On Sunday, September 02, 2001, abazh wrote:
>> 2. kalo di remote pake telnet aman gak ? atau pake ssh ?
>>
> Lebih baik telnet tidak dibuka krn. masih merupakan celah remote exploit.
> Pake aja ssh dgn kombinasi strong password. Trus lakukan pembatasan dari
> mana aja bisa diakses.
melakukan pembatasan ini dari /etc/hosts.allow dan /etc/hosts.deny
yach ?, jadi misalnya begini:
--file /etc/hosts.allow--
ALL:127.0.0.1
ALL:10.0.0.16
--end /etc/hosts.deny--
--file /etc/hosts.deny--
ALL:ALL
-- end /etc/hosts.deny--
Ini kan berarti cuman hosts 127.0.0.1 dan 10.0.0.16 yang diijinkan
untuk remote (portnya sesuai yang ada di /etc/inetd.conf). Bener gak ? CMIIW
>> 3. kalo mau nutup port yang gak perlu untuk client itu apa aja, aku
>> masih binun dengan port2 yang gak perlu. Kira-kira apa aja ? udah liat
>> di /etc/services banyak banget, tapi services mana aja yang kira-kira
>> gak perlu di client ?
>>
> kalo emang cuman sebagai server proxy buka aja port standar aja 22, 53,
> 8080, trus karena client udah pake masquarade, maka port dibawah 1024 bisa
> ditutup selain yg tadi.
sorry rada telmi abisnya masih binun pengertian port forwarding dan masquerade..
maksudnya begini:
misalnya client mau akses port 3306 di suatu server A internet,
sementara di server lokal port tersebut di tutup, apakah si client
masih bisa melakukan koneksi ke port 3306 milik server A (kan port
3306 di server lokal udah di tutup ) ?
> Kalo bisa jangan pake RH 6.2 krn. banyak backdoor yang memanfaatin inetd.
Ini maksudnya servernya jangan pake distro RH6.2 yach ?
Wahh bisa repot aku Baz :)...soalnya distro yang udah biasa aku pegang
ya si RH6.2, mau pake slak7.1 tapi rada ribet sama konfigurasinya,
kudu dari awal lagi :(
Kalo gak pake inetd lainnya pake apalagi yach ? aku pernah coba pimpd
(http://cats.meow.at/~peter/pimpd.html), tapi cuman buat irc aja,
inipun masih membutuhkan inetd.
> Jika bind, update aja ke versi paling baru atau pake konfigurasi batasan
> dengan chroot-ing [pake panduan dari openna.com juga bagus].
Yup..untuk bind emang rencananya mau di update ke versi terbaru, tapi
seandainya bind cuman digunakan untuk caching nameserver aja
(memforward ke dns isp), apakah masih membuka peluang untuk backdoor juga ?,
terus rencananya nanti bind cuman listen di internal aja, sementara
untuk external di tutup lewat ipchains. (masih rencana neh..soalnya
baca sedikit di ipchains..hal ini memungkinkan)
Ada sedikit lagi pertanyaan, port yang di tutup di /etc/services itu
yang tcp, udp atau keduanya ?...soalnya masih binun soal tcp dan udp
(perasaaan dari email sebelumnya aku banyak binunnya :)
--
dg
----------hapus footer ini jika anda ingin me-reply--------
untuk berhenti langganan, kirim email kosong ke:
[EMAIL PROTECTED]
arsip milis ada di :
http://www.mail-archive.com/[email protected]
