|
SSH merupakan protokol jaringan yang mengijinkan komunikasi data antara dua host secara terenskripsi. Sehingga dengan SSH semua percakapan antara server dan klien. SSH mirip seperti Telnet, Rlogin, RSH namun bebrapa aplikasi tersebut belum menggunakna enskripsi data didalamnya. Huff... sesuatu yang sangat riskan tentunya, bayangkan saja bila kita sedang melakukan remote terhadap server dan ternyata kita sedang disadap, apa jadinya bila komunikasi data antara klien dan serve tidak dienskripsi? Siap-siaplah kehilangan user name dan password, mungkin juga server bisa di acak-acak kali ya? May be yes...!
SSH yang banyak diimplementasikan adalah OpenSSH , Bila anda pengguna system berbasis linux maka aplikasi ini sudah terdapat didalamnya. OpenSSH merupakan aplikasi Shell Server yang mempunyai lisensi GPL [General Public License] atau biasa disebut juga aplikasii freeware. Salah satu feature yang telah dikembang adalah protokol 2 didalamnya, dan sangat dianjurkan menggunakan protokol dua pada konfigurasi ssh tersebut. Protokol dua diyakini mempunyai enskripsi data yang lebih aman dari protokol sebelumnya yakni protokol 1. File konfigurasi SSH berada di /etc/ssh/sshd_config kebetulan OS yang saya gunakan adalah RedHat Base. Untuk melakukan editing pada file sshd_config saya mengguanakan vi editor dan menggunakan parameter seperti dibawah: root@fserv:~# vi /etc/ssh/ssh_config Port 22
ListenAddress 192.168.1.1
HostKey /etc/ssh/ssh_host_key
ServerKeyBits 1024
LoginGraceTime 600
KeyRegenerationInterval 3600
PermitRootLogin no
IgnoreRhosts yes
IgnoreUserKnownHosts yes
StrictModes yes
X11Forwarding no
PrintMotd yes
SyslogFacility AUTH
LogLevel INFO
RhostsAuthentication no
RhostsRSAAuthentication no
RSAAuthentication yes
PasswordAuthentication yes
PermitEmptyPasswords no
AllowUsers admin Kemudian setelah selesai mengedit file sshd_config maka restart ssh, tapi sebelumnya pastikan sudah ditambahkan user biasa, karena root tidak akan diijinkan login ke server. Bisa kebayangkan kalau host yang diremote berada di luar kota atau pulau dan harus gagal gara-gara tidak mempunyai hak login.  Dibawah in dijelaskan mengenai parameter yang digunakan diatas: - Port 22
Pilihan ini adalah spesifik port yang dugunakan ssh daemon untuk incoming connections. Default portnya adalah 22 dan dapat diganti dengan port lain yang tidak digunakan daemon. - ListenAddress 192.168.1.1
Pilihan ListenAddress menyatakan IP address pada kartu jaringan yang diijinkan terhubung ke ssh daemon server. Default parameternya adalah 0.0.0.0; untuk membaeri batasan kepada ip address yang diijinkan terhubung ke ssh server kita dapat memasukan beberapa ip address. - HostKey /etc/ssh/ssh_host_key
Parameter HostKey menyatakan letak file private host key. - ServerKeyBits 1024
Parameter ServerKeyBits menyatakan berapa bits yang akan digunakan server key. Bits ini digunakan pada saat daemon starts untuk menggenerate RSA key. - LoginGraceTime 600
Parameter LoginGraceTime menyatakan berapa lama [second] setelah permintaan koneksi, dan server akan menunggu sebelum koneksi tersebut diputus karena user gagal login. - KeyRegenerationInterval 3600
Parameter KeyRegenerationInterval menyatakan berapa lama [second] server dapat menunggu sebelum otomatis me regeenerate key ini. Feature keamanan ini untuk menghindari decrypting captured sessions. - PermitRootLogin no
Parameter PermitRootLogin menyatakan apakah root dapat/diijinkan log in menggunakan ssh. Never say yes untuk option ini. - IgnoreRhosts yes
Parameter IgnoreRhosts menyatakan apakah file rhosts atau shosts bisa digunakan didalam autentifikasi. Untuk pertimbangan keamanan maka disaranakan agar tidak menggunakan file rhosts atau shosts untuk autentifikasi. - IgnoreUserKnownHosts yes
Parameter IgnoreUserKnownHosts menyatakan apakah ssh daemon dapat mengabaikan user's $HOME/.ssh/known_hosts selama RhostsRSAAuthentication. - StrictModes yes
Parameter StrictModes menyatakan apakaph ssh bisa memeriksa user's permissions didalam deirektorinya dan file rhosts sebelum diijinkan log in. Option ini harus selalu diset yes karena kadang user kebetulan menginggalkan direktori atau file world-writable. - X11Forwarding no
Parameter X11Forwarding menyatakan apakah X11 forwarding dapat digunakan atau tidak di server tersebut. Untuk optimasi server maka disarankan agar tidak menginstall GUI pada server. - PrintMotd yes
Parameter PrintMotdMenyatakan apakah ssh daemon bisa melakukan printing dari konten ke file /etc/motd ketika user log didalam interactively. The /etc/motd file is also known as the message of the day. - SyslogFacility AUTH
Parameter SyslogFacility merupakan faciliility code digunakan ketika logging messages dari sshd. Fasilitas yang menjelaskan secara spesifik didalam subsystem yang memproduksi pesan didalam kasus ini adalah AUTH. - LogLevel INFO
Parameter LogLevel menyatakan level yang digunakan ketika terdapat log pesan dari sshd. INFO adalah pilihan yang bagus. LIhat man page sshd untuk informasi lainnya. - RhostsAuthentication no
Parameter RhostsAuthentication menjelaskan apakah sshd dapat mencoba menggunakan rhosts based authentication. Berhubung rhosts authentication kurang aman maka anda tidak dapat menggunakan option ini. - RhostsRSAAuthentication no
Parameter RhostsRSAAuthentication mejelaskan apakah untuk mencoba rhosts authentication didalamnya menggunakan RSA host authentication - RSAAuthentication yes
Parameter RSAAuthentication mejelaskan untuk mencoba RSA authentication. Option ini harus diset yes untuk keamanan yang lebih baik. RSA menggunakan public dan private key dibuat bersama dengan ssh-keygen1utility untuk tujuan autentifikasi. - PasswordAuthentication yes
Parameten PasswordAuthentication menjelaskan apakah kita dapat menggunakan password-based authentication. Untuk keamanan yang tinggi maka option ini harus diset yes. - PermitEmptyPasswords no
Parameter PermitEmptyPasswords menjelaskan apakah\ server mengijinkanlogging kedalam accounts dengan null password. Bila anda ingin menggunakan scp utility untuk membuat otomatis backup antar jaringan, Option ini harus diset yes. - AllowUsers admin
Parameter AllowUsers menyatakan dan mengonrol user yang dapat menggunakan ssh serviices. Multiple users dapat ditulis secara spesifik dan dibatasi dengan spasi. from: www.faqs.org
|
