Kusprayitna Blogs

Hidup untuk berbagi ilmu :: IT Linux Windows Database Oracle PHP OpenSource

Otentifikasi dengan LDAP pada Apache di Centos

Posted by kusprayitna on 24th June 2010

Salah satu jenis pengamanan di internet pada aplikasi apache web server yaitu dengan folder security.

Metode yang sudah banyak dipakai yaitu dengan menggunakan otentifikasi berdasar LDAP server.

Asumsi pada artikel ini yaitu :

  1. Alamat IP Server LDAP yaitu 127.0.0.1
  2. Port LDAP server default yaitu 389
  3. Otentifikasi menggunakan UID
  4. Otentifikasi ke server sebagai admin yaitu cn=Manager,dc=uii,dc=ac,dc=id
  5. Password admin yaitu password

Cara menuliskan perintah otentifikasi sebagai berikut :

1. Pada httpd.conf

<Directory "/var/www/html">
AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative Off
AuthName "Restricted Access"
AuthLDAPURL "ldap://127.0.0.1:389/dc=uii,dc=ac,dc=id?uid?sub?(objectClass=*)"
AuthLDAPBindDN "cn=Manager,dc=uii,dc=ac,dc=id"
AuthLDAPBindPassword "password"
require valid-user
</Directory>

2. Pada file .htaccess

AuthType Basic
AuthName "Restricted Access"

AuthBasicProvider ldap
AuthzLDAPAuthoritative Off

AuthLDAPURL "ldap://127.0.0.1:389/dc=uii,dc=ac,dc=id?uid?sub?(objectClass=*)"

AuthLDAPBindDN          "cn=Manager,dc=uii,dc=ac,dc=id"
AuthLDAPBindPassword    "password"

Require valid-user

Dalam penulisan diatas ada beberapahal yang harus diperhatikan yaitu :

  1. AuthLDAPURL adalah alamat server LDAP diikuti dengan base search, diikuti dengan id untuk otentifikasi (yaitu uid?) dan scope pencariannya (sub?). Dan yang terakhir yaitu filtering obyek (objectClass=*)
  2. Otentifikasi dengan AuthLDAPBindDN adalah optional jika dibutuhkan saja. Ini dibutuhkan saat pencarian atribut
  3. Dalam uji coba saya, urutan penulisan dan penggunaan tanpa petik (" ") mempengaruhi hasil

Untuk lebih jelasnya bisa di baca di mod_auth_ldap

Posted in Centos, LDAP, Linux, security | 1 Comment »

Mengamankan joomla dengan .htaccess

Posted by kusprayitna on 24th June 2010

Joomla salah satu cms yang banyak dipakai saat ini tidak luput dari berbagai macam percobaan untuk dilakukan hacking, baik melalui sql injection maupun cross scripting.

Ada sedikit tips untuk mengamankan joomla dengan menggunakan .htaccess

Pembuatan file .htaccess berdasar logika sebagai berikut :

1. Secara logika aplikasi cms joomla semua konten/file dipanggil dari file utama index.php

2. Folder yang dianggap berbeda yaitu images, media dan templates, dimana ketiga folder tersebut mempunyai fungsi untuk menempatkan file gambar, multi media files dan templat untuk menyimpan disain joomla.

Ada tiga buah file .htaccess yang disiapkan, yaitu :

1. di root folder joomla

ErrorDocument 403 /index.php

#ijinkan hanya index.php saja yang diijinkan

<Files "*\.*">
deny from all
</Files>
<FilesMatch "(index.php|index.htm?|sitemap.xml|robots.txt|favicon.ico)$">
allow from all
</FilesMatch>

Pada file .htaccess ini menyatakan bahwa semua file tidak boleh diakses secara langsung, kecuali file index.php / index.htm/index.html/sitemap.xml/robots.txt dan favicon.ico. File index.php dan index.php/index.htm/index.html sebagai file default joomla yang dapat diakses dari luar. File sitemap.xml adalah file sitemap yang disediakan untuk konsumsi mesin pencari, sedangkan robots.txt adalah file konfigurasi yang dipakai mesin pencari juga. FIle terakhir favicon.ico adalah default file icon dari website.

2. di Folder Image / Media

#ijinkan hanya gambar  saja yang diijinkan

<FilesMatch "\.(jpg|png|gif|bmp)$">
allow from all
</FilesMatch>

Disini secara default aturan point 1 masih berlaku, dan diberikan pengecualian bahwa file gambar yaitu yang berekstensi jpg/png/gif/bmp boleh dibaca secara langsung dari internet

3. di folder templates

# Ijinkan file templat saja
<FilesMatch "\.(css|jpg|png|htmljs)$">
allow from all
</FilesMatch>

Folder templates berupa konfigurasi halaman utama joomla, dimana bisa berisikan file style sheet (css), gambar dan yang lainnya.

Demikian sedikit tips tambahan untuk mengamankan cms joomla

Semoga bermanfaat

Posted in Joomla, Tips | No Comments »

Website kena deface / hack, apa yang harus dilakukan ?

Posted by kusprayitna on 11th June 2010

Di Internet banyak hal yang baik dan banyak yang buruk pula. Bagaikan pisau yang dapat digunakan untuk kebaikan dan dapat digunakan untuk kejahatan, semuanya tergantung siapa yang memegangnya.

Sebagai salah seorang yang bertanggung jawab atas jalannya sebah server di Internet, maka apa yang perlu dilakukan terhadap aktifitas dunia maya terkait dengan hacker yang senang melakukan deface, hacking menanam trojan/virus dan lain sebaginya. Disini saya kan sedikit bercerita apa saya coba lakukan untuk server saya.

Dengan memberikan hak akses ke server ke pada orang lain melalui fasilitas cPanel yang dimiliki, maka ini memberi peluang kebobolan apabila pemegang akun kurang hati-hati dalam mengelola akun atau website mereka. Antara lain kecerobahan yang harus diwaspadai yaitu :

  1. Nama akun cPanel, minimal panjang 6 huruf
  2. Password, hal yang harus diperhatikan yaitu :
    a. Password harus aman/secure,  minimal 6 huruf yang terdiri atas kombinasi huruf besar kecil dan angka dan akn lebih baik jika mengandung simbol. Read the rest of this entry »

Posted in ossec, security | 2 Comments »

Memanfaatkan .htaccess untuk konfigurasi website

Posted by kusprayitna on 24th January 2009

Dalam konfigurasi webserver yang menggunakan scripting PHP, baik itu versi 4 ataupun 5 sangatlah mudah, yaitu dengan melakukan konfigurasi di php.ini. Di OS Windows maupun linux dan sejenisnya adalah sama.

Misalnya untuk mengaktifkan register_globals=on cukup mengganti saja di php.ini, akan tetapi akan menjadi sedikit kendala apabila kita bukan super user pada mesin tersebut. Karena kita tidak bisa akses mengganti konfigurasi php.ini, misalnya website anda pada server hostingan.

Atau dalam kasus lain, anda adalah super user dalam sebuah server web dan dalam server tersebut diinstall beberapa aplikasi, misalnya cms, ada yang membutuhkan register_global aktif dan ada yang mengharuskan register_global tidak aktif. Bagaimanakah solusinya?

Di dalam apache terdapat file .htaccess yang dapat berisi konfigurasi-konfigurasi yang dapat melakukan override/menimpa seting di php.ini, inilah yang dapat dimanfaatkan.

Contoh pemanfaatan .htaccess:

  1. Read the rest of this entry »

Posted in Programming, security, Webbase | 1 Comment »