[ASK ] IP Tables

[GPLHosting]

kalau tujuannya mau Hardening SSH, banyak caranya.

Bisa pakai :
1. ssh key dan disable password authentication (di ssdh_config di set PasswordAuthentication No), lalu bisa pasang fail2ban atau ufw utk meminimalisir bruteforce. (seperti yg disampaikan oleh om @arieonline )

2. sshd di listen hanya di localhost, kemudian akses ssh nya pakai vpn/tor. (sebelumnya pasang vpn server/tor dulu di server nya)

3. sshd di listen hanya di localhost atau bisa juga di disable sshd-nya atau malah di remove/uninstall sshd-nya, kemudian akses console (terminal/tty) nya bisa dari IPMI (bagi yg punya DS) atau dari console panelnya provider (bagi yg punya VPS).

Tentu saja yg no.3 akan menyulitkan untuk operasi copy/paste. Pastikan juga IPMI atau Console panel nya juga menggunakan akses yang secure (https).

Semoga membantu dan bermanfaat.

 

[junior riau]

he em better sekalian ditutup aja port 22 dari firewall

Outgoing jangan, nanti mau remote ke server lain mana tahu dari vps itu ga bisa wkwk

 

[pluto01]

1. Sebenarnya bisa saja dgn memblok akses ssh dari iptables dan hanya mengizinkan IP tertentu saja, namun jika ada perubahan IP jgn lupa diupdate rulenya, jika kita accept semua network, biasanya masih ada percobaan,
Jika sdh terlanjur kejadian coba remote rubah dari console saja dulu rulenya agar bs masuk
2. Saya biasanya sich pakai yg cara mas @arieonline info, kenapa? karena jika ssh ga diaktifkan dan akses dari console kebetulan saya orgnya pemalas, tp kl ssh cukup masuk di satu saja yg lainnya tinggal remote2 saja lg,
Tapi yach itu tadi balik lg kehukum awalnya, Keamanan terkadang berbanding terbalik dgn kenyamanan

 

[junior riau]

Ada lagi yang lebih asik
Port nya open tapi mati suri. Tante nina @GPLHosting rasanya tau deh knock knock

 

[GPLHosting]

Ada lagi yang lebih asik
Port nya open tapi mati suri. Tante nina @GPLHosting rasanya tau deh knock knock

kalau itu buat "ngerjain" attacker nya.
butuh service tambahan yg at least makan "sedikit" resource juga.

Kalau sudah advanced, boleh dan bisa di apply di sistemnya.

 

[junior riau]

Benar nambah 1 daemon tapi lebih efektif untuk menangkal traffic bruteforce ke port yang open

 

[GPLHosting]

Benar nambah 1 daemon tapi lebih efektif untuk menangkal traffic bruteforce ke port yang open

nantilah, kalau TS sudah advanced dan expert, bisa belajar honeypot.

ntar kalo blm terbiasa.. kadang2 suka njebak diri sendiri (kl orangnya lupaan)... akhirnya bikin panik sendiri .. hehe.

 

[junior riau]

Wkwkwk bener juga

 

[pluto01]

Iya awal terapkan port knocking pernah lupa, untung ada catatan di notepad

 

[dhyhost]

kalau saya mah cukup ini
1. ganti port ssh
2. login pakai ssh key
3. disable login menggunakan password.