Kampung Madura

Susah cari judulnya, intinya adalah tidak mengijinkan file dengan ekstensi tertentu disimpan di server (samba pdc). Berkenaan dengan IT policy perusahaan, mungkin sama juga ditempat lain tentunya tidak akan diijinkan jikalau kita menyimpan file mp3, mpeg, avi diserver produksi.

Cukup lama saya cari-cari ini, dulu sempat nemu tapi lupa dan kebetulan hari ini tidak sengaja nemu lagi manual masalah ini. Caranya cukup gampang, edit file smb.conf dan tambahkan baris berikut pada [global] section:

veto files = /*.pif/*.mp3/*.com/*.db/*.avi/*.mpg/*.mpeg/*.{*}/

Dari baris diatas dapat diliat bahwa saya tidak mengijinkan file dengan ekstensi mp3 dan sebagainya disimpan diserver, dan saya kira ini juga merupakan salah satu cara jitu mengantisipasi menyebarnya virus lokal. Dimana salah satu virus cirinya adalah dengan membuat file *.com dan *.db.

Mungkin dari sekian banyak pengguna Debian atau Ubuntu akan mengeluh jikalau akan meng-instal paket tambahan, khususnya pecandu apt-get. Cuman ada 2 pilihan mode instalasi, pertama dari internet, kedua dari cd. Mode pertama tentu saja akan membuat bokek dan yang pasti lama, mode kedua, gampang, cepat tapi capek sebab mesti gonta-ganti memasukkan cd.

Untuk mengatasi hal ini, akan dijelaskan agar file iso dari cd yang ada dapat dibuat “local repository”. Repo lokal sepengetahuan saya ada 2 macam, menggunakan model “deb file” atau “deb http”, ok langsung saja dipraktekkan model yang pertama.

Pertama-tama buat direktori untuk menempatkan file-file iso dan kemudian “copas” file iso Ubuntu di direktori /home/joko/iso/ubuntu.

$ mkdir -p /home/joko/iso/ubuntu
$ mkdir -p /home/joko/repo/ubuntu/a
$ mkdir -p /home/joko/repo/ubuntu/b
$ mkdir -p /home/joko/repo/ubuntu/c
$ mkdir -p /home/joko/repo/ubuntu/d

Model deb file

$ sudo mount -o loop /home/joko/iso/ubuntu/ubuntu-7.04-repository-i386-1_contrib.iso /home/joko/repo/ubuntu/a
$ sudo mount -o loop /home/joko/iso/ubuntu/ubuntu-7.04-repository-i386-2_contrib.iso /home/joko/repo/ubuntu/b
$ sudo mount -o loop /home/joko/iso/ubuntu/ubuntu-7.04-repository-i386-3_contrib.iso /home/joko/repo/ubuntu/c
$ sudo mount -o loop /home/joko/iso/ubuntu/ubuntu-7.04-repository-i386-4_contrib.iso /home/joko/repo/ubuntu/d

Kemudian edit source.list sehingga menjadi seperti dibawah ini.

$ sudo vim /etc/apt/sources.list
deb file:/home/joko/repo/ubuntu/a feisty main restricted
deb file:/home/joko/repo/ubuntu/b feisty universe
deb file:/home/joko/repo/ubuntu/c feisty universe
deb file:/home/joko/repo/ubuntu/d feisty universe multiverse

$ sudo apt-get update

Model deb http

Berbeda dengan model deb file, repositori model http bisa digunakan bersama oleh semua komputer yang terkoneksi dalam LAN. Untuk model ini instal apache web server dan pastikan dapat berjalan dengan baik. Setelah itu buat direktori a, b, c, d di /var/www

$ sudo mkdir -p /var/www/ubuntu/{a,b,c,d}

Kemudian mount setiap iso ke direktori yang sudah dibuat diatas.

$ sudo mount -o loop /home/joko/iso/ubuntu/ubuntu-7.04-repository-i386-1_contrib.iso /var/www/ubuntu/a
$ sudo mount -o loop /home/joko/iso/ubuntu/ubuntu-7.04-repository-i386-2_contrib.iso /var/www/ubuntu/b
$ sudo mount -o loop /home/joko/iso/ubuntu/ubuntu-7.04-repository-i386-3_contrib.iso /var/www/ubuntu/c
$ sudo mount -o loop /home/joko/iso/ubuntu/ubuntu-7.04-repository-i386-4_contrib.iso /var/www/ubuntu/d

Edit sources.list menjadi seperti dibawah ini.

$ sudo vim /etc/apt/sources.list
deb http://localhost/ubuntu/a feisty main restricted
deb http://localhost/ubuntu/b feisty universe
deb http://localhost/ubuntu/c feisty universe
deb http://localhost/ubuntu/d feisty universe multiverse

$ sudo apt-get update

Lokal repositori siap digunakan bersama. Agar komputer dalam jaringan bisa menggunakan juga repositori tersebut, tinggal ganti “localhost” dengan ip address komputer repo-nya. Dan step diatas bisa juga diterapkan pada distro Debian.

[global]
# workgroup, semua server dan client harsu dalam satu workgroup yang sama
# SAMBA selalu ambil /etc/HOSTNAME sebagai identity
workgroup = SLCDOTWEBDOTID

# Deskripsi komputer
server string = %h server (Samba, Ubuntu)

# NetBios name, nama komputer yang tampak di Network
netbios name = nirmala

# Batasi akses untuk komputer yang dipercaya
# contoh : hosts allow = 10.0.0.0/24 10.0.1.10 10.0.1.12
hosts allow = 10.25.10.0/24

# Security mode, opsinya ada 4 :
# share = seperti Windows 98, share level
# user = seperti NT workstation stand-alone
# server = validasi ke serve lain (PDC)
# domain = jadi PDC

security = share

# Direktori yang dishare untuk umum, hak akses read/write
[Musik]
path = /home/joko/Musik
comment = Ini Musik
public = yes
read only = yes
writable = yes

# Direktori yang dishare untuk umum, hak akses read/write
[Windows]
path = /home/joko/bin
comment = Windows Directory
public = yes
writable = yes

Seringkali saya ditanya oleh teman-teman perihal pembersihan virus, atau anti virus yang bagus saat ini. Repot juga klo pertanyaan semacam ini kerap kali muncul, yang kemudian membikin dilema adalah mereka yang bertanya hal demikian adalah orang-orang berpengetahuan TI atau mahasiswa TI/SI semester akhir :).

Pernah saya berdialog dengan Pak Gde, dan menanyakan hal sama. Ambil contoh anti virus Kaspersky adalah anti virus yang paling handal saat ini (menurut saya), lantas kenapa masih saja pengguna Windows kebobolan virus meski database anti virusnya sudah up-to-date. Dari ngobrol saya ngalor-ngidul menghasilkan kesimpulan bahwa meski menggunakan anti virus paling canggih-pun tidak akan menyelesaikan masalah ini.

Dengan berbekal pengalaman dan pengetahuan yang ada, saya mendapatkan solusi untuk masalah ini, dan saya jamin tok cer dan tanpa basa-basi. Setelah fresh install Windows kali pertama lakukan tahapan dibawah ini :

1. Disarankan untuk berhati-hati dalam bertukar data, khususnya dari flash disk. Usahakan menggunakan flash disk miliki anda sendiri.
2. Disaranakn untuk tidak mengakses jaringan (wired/wireless) dimana pun anda berada, untuk keperluan intranet maupun internet.
3. Disarankan menginstall Windows dan aplikasi lainnya dari cd original dan bukan cd yang anda beli dari plasa dan plasa lainnya.

Dengan 3 langkah diatas saya yakin 100% anda dan Windows akan terbebas dari serangan virus, trojan dan sejenisnya tanpa harus menginstall anti virus. Atau barangkali anda punya solusi yang lebih baik dari ini ? silahkan komentar.

Proses migrasi yang cukup melelahkan tapi menyenagkan, kami dari SLC telah berhasil memigrasikan sekitar 30 pc sebuah perusahaan sepatu di Surabaya ke sistem operasi Linux Ubuntu 7.04. Cukup banyak kendala namun menjadikan tantangan bagi kami, sampai postingan ini ditulis kami masih belum berhasil meng-install Linux pada hardware P2, dari berbagai jenis distro kecil (DSL, SLAX PopCorn, Vector, etc) yang dicoba semuanya nihil.

Namun secara umum kebutuhan operasional kantor berjalan dengan mulus, mulai menjalankan aplikasi under DOS, printing via dosemu, download data via pc anywhere under dos menggunakan koneksi dial up telkomnet@instan.

Ada kejadian lucu ketika saya melihat seorang karyawan menekan tombol ENTER berulang-ulang, dan saya tanya “Kenapa Bu ?”. “Klo ngopi tekan tombol ini kan ?, terus tak tekan enter kok gak ngopi ?”. “Bu, ENTER hanya bisa digunakan untuk paste klo pake Excel, disini tidak bisa”

Sedikit catatan kecil, barangkali bisa menjadi rujukan untuk proses migrasi :

1. List hardware yang ada, mulai dari spek pc, merek printer, scanner serta hardware lainnya
2. Catat kebutuhan user. Bagaimana cara bekerja dan menggunakan aplikasi apa saja
3. Persiapkan repositori jika menggunakan Ubuntu atau Debian
4. Cari tools yang memudahkan manajemen system seperti smb4k

Berikut hardware yang dapat berjalan mulus dan tidak :

• HP LaserJet 1020 [ok]
• Canon Pixma IP1000 [ok]
• Epson LX-300+ [ok]
• Epson LQ-2170 [ok]
• Epson LQ-1050 [ok]
• Modem Prolink [ok]
• Modem D-Link [ok]
• Scanner Canon CanoScan FB 630P [???]

Itu sedikit pengalaman kami, tunggu tahap berikutnya …

Karena hari Sabtu adalah hari libur, maka server berbasis Linux ditempat saya berkerja harus dimatikan. Sebenarnya ini adalah hal kecil namun karena mesti dilakukan berulang setiap Jum’at malam sebelum pulang jadinya menjadi beban juga, ya klo inget matikan, klo gak dan keburu pulang…wah bisa gawat, apalagi kondisi aliran listrik sekitar kantor yg kadang kurang bersahabat.

Rutinitas ini bisa dilakukan secara otomatis tanpa membutuhkan sentuhan jari, berbeda dengan W**S yang memerlukan program tambahan, berbayar lagi. Di Unix Family bisa menggunakan CRON/CRONTAB yang built-in ketika menginstall distro.

Format CRONTAB

* * * * * tuliskan-perintah-disini
- - - - -
| | | | |
| | | | +—– day of week (0 - 6) (Sunday=0)
| | | +——- month (1 - 12)
| | +——— day of month (1 - 31)
| +———– hour (0 - 23)
+————- min (0 - 59)

Parameter CRONTAB :
Day Of Week (Hari) : 0-6, dimana 0 adalah hari Minggu
Month : 1-12
Day Of Month (Tanggal) : 1-31
Hour (Jam) : 0-23
Minute (Menit) : 0-59

* Dan perlu diingat bahwa crontab berkerja/dijalankan dalam mode.

Contoh CRONTAB

Saya menginginkan komputer shutdown setiap hari Jum’at malam jam 22.00

root@tyaz:~# crontab -e

* 22 * * 5 /sbin/poweroff

Tidak hanya sampai disitu, parameter dapat dikombinasikan sesuai dengan kubutuhan, seperti contoh dibawah ini :

Sumber : http://www.adminschoice.com/docs/crontab.htm

Berikut adalah contoh script penggunaan iptables untuk pengamanan komputer atau biasa disebut firewall. Contoh kasusnya adalah penggunaan firewall pada personal pc.

Pada prinsipnya iptables mengenal 3 chain yaitu ;

• INPUT
  • Chain ini berhubungan dengan paket yang masuk ke pc, secara default dalam kasus ini rulenya adalah drop.
• OUTPUT
  • Chain ini berhubungan dengan paket yang keluar dari pc, dalam kasus ini secara default rulenya adalah accept.
• FORWARD
  • Chain ini biasanya dipakai jika pc berfungsi sebagai router, namun dalam kasus kali ini secara default rulenya adalah drop.

Pendekatan :

• Blok semua INPUT dan FORWARD
• Ijinkan semua OUTPUT
• Ijinkan INPUT untuk paket ICMP (ping request) tetapi dengan batasan, hal ini dilakukan untuk menghindari ping flood

• Buat file dengan nama firewall.sh

lina:~# vim firewall.sh

#!/bin/sh

IPT=”/sbin/iptables”

$IPT -F
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
$IPT -X

$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP

# Ijinkan koneksi dari mesin lokal (lo)
$IPT -A INPUT -i lo -j ACCEPT

# state rules
$IPT -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
#$IPT -A FORWARD -m state –state RELATED,ESTABLISHED -j ACCEPT

# Buat chain baru denga nama BadFlags
# paket BadFlags akan di drop tanpa memberikan alert pada pengirim
$IPT -N BadFlags
$IPT -A BadFlags -m limit –limit 10/minute -j LOG –log-prefix “BadFlags : ”
$IPT -A BadFlags -j DROP

# Listing BadFlags
$IPT -A INPUT -p tcp –tcp-flags ACK,FIN FIN -j BadFlags
$IPT -A INPUT -p tcp –tcp-flags ACK,PSH PSH -j BadFlags
$IPT -A INPUT -p tcp –tcp-flags ACK,URG URG -j BadFlags
$IPT -A INPUT -p tcp –tcp-flags FIN,RST FIN,RST -j BadFlags
$IPT -A INPUT -p tcp –tcp-flags SYN,FIN SYN,FIN -j BadFlags
$IPT -A INPUT -p tcp –tcp-flags SYN,RST SYN,RST -j BadFlags
$IPT -A INPUT -p tcp –tcp-flags ALL ALL -j BadFlags
$IPT -A INPUT -p tcp –tcp-flags ALL NONE -j BadFlags
$IPT -A INPUT -p tcp –tcp-flags ALL FIN,PSH,URG -j BadFlags
$IPT -A INPUT -p tcp –tcp-flags ALL SYN,FIN,PSH,URG -j BadFlags
$IPT -A INPUT -p tcp –tcp-flags ALL SYN,RST,ACK,FIN,URG -j BadFlags

# Blokir semua trafik paket ICMP yg menuju ke lokal mesin tapi ijinkan ping.
# ICMP Tipe 0 –> echo reply
# ICMP Tipe 3 –> destination unreachable
# ICMP Tipe 11 –> time exceeded
# ICMP Tipe 8 –> Echo, avoid ping flood

$IPT -A INPUT -p icmp –icmp-type 0 -j ACCEPT
$IPT -A INPUT -p icmp –icmp-type 3 -j ACCEPT
$IPT -A INPUT -p icmp –icmp-type 11 -j ACCEPT
$IPT -A INPUT -p icmp –icmp-type 8 -m limit –limit 1/second -j ACCEPT

# Ping di REJECT dengan pesan
#$IPT -A INPUT -p icmp –icmp-type 8 -m limit –limit 1/second -j REJECT –reject-with icmp-host-prohibited

• Ubah permission file firewall.sh sehingga menjadi executable

lina:~# chmod +x /root/firewall.sh

• Agar firewall up setip komputer reboot, tambahkan script command up pada interface

lina:~# vim /etc/network/interfaces

# The primary network interface
auto eth0
iface eth0 inet static
address 10.11.12.232
netmask 255.255.255.0
network 10.11.12.0
broadcast 10.11.12.255
gateway 10.11.12.1
up command /root/firewall.sh

• Reboot komputer dan tes dengan ping atau menggunakan nmap.