5 Langkah Mengamankan Server Setelah Online : Dari SSH Key hingga Web Application Firewall (WAF)

| 4 min read

Tahukah Anda? Hanya dalam hitungan menit setelah server Anda online, ribuan bot otomatis akan memindai server Anda mencari celah keamanan, mencoba mengetuk “pintu” server Anda melalui serangan brute force. Mengandalkan pengaturan bawaan adalah kesalahan fatal.

Jika Anda hanya mengandalkan password standar dan membiarkan semua pintu terbuka, server Anda adalah sasaran empuk. kabar baiknya, hanya butuh waktu sekitar 5-10 menit untuk melakukan hardening dasar pada server yang anda gunakan.

Berikut adalah 5 langkah wajib untuk mengamankan server Linux Anda segera setelah online.

1. Buat Akun User Non-Root (Sudo)

Langkah pertama yang sering dilupakan adalah berhenti untuk menggunakan akun root untuk aktivitas harian.

Akun root adalah target utama peretas. Langkah pertama adalah membuat user biasa dengan hak administrator agar Anda tidak perlu login sebagai root terus-menerus.

Langkah-langkah membuat user baru :

Untuk Pengguna Ubuntu/Debian

Bash 
adduser namauser
usermod -aG sudo namauser

Untuk Penggung RHEL (AlmaLinux/Rocky Linux)

Bash 
useradd namauser
passwd namauser
usermod -aG wheel namauser

Tips : Setelah ini, biasakan gunakan perintah sudo di depan setiap perintah administratif.

2. Ganti Password dengan SSH Key (Paling Penting!)

Password bisa ditebak atau dicuri. SSH Key adalah sepasang kunci digital (publik dan privat) yang hampir mustahil ditembus secara paksa, serta SSH Key menggunakan algoritma kriptografi yang jauh lebih kuat.

Bagi anda pengguna Windows anda dapat menggenerate SSH Key dengan aplikasi puttygen, atau anda dapat juga menggunakan command line pada Powershell Windows anda.

  1. Open Windows Powershell sebagai administrator.
  2. Jika directory active anda adalah : PS C:\User\UserAnda> , buatkan directory dengan nama .ssh
  3. Setelah directory .ssh anda tercreate, silahkan masuk ke dalam directory dengan menggunakan command cd .ssh
  4. Jalankan perintah untuk menggenerate SSH Key anda :
ssh-keygen -t ed25519
  1. Silahkan Copy SSH Key dengan nama yourkey.pub ke dalam file ./ssh/authorized_keys pada sisi server anda.
  2. Jika di sever anda belum terdapat file authorized_key anda dapat membuatnya terlebih dahulu.
  3. Matikan Login Password: Edit file konfigurasi SSH :
    nano /etc/ssh/sshd_config
    Cari baris PasswordAuthentication dan ubah menjadi no.
    Simpan (Ctrl+O, Enter) dan keluar (Ctrl+X).

3. Konfigurasi Firewall (UFW atau Firewalld)

Firewall bertugas sebagai satpam yang menjaga pintu masuk. Secara default, Linux membiarkan semua pintu (port) terbuka. Konsep mengaktifkan Firewall pada server adalah “Tutup semua, kecuali yang diizinkan”. Kita akan menutup semuanya kecuali yang kita butuhkan.

  1. Izinkan akses SSH (Penting! Jangan sampai terkunci):
sudo ufw allow ssh
  1. Izinkan akses Web (HTTP dan HTTPS):
sudo ufw allow http
sudo ufw allow https
  1. Aktifkan Firewall
sudo ufw enable

Ketik y saat ada peringatan. Sekarang server Anda hanya menerima koneksi yang Anda izinkan.

4. Usir Penyerang Otomatis dengan Fail2Ban

Pernah melihat log server yang penuh dengan percobaan login gagal dari IP asing? Fail2Ban adalah solusinya. Alat ini akan memantau log dan secara otomatis memblokir IP yang mencoba login salah berkali-kali.

Fail2Ban bekerja dengan memantau log server. Jika ada alamat IP yang mencoba menebak password berkali-kali secara salah, Fail2Ban akan memblokir IP tersebut secara otomatis.

Cara install :
Pengguna Ubuntu: sudo apt install fail2ban -y
Pengguna RHEL: sudo dnf install epel-release -y && sudo dnf install fail2ban -y

Setelah diinstal, Fail2Ban akan langsung bekerja di latar belakang melindungi layanan SSH Anda. Tanpa konfigurasi tambahan pun, ini sudah sangat efektif.

5. Pasang WAF (Web Application Firewall) via Cloudflare

Langkah terakhir adalah melindungi aplikasi web Anda (seperti WordPress atau dashboard panel) dari serangan SQL Injection atau serangan DDoS. Cara termudah tanpa membebani server adalah menggunakan Cloudflare.

  1. Daftarkan domain Anda di Cloudflare (Gratis).
  2. Ubah Nameserver domain Anda ke Cloudflare.
  3. Pastikan ikon Awan Oranye (Proxy) aktif pada pengaturan DNS.

Dengan cara ini, IP asli server Anda akan tersembunyi. Semua trafik akan difilter dulu oleh Cloudflare sebelum sampai ke server Anda.

Keamanan bukan sekali jadi, melainkan sebuah kebiasaan. Pastikan Anda juga mengaktifkan pembaruan otomatis agar server selalu mendapatkan patch keamanan terbaru:

Ubuntu: Install unattended-upgrades.
RHEL: Install dnf-automatic.

Sudahkah Anda mengamankan server hari ini? Jika ada kendala dalam mengikuti tutorial ini, silakan tinggalkan pertanyaan di kolom komentar!

Leave a Comment