Rabu, 12 Desember 2012

Tutorial Upload Ke FTP Server Menggunakan Filezilla





1. Download program FTP Cliet Filezilla disini : http://filezilla-project.org/download.php

2. Install program Filezilla tersebut

3. Jalankan Filezilla, dan lakukan setting sebagai berikut : Menu Edit - Setting - FTP - Transfer Mode nya pilih active.


4. Setelah itu klik OK

5. Masukan pada kolom host, user dan password FTP servernya :
- Host : IP server / alamat ftp domain nya
- User : username ftp
- Pass : password ftp
- Port : 21


 6. Setelah itu klik tombol “Quickconnect”


 7. Setelah login berhasil, tinggal drag n drop file yang akan di upload (kolom sebelah kiri) ke FTP server (kolom sebelah kanan).



Semoga bermanfaat juga untuk teman semua.

Dony Ramansyah
site : http://donyramansyah.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171


Selasa, 11 Desember 2012

VPN PPTP Client Pada Ubuntu 12.10



Disini saya ada case dimana ubuntu 12.10 saya sebagai vpn client harus melakukan koneksi ke VPN Server yang berbasis MS Windows Server. Hal ini tentunya karena saya harus melakukan remote ke internal kantor untuk melakukan suatu pekerjaan yang hanya bisa dilakukan dari network internal office saja.

Saya sudah lakukan setting VPN seperti pada ubuntu 12.04 sebelumnya dan ternyata tidak berhasil, kemudian saya analisa log nya :

$ tail -f /var/log/syslog


Dec 11 20:54:19 MyLaptop pppd[4974]: Plugin /usr/lib/pppd/2.4.5/nm-pptp-pppd-plugin.so loaded.
Dec 11 20:54:19 MyLaptop pppd[4974]: pppd 2.4.5 started by root, uid 0
Dec 11 20:54:19 MyLaptop pppd[4974]: Using interface ppp0
Dec 11 20:54:19 MyLaptop pppd[4974]: Connect: ppp0 <--> /dev/pts/3
Dec 11 20:54:19 MyLaptop pptp[4979]: nm-pptp-service-4970 log[main:pptp.c:314]: The synchronous pptp option is NOT activated
Dec 11 20:54:19 MyLaptop NetworkManager[1005]:    SCPlugin-Ifupdown: devices added (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Dec 11 20:54:19 MyLaptop NetworkManager[1005]:    SCPlugin-Ifupdown: device added (path: /sys/devices/virtual/net/ppp0, iface: ppp0): no ifupdown configuration found.
Dec 11 20:54:19 MyLaptop NetworkManager[1005]: /sys/devices/virtual/net/ppp0: couldn't determine device driver; ignoring...
Dec 11 20:54:19 MyLaptop pptp[4985]: nm-pptp-service-4970 log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 1 'Start-Control-Connection-Request'
Dec 11 20:54:20 MyLaptop pptp[4985]: nm-pptp-service-4970 log[ctrlp_disp:pptp_ctrl.c:739]: Received Start Control Connection Reply
Dec 11 20:54:20 MyLaptop pptp[4985]: nm-pptp-service-4970 log[ctrlp_disp:pptp_ctrl.c:773]: Client connection established.
Dec 11 20:54:20 MyLaptop pptp[4985]: nm-pptp-service-4970 log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 7 'Outgoing-Call-Request'
Dec 11 20:54:22 MyLaptop pptp[4985]: nm-pptp-service-4970 log[ctrlp_disp:pptp_ctrl.c:858]: Received Outgoing Call Reply.
Dec 11 20:54:22 MyLaptop pptp[4985]: nm-pptp-service-4970 log[ctrlp_disp:pptp_ctrl.c:897]: Outgoing call established (call ID 0, peer's call ID 256).
Dec 11 20:54:23 MyLaptop pptp[4985]: nm-pptp-service-4970 log[ctrlp_disp:pptp_ctrl.c:950]: PPTP_SET_LINK_INFO received from peer_callid 0
Dec 11 20:54:23 MyLaptop pptp[4985]: nm-pptp-service-4970 log[ctrlp_disp:pptp_ctrl.c:953]:   send_accm is 00000000, recv_accm is FFFFFFFF
Dec 11 20:54:23 MyLaptop pptp[4985]: nm-pptp-service-4970 warn[ctrlp_disp:pptp_ctrl.c:956]: Non-zero Async Control Character Maps are not supported!
Dec 11 20:54:23 MyLaptop pptp[4985]: nm-pptp-service-4970 log[ctrlp_disp:pptp_ctrl.c:950]: PPTP_SET_LINK_INFO received from peer_callid 0
Dec 11 20:54:23 MyLaptop pptp[4985]: nm-pptp-service-4970 log[ctrlp_disp:pptp_ctrl.c:953]:   send_accm is FFFFFFFF, recv_accm is FFFFFFFF
Dec 11 20:54:23 MyLaptop pptp[4985]: nm-pptp-service-4970 warn[ctrlp_disp:pptp_ctrl.c:956]: Non-zero Async Control Character Maps are not supported!
Dec 11 20:54:23 MyLaptop pptp[4985]: nm-pptp-service-4970 log[ctrlp_disp:pptp_ctrl.c:950]: PPTP_SET_LINK_INFO received from peer_callid 0
Dec 11 20:54:23 MyLaptop pptp[4985]: nm-pptp-service-4970 log[ctrlp_disp:pptp_ctrl.c:953]:   send_accm is 00000000, recv_accm is FFFFFFFF
Dec 11 20:54:23 MyLaptop pptp[4985]: nm-pptp-service-4970 warn[ctrlp_disp:pptp_ctrl.c:956]: Non-zero Async Control Character Maps are not supported!
Dec 11 20:54:23 MyLaptop pptp[4985]: nm-pptp-service-4970 log[ctrlp_disp:pptp_ctrl.c:950]: PPTP_SET_LINK_INFO received from peer_callid 0
Dec 11 20:54:23 MyLaptop pptp[4985]: nm-pptp-service-4970 log[ctrlp_disp:pptp_ctrl.c:953]:   send_accm is FFFFFFFF, recv_accm is FFFFFFFF
Dec 11 20:54:23 MyLaptop pptp[4985]: nm-pptp-service-4970 warn[ctrlp_disp:pptp_ctrl.c:956]: Non-zero Async Control Character Maps are not supported!
Dec 11 20:54:23 MyLaptop pppd[4974]: LCP terminated by peer (#M-N^HM-Q^@
Dec 11 20:54:26 MyLaptop pppd[4974]: Connection terminated.

Dan ternyata connection terminated.

Ternyata setting VPN nya ada yang harus ditambahkan pada ubuntu 12.10 ini (beda dengan ubuntu 12.04 dimana option ini tidak diaktifkan namun tetap bisa).

Berikut cara setting VPN clientnya yang benar :

1. Buka setting VPN, tinggal add saja, pilih PPTP :


2. Berikan nama connectionnya dan juga pilih otomatis pada method yang digunakan.

3. Masuk ke tab VPN :


4. Masukan gateway / IP / domain name server vpn nya, dan juga masukan user dan password login VPN nya.

5. Setelah selesai, pilih Tombol Advanced :


6. Pastikan methodnya di pilih untuk MSCHAP dan MSCHAPv2 nya dan juga pada security nya dipilih seperti gambar diatas.

(Nah seingat saya untuk option "Allow stateful encryption" pada ubuntu 12.04 jika tidak aktif tetap bisa connect vpn nya, namun pada ubuntu 12.10 harus diaktifkan)

7. Setelah itu coba kembali koneksi VPN nya dan analisa kembali log nya :

$ tail -f /var/log/syslog

Dec 11 20:54:51 MyLaptop NetworkManager[1005]: Starting VPN service 'pptp'...
Dec 11 20:54:51 MyLaptop NetworkManager[1005]: VPN service 'pptp' started (org.freedesktop.NetworkManager.pptp), PID 5006
Dec 11 20:54:51 MyLaptop NetworkManager[1005]: VPN service 'pptp' appeared; activating connections
Dec 11 20:54:51 MyLaptop NetworkManager[1005]: VPN plugin state changed: starting (3)
Dec 11 20:54:53 MyLaptop NetworkManager[1005]: VPN connection 'VPN-SERVER' (Connect) reply received.
Dec 11 20:54:53 MyLaptop pppd[5010]: Plugin /usr/lib/pppd/2.4.5/nm-pptp-pppd-plugin.so loaded.
Dec 11 20:54:53 MyLaptop pppd[5010]: pppd 2.4.5 started by root, uid 0
Dec 11 20:54:53 MyLaptop NetworkManager[1005]:    SCPlugin-Ifupdown: devices added (path: /sys/devices/virtual/net/ppp0, iface: ppp0)
Dec 11 20:54:53 MyLaptop NetworkManager[1005]:    SCPlugin-Ifupdown: device added (path: /sys/devices/virtual/net/ppp0, iface: ppp0): no ifupdown configuration found.
Dec 11 20:54:53 MyLaptop NetworkManager[1005]: /sys/devices/virtual/net/ppp0: couldn't determine device driver; ignoring...
Dec 11 20:54:53 MyLaptop pppd[5010]: Using interface ppp0
Dec 11 20:54:53 MyLaptop pppd[5010]: Connect: ppp0 <--> /dev/pts/3
Dec 11 20:54:53 MyLaptop pptp[5013]: nm-pptp-service-5006 log[main:pptp.c:314]: The synchronous pptp option is NOT activated
Dec 11 20:54:54 MyLaptop pptp[5021]: nm-pptp-service-5006 log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 1 'Start-Control-Connection-Request'
Dec 11 20:54:55 MyLaptop pptp[5021]: nm-pptp-service-5006 log[ctrlp_disp:pptp_ctrl.c:739]: Received Start Control Connection Reply
Dec 11 20:54:55 MyLaptop pptp[5021]: nm-pptp-service-5006 log[ctrlp_disp:pptp_ctrl.c:773]: Client connection established.
Dec 11 20:54:55 MyLaptop pptp[5021]: nm-pptp-service-5006 log[ctrlp_rep:pptp_ctrl.c:251]: Sent control packet type is 7 'Outgoing-Call-Request'
Dec 11 20:54:56 MyLaptop pptp[5021]: nm-pptp-service-5006 log[ctrlp_disp:pptp_ctrl.c:858]: Received Outgoing Call Reply.
Dec 11 20:54:56 MyLaptop pptp[5021]: nm-pptp-service-5006 log[ctrlp_disp:pptp_ctrl.c:897]: Outgoing call established (call ID 0, peer's call ID 512).
Dec 11 20:55:02 MyLaptop pptp[5021]: nm-pptp-service-5006 log[ctrlp_disp:pptp_ctrl.c:950]: PPTP_SET_LINK_INFO received from peer_callid 0
Dec 11 20:55:02 MyLaptop pptp[5021]: nm-pptp-service-5006 log[ctrlp_disp:pptp_ctrl.c:953]:   send_accm is 00000000, recv_accm is FFFFFFFF
Dec 11 20:55:02 MyLaptop pptp[5021]: nm-pptp-service-5006 warn[ctrlp_disp:pptp_ctrl.c:956]: Non-zero Async Control Character Maps are not supported!
Dec 11 20:55:03 MyLaptop pppd[5010]: CHAP authentication succeeded
Dec 11 20:55:03 MyLaptop kernel: [  815.757904] PPP MPPE Compression module registered
Dec 11 20:55:05 MyLaptop pppd[5010]: MPPE 128-bit stateless compression enabled
Dec 11 20:55:08 MyLaptop pppd[5010]: local  IP address 192.168.10.212
Dec 11 20:55:08 MyLaptop pppd[5010]: remote IP address 192.168.10.210
Dec 11 20:55:08 MyLaptop pppd[5010]: primary   DNS address 192.168.10.10
Dec 11 20:55:08 MyLaptop NetworkManager[1005]: VPN connection 'VPN-SERVER' (IP4 Config Get) reply received from old-style plugin.
Dec 11 20:55:08 MyLaptop NetworkManager[1005]: VPN Gateway: 202.100.100.1
Dec 11 20:55:08 MyLaptop NetworkManager[1005]: Tunnel Device: ppp0
Dec 11 20:55:08 MyLaptop NetworkManager[1005]: IPv4 configuration:
Dec 11 20:55:08 MyLaptop NetworkManager[1005]:   Internal Address: 192.168.10.212
Dec 11 20:55:08 MyLaptop NetworkManager[1005]:   Internal Prefix: 32
Dec 11 20:55:08 MyLaptop NetworkManager[1005]:   Internal Point-to-Point Address: 10.3.128.210
Dec 11 20:55:08 MyLaptop NetworkManager[1005]:   Maximum Segment Size (MSS): 0
Dec 11 20:55:08 MyLaptop NetworkManager[1005]:   Forbid Default Route: no
Dec 11 20:55:08 MyLaptop NetworkManager[1005]:   Internal DNS: 192.168.10.10

Dan saat ini sudah berhasil melakukan koneksi ke VPN server dimana di log diatas menunjukan bahwa kita sudah mendapatkan alokasi IP DHCP dari VPN tersebut.

Berikut gambar yang menunjukan cara kerja koneksi VPN (klik gambar untuk memperbesar) :


Semoga bermanfaat juga untuk teman semua.

Dony Ramansyah
site : http://donyramansyah.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171


Alternatif Web Editor Pada Ubuntu 12.10 dengan "BlueGriffon"



Ya..yaa, karena saat ini pada ubuntu 12.10 dimana web editor pilihan saya Kompozer sudah tidak ada di repo ubuntu 12.10 dan juga saya coba download manual sudah tidak compatible untuk di install lagi maka saya mencari altenatif web editor yang sudah support WYSIWYG dan saya ketemu program "BlueGriffon"

BlueGriffon adalah Web Editor berbasiskan WYSIWYG baru dengan konten editor untuk World Wide Web. Didukung oleh Gecko, Mesin rendering dari Firefox, dan ini adalah solusi modern dan mengedit halaman Web susuai dengan Standar Web terbaru.

BlueGriffon ini gratis untuk di download dan tersedia pada Windows, Mac OS X dan Linux. Silahkan di download disini : http://bluegriffon.org/pages/Download

Pada Ubuntu setelah di download tinggal dirubah saja permission file nya menjadi 755 :

$ chmod 755 BlueGriffon-1.5.2-Ubuntu11.10-x86_64-Install

Kemudian install :

$ ./BlueGriffon-1.5.2-Ubuntu11.10-x86_64-Install

Instalasinya pun mudah karena akan membuka GUI mode nya, dan tinggal next-nest saja.



BlueGriffon tersedia dalam bahasa Inggris, Belanda, Finlandia, Perancis, Ceko, Jerman, Ibrani, Hungaria, Italia, Jepang, Korea, Polandia, Cina Sederhana, Serbia, Slovenia, Spanyol, Swedia dan China Tradisional

BlueGriffon adalah sebuah aplikasi intuitif yang menyediakan penulisan Web (pemula atau intermediate) dengan User Interface yang sederhana sehingga memungkinkan untuk membuat situs web yang menarik tanpa memerlukan pengetahuan teknis yang luas tentang Standar pembuatan Web.



Karena Gecko yang mensupport BlueGriffon, Untuk mengedit akan terlihat persis sama di Firefox. Pengguna juga dapat selalu menggunakan View Source untuk melihat code web yang dibuatnya.

BlueGriffon berlisensi di bawah Public License, Mozilla 1.1 GNU General Public License Versi 2 dan GNU Lesser General Public License Versi 2.1.


Semoga bermanfaat juga untuk teman semua.

Dony Ramansyah
site : http://donyramansyah.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Memperbaiki Broken Packages Pada Ubuntu



Ingin sekedar share saja, mungkin diantara teman semua pernah ada yang mengalami pada ubuntu nya, dimana ada package program yang broken dan tidak bisa di perbaiki atau di remove dengan command : "sudo apt-get install -f"

contoh error nya seperti ini :

dpkg: error processing pcsxr (--configure):
 Package is in a very bad inconsistent state - you should
 reinstall it before attempting configuration.
Errors were encountered while processing:
 pcsxr

Kebetulan saya error nya adalah untuk program pcsxr. Untuk memperbaikinya adalah menggunakan command :

$ sudo dpkg --remove --force-remove-reinstreq pcsxr

dpkg: warning: overriding problem because --force enabled:
 Package is in a very bad inconsistent state - you should
 reinstall it before attempting a removal.
(Reading database ... 229636 files and directories currently installed.)
Removing pcsxr ...
Processing triggers for man-db ...
Processing triggers for bamfdaemon ...
Rebuilding /usr/share/applications/bamf.index...
Processing triggers for desktop-file-utils ...
Processing triggers for gnome-menus ...

Dan saat ini program tersebut sudah berhasil di uninstall, sekarang perintah "sudo apt-get install -f " sudah berjalan dengan normal:

$ sudo apt-get install -f
Reading package lists... Done
Building dependency tree       
Reading state information... Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

Semoga bermanfaat juga untuk teman semua.

Dony Ramansyah
site : http://donyramansyah.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Rabu, 20 Juni 2012

Install Nessus di Ubuntu 12.04



Nessus ® merupakan tools untuk melakukan pengecekan terhadap kerentanan system komputer, Nessus merupakan tools security audit yang paling terkenal di dunia untuk pertama kalinya dan yang paling banyak digunakan dimana saat ini telah mencapai lima juta download sampai saat ini. Nessus versi 5 memiliki kecepatan tinggi dalam update fitur, konfigurasi audit, profil aset, sensitif penemuan data, integrasi manajemen patch, dan analisis kerentanan keamanan system, dengan fitur yang akan meningkatkan fungsi, efektivitas, efisiensi, dan komunikasi dengan semua bagian IT Anda dalam mengelola system security.

Untuk lebih jelasnya tentang nessus dapat dilihat disini : http://www.tenable.com/products/nessus/

Disini saya akan coba sharing bagaimana melakukan instalasi nessus pada ubuntu 12.04, kebetulan Nessus yang saya pakai disini hanyalah versi Nessus HomeFeed dimana penggunaanya bukan untuk komersil namun hanya untuk home user dan riset saja. Berikut langkah-langkah instalasi nya :

1. Download nessus dari sini : http://www.tenable.com/products/nessus/select-your-operating-system

2. Install paket file deb dari nessus yang sudah di download

$ sudo dpkg -i Nessus*

3. Setelah selesai, jalankan service nessus nya

$ sudo service nessusd start

4. Pertama kali kita harus membuat user nessus baru untuk nantinya digunakan untuk login di nessus

$ sudo /opt/nessus/sbin/nessus-adduser

5. Nessus ini belum dapat digunakan jika kita belum melakukan register terlebih dahulu, untuk mendapatkan code serialnya silahkan daftar disini : http://www.tenable.com/products/nessus/nessus-homefeed

Setelah mendaftar nanti code akan dikirimkan melalui email.

6. Setelah mendapatkan code nya, maka coba untuk di registerkan nessus nya dengan code tersebut


$ sudo /opt/nessus/bin/nessus-fetch --register

Tunggu hingga proses instalasi dan update selesai.

7. Jika kita akan melakukan update manual dapat menggunakan perintah :

$ sudo /opt/nessus/sbin/nessusd -R

8. Untuk menjalankan nessus di linux kita dapat membuka nessus di alamat ini : https://127.0.0.1:8834/
silahkan login dengan menggunakan user dan password yang sudah dibuat tadi.





Nessus ini cukup handal digunakan untuk melakukan audit security system komputer dan jaringan yang ada dan juga dapat memberikan report yang lengkap terhadap hasil audit. Tulisan ini saya buat untuk dokumentasi pribadi dan semoga bermanfaat untuk teman semua.


Dony Ramansyah
site : http://dony-ramansyah.bravehost.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Selasa, 19 Juni 2012

Cara Generate Self-Signed SSL Certificate Menggunakan OpenSSL



Sertifikat SSL ini diperlukan sebagai pengaman jalur komunikasi web service maupun protocol lainnya.   Untuk sertifikat SSL ini bisa didapatkan dengan cara membeli dari penyedia ssl sertificate seperti Verisign certificates dari Symantec atau bisa juga di generate sendiri dari server linux dengan menggunakan openssl.

Pertama kali yang harus dilakukan adalah melakukan instalasi openssl, jika di Centos menggunakan perintah : 

# yum install openssl

dan di Ubuntu menggunakan perintah :

$ sudo apt-get install openssl

Setelah dilakukan instalasi maka kita harus melakukan generate ssl certificate nya :

1. Jalankan perintah berikut untuk generate key store baru yang kita namakan “server.key”

# openssl genrsa -des3 -out /tmp/server.key 2048

2. Jalankan perintah berikut ini untuk request  SSL certificate baru :

# openssl req -new -x509 -nodes -sha1 -days 1095 -key /tmp/server.key > /tmp/server.crt
# openssl x509 -noout -fingerprint -text < /tmp/server.crt > /tmp/server.info

3. Jalankan perintah berikut untuk backup file key store :

# cp /tmp/server.key /tmp/server.key.bak

4. Jalankan perintah berikut jika kamu butuh untuk generate file PEM dimana didalamnya ada chain dari kedua key store dan public key dalam satu file:

# cat /tmp/pwd.server.key /tmp/server.crt > /tmp/pwd.server.pem

Selesai..

Dan bagaimana caranya jika certificate baru yang harus di insert ke server kita. cara untuk melakukan import certificate baru kedalam server kita, hal ini dapat menggunakan java keytool :

# keytool -import -trustcacerts -file new-key.crt -alias CA_ALIAS -keystore /usr/lib/jvm/java-1.6.0-openjdk-1.6.0.0.x86_64/jre/lib/security/cacerts
Enter keystore password:   = changeit

Certificate fingerprints:
MD5:  24:18:D9:02:C5:A0:AE:4F:F8:BE:DF:06:55:CD:B7:5E
SHA1: 57:97:BB:39:F2:4D:6A:EE:F7:A4:2A:D5:38:5B:6A:B7:5D:78:A0:95
Signature algorithm name: SHA1withRSA
Version: 1
Trust this certificate? [no]:  yes
Certificate was added to keystore

Maka sertifikat baru tersebut sudah kita import ke server kita.

Catatan ini saya dedikasikan sebagai dokumentasi pribadi dan semoga bermanfaat juga buat teman semua.


Dony Ramansyah
site : http://dony-ramansyah.bravehost.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Senin, 11 Juni 2012

Iptables Standar Untuk Web Server Linux Centos



Bagi teman semua yang menggunakan Linux Centos dengan apache sebagai web servernya, saya ingin sedikit sharing untuk iptables standar yang dapat digunakan pada web server linux centos tersebut.

Disini saya punya 2 buah interface yaitu eth0 yang digunakan untuk public IP dan eth1 yang digunakan untuk internal IP.

Untuk iptables nya disimpan pada file /etc/sysconfig/iptables :

*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT
-A INPUT -p tcp --dport 22 -i eth1 -j ACCEPT
-A INPUT -p tcp --dport 161 -i eth1 -j ACCEPT
-A INPUT -p tcp --dport ftp -i eth1 -j ACCEPT
-A INPUT -p udp --dport ftp -i eth1 -j ACCEPT
-A INPUT -p tcp --dport ftp-data -i eth1 -j ACCEPT
-A INPUT -p udp --dport ftp-data -i eth1 -j ACCEPT
-A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT
-A INPUT -p tcp --dport 80 -i eth1 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A OUTPUT -p icmp --icmp-type 8 -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp --icmp-type 0 -s 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -s 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -p icmp --icmp-type 0 -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
COMMIT


Penjelasannya :

:INPUT DROP  ==> Input connection defaultnya kita block
:FORWARD DROP   ==> Forward connection defaultnya kita block
:OUTPUT ACCEPT  ==> Output connection defaultnya kita open


-A INPUT -p tcp --dport 22 -i eth1 -j ACCEPT  ==> ssh hanya di open dari internal IP
-A INPUT -p tcp --dport 161 -i eth1 -j ACCEPT  ==> snmp hanya di open dari internal IP

-A INPUT -p tcp --dport ftp -i eth1 -j ACCEPT  ==> ftp port di open dari internal IP
-A INPUT -p udp --dport ftp -i eth1 -j ACCEPT ==> ftp port di open dari internal IP

-A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT  ==> http port di open dari public IP
-A INPUT -p tcp --dport 80 -i eth1 -j ACCEPT   ==> http port di open dari internal IP


Untuk permit ping icmp :

-A OUTPUT -p icmp --icmp-type 8 -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp --icmp-type 0 -s 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -s 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -p icmp --icmp-type 0 -d 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT


Semoga bermanfaat untuk teman semua.


Dony Ramansyah
site : http://dony-ramansyah.bravehost.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Senin, 04 Juni 2012

Mengenal Sedikit Tentang Otentikasi EAP





Otentikasi berbasis EAP adalah sebuah protokol generik standar yang dibuat oleh International Engineering Task Force (IETF) yang menawarkan metode otentikasi yang lebih komprehensif seperti kartu SIM dan sertifikasi keamanan lainnya. EAP pada awalnya dikembangkan untuk mendukung otentikasi melalui link PPP, kemudian dengan cepat diadopsi oleh muncul teknologi baru. Konsolidasi teknologi seperti IPSec melalui Internet Key Exchange protokol versi 2 dan Ethernet melalui Jaringan Port-Based menyebabkan lebih banyak metode otentikasi yang lebih canggih bermunculan. Metode EAP yang biasanya dibawa oleh protokol AAA untuk menghasilkan asosiasi keamanan melalui protokol seperti IKEv2 atau MSCHAP.

Umumnya, dukungan untuk metode EAP yang tersedia di kedua AAA server (radius server) dan perangkat (semua perangkat nirkabel 802.11 compliant). Peer EAP adalah entitas yang perlu dikonfirmasi dan mereply authenticator nya. Sebagai contoh, peer EAP bisa menjadi mobile node (klien) mencoba untuk mendapatkan akses ke jaringan. Para Authenticator (AP) adalah entitas yang meminta untuk otentikasi EAP rekan. Otentikator dapat menerapkan metode EAP yang berbeda untuk memverifikasi kredensial yang dikirim oleh rekan EAP melalui protokol EAP. EAP adalah pertukaran informasi antara server EAP-peer dan AAA. Ada banyak varian atau metode otentikasi EAP seperti yang akan dijelaskan diantaranya adalah :

EAP-SIM 
Dalam sebuah jaringan berbasis GSM, koneksi mobile melakukan otentikasi SIM melalui RADIUS protokol atau dikenal sebagai EAP-SIM. dimana client akan melewati otorisasi provisioning, otentikasi dan layanan yang sama seperti yang sudah ada pada layanan GSM tanpa perubahan pada elemen jaringan selular.

EAP-AKA 
Pada jaringan berbasis UMTS, pada EAP-AKA otentikasi diimplementasikan dengan fungsi yang berasal dari key jaringan akses, biasanya diambil dari Modul Subscriber Identity Universal (USIM). Metode AKA didasarkan pada mekanisme challenge dan respon untuk otentikasi bersama. Hal ini dapat tentunya membuat lebih aman.

EAP-TLS 
didefinisikan dalam RFC5216. Keamanan Transport Layer Protocol (TLS) yang kuat, dengan penggunaan PKI (infrastruktur kunci publik) untuk mengamankan otentikasi bersama antara client ke server dan sebaliknya. Kedua klien dan server harus diberi sertifikat digital ditandatangani oleh Otoritas Sertifikat (CA) yang menyatakan bahwa link tersebut sudah aman.

EAP-TTLS 
Tunnel TLS metode EAP (EAP-TTLS) sangat mirip dengan EAP-PEAP dalam cara kerjanya. Tidak memerlukan klien diotentikasi ke server dengan sertifikat digital yang ditandatangani oleh CA. Server menggunakan tunnel yang aman dari TLS untuk mengotentikasi klien dengan password dan dengan mekanisme pertukaran key. Dan pada EAP-TTLS menggunakan username dan password sebagai tambahannya sedangkan pada EAP-TLS tidak ada username dan password.


Dony Ramansyah
site : http://dony-ramansyah.bravehost.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Kamis, 10 Mei 2012

Skype pada Ubuntu 12.04



Skype merupakan program untuk chating, call, video call melalui internet, Skype saat ini sudah diakuisi oleh Microsoft. Namun skype masih menyediakan aplikasi gratis untuk Linux. Jika anda ingin mencoba skype pada linux cara nya sangat mudah, berikut langkah-langkahnya :

    Pilih sesuai platform yang digunakan, misalnya Linux 32bit atau 64bit.

2. Buka file yang sudah di download dan install melalui software center :


Atau bisa juga dengan melakukan instalasi dari gnome terminal :

$ sudo dpkg -i skype-ubuntu_2.2.0.35-1_amd64.deb

3. Skype by default tidak akan muncul pada notification bar di Ubuntu 12.04, untuk itu anda perlu melakukan setting agar skype dapat tampil pada notification bar di Ubuntu 12.04, berikut caranya :

$ gsettings set com.canonical.Unity.Panel systray-whitelist "['all']"



4. Jalankan Skype dari Dash Home


Setelah running, tinggal anda masukan username dan password yang sebelumnya pernah anda daftar pada situs web skype : http://www.skype.com/go/join


Pilih teman yang sedang online di skype juga, untuk melakukan panggilan chat, call atau video call 


Selamat mencoba..

Dony Ramansyah
site : http://dony-ramansyah.bravehost.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Gimp 2.8 pada Ubuntu 12.04



Teman semua pasti sudah mengetahui kalau Gimp (http://www.gimp.org/) adalah merupakan aplikasi atau software untuk melakukan pengolahan gambar yang gratis atau free, tersedia untuk OS Windows maupun Linux, fungsinya mirip dengan Photoshop. Pada Ubuntu 12.04, versi Gimp yang ada pada repository adalah versi 2.6.

Jika ingin mengetahui beberapa feature baru dari Gimp ver. 2.8, dapat dilihat disini : http://www.gimp.org/release-notes/gimp-2.8.html

Saat ini versi Gimp terbaru adalah versi 2.8, Jika anda ingin menginstall Gimp terbaru ini pada Ubuntu 12.04 silahkan mengikuti langkah-langkah berikut ini :

1. Tambah repository Gimp 2.8 :

$ sudo add-apt-repository ppa:otto-kesselgulasch/gimp
[sudo] password for dony:
You are about to add the following PPA to your system:
 CAUTION!

This PPA could break your installed OS. There are dependency issues for Oneiric Ocelot (11.10). Only use it if you know what you do!

There should be no problems in Precise Pangolin (12.04).

Regards
 More info: https://launchpad.net/~otto-kesselgulasch/+archive/gimp
Press [ENTER] to continue or ctrl-c to cancel adding it

Executing: gpg --ignore-time-conflict --no-options --no-default-keyring --secret-keyring /tmp/tmp.EpbRQqmSuW --trustdb-name /etc/apt/trustdb.gpg --keyring /etc/apt/trusted.gpg --primary-keyring /etc/apt/trusted.gpg --keyserver hkp://keyserver.ubuntu.com:80/ --recv FB97E9C3A97F85C095AEA7903BDAAC08614C4B38
gpg: requesting key 614C4B38 from hkp server keyserver.ubuntu.com
gpg: key 614C4B38: public key "Launchpad otto06217" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

2. Update repository nya :

$ sudo apt-get update

3. Install Gimp 2.8 :

$ sudo apt-get install gimp-plugin-registry

Tunggu hingga selesai proses instalasinya.




Dony Ramansyah
site : http://dony-ramansyah.bravehost.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Problem Pada dnsmasq di Ubuntu 12.04



Akhir-akhir ini saya baru menyadari bahwa ternyata pada Ubuntu 12.04 menggunakan dns masquerade secara default, dan ternyata hal ini banyak membuat masalah ketika melakukan lookup ke beberapa website Internal yang ada pada DNS yang saya gunakan :

nslookup testserverinlocaldns
Server: 127.0.0.1
Address: 127.0.0.1#53
** server can't find testserverinlocaldns: NXDOMAIN

Terkadang beberapa menit kemudian bisa dengan sendiri nya :
nslookup testserverinlocaldns
Server: 127.0.0.1
Address: 127.0.0.1#53
Name: testserverinlocaldns.localnet
Address: 192.168.3.8

Setelah mencari di forum ubuntu, ternyata solusinya adalah dengan mendisable default dnsmasq pada Network Manager. Berikut cara-caranya :
1. Edit file /etc/NetworkManager/NetworkManager.conf
$ sudo gedit /etc/NetworkManager/NetworkManager.conf
2. Cari baris berikut :
dns=dnsmasq
Kemudian lakukan disable dengan memberikan tanda '#' di depannya :
#dns=dnsmasq
3. Sekarang restart service Network Managernya :
$ sudo restart network-manager
Selesai, seharusnya saat ini ketika nslookup tidak akan dijawab oleh IP localhost lagi (127.0.0.1), namun akan dijawab oleh DNS nya langsung.

Dony Ramansyah
site : http://dony-ramansyah.bravehost.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Rabu, 02 Mei 2012

Sekilas Tentang Oracle Explorer Data Collector



Bagi anda yang memiliki server berbasis SUN System / Server SUN Oracle, pastinya pada waktu tertentu kita perlu melakukan collecting log dari server yang ada, tujuanya bisa untuk sebagai data log rutin, atau bisa juga data log untuk disampaikan kepada vendor ketika server problem.

Oracle menyediakan tools sendiri untuk melakukan data collecting log ini. Tools tersebut adalah Oracle Explorer Data Collector. Tools ini bisa didapatkan jika server kita sudah terdaftar di oracle. 

Oracle Explorer Data Collector
- A collection of shell scripts and binary executables gathers information and creates a detailed snapshot of Oracle Sun system configurations and states
- Output enables Oracle engineers to assess Sun systems by applying the output against a knowledge-based rules engine
- Obtains information related to drivers, patches, recent system event history, and log file entries from the Oracle Explorer Data Collector output

Disini saya tidak akan menjelaskan detail cara instalasinya karena sudah ada lengkap di web oracle. Anda bisa melihatnya disini : http://docs.oracle.com/cd/E11857_01/em.111/e21076/ch1_install.htm

Setelah selesai di install tinggal dijalankan saja, berikut langkah-langkahnya :

1. Masuk ke folder nya :

# cd /opt/SUNWexplo/bin

2. Jalankan tools Oracle Explorer Data Collector

# ./explorer -v

Tunggu hingga semua proses collect data log selesai.

3. Setelah selesai, hasilnya dapat dilihat di folder : /opt/SUNWexplo/output
    isinya berupa file tar.gz : explorer.8781c724.server-2012.05.02.04.28.tar.gz

Nanti hasilnya tinggal di extract dan di analisa dari hasil log yang sudah di capture oleh Oracle Explorer Data Collector tersebut, atau bisa juga untuk dikirimkan lansung ke vendor oracle untuk di analisa lebih lanjut jika memang ada problem pada servernya.


Dony Ramansyah
site : http://dony-ramansyah.bravehost.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Tips Ubuntu 12.04 - Menambahkan Music Player Ke Menu Sound



Pada Ubuntu 12.04 LTS ini default music playernya menggunakan rhythmbox, dan menu navigasi dari rhythmbox ini juga sudah dimasukan kedalam Sound Menu yang ada di taskbar atas pada desktop Pada Ubuntu 12.04 LTS ini.

Bagaimana jika kita ingin menggantinya, caranya cukup mudah, misalnya saya ingin menghapus hythmbox ini dari Sound Menu, berikut perintahnya :

$ gsettings set com.canonical.indicator.sound blacklisted-media-players "['rhythmbox']"

Dan saya ingin mengganti atau menambahkan dengan music player favourite saya yaitu audacious atau vlc :

$ gsettings set com.canonical.indicator.sound interested-media-players "['vlc']"



Sekarang tinggal klik menu sound atau icon gambar speaker yang ada pada taskbar atas pada desktop Pada Ubuntu 12.04 LTS. Saat ini default playernya sudah berganti dari rhythmbox menjadi vlc.

Selamat Mencoba...

Dony Ramansyah
site : http://dony-ramansyah.bravehost.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Rabu, 18 April 2012

Mengaktifkan SNMP Agent Pada Linux Centos




Jika kita ingin agar server linux dapat di monitor melalui monitoring berbasiskan protocol SNMP, maka kita harus terlebih dahulu mengaktifkan SNMP Agent pada server linux tersebut. Disini saya akan sedikit share cara untuk melakukan instalasi dan setting snmp pada server linux Centos.

Instalasi
=========


1. Lakukan instalasi snmp agent melalui yum :

# yum install net-snmp
# yum install net-snmp-utils

2. Setelah selesai melakukan instalasi snmp agent, maka backup terlebih dahulu file konfigurasi defaultnya, siapa tahu sewaktu-waktu diperlukan :) :

# mv /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.old

3. Edit file snmp.conf sesuai kebutuhan kita :

# cd /etc/snmp/
# vi snmpd.conf

Isi file snmp.conf dengan baris berikut :

rocommunity public
syslocation “Home”
syscontact Dony Ramansyah

Kemudian simpan file snmp.conf tadi.

Pejelasan dari isi file tadi adalah :

- rocommunity public # --> nama comunity nya adalah public dan status permissionnya hanya "ro" (hanya bisa membaca saja)
- syslocation “Home” # --> hanya informasi tambahan saja, sebagai penanda lokasi
- syscontact Dony Ramansyah # --> hanya informasi tambahan saja, Nama sysadmin nya


4. Atur juga security dari snmp ini, agar hanya snmp server yang ditentukan yang boleh mengambil data dari server ini. Misal IP snmp servernya adalah 192.168.1.1


tambahkan baris dibawah ini pada file /etc/sysconfig/iptables

-A RH-Firewall-1-INPUT -p udp -s 192.168.1.1/32 -m udp --dport 161 -j ACCEPT

Setelah ditambahkan, maka lakukan restart iptablesnya :

# /etc/init.d/iptables restart

5. Kemudian jalankan service snmpd nya :

# /etc/init.d/snmpd start
Starting snmpd: [ OK ]

Untuk melihat status koneksi snmpd, dapat dilihat dengan netstat apakah snmp kita sudah listening :

# netstat -uan | grep 161
udp 0 0 0.0.0.0:161 0.0.0.0:*

Jika menunjukan hasil diatas maka snmp kita sudah ready.


Untuk mengecek snmp nya juga dapat menggunakan perintah "snmpwalk" :


# snmpwalk -v 1 -c public localhost system
# snmpwalk -v 1 -c public localhost interface


Dony Ramansyah
site : http://dony-ramansyah.bravehost.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Kamis, 12 April 2012

Menggunakan Repository Centos 5 Untuk Server RHEL 5




Bagi admin linux yang berhadapan dengan server dengan OS RHEL 5 dan sudah habis masa supportnya, pastinya tidak dapat melakukan update maupun instalasi program melalui yum atau repository kecuali memperpanjang supportnya.

Sebagai alternatif kita bisa menggunakan menggunakan repository milik Centos 5.

cara nya adalah sebagai berikut :

1. remove redhat repo plugin nya dulu :

# rpm -e yum-rhn-plugin
# rpm -e redhat-release-notes-5Server redhat-release-5Server --nodeps

2. Download repository centos nya :

# wget http://mirror.centos.org/centos-5/5.9/os/x86_64/CentOS/centos-release-5-9.el5.centos.1.x86_64.rpm
--2013-07-11 15:48:34--  http://mirror.centos.org/centos-5/5.9/os/x86_64/CentOS/centos-release-5-9.el5.centos.1.x86_64.rpm
Resolving mirror.centos.org... 69.20.131.50
Connecting to mirror.centos.org|69.20.131.50|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 21059 (21K) [application/x-rpm]
Saving to: `centos-release-5-9.el5.centos.1.x86_64.rpm'

100%[====================================================================================>] 21.059      28,1K/s   in 0,7s  

2013-07-11 15:48:35 (28,1 KB/s) - `centos-release-5-9.el5.centos.1.x86_64.rpm' saved [21059/21059]

# wget http://mirror.centos.org/centos-5/5.9/os/x86_64/CentOS/centos-release-notes-5.9-0.x86_64.rpm
--2013-07-11 15:48:55--  http://mirror.centos.org/centos-5/5.9/os/x86_64/CentOS/centos-release-notes-5.9-0.x86_64.rpm
Resolving mirror.centos.org... 69.20.131.50
Connecting to mirror.centos.org|69.20.131.50|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 40976 (40K) [application/x-rpm]
Saving to: `centos-release-notes-5.9-0.x86_64.rpm'

100%[====================================================================================>] 40.976      59,2K/s   in 0,7s  

2013-07-11 15:48:56 (59,2 KB/s) - `centos-release-notes-5.9-0.x86_64.rpm' saved [40976/40976]


3. Kemudian install file rpm yang sudah di download tadi :

# rpm -ivh centos-release-5-9.el5.centos.1.x86_64.rpm centos-release-notes-5.9-0.x86_64.rpm
warning: centos-release-5-9.el5.centos.1.x86_64.rpm: Header V3 DSA signature: NOKEY, key ID e8562897
Preparing...                ########################################### [100%]
   1:centos-release-notes   ########################################### [ 50%]
   2:centos-release         ########################################### [100%]


Selesai, anda saat ini dapat melakukan instalasi maupun update melalui yum yang terkoneksi ke repository milik Centos 5. Tapi mohon diperhatikan bahwa tidak semua program yang ada di RHEL 5 dapat menggunakan repo milik Centos 5 ini, terutama program yang banyak di custom dari awalnya.

Saran saya sebelum melakukan update dari repo Centos 5 ini agar dapat dibuat backup nya dan dilakukan terlebih dahulu pada server development.


Dony Ramansyah
site : http://dony-ramansyah.bravehost.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Kamis, 01 Maret 2012

Audit Security Website di Linux Ubuntu dengan Skipfish




Sebelumnya saya pernah membahas bagaimana caranya untuk melakukan audit sederhana untuk security suatu website dengan nikto disini.

Saat ini saya akan membahas kembali bagaimana caranya untuk melakukan audit security website dengan Linux Ubuntu menggunakan tools "Skipfish"

Skipfish merupakan program yang dapat berjalan di linux dan dibuat oleh google untuk melakukan mencari Website Vulnerability. Fungsinya mirip dengan nessus. Beberapa feature kelebihan dari skipfish ini adalah :

- High speed: written in pure C, with highly optimized HTTP handling and a minimal CPU footprint, the tool easily achieves 2000 requests per second with responsive targets.
- Ease of use: the tool features heuristics to support a variety of quirky web frameworks and mixed-technology sites, with automatic learning capabilities, on-the-fly wordlist creation, and form autocompletion.
- Cutting-edge security logic: we incorporated high quality, low false positive, differential security checks capable of spotting a range of subtle flaws, including blind injection vectors.

Untuk pengguna ubuntu dapat langsung di install dari repository :

$ sudo apt-get install skipfish

bagi pengguna linux lain, skipfish ini dapat di download dari link berikut : http://code.google.com/p/skipfish/downloads/list

Setelah selesai melakukan instalasi, tinggal dijalankan saya programnya. Untuk menjalankannya berikut perintahnya :

$ skipfish -u -o /home/dony/hasil_skipfish http://localhost
skipfish version 1.85b by
[*] Scan in progress, please stay tuned...

[+] Wordlist '/usr/share/skipfish/dictionaries/minimal.wl' updated (193 new words added).
[+] Copying static resources...
[+] Sorting and annotating crawl nodes: 917
[+] Looking for duplicate entries: 917
[+] Counting unique nodes: 554
[+] Writing scan description...
[+] Writing crawl tree: 917
[+] Generating summary views...
[+] Report saved to '/home/dony/hasil_skipfish/index.html' [0x7fcffb9e].
[+] This was a great day for science!

Skipfish Website Vulnerability Scanner

http://code.google.com/p/skipfish/downloads/list


Nb. harap bersabar hingga proses scan yang dilakukan skipfish selesai seperti diatas, karena skipfish ini lumayan lama dalam melakukan scanning. Pengalaman saya sekitar 2jam, tetapi tergantung dari banyaknya content yang ada di website target.

==============

Sebagai keterangan dari perintah diatas adalah :

# skipfish -u -o /home/dony/hasil_skipfish http://localhost

- /home/dony/hasil_skipfish : tempat output atau hasil dari scan yang dilakukan skipfish
- http://localhost : adalah website target yang akan di lakukan pengecekan vulnerability nya

Untuk hasilnya nanti akan ada di folder diatas, dan berupa file html (index.html), file tersebut tinggal dibuka saja di web browser untuk melihat hasilnya.



Untuk tingkatan vulnerability dapat terlihat dari warnanya (merah berarti high, orange berarti medium, dan seterusnya)



Beberapa ringkasan juga dapat dilihat seperti pada gambar diatas.

Menurut saya hasil dari scan dengan menggunakan skipfish ini cukup lengkap dan mirip dengan nessus dimana kita dapat langsung mengeluarkan hasilnya. Dengan hasil audit dari skipfish ini maka kita diharapkan dapat mengentahui celah-celah security dari website kita, sehingga kita dapat memperbaikinya agar lebih secure.


Artikel ini saya tulis untuk referensi pribadi saya dan mudah-mudahan bermanfaat juga untuk teman pembaca semua.


Dony Ramansyah
site : http://dony-ramansyah.bravehost.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Selasa, 28 Februari 2012

Simple Security For Linux NFS Server




Setelah selesai dengan artikel tentang membangun NFS Server, kali ini saya akan membahas bagaimana untuk mengamankan NFS server yang ada, agar aman dan hanya yang berkepentingan saja yang dapat masuk kedalam share folder di NFS server.

Silahkan untuk dicoba petunjuk berikut :


1. Pastikan dan tentukan network atau IP yang akan mengakses folder sharing di NFS server sesuai policy atau aturan yang ingin dibuat.


Misalnya folder "coba" hanya boleh dari network "10.10.10.0/24" saja, dan folder "test" hanya boleh diakses dari ip "10.10.10.3" saja dengan permision tidak dapat menulis ke folder itu dan hanya bisa membaca saja. Untuk melakukan setting policy seperti ini ada di file "/etc/exports" pada NFS Server.

/coba 10.10.10.0/24(rw,sync,fsid=0)
/test 10.10.10.3(ro,sync,fsid=0)

2. Pasang Access List dengan IPtables di Linux, caranya dengan menambahkan baris dibawah ini pada file "/etc/sysconfig/iptables" :

-A RH-Firewall-1-INPUT -s 10.10.10.0/24 -m state --state NEW -p tcp --dport 2049 -j ACCEPT

Jangan lupa simpan perubahan pada file tersebut.


4. Restart service iptables nya :


# service iptables restart

5. TCP Wrapper Configuration, lakukan pengeblokan untuk semua port NFS :

# vi /etc/hosts.deny

tambahkan baris dibawah berikut ini :

portmap:ALL

6. Setelah itu tambahkan permit atau izin untuk IP atau network yang diperbolehkan untuk mengakses NFS server :

# vi /etc/hosts.allow

tambahkan baris dibawah berikut ini :

portmap:10.10.10.0/24

(Untuk IP 10.10.10.3 tadi sudah termasuk di dalam network 10.10.10.0/24, jadi tidak perlu di permit lagi)


Selesai, dengan cara sederhana diatas maka kita sudah mengamankan NFS server secara basic. Jika mau lebih aman bisa dipasangkan juga portsentry pada server NFS nya.


Semoga dapat bermanfaat untuk saya pribadi dan teman semua :)


Dony Ramansyah
site : http://dony-ramansyah.bravehost.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Membuat NFS Server Versi 4 di Linux Centos 6




Sebelumnya saya pernah menjelaskan artikel untuk membangun NFS Server di Centos 5 dan Client NFS nya adalah Ubuntu disini

Saat ini saya akan membahas membangun NFS Server Versi 4 di Centos 6. Caranya hampir sama kok dengan artikel saya sebelumnya.

Berikut beberapa perbedaan NFS versi 4 dengan versi sebelumnya :

- Performance improvements
- Mandates security and ACL
- NFS v4 by default works over TCP s
- Easy to setup firewall option
- Dan banyak lagi.

OK, Sekarang untuk setting server NFS nya, misalnya IP server NFS adalah 10.10.10.1 :

1. Install paket yang dibutuhkan :

# yum install nfs-utils nfs4-acl-tools portmap

Loaded plugins: downloadonly, protectbase, rhnplugin, security, verify
0 packages excluded due to repository protections
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package nfs-utils.x86_64 1:1.0.9-44.el5 set to be updated
---> Package nfs4-acl-tools.x86_64 0:0.3.3-1.el5 set to be updated
---> Package portmap.x86_64 0:4.0-65.2.2.1 set to be updated
--> Finished Dependency Resolution
Dependencies Resolved
================================================================================
Package Arch Version Repository Size
================================================================================
Installing:
nfs-utils x86_64 1:1.0.9-44.el5 rhel-x86_64-server-5 390 k
nfs4-acl-tools x86_64 0.3.3-1.el5 rhel-x86_64-server-5 44 k
portmap x86_64 4.0-65.2.2.1 rhel-x86_64-server-5 38 k
Transaction Summary
================================================================================
Install 3 Package(s)
Upgrade 0 Package(s)
Total download size: 472 k
Is this ok [y/N]: y
Downloading Packages:
(1/3): portmap-4.0-65.2.2.1.x86_64.rpm | 38 kB 00:00
(2/3): nfs4-acl-tools-0.3.3-1.el5.x86_64.rpm | 44 kB 00:00
(3/3): nfs-utils-1.0.9-44.el5.x86_64.rpm | 390 kB 00:00
--------------------------------------------------------------------------------
Total 1.2 MB/s | 472 kB 00:00
Running rpm_check_debug
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
Installing : portmap 1/3
Installing : nfs4-acl-tools 2/3
Installing : nfs-utils 3/3
Installed:
nfs-utils.x86_64 1:1.0.9-44.el5 nfs4-acl-tools.x86_64 0:0.3.3-1.el5
portmap.x86_64 0:4.0-65.2.2.1
Complete!


2. Setelah selesai install paket NFS servernya, sekarang setting folder yang akan di sharing melalui NFS, Untuk editnya ada di file /etc/exports


# vi /etc/exports

Isi file tersebut dengan contoh berikut :

/coba 192.168.1.0/24(rw,sync,fsid=0) 10.10.10.0/24(rw,sync,fsid=0)

Isi file exports diatas menjelaskan bahwa folder yang akan di share adalah folder dengan nama "coba" dengan permision rewrite (dapat ditulis dan dibaca), dan IP atau Network yang di permit adalah 192.168.1.0/24 dan 10.10.10.0/24.

3. Pastikan agar service NFS Server berjalan secara otomatis pada saat booting :

# chkconfig nfs on
# chkconfig portmap on

4. Jalankan service NFS nya :

# service portmap start <-- untuk agar support NFSv3
# service nfs start

Starting NFS services: [ OK ]
Starting NFS quotas: [ OK ]
Starting NFS daemon: [ OK ]
Starting NFS mountd: [ OK ]

5. Selesai, Untuk mengecek koneksi NFS servernya dapat dilihat dengan perintah :

# nfsstat

Server rpc stats:
calls badcalls badauth badclnt xdrcall
28131 0 0 0 0
Server nfs v3:
null getattr setattr lookup access readlink
10 0% 12302 58% 62 0% 166 0% 2122 10% 35 0%
read write create mkdir symlink mknod
7 0% 4039 19% 52 0% 3 0% 0 0% 0 0%
remove rmdir rename link readdir readdirplus
47 0% 2 0% 6 0% 0 0% 1 0% 2273 10%
fsstat fsinfo pathconf commit
21 0% 13 0% 0 0% 4 0%
Server nfs v4:
null compound
8 0% 6726 99%
Server nfs v4 operations:
op0-unused op1-unused op2-future access close commit
0 0% 0 0% 0 0% 54 0% 2019 7% 0 0%
create delegpurge delegreturn getattr getfh link
0 0% 0 0% 1 0% 8563 30% 2094 7% 0 0%
lock lockt locku lookup lookup_root nverify
0 0% 0 0% 0 0% 78 0% 0 0% 0 0%
open openattr open_conf open_dgrd putfh putpubfh
2022 7% 0 0% 14 0% 0 0% 6710 24% 0 0%
putrootfh read readdir readlink remove rename
12 0% 70 0% 16 0% 7 0% 5 0% 3 0%
renew restorefh savefh secinfo setattr setcltid
1 0% 2022 7% 2025 7% 0 0% 4 0% 5 0%
setcltidconf verify write rellockowner
5 0% 0 0% 2003 7% 0 0%



Sekarang kita lanjutkan dengan NFS client nya, NFS client disini juga menggunakan Centos 6.

1. Install juga paket NFS nya :


# yum -y install nfs-utils

2. Setelah selesai install NFS paketnya, pastikan servicenya UP otomatis pada saat linux booting :

# chkconfig nfslock on
# chkconfig netfs on

3. Buat folder untuk tempat mounting NFS nya :

# mkdir /mnt/nfs

4. Lakukan mounting folder NFS yang ada di server :

# mount -t nfs4 10.10.10.1:/coba /mnt/nfs

5. Untuk mengecek apakah folder NFS yang ada di server sudah ter-mounting apa belum dapat dilihat dengan cara :

# df -h

6. Untuk membuat agar folder NFS tersebut sudah ter-mount secara otomatis di client, maka silahkan tambah baris ini pada file /etc/fstab :

10.10.10.1:/coba /mnt/nfs nfs soft,intr,rsize=8192,wsize=8192,rw


Selesai, Mudah-mudahan bermanfaat juga untuk teman semua :)


Dony Ramansyah
site : http://dony-ramansyah.bravehost.com
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171