Dudi Gurnadi wrote:
> ada pertanyaan tapi lumayan banyak nih.
>
> kalo ada konfigurasi jaringan kaya gini:
>
> server (10.0.0.1)
> |
> |
> HUB/switch---client administrasi (10.0.0.16)
> |
> client1-client15 (10.0.0.2-10.0.0.15)
>
> rencananya server akan terkoneksi 24 jam, dan dapet ip
> statis dengan bandwidth 64 kbps. pake rh6.2
> si server akan di remote dari client administrasi
>
> services yang akan di aktifkan untuk lokal cuman dns server dan proxy.
> sedang untuk lainnya di masquerade. Nah yang aku tanyain:
>
> 1. gimana caranya agar masing-masing client dapet bandwidth 3-4kbps ?
>
Bisa manfaatin fitur delay pool dari squid [hanya untuk akses http/ftp],
atau pake traffic shaper. Cuman yang perlu diperhatikan jika pake traffic
shaper kerugiannya jika ia melakukan akses ke proxy server dan hanya
mengambil cache maka ia pun ttp terbatas pada bandwidth yang ditentukan.
> 2. kalo di remote pake telnet aman gak ? atau pake ssh ?
>
Lebih baik telnet tidak dibuka krn. masih merupakan celah remote exploit.
Pake aja ssh dgn kombinasi strong password. Trus lakukan pembatasan dari
mana aja bisa diakses.
> 3. kalo mau nutup port yang gak perlu untuk client itu apa aja, aku
> masih binun dengan port2 yang gak perlu. Kira-kira apa aja ? udah liat
> di /etc/services banyak banget, tapi services mana aja yang kira-kira
> gak perlu di client ?
>
kalo emang cuman sebagai server proxy buka aja port standar aja 22, 53,
8080, trus karena client udah pake masquarade, maka port dibawah 1024 bisa
ditutup selain yg tadi.
> 4. kalo rencananya pake wvlan, module apa yang harus di install di
> kernel. FYI, ini pake kernel default RH6.2 (2.2.14-5.0).
>
Coba aja link berikut,
http://pcmcia-cs.sourceforge.net/ftp/contrib/README.wavelan2_cs
Disana tinggal pilih yg sesuai dengan kernel yang kamu pake. Kalo nggak
salah di kernel 2.2.19 udah terintegrasi.
> 5. aku masih binun dengan sintax ipchains, kira-kira ada gak script
> ipchains yang bagus dan udah jadi, terus tinggal rubah di sana-sini,
> kalo emang ada ngambil dimana ?
>
Pake aja script yang dibikin dari www.openna.com, trus pilih berapa NIC
yang dipakai.
> 6. pada dasarnya si server maunya bener-bener aman, aku udah melakukan
> sebagai berikut:
>
> 1. #ntsysv (mematikan semua services yang gak perlu)
> 2. Menutup port yang gak perlu (file /etc/services)
> 3. mengijinkan dan memblok hosts (file /etc/hosts.allow dan
> /etc/hosts.deny)
> 4. mengaktifkan inetd dan yang di perlukan (/etc/inetd.conf)
> 5. menguninstall semua aplikasi yang tidak diperlukan
> 6. mengupdate aplikasi dengan yang terbaru (e.g: bind/named server)
>
> dari itu semua apa masih ada yang terlewat sama aku ?
>
Kalo bisa jangan pake RH 6.2 krn. banyak backdoor yang memanfaatin inetd.
Jika bind, update aja ke versi paling baru atau pake konfigurasi batasan
dengan chroot-ing [pake panduan dari openna.com juga bagus].
Kalo ngajalanin ftp di RH 6.2 jangan pake wu-ftpd, pake aja yang laen yang
lebih aman terhadap remote exploit.
Jangan lupa menutup service dari nfs yang secara default akan terpasang
oleh redhat.
> 7. mungkin ada saran-saran lain ?
>
> tenkyu...itu aja dulu...mudah-mudahan gak terlalu memberatkan :)
>
> --
> dg
>
Selamat mencoba
----------hapus footer ini jika anda ingin me-reply--------
untuk berhenti langganan, kirim email kosong ke:
[EMAIL PROTECTED]
arsip milis ada di :
http://www.mail-archive.com/[email protected]
