Security DNS BIND dengan chroot
Assalamualaikum š
Pada kesempatan kali ini saya akan memposting tentang dns security chroot, langsung saja ke topologi nya…
Topologi
Tabel Addressing
Tujuan
- Agar pembaca dapat memahami security dns chroot
- Agar pembaca dapat mengkonfigurasi BIND dengan security chroot
- Agar pembaca dapat membuat domain dengan nama sendiri
Konsep Dasar
Chroot merupakan metode root direktori (/) virtual yang akan menjadikan home direktori dari suatu user seperti root (/) di sistemnya sendiri sehingga mencegah user tersebut dapat naik ke level direktori yang lebih tinggi dan mengambil informasi dari sistem tersebut. Ā Dengan chroot kita dapat membatasi ruang lingkup (direktori) user/daemon di penjarakan, ini dilakukan untuk memperkuat keamanan sistem.
Konfigurasi
Pertama kita atur IP untuk servernya, seperti gambar di bawah ini
Lalu install BIND nya dengan command seperti gambar di bawah ini
dan tunggu hingga selesai
lalu buka file named.conf dengan command “nano /etc/named.conf”, nah di situ ada tanda panah pertama kita tambahin IP server dan di tanda panah kedua kita tambahin kaya yang di gambar tuh
terus scroll kebawah sampe nemu Ā bacaan zone, nah di bawah nya tambahin seperti kaya yang gambar di bawah ini
terus buka file forward.tkj nya dengan command “nano /var/named/forward.tkj” dan isikan script seperti gambar di bawah ini
terus kalo udah save dan keluar, sekarang kita buka file reverse.tkj dengan command “nano /var/named/reverse.tkj”
kalo sudah save terus keluar, dan sekarang kita enable dan start named nya
abisĀ itu kita harus menambahkan port 53 dalam firewall untuk memberi akses service DNS ke client
terus restart firewall nya
Kemudian ubah file permission, ownership, dan SELinux nya
lalu cek apakah terdapat error pada file named.conf nya dengan command seperti gambar di bawah ini
lalu cek apakah ada kesalahan pada file forward.tkj nya, jika sudah OK maka file tidak ada error
cek juga file reverse.tkj nya, jika sudah OK berarti tidak ada kesalahan pada file tersebut
terus ubah permission file forward dan reverse menjadi named
selanjutnya kita ketik kan command di bawah ini untuk mengaktifkanĀ environment pada BIND nya
lalu masuk kan command seperti gambar di bawah ini untuk memeriksa file nya
sekarang matikan dan disable named nya
terus jalanin “systemctl start named-chroot” dan “systemctl enable named-chroot”
terus buka file resolv.conf nya dengan command “nano /etc/resolv.conf” dan isi file tersebut seperti gambar di bawah ini
dan restart jaringan kita
lakukan tes dig pada ns.tkjonline.net, kalo tampilan nya udah kaya gambar di bawah berarti itu berhasil
sekarang kita pindah ke client nya, pertama atur IP client agar terhubung ke server
lalu coba ping ke tkjonline.net
dan ping ns.tkjonline.net
dan ping client.tkjonline.net
nah ping google juga
kalo yang di ping udah reply semua maka konfigurasi kita berhasil
Terus kita tambahin domain baru, pertama buka file named.conf nya dengan command “nano /etc/named.conf” terus scroll kebawah dan pada bagian yang di kotak merah Ā ganti seperti gambar di bawah
terus kita copas aja dari file “forward.tkj” dan “reverse.tkj” untuk isi file “reskyforward.tkj” dan “reskyreverse.tkj” menggunakan command seperti gambar di bawah ini
nah selanjutnya buka file reskyforward.tkj nya dengan command “nano /var/named/reskyforward.tkj” dan ubah isinya seperti gambar disini, kalian bisa ganti nama domain nya sesuai dengan keinginan kalian
terus buka file reskyreverse.tkj nya dengan command “nano /var/named/reskyreverse.tkj” dan ubah isinya seperti gambar di bawah ini
lalu cek apakah terdapat error pada dua Ā file tersebut dengan command seperti gambar di bawah ini
lalu ubah kepemilikan dari kedua file tersebut dan masuk kan commawwwwwnd yang paling bawah pada gambar untuk mengaktifkan chroot nya
lalu restart jaringan nya
dan coba dig domain yang sudah kita buat tadi, jika tampilan seperti gambar di bawah berarti kita sudah berhasil membuat domain baru nya
terus kita pindah ke client dan coba nslookup ns.tkjonline.net nya
dan coba ping ke domain yang baru kita buat tadiw
terus coba ping client.tkjonline.net nya
dan lakukan ping ke google.com
lalu masuk kan command seperti gambar di bawah ini dan kalo pada kedua file tersebut udah ada bacaan root kaya gambar di bawah itu tanda nya kita udah berhasil melakukan security dns dengan chroot
Selesai dah haha
Kesimpulan
Jadi jika suatu user/daemon yang di chroot maka dia tidak akan bisa keluar dari direktori (home directory) yang telah di tetapkan, hal ini sangat bermanfaat misal user/daemon yang di jaili (chroot) telah diambil alih oleh penyusup maka dia tidak akan bisa keluar dari direktory tersebut dan akan mengurangi resiko pencurian data, tidak akan menggangu user lain atau kinerja sistem secara keseluruhan tapi hanya sebagian saja. Oleh karena itu untuk melakukan chroot harus menetukan environment dan permission yang tepat untuk user/daemon yang akan di jail.
Sekian postingan kali ini, Wassalamualaikum š
Posted on 5 Oktober 2015, in Admin Server. Bookmark the permalink. Tinggalkan komentar.
Tinggalkan komentar
Comments 0