Security DNS BIND dengan chroot

Okt 5

Posted by

Assalamualaikum šŸ˜€

Pada kesempatan kali ini saya akan memposting tentang dns security chroot, langsung saja ke topologi nya…

Topologi

TOPOLOGI

Tabel Addressing

Tabel Adressing

Tujuan

  • Agar pembaca dapat memahami security dns chroot
  • Agar pembaca dapat mengkonfigurasi BIND dengan security chroot
  • Agar pembaca dapat membuat domain dengan nama sendiri

Konsep Dasar

Chroot merupakan metode root direktori (/) virtual yang akan menjadikan home direktori dari suatu user seperti root (/) di sistemnya sendiri sehingga mencegah user tersebut dapat naik ke level direktori yang lebih tinggi dan mengambil informasi dari sistem tersebut. Ā Dengan chroot kita dapat membatasi ruang lingkup (direktori) user/daemon di penjarakan, ini dilakukan untuk memperkuat keamanan sistem.

Konfigurasi

Pertama kita atur IP untuk servernya, seperti gambar di bawah ini

Screenshot_1

Lalu install BIND nya dengan command seperti gambar di bawah ini

Screenshot_2

dan tunggu hingga selesai

Screenshot_3

lalu buka file named.conf dengan command “nano /etc/named.conf”, nah di situ ada tanda panah pertama kita tambahin IP server dan di tanda panah kedua kita tambahin kaya yang di gambar tuh

Screenshot_4

terus scroll kebawah sampe nemu Ā bacaan zone, nah di bawah nya tambahin seperti kaya yang gambar di bawah ini

Screenshot_5

terus buka file forward.tkj nya dengan command “nano /var/named/forward.tkj” dan isikan script seperti gambar di bawah ini

Screenshot_6

terus kalo udah save dan keluar, sekarang kita buka file reverse.tkj dengan command “nano /var/named/reverse.tkj”

Screenshot_7

kalo sudah save terus keluar, dan sekarang kita enable dan start named nya

Screenshot_8

abisĀ itu kita harus menambahkan port 53 dalam firewall untuk memberi akses service DNS ke client

Screenshot_9

terus restart firewall nya

Screenshot_10

Kemudian ubah file permission, ownership, dan SELinux nya

Screenshot_11

lalu cek apakah terdapat error pada file named.conf nya dengan command seperti gambar di bawah ini

Screenshot_12

lalu cek apakah ada kesalahan pada file forward.tkj nya, jika sudah OK maka file tidak ada error

Screenshot_13

cek juga file reverse.tkj nya, jika sudah OK berarti tidak ada kesalahan pada file tersebut

Screenshot_14

terus ubah permission file forward dan reverse menjadi named

Screenshot_15

selanjutnya kita ketik kan command di bawah ini untuk mengaktifkanĀ environment pada BIND nya

Screenshot_16

lalu masuk kan command seperti gambar di bawah ini untuk memeriksa file nya

Screenshot_17

sekarang matikan dan disable named nya

Screenshot_18

terus jalanin “systemctl start named-chroot” dan “systemctl enable named-chroot”

Screenshot_19

terus buka file resolv.conf nya dengan command “nano /etc/resolv.conf” dan isi file tersebut seperti gambar di bawah ini

Screenshot_20

dan restart jaringan kita

Screenshot_21

lakukan tes dig pada ns.tkjonline.net, kalo tampilan nya udah kaya gambar di bawah berarti itu berhasil

Screenshot_22

sekarang kita pindah ke client nya, pertama atur IP client agar terhubung ke server

Screenshot_23

lalu coba ping ke tkjonline.net

Screenshot_24

dan ping ns.tkjonline.net

Screenshot_25

dan ping client.tkjonline.net

Screenshot_26

nah ping google juga

Screenshot_27

kalo yang di ping udah reply semua maka konfigurasi kita berhasil

Terus kita tambahin domain baru, pertama buka file named.conf nya dengan command “nano /etc/named.conf” terus scroll kebawah dan pada bagian yang di kotak merah Ā ganti seperti gambar di bawah

Screenshot_28

terus kita copas aja dari file “forward.tkj” dan “reverse.tkj” untuk isi file “reskyforward.tkj” dan “reskyreverse.tkj” menggunakan command seperti gambar di bawah ini

Screenshot_29

nah selanjutnya buka file reskyforward.tkj nya dengan command “nano /var/named/reskyforward.tkj” dan ubah isinya seperti gambar disini, kalian bisa ganti nama domain nya sesuai dengan keinginan kalian

Screenshot_30

terus buka file reskyreverse.tkj nya dengan command “nano /var/named/reskyreverse.tkj” dan ubah isinya seperti gambar di bawah ini

Screenshot_31

lalu cek apakah terdapat error pada dua Ā file tersebut dengan command seperti gambar di bawah ini

Screenshot_32

lalu ubah kepemilikan dari kedua file tersebut dan masuk kan commawwwwwnd yang paling bawah pada gambar untuk mengaktifkan chroot nya

Screenshot_33

lalu restart jaringan nya

Screenshot_34

dan coba dig domain yang sudah kita buat tadi, jika tampilan seperti gambar di bawah berarti kita sudah berhasil membuat domain baru nya

Screenshot_35

terus kita pindah ke client dan coba nslookup ns.tkjonline.net nya

Screenshot_36

dan coba ping ke domain yang baru kita buat tadiw

Screenshot_37

terus coba ping client.tkjonline.net nya

Screenshot_38

dan lakukan ping ke google.com

Screenshot_39

lalu masuk kan command seperti gambar di bawah ini dan kalo pada kedua file tersebut udah ada bacaan root kaya gambar di bawah itu tanda nya kita udah berhasil melakukan security dns dengan chroot

Screenshot_40

Selesai dah haha

Kesimpulan

Jadi jika suatu user/daemon yang di chroot maka dia tidak akan bisa keluar dari direktori (home directory) yang telah di tetapkan, hal ini sangat bermanfaat misal user/daemon yang di jaili (chroot) telah diambil alih oleh penyusup maka dia tidak akan bisa keluar dari direktory tersebut dan akan mengurangi resiko pencurian data, tidak akan menggangu user lain atau kinerja sistem secara keseluruhan tapi hanya sebagian saja. Oleh karena itu untuk melakukan chroot harus menetukan environment dan permission yang tepat untuk user/daemon yang akan di jail.

Sekian postingan kali ini, Wassalamualaikum šŸ˜€

 

Posted on 5 Oktober 2015, in Admin Server. Bookmark the permalink. Tinggalkan komentar.

Tinggalkan komentar