7.11.3. Keamanan Lokal

Hal berikutnya yang akan kita perhatikan lebih lanjut adalah keamanan sistem terhadap serangan dari pengguna lokal. Mendapatkan akses ke account pengguna lokal adalah hal pertama yang dilakukan oleh penyusup sistem untuk memperoleh account root. Dengan sistem keamanan yang lemah, seorang pengguna biasa dapat menjadi root dengan menggunakan berbagai macam bug yang ada dan service dari localhost yang rentan. Jika anda yakin, bahwa sistem keamanan anda cukup baik, maka si penyusup akan mencari jalan lain untuk menyusup ke sistem anda.

7.11.3.1. Membuat Account Baru

Anda harus yakin bahwa anda menyediakan account pengguna dengan keleluasaan minimal sesuai dengan tugas yang akan mereka kerjakan. Jika anda menyediakan account kepada seorang anak berumur

10 tahun, anda mungkin hanya akan memberikan akses ke program pengolah kata dan program menggambar kepadanya, sehingga dia tidak bisa menghapus berkas yang bukan miliknya sendiri.

Beberapa tips yang mungkin bisa membantu membatasi akses: • Berikan kepada mereka akses yang minimum sesuai dengan kebutuhannya

• Berhati-hatilah, perhatikan kapan dan dimana mereka login • Pastikan bahwa anda telah menghapus account yang sudah tidak digunakan lagi, yang dapat anda

tentukan dengan perintah ’last’ atau pun dengan memeriksa berkas log aktivitas dari tiap pengguna. • Penggunaan userid yang sama untuk semua komputer dan jaringan sangat dianjurkan untuk

mempermudah pemeliharaan account, dan memudahkan analisa berkas log. • Pembuatan userid dengan group harus dihindari. Account pengguna lebih mudah untuk diawasi dan

diperhitungkan, berbeda halnya dengan account group.

7.11.3.2. Keamanan Root

Account root memiliki akses penuh terhadap keseluruhan sistem. Ingat jangan menggunakan account root dengan sembarangan. Gunakan account root hanya untuk mengerjakan suatu pekerjaan khusus saja dan lakukan dalam jangka waktu yang tidak terlalu lama. Biasakan untuk menggunakan account pengguna biasa untuk menjalankan aplikasi sehari - hari. Bahkan kesalahan terkecil yang dilakukan pada saat login sebagai root dapat menyebabkan kekacauan yang fatal.

Beberapa trik untuk menghindari kekacauan ketika login sebagai root: • Ketika mengetikkan beberapa perintah yang kompleks, cobalah untuk menjalankannya pertama kali

dengan cara yang aman, khususnya perintah yang menggunakan globbing. Anda dapat juga menggunakan echo di depan perintah yang anda ketikkan, sehingga anda yakin bahwa anda benar - benar ingin menjalankannya.

• Menyediakan pengguna dalam sistem anda dengan alias standar (alias rm=’rm -i’ ke perintah rm untuk memberikan konfirmasi mengenai penghapusan berkas.

• Jadilah root hanya untuk melakukan pekerjaan tertentu saja. Jika anda ingin mencoba sesuatu, cobalah dengan login pengguna biasa sampai anda yakin apa yang akan anda lakukan dengan login root.

• Variabel path untuk root sangat penting. Cobalah batasi isi variabel path perintah untuk root dan

jangan memasukkan "." (direktori saat ini) ke dalam variabel path. Jangan pernah memberikan izin akses tulis ke dalam direktory yang ada di variabel path, supaya pengguna lain tidak bisa memasukkan berkas binary lain yang bisa membuatnya menjadi root setelah anda mengeksekusi berkas binary tersebut.

• Jangan menggunakan perangkat lunak tools rlogin/ rsh/ rexec sebagai root. Karena perangkat lunak tersebut mudah diserang oleh penyusup. Jangan pula membuat sebuah berkas .rhost untuk root.

• Dalam berkas /etc/securetty terdapat daftar terminal di mana root dapat login. Berhati - hatilah apabila anda ingin memodifikasinya. Sedapat mungkin login-lah sebagai pengguna biasa, dan gunakan perintah su untuk mendapatkan akses lebih.

• Terakhir cobalah untuk bersikap tenang dan berpikir jernih ketika login sebagai root. Apa pun yang

anda lakukan sebagai root akan sangat mempengaruhi banyak hal. Karena itu berpikirlah sebelum anda melakukan hal bodoh yang dapat merusak seluruh sistem.