TCP Wrapper untuk SSH Server

Assalamu'alaikum Wr. Wb Ada kalanya kita ingin membatasi siapa saja yang boleh mengakses SSH server kita. Dulu sebelum ada ssh pembatasan pada server telnet bisa menggunakan TCP Wrapper. TCP wrapper merupakan salah satu metode filter (acces control list) di sistem operasi Unix Like untuk membatasi suatu host yang ingin menggunakan service yang ada di server. TCP Wrapper memiliki 2 file yang berada di direktori etc yakni hosts.allow dan hosts.deny. File hosts.allow akan dicek terlebih dahulu sebelum host.deny. Contoh penggunaannya adalah sebagai berikut, ALL: .nrar.net EXCEPT cracker.nrar.net Jika file hosts.allow diisi dengan seperti di atas maka semua klien dengan domain nrar.net akan diijinkan untuk mengakses semua service yang ada di server kecuali sub domain cracker. SSH server juga memungkinkan untuk menggunakan TCP wrapper dengan catatan ssh nya harus mendukung libwrap. Debian sepertinya secara default mendukung opsi ini sehingga bisa menggunakan TCP wrapper untuk memblokir ssh server agar hanya bisa digunakan oleh host tertentu. Sebagai contoh saya di server memiliki isi hosts.allow seperti ini : sshd : 202.91.15.0/28 : ALLOW sshd : 202.91.8.36/32 : ALLOW sshd : .akprind.ac.id : ALLOW sshd : 10.15.74.81 : ALLOW sshd : all : twist /usr/local/sbin/ssh-twist.pl "Please call emergency service your IP %a " Opsi di atas akan hanya mengijinkan ssh dari ip yang sudah disebutkan dan menolak serta memberikan umpan balik kepada yang tidak diijinkan, misalkan list yang ke 2 dihilankan dan dicoba untuk melakukan ssh maka akan ada informasi seperti ini di klien wa2n@debian:~$ ssh wa2n@202.91.15.14 Received disconnect from 202.91.15.14: Please call emergency service your IP ::ffff:202.91.8.36 Note: twist.pl harus terinstall Semoga bermanfaat

karena desakan banyak pihak (ceile.. gaya bgt neh..hehehe..) akhirnya saya memberanikan diri posting tentang IT. sebenernya ga PD juga siey nulis yg ginian, coz masi byk yg ebat2 tp gpp de itung2 buat dokumentasi ngoprex.. posting pertama kali ini akan membahas mengenai ssh khususnya konfigurasinya. sebelum ke konfigurasi, ada baiknya kita mengerti apa itu ssh. ssh atau secure shell adalah sebuah protokol jaringan yang memungkinkan pertukaran data menggunakan channel aman di antara 2 networked devices (disadur dari wikipedia). Ssh ini digunakan untuk me-remote komputer dengan menggunakan mode command prompt. kalau di windows biasanya

memakai koneksi telnet, tp karena telnet tidak aman maka sekarang ini lebih banyka yang menggunakan ssh. oke langsung lanjut ke konfigurasi nya. kali ini saya menggunakan debian-40r4a sebagai distro. karena di debian yang saya pakai belum terinstall ssh, maka langkah pertama yang harus dilakukan adalah instalasi ssh. apt-get install ssh setelah terinstall, kita ke langkah selanjutnya mengenai konfigurasi ssh. file yang akan diubah adalah sshd_config. vim /etc/ssh/sshd_config beberapa sintaks yang penting di dalam file ini yaitu :
y

Port = sintak ini digunakan untuk menentukan port mana yg akan dipakai dalam koneksi ssh. port default adalah 22. biar lebih aman bisa diganti dengan port ngawur yg ga dipake. hehe.. Port 22

PermitRootLogin = sintak ini digunakan untuk memberikan permit ke root apakah diperbolehkan untuk mengakses atau tidak. opsi yes digunakan untuk memperbolehkan akses sebagai root, sebaliknya opsi no digunakan untuk melarang login ssh sebagai root. jangan biarkan akses ssh sebagai root, celah ini bisa di manfaatkan para cracker untuk masuk ke dalam sistem. koq bisa ? ya coz cracker itu biasanya ga tau account yg ada di kompie, nah account umum yg ada di setiap kompie adalah root, jadi si cracker itu bisa aja coba2 masukin password si root pake metode brute force ato metode2 lain. klo pas beruntung masuk de si cracker td ke sistem n wassalam dah klo gt. hehehe PermitRootLogin no

MaxAuthTries = sintak ini digunakan untuk membatasi jumlah perulangan pengisian password jika kita salah isi password pada saat kita akan masuk ke sistem melalui ssh. klo melihat dari contoh, maka ketika salah password hanya bisa mengulanginya 2 kali lagi, klo masih tetap salah maka sistem secara otomatis akan menolak login untuk ke 3 kalinya. MaxAuthTries 2

AllowUsers = sintak ini digunakan untuk membolehkan usermana saja yang boleh mengakses sistem melalui ssh. AllowUsers yusuv

setelah merubah sintaks2 di atas, selanjutnya merestart service ssh. /etc/init.d/ssh restart

dengan konfigurasi di atas seharusnya sudah cukup aman, tapi biar lebih maknyus bisa ditambahkan konfigurasi supaya hanya IP tertentu saja yang bisa mengakses sistem melalui ssh. cara nya dengan menambahkan sintaks di file hosts.allow dan hosts.deny vim /etc/hosts.allow lalu di baris paling bawah tambahkan IP mana yang boleh mengakses sistem via ssh sshd : 192.168.1.2 kemudian buka file hosts.deny vim /etc/hosts.deny tambahkan sintak berikut supaya selain IP 192.168.1.2 tidak ada yg bisa terkoneksi ke sistem via ssh sshd : ALL yap.. dengan begini konfigurasi ssh dapat lebih aman digunakan. sebenarnya masi banyak lagi opsi2 yang bisa dipakai, termasuk menggunakan firewall. maaf bila masi banyak kesalahan di sana sini semoga dapat membantu oiya.. untuk mengakses ssh dari windows gunakan program Putty, kalau dari linux langsung saja ketikkan perintah dengan format : ssh namauser@alamattujuanssh -p portyangssh