Rabu, 25 Maret 2015

Membatasi Akses user pada Server

Membatasi Akses user pada Server Linux Centos dengan visudo

Sebagai "Best-Practice" untuk pengamanan tingkat dasar pada server linux, kita bisa membatasi akses kedalam server hanya untuk user tertentu. Dan tentunya user tersebut kita berikan akses untuk menjalankan berbagai perintah layaknya user root. Terlebih dahulu, user akan didaftarkan oleh admin (root user) sehingga user-user yang berhak mengakses server akan terkontrol.

Paket yang akan digunakan adalah paket "sudoers". Secara default, setelah kita menginstall linux centos untuk pertama kali, biasanya paket "sudoers" sudah terinstall. Untuk menunjukkan efek dari "best-practice" ini, kita coba login dari user biasa untuk menjalankan perintah yang bersifat administratif, misalnya melakukan konfigurasi ip address.

Disini, user yang digunakan adalah "gajah". Kita bisa menggunakan user lain atau menambahkan user baru dalam server kita.

[gajah@majapahit ~]$ nano /etc/sysconfig/network-scripts/ifcfg-eth0


Lalu coba kita ubah ip address, dan kita simpan perubahan. Maka akan muncul pesan error seperti berikut ini, dimana si "gajah" tidak bisa melakukan penyimpanan konfigurasi dikarenakan dia tidak
memiliki hak akses.

[ Error writing /etc/sysconfig/network-scripts/ifcfg-eth0: Permission denied ]


Agar user "gajah" bisa melakukan konfigurasi ip, dan menjalankan perintah layaknya sebagai root, kita terlebih dahulu harus memasukkannya kedalam sudoers. Selain itu hal ini bisa bermanfaat untuk System Logging. Dimana kita bisa mencari tahu siapa user yang login pada saat sebelum menjalankan perintah root tertentu.

[root@majapahit ~]# visudo


lalu tambahkan pada baris terakhir :

gajah ALL=(ALL) ALL


Simpan perubahan.

Login kembali dengan user "gajah", lalu login sebagai root dengan akun (password) milik user sendiri / user "gajah".

[gajah@majapahit ~]$ sudo su
[sudo] password for gajah:
[root@majapahit gajah]#


Sampai disini, user "gajah" sudah bisa menjalankan perintah layaknya user root. Silahkan coba kembali untuk melakukan perubahan ip address seperti sebelumnya. Dan harusnya saat ini user "gajah" sudah mempunyai akses dan bisa melakukan perubahan.

Apabila user "gajah" belum didaftarkan pada sudoers, maka dia tidak bisa login sebagai root dengan perintah sudo, ditandai dengan pesan error:

[gajah@majapahit ~]$ sudo su

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for gajah:
gajah is not in the sudoers file.  This incident will be reported.


Dari pesan error diatas terlihat bahwa user "gajah" tidak termasuk dalam sudoers. Selain menggunakan perintah visudo, bisa juga kita gunakan editor nano dengan membuka file konfigurasi sudoers yang terdapat dalam direktori /etc. Perintah yang kita gunakan: 

[gajah@majapahit ~]$ nano /etc/sudoers

Tidak ada komentar:

Posting Komentar