05.32
Bani Sabili Zulkarnain
Kali ini saya akan berbagi pengalaman saya ketika ngoprek System Log di Centos 5.5. Nah, pasti penasaran kan sama System Log, Pasti di benak kamu berlarian pertanyaan, "Apaan sehh System Log ituh?? Emang fungsinya apaaaa??"
Sloooooowwww, here we go, kita belajar bareng2.. Seperti kata Group Band Kotak, "Pelan-pelaaaaaaan saajaaaaa"
:D
What's that System Log in Linux??
Jika kita bekerja sebagai seorang System Administration di suatu perusahaan, pastinya kita mempunyai tanggung jawab untuk mengamankan informasi-informasi penting di suatu perusahaan. Juga menjadi tanggung jawab kita dalam menjaga system komputasi di perusahaan tersebut dari segala error yang terjadi. Nah, everybody, let's me introduce u the System which could handle that problems, here it is, give a big applause for our System, "Syyyyyyysssteeem Looooooggg"..
#penonton pun bersorak, huuuuuuuu
Nah, lebih dalem lagi tentang fungsi dan kegunaan System Log adalah, ketika terjadi eror dalam system komputer di server atau client, maka kita dapat menggunakan layanan ini. Kita juga dapat mengetahui penyusup yang masuk ke dalam server atau client dengan menggunakan layanan ini sehingga kita dapat meminimalisir pencurian data atau infromasi di perusahaan. Sangat fungsional kan??
:D
Lokasi File-File Log
Hampir sebagian besar file-file log dalam sistem linux tersimpan di folder /var/log. Cara paling mudah untuk mengerti adalah Learning by doing, so kalo untuk lokasinya kamu bisa liat sendiri yaaa..
Nah, sekarang mari kita langsung pada implementasi-nya aja yuuukk..
coba buka terminal dengan cara:
klik Application >> Accesories >> Terminal
Lalu ketik: tail -f /var/log/messages, maka akan muncul informasi-informasi service dan system di komputer kita. Atau bisa melalui GUI, dengan cara klik System >> Administration >> System Log.
Hasil yang muncul menggunakan terminal
Hasil yang muncul jika melalui GUI
Beberapa keterangan yang ditampilkan adalah diantaranya date, nama komputer tempat kita menjalankan system atau service, dan informasi-informasi seputar system dan service yang dijalankan tersebut. Sangat mudah kan??
Hasil yang muncul jika melalui GUI:D
Kemudian, bila server yang sedang kita kelola mengalami penyerangan sehingga komputer X dapat menyusup ke dalam server, cara paling ampuh untuk kita dapat mengetahui siapakah komputer X tersebut adalah dengan melihatnya di file: /var/log/secure
Untuk melihatnya dapat menggunakan terminal atau melalui GUI. Bila melalui terminal, cara masuknya sama seperti di atas, ketika terminal sudah muncul, maka ketikan:
tail -f /var/log/secure
Hasil yang muncul melalui Terminal
Jika kamu adalah orang yang lebih suka melalui grafis, maka caranya juga mudah. Ketik System >> Administration >> Lalu System Log >> Secure
Maka akan tampil sama seperti melalui terminal.
Hasil yang muncul melalui GUIKonfigurasi Syslog
Ok, sekarang saya akan memberikan contoh penerapan dari System Log ini secara real berdasarkan apa yang pernah saya lakukan.
Contoh kasusnya adalah, saya diminta untuk mengamankan client komputer di tempat saya kuliah. Bentuk pengamanannya berupa pengidentifikasian penyusup yang masuk ke dalam komputer tersebut. Harus kita tahu bahwa seorang penyusup yang cerdas adalah penyusup yang menyusup tanpa meninggalkan jejak keberadaannya, sehingga kita tidak tahu bahwa tempat kita sudah dijebol oleh penyusup. Nah, kalau saya menjadi penyusup tersebut, maka setelah saya berhasil masuk ke dalam komputer yang ingin saya curi datanya, maka saya akan menghapus beberapa baris pada file security yang berada di /var/log/secure, dengan begitu ketika seorang Admin tengah mengecek server, jejak2 keberadaan saya akan terhapus sama sekali, dan saya berhasil mengelabui Admin server tersebut.
Dengan logika tersebut, saya merancang jebakan pada komputer client dan server agar ketika penyusup mencoba masuk ke dalam komputer client, file security di komputer client dapat ter-backup di server tanpa diketahui oleh si penyusup. Simple kan logika-nya?
:D
Nah, langsung aja kita praktekin.
Pertama, kita harus melakukan konfigurasi pada file syslog.conf yang berada di /etc/syslog.conf, file ini berisi konfigurasi syslog kita. Hal-hal yang berkaitan dengan syslog, dapat kita atur disini.
Sebelumnya, harus diketahui, dalam contoh kasus ini saya menggunakan komputer client dengan alamat IP 192.168.5.15, dan alamat IP server 192.168.5.14
Ok, sekarang kita masuk ke file syslog.conf dengan cara :
vim /etc/syslog.conf
maka akan muncul:
# Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
atau seperti yang di gambar:
Isi dari file syslog.conf
Ket:
Nah, sekarang karena saya mau mengamankan data di komputer client, pada file syslog.conf kita tambahkan baris:
authpriv.* 192.168.5.14 authpriv.* @begin
setelah baris:
authpriv.* /var/log/secure
Apa fungsinya?
baris authpriv.* 192.168.5.14 berfungsi sebagai penentuan alamat IP yang kita tuju, atau komputer mana yang kita tuju. sedangkan baris authpriv.* @begin merupakan hostname dari komputer client tersebut. Saya menggunakan hostname begin untuk hostname di client dan server.
Kemudian, kita masuk ke dalam file syslog yang terdapat di /etc/sysconfig/syslog dengan cara:
vim /etc/sysconfig/syslog
maka akan muncul:
# Options to syslogd # -m 0 disables 'MARK' messages. # -r enables logging from remote machines # -x disables DNS lookups on messages recieved with -r # See syslogd(8) for more details
SYSLOGD_OPTIONS="-m 0"
# Options to klogd # -2 prints all kernel oops messages twice; once for klogd to decode, and # once for processing with 'ksymoops' # -x disables all klogd processing of oops messages entirely # See klogd(8) for more details
KLOGD_OPTIONS="-x"
#
SYSLOG_UMASK=077
# set this to a umask value to use for all log files as in umask(1). # By default, all permissions are removed for "group" and "other".
atau pada gambar:
Ok, sekarang saya akan memberikan contoh penerapan dari System Log ini secara real berdasarkan apa yang pernah saya lakukan.
Contoh kasusnya adalah, saya diminta untuk mengamankan client komputer di tempat saya kuliah. Bentuk pengamanannya berupa pengidentifikasian penyusup yang masuk ke dalam komputer tersebut. Harus kita tahu bahwa seorang penyusup yang cerdas adalah penyusup yang menyusup tanpa meninggalkan jejak keberadaannya, sehingga kita tidak tahu bahwa tempat kita sudah dijebol oleh penyusup. Nah, kalau saya menjadi penyusup tersebut, maka setelah saya berhasil masuk ke dalam komputer yang ingin saya curi datanya, maka saya akan menghapus beberapa baris pada file security yang berada di /var/log/secure, dengan begitu ketika seorang Admin tengah mengecek server, jejak2 keberadaan saya akan terhapus sama sekali, dan saya berhasil mengelabui Admin server tersebut.
Dengan logika tersebut, saya merancang jebakan pada komputer client dan server agar ketika penyusup mencoba masuk ke dalam komputer client, file security di komputer client dapat ter-backup di server tanpa diketahui oleh si penyusup. Simple kan logika-nya?
:D
Nah, langsung aja kita praktekin.
Pertama, kita harus melakukan konfigurasi pada file syslog.conf yang berada di /etc/syslog.conf, file ini berisi konfigurasi syslog kita. Hal-hal yang berkaitan dengan syslog, dapat kita atur disini.
Sebelumnya, harus diketahui, dalam contoh kasus ini saya menggunakan komputer client dengan alamat IP 192.168.5.15, dan alamat IP server 192.168.5.14
Ok, sekarang kita masuk ke file syslog.conf dengan cara :
vim /etc/syslog.conf
maka akan muncul:
# Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
atau seperti yang di gambar:
Isi dari file syslog.confKet:
- *.info;mail.none;authpriv.none;cron.none /var/log/messages, adalah lokasi dimana informasi tentang e-mail, cron, dan yang berkaitan dengan system serta service akan ditampilkan. Bisa saja kita atur agak tidak ditampilkan pada file tersebut, dengan mengganti file direktorinya.
- authpriv.* /var/log/secure, nah ini merupakan kelanjutan dari baris di atas. Fungsi dari baris ini juga untuk menentukan lokasi informasi tentang penyusup ditampilkan. Kita juga dapat mengganti lokasi file-nya bila kita mau. Caranya sama seperti di atas.
Nah, sekarang karena saya mau mengamankan data di komputer client, pada file syslog.conf kita tambahkan baris:
authpriv.* 192.168.5.14 authpriv.* @begin
setelah baris:
authpriv.* /var/log/secure
Apa fungsinya?
baris authpriv.* 192.168.5.14 berfungsi sebagai penentuan alamat IP yang kita tuju, atau komputer mana yang kita tuju. sedangkan baris authpriv.* @begin merupakan hostname dari komputer client tersebut. Saya menggunakan hostname begin untuk hostname di client dan server.
Kemudian, kita masuk ke dalam file syslog yang terdapat di /etc/sysconfig/syslog dengan cara:
vim /etc/sysconfig/syslog
maka akan muncul:
# Options to syslogd # -m 0 disables 'MARK' messages. # -r enables logging from remote machines # -x disables DNS lookups on messages recieved with -r # See syslogd(8) for more details
SYSLOGD_OPTIONS="-m 0"
# Options to klogd # -2 prints all kernel oops messages twice; once for klogd to decode, and # once for processing with 'ksymoops' # -x disables all klogd processing of oops messages entirely # See klogd(8) for more details
KLOGD_OPTIONS="-x"
#
SYSLOG_UMASK=077
# set this to a umask value to use for all log files as in umask(1). # By default, all permissions are removed for "group" and "other".
atau pada gambar:
tambahkan "-r" pada bagian "-m 0" pada baris SYSLOGD_OPTIONS="-m 0" sehingga menjadi SYSLOGD_OPTIONS="-m 0 -r", lalu save dengan mengetikkan titik dua wq (:wq). Lalu ketikan service syslog restart
Kemudian, kita beri hostname-nya. Ketikan hostname begin lalu enter, maka hostname telah terbentuk. Kemudian tambahkan 192.168.5.14 begin pada file yang berada di /etc/hosts dengan cara:
vim /etc/hosts , kemudian save.
seperti ditampilkan pada gambar:
Kemudian, kita beri hostname-nya. Ketikan hostname begin lalu enter, maka hostname telah terbentuk. Kemudian tambahkan 192.168.5.14 begin pada file yang berada di /etc/hosts dengan cara:
vim /etc/hosts , kemudian save.
seperti ditampilkan pada gambar:
Uji dengan melakukan koneksifitas antara komputer client dengan komputer server, caranya ketik ping (alamat IP server).
ping 192.168.5.14
Jika terhubung maka konfigurasi sudah mendekati berhasil.
:D
Sekarang tugas kita tinggal memberikan hostname pada server sesuai dengan hostname yang kita berikan di client, caranya hanya dengan mengetikan hostname begin di komputer server. Mudah kan??
:D
Jika sudah, masih pada komputer server, silahkan uji apakah pengamanan ini sudah berhasil atau belum, dengan cara: gunkanlah komputer yang lain untuk menyusup ke komputer client, dengan mengetikkan ssh 192.168.5.15, kemudian pada komputer server, buka file security di /var/log/secure. Bila konfigurasi kita berhasil, maka tidak hanya di client, namun di server pun akan tampil alamat IP penyusup yang masuk ke komputer client kita. Selesai deh.
:D
Silahkan mencoba!!
^^d
ping 192.168.5.14
Jika terhubung maka konfigurasi sudah mendekati berhasil.
:D
Sekarang tugas kita tinggal memberikan hostname pada server sesuai dengan hostname yang kita berikan di client, caranya hanya dengan mengetikan hostname begin di komputer server. Mudah kan??
:D
Jika sudah, masih pada komputer server, silahkan uji apakah pengamanan ini sudah berhasil atau belum, dengan cara: gunkanlah komputer yang lain untuk menyusup ke komputer client, dengan mengetikkan ssh 192.168.5.15, kemudian pada komputer server, buka file security di /var/log/secure. Bila konfigurasi kita berhasil, maka tidak hanya di client, namun di server pun akan tampil alamat IP penyusup yang masuk ke komputer client kita. Selesai deh.
:D
Silahkan mencoba!!
^^d
Posted in: linux
0 komentar:
Posting Komentar