
        (Only necessary if you want to run your own local FTP server.)
      • telnet: insecure remote shell logins
      • shell: insecure remote shell logins
      • login: insecure remote shell logins
      • exec: insecure remote command execution
      • comsat: incoming mail reporting service
      • talk: remote user chat server
      • ntalk: remote user chat server
      • dtalk: remote user chat server
      • pop-2: email access server
      • pop-3: email access server
      • imap: email folder access server
      • uucp: news transfer server
      • smtp: local email server
        (You’ll only need this if you’re going to run your own email server instead of using something like BruinOnline for your email.)
      • finger: insecure user info service
      • cfinger: secure user info service
        (You won’t need this unless you want to let people obtain information about your local users.)
      • systat: process information service
      • netstat: network information service
      • tftp: insecure, simplified version of FTP
      • bootps: bootp (internet address) server
      • mountd: Network File System mount server
      • rstatd: monitor for Remote Procedure Calls
      • rusersd: information about logged in users
      • walld: user messages server
      • auth or identd: user identification
        (You’ll want to keep this if you use Internet Relay Chat or any other service that requires user identification.)
      • linuxconf: remote Linux administration
    2. Disable unused services in your default runlevel. You should check a service’s documentation before you disable it, as some runlevel services are necessary for a system to function properly. You can edit your runlevel services by running “linuxconf” at the command line. Most systems typically are in runlevel 3 (startup at the command line) or 5 (startup in X).
  2. Portscan your own machine with a tool like nmap. If a service you don’t know about is listening on a port, track it down and determine whether you want it running.
  3. Investigate your system’s running processes with the command “ps aux”. This lists all processes currently running so that you can disable anything that you don’t want around.

III. Practice safe connects

Logging in to a computer without authentication and without encryption is like having sex with a complete stranger, in public. It may seem more convenient at the moment, but in the end, you’ll just end up getting screwed.

  1. Good passwords are absolutely critical. Include numbers, punctuation, and both uppercase and lowercase letters. Examples of bad passwords:
    • “password”
    • “trustno1”
    • your name
    • your user name
    • your dog’s name
    • your birthday
    • any information about you
    • any word that can be found in any dictionary in any language
  2. Use shadow passwords. Most newer Linux distributions do this automatically.
  3. Telnet is a Bad Thing. Use secure shell (ssh) instead. Telnet sends your password and all of your data over the network in plaintext for anyone to read. Secure shell encrypts not only the data, but your password too.
  4. Don’t use root unnecessarily. For day to day stuff, use a normal unprivileged user account. Only login as root for system administration. You can temporarily switch to root as a normal user with the “su” command.
  5. Be careful to whom you give out accounts. If you don’t trust your friends to be as security-concious as you are, then don’t give them accounts on your machine.

IV. Get cozy with the bleeding edge

It’s not enough to simply setup your system once and then blindly continue about your business without a further thought to security. If you want to remain secure, you’ve got to continually stay abreast of the latest security developments.

  1. At the minimum, regularly apply security updates for your Linux distribution. This is probably the single most important thing you can do to increase your system’s security. Updates are available for Redhat, Mandrake, Debian, SuSE, Caldera, etc.
  2. Possibly follow a security mailing list such as BugTraq.

V. And all that’s just the beginning…

For even more security, there are many other measures you can take.

  1. Check your logs regularly for weird stuff. Your logs have all kinds of useful information, including failed login attempts. This might help you spot a potential hacker before your system is compromised. System logs can usually be found in /var/log/
  2. Scan your files for suid root permissions. Suid root permissions allow any user to run a file as if they were the root user.
  3. Watch your binaries for changes. Often the first thing a hacker will do after compromising a system is to replace trusted system binaries with modified versions that hide the hacker’s presence, create backdoors for later re-entry, etc. Tools like tripwire allow you to be immediately notified when certain system binaries are modified.
  4. Make use of sudo. Sudo allows you to restrict who can change to the root user.
  5. Considering firewalling. Firewalling allows you to block certain incoming our outgoing data packets selectively. The Linux kernel has built-in firewalling code that can be accessed with IP Chains.

Written by gadingkelana

July 22, 2008 at 4:18 am

Posted in linux umum

Tagged with ,

daftar repository ubuntu hardy lokal

leave a comment »

Berikut adalah daftar beberapa server repositori lokal yang menyediakan paket untuk  Ubuntu 8.04 Hardy Heron:

mirror.its.ac.id (ITS, INHERENT)
deb http://mirror.its.ac.id/ubuntu hardy main multiverse restricted universe
deb http://mirror.its.ac.id/ubuntu hardy-security main multiverse restricted universe
deb http://mirror.its.ac.id/ubuntu hardy-backports main multiverse restricted universe
deb http://mirror.its.ac.id/ubuntu hardy-updates main multiverse restricted universe

kambing.ui.edu (UI, Telkom, Indosat, OpenIXP, INHERENT)
deb http://kambing.ui.edu/ubuntu hardy main restricted universe multiverse
deb http://kambing.ui.edu/ubuntu hardy-updates main restricted universe multiverse
deb http://kambing.ui.edu/ubuntu hardy-security main restricted universe multiverse
deb http://kambing.ui.edu/ubuntu hardy-backports main restricted universe multiverse
deb http://kambing.ui.edu/ubuntu hardy-proposed main restricted universe multiverse

mirror.cbn.net.id (OpenIXP)
deb http://ubuntu.cbn.net.id/Ubuntu hardy main restricted universe multiverse
deb http://ubuntu.cbn.net.id/Ubuntu hardy-updates main restricted universe multiverse
deb http://ubuntu.cbn.net.id/Ubuntu hardy-security main restricted universe multiverse
deb http://ubuntu.cbn.net.id/Ubuntu hardy-backports main restricted universe multiverse
deb http://ubuntu.cbn.net.id/Ubuntu hardy-proposed main restricted universe multiverse

komo.vlsm.org
deb http://komo.vlsm.org/ubuntu hardy main restricted universe multiverse
deb http://komo.vlsm.org/ubuntu hardy-updates main restricted universe multiverse
deb http://komo.vlsm.org/ubuntu hardy-security main restricted universe multiverse
deb http://komo.vlsm.org/ubuntu hardy-backports main restricted universe multiverse
deb http://komo.vlsm.org/ubuntu hardy-proposed main restricted universe multiverse

indika.net.id (OpenIXP)
deb http://ubuntu.indika.net.id/ hardy main restricted universe multiverse
deb http://ubuntu.indika.net.id/ hardy-updates main restricted universe multiverse
deb http://ubuntu.indika.net.id/ hardy-security main restricted universe multiverse
deb http://ubuntu.indika.net.id/ hardy-backports main restricted universe multiverse
deb http://ubuntu.indika.net.id/ hardy-proposed main restricted universe multiverse

ftp.itb.ac.id (ITB, INHERENT)
deb ftp://ftp.itb.ac.id/pub/ubuntu hardy main restricted universe multiverse
deb ftp://ftp.itb.ac.id/pub/ubuntu hardy-updates main restricted universe multiverse
deb ftp://ftp.itb.ac.id/pub/ubuntu hardy-security main restricted universe multiverse
deb ftp://ftp.itb.ac.id/pub/ubuntu hardy-backports main restricted universe multiverse
deb ftp://ftp.itb.ac.id/pub/ubuntu hardy-proposed main restricted universe multiverse

http://www.foss-id.web.id (Telkom)
deb http://dl2.foss-id.web.id/ubuntu hardy main restricted universe multiverse
deb http://dl2.foss-id.web.id/ubuntu hardy-updates main restricted universe multiverse
deb http://dl2.foss-id.web.id/ubuntu hardy-security main restricted universe multiverse
deb http://dl2.foss-id.web.id/ubuntu hardy-backports main restricted universe multiverse
deb http://dl2.foss-id.web.id/ubuntu hardy-proposed main restricted universe multiverse

Untuk mengubah daftar repositori, ada 2 cara, yaitu melalui “Synaptic Package Manager” dan melalui terminal:

Melalui Synaptic Package Manager:

  1. Buka menu: System | Administration | Synaptic Package Manager
  2. Pilih menu: Settings | Repositories
  3. Pilih tab “Third-Party Software”
  4. Pilih “Add”
  5. Masukkan baris pertama pada salah satu server repositori pada daftar di atas. Misalnya:

    deb http://kambing.ui.edu/ubuntu hardy main restricted universe multiverse

  6. Klik “Add” lagi, lalu isikan baris berikutnya. Lakukan langkah ini hingga semua baris pada server tersebut selesai anda masukkan.
  7. Setelah selesai, centang setiap item pada daftar “Third-Party Software”
  8. Klik “Close”
  9. Klik “Reload” pada ikon di sebelah kiri atas

Melalui terminal:

  1. Masukkan perintah berikut:

    sudo gedit /etc/apt/sources.list

  2. Hapus seluruh baris pada file ini  dan ganti dengan baris-baris pada salah satu server dari daftar di atas. Contoh:

    deb http://komo.vlsm.org/ubuntu hardy main restricted universe multiverse
    deb http://komo.vlsm.org/ubuntu hardy-updates main restricted universe multiverse
    deb http://komo.vlsm.org/ubuntu hardy-security main restricted universe multiverse
    deb http://komo.vlsm.org/ubuntu hardy-backports main restricted universe multiverse
    deb http://komo.vlsm.org/ubuntu hardy-proposed main restricted universe multiverse

  3. Melalui terminal, masukkan perintah berikut:

    sudo apt-get update

pastikan koneksi anda baik dan selamat berubuntu aja

Written by gadingkelana

July 22, 2008 at 3:34 am

Posted in linux umum

Tagged with , ,