Langkah – langkah awal yang harus di lakukan setelah install CentOS
1. Melihat Version OS Centos yang baru diinstal memastikan agar sesuai dengan installer yang
diinstal.
cat /etc/redhat-release
cat /etc/redhat-release
CentOS Linux release 7.2.1511 (Core)
2. Langkah awal untuk mengkonfigurasi network adalah dengan menambahkan IP Static atau
Automatic (DHCP).
Konfigurasi IP bisa dilakukan dengan cara setting di nmtui dan network-scripts. Untuk konfigurasi melalui nmtui bisa dilakukan seperti di bawah ini :
nmtui #NetworkManagerTUI
Jika mengetikkan command diatas maka akan muncul tampilan GUI sebagai berikut :
Jika mengetikkan command diatas maka akan muncul tampilan GUI sebagai berikut :
Pilih koneksi internet yang tersedia,
contoh untuk kali ini saya akan menggunakan Wired connection 1
REPORT THIS AD
Jika ingin konfigurasi ip pada IPv4 tekan enter lalu akan muncul pilihan seperti berikut :
– Disabled : Untuk menonaktifkan IPv4
– Automatic : Konfigurasi IP secara otomatis
– Link-local : Bila digunakan untuk local
– Manual : Konfigurasi IP manual atau static dengan menentukan IP
– Disabled : Untuk menonaktifkan IPv4
– Automatic : Konfigurasi IP secara otomatis
– Link-local : Bila digunakan untuk local
– Manual : Konfigurasi IP manual atau static dengan menentukan IP
Contoh pilih manual jika ingin konfigurasi IP secara static
Setelah semua selesai untuk di konfigurasi lalu pilih OK dan restart service network
systemctl restart network
#Cek IP yang sudah di konfigurasi
ip addr
systemctl restart network
#Cek IP yang sudah di konfigurasi
ip addr
3. Konfigurasi statik IP address menggunakan cara network-scripts. Langkah awal yang dilakukan adalah dengan mengedit file ethernet di vi /etc/sysconfig/network-scripts/ifcfg-eth0, sebelum mengubah file ethernet cek terlebih dahulu ethernet yang akan digunakan untuk IP address. Contoh konfigurasi file eth0 yang ada di network-scripts:
TYPE=Ethernet
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
NAME=eth0
UUID=77f77e92-58dc-4776-b926-5960ba0873e3
DEVICE=eth0
ONBOOT=yes
IPADDR=10.2.180.111
PREFIX=24
GATEWAY=10.2.180.1
DNS1=10.1.10.5
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yesSetelah selesai merubah konfigurasi IP lalu save, dan restart network.
TYPE=Ethernet
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
NAME=eth0
UUID=77f77e92-58dc-4776-b926-5960ba0873e3
DEVICE=eth0
ONBOOT=yes
IPADDR=10.2.180.111
PREFIX=24
GATEWAY=10.2.180.1
DNS1=10.1.10.5
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yesSetelah selesai merubah konfigurasi IP lalu save, dan restart network.
4. Jika ingin mengaktifkan command – command Cent-OS yang lama misalnya ifconfig bisa dengan menginstall secara manual.
yum -y install net-tools
5. Sebelum mengupdate OS dan menginstall segala keperluan untuk OS yang baru harus di tambahkan konfigurasi proxy atau bisa bypass jika memang tidak menggunakan proxy. Untuk menambahkan konfigurasi proxy bisa di tambahkan file yum.conf.
distroverpkg=centos-release
#Bisa di tambahkan di bawah ini
proxy=http://wiro.sableng:212212@10.1.212.21:8080/
Keterangan =
Http : Proxy server menggunakan http, jika akan menambahkan https maka bisa di tambahkan di bawah http
Username : Contoh username yang digunakan yaitu wiro.sableng
Password : 212212
Proxy Server : 10.1.212.21
Port : 8080
distroverpkg=centos-release
#Bisa di tambahkan di bawah ini
proxy=http://wiro.sableng:212212@10.1.212.21:8080/
Keterangan =
Http : Proxy server menggunakan http, jika akan menambahkan https maka bisa di tambahkan di bawah http
Username : Contoh username yang digunakan yaitu wiro.sableng
Password : 212212
Proxy Server : 10.1.212.21
Port : 8080
6. Lakukan update OS Cent-OS untuk mengupdate package/versi terbaru dan security update.
yum -y update
yum -y update
7. Setting hostname untuk nama server.
vi /etc/hostname
#isi nama server disini lalu save
Setelah selesai mengubah nama hostname logout terlebih dahulu lalu login kembali.
vi /etc/hostname
#isi nama server disini lalu save
Setelah selesai mengubah nama hostname logout terlebih dahulu lalu login kembali.
8. Konfigurasi firewalld
Sebenarnya untuk konfigurasi firewalld yang harus di perhatikan adalah service port yang akan di buka. Service yang banyak digunakan adalah service port 80/http atau 443/https, service yang di buka seharusnya menyesuaikan dengan kebutuhan server agar dari sisi security tetap aman. Di bawah ini contoh command untuk firewalld
#Stop service firewall
systemctl stop firewalld
systemctl disable firewalld
Sebenarnya untuk konfigurasi firewalld yang harus di perhatikan adalah service port yang akan di buka. Service yang banyak digunakan adalah service port 80/http atau 443/https, service yang di buka seharusnya menyesuaikan dengan kebutuhan server agar dari sisi security tetap aman. Di bawah ini contoh command untuk firewalld
#Stop service firewall
systemctl stop firewalld
systemctl disable firewalld
#Melihat status firewalld
[root@a ~]# systemctl status firewalld● firewalld.service – firewalld – dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Sel 2016-05-03 00:34:38 WIB; 16h ago
Main PID: 617 (firewalld)
CGroup: /system.slice/firewalld.service
└─617 /usr/bin/python -Es /usr/sbin/firewalld –nofork –nopid
[root@a ~]# systemctl status firewalld● firewalld.service – firewalld – dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Sel 2016-05-03 00:34:38 WIB; 16h ago
Main PID: 617 (firewalld)
CGroup: /system.slice/firewalld.service
└─617 /usr/bin/python -Es /usr/sbin/firewalld –nofork –nopid
#Disable firewalld
[root@a ~]# systemctl disable firewalld
[root@a ~]# systemctl disable firewalld
#Untuk melakukan start dan enable firewall
[root@a ~]# systemctl start firewalld
[root@a ~]# systemctl enable firewalld
[root@a ~]# systemctl start firewalld
[root@a ~]# systemctl enable firewalld
#Setting default zone
[root@a ~]# firewall-cmd –get-default-zone
public
[root@a ~]# firewall-cmd –get-default-zone
public
#Melihat settingan yang aktif sekarang
[root@a ~]# firewall-cmd –list-allpublic (default, active)
interfaces: eth0
sources:
services: dhcpv6-client dns ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
[root@a ~]# firewall-cmd –list-allpublic (default, active)
interfaces: eth0
sources:
services: dhcpv6-client dns ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
#Melihat service yang di allow untuk zona spesifik
[root@a ~]# firewall-cmd –list-service –zone=external
ssh
[root@a ~]# firewall-cmd –list-service –zone=external
ssh
#Merubah settingan menjadi default zone
[root@a ~]# firewall-cmd –set-default-zone=external
success
[root@a ~]# firewall-cmd –set-default-zone=external
success
#Menambahkan service http
[root@a ~]# firewall-cmd –add-service=http
success
[root@a ~]# firewall-cmd –list-service
http ssh
[root@a ~]# firewall-cmd –add-service=http
success
[root@a ~]# firewall-cmd –list-service
http ssh
#Menghapus service http
[root@a ~]# firewall-cmd –remove-service=http
[root@a ~]# firewall-cmd –list-service
[root@a ~]# firewall-cmd –remove-service=http
[root@a ~]# firewall-cmd –list-service
REPORT THIS AD
#Menambahkan service untuk permanent, segala perubahan konfigurasi diharuskan untuk me reload
[root@a ~]# firewall-cmd –add-service=http –permanent
[root@a ~]# firewall-cmd –reload
[root@a ~]# firewall-cmd –add-service=http –permanent
[root@a ~]# firewall-cmd –reload
Menambahkan dan menghapus allow ports
#Menambah port 22
[root@a ~]# firewall-cmd --add-port=22/tcp
[root@a ~]# firewall-cmd --list-port
22/tcp
#Menambah port 22
[root@a ~]# firewall-cmd --add-port=22/tcp
[root@a ~]# firewall-cmd --list-port
22/tcp
#Menghapus port 22
[root@a ~]# firewall-cmd –remove-port=22/tcp
[root@a ~]# firewall-cmd –list-port
[root@a ~]# firewall-cmd –remove-port=22/tcp
[root@a ~]# firewall-cmd –list-port
#Menambahkan secara permanent
[root@a ~]# firewall-cmd –add-port=22/tcp –permanent
[root@a ~]# firewall-cmd –reload
[root@a ~]# firewall-cmd –list-port
22/tcp
[root@a ~]# firewall-cmd –add-port=22/tcp –permanent
[root@a ~]# firewall-cmd –reload
[root@a ~]# firewall-cmd –list-port
22/tcp
Membuat prohibit/block akses service di firewall
#Block icmp service
[root@a ~]# firewall-cmd --add-icmp-block=echo-request
[root@a ~]# firewall-cmd --list-icmp-blocks
echo-request
#Block icmp service
[root@a ~]# firewall-cmd --add-icmp-block=echo-request
[root@a ~]# firewall-cmd --list-icmp-blocks
echo-request
#Menghapus echo-request
[root@a ~]# firewall-cmd –remove-icmp-block=echo-request
[root@a ~]# firewall-cmd –list-icmp-blocks
[root@a ~]# firewall-cmd –remove-icmp-block=echo-request
[root@a ~]# firewall-cmd –list-icmp-blocks
9. Disabled Selinux
[root@a ~]# vi /etc/sysconfig/selinux# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
[root@a ~]# vi /etc/sysconfig/selinux# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
10. Melihat semua sevice yang berjalan, dan bisa mematikan jika memang sudah tidak digunakan.
#Melihat semua service yang berjalan
[root@a ~]# systemctl -t service
UNIT LOAD ACTIVE SUB DESCRIPTION
auditd.service loaded active running Security Auditing Service
certmonger.service loaded active running Certificate monitoring and PKI enrollment
crond.service loaded active running Command Scheduler
dbus.service loaded active running D-Bus System Message Bus
LOAD = Reflects whether the unit definition was properly loaded.
ACTIVE = The high-level unit activation state, i.e. generalization of SUB.
SUB = The low-level unit activation state, values depend on unit type.
#Melihat semua service yang berjalan
[root@a ~]# systemctl -t service
UNIT LOAD ACTIVE SUB DESCRIPTION
auditd.service loaded active running Security Auditing Service
certmonger.service loaded active running Certificate monitoring and PKI enrollment
crond.service loaded active running Command Scheduler
dbus.service loaded active running D-Bus System Message Bus
LOAD = Reflects whether the unit definition was properly loaded.
ACTIVE = The high-level unit activation state, i.e. generalization of SUB.
SUB = The low-level unit activation state, values depend on unit type.
48 loaded units listed. Pass –all to see loaded but inactive units, too.
To show all installed unit files use ‘systemctl list-unit-files’.
To show all installed unit files use ‘systemctl list-unit-files’.
#Melihat daftar semua service
[root@a ~]# systemctl list-unit-files -t service
UNIT FILE STATE
arp-ethers.service disabled
auditd.service enabled
auth-rpcgss-module.service static
autofs.service disabled
autovt@.service disabled
blk-availability.service disabled
brandbot.service static
certmonger.service enabled
—————————————————–
wpa_supplicant.service disabled
194 unit files listed.
[root@a ~]# systemctl list-unit-files -t service
UNIT FILE STATE
arp-ethers.service disabled
auditd.service enabled
auth-rpcgss-module.service static
autofs.service disabled
autovt@.service disabled
blk-availability.service disabled
brandbot.service static
certmonger.service enabled
—————————————————–
wpa_supplicant.service disabled
194 unit files listed.
Melihat semua settingan chkconfig yang aktif
#Melihat semua chkconfig service yang berjalan
[root@a ~]# chkconfig --list
#Melihat semua chkconfig service yang berjalan
[root@a ~]# chkconfig --list
Note: This output shows SysV services only and does not include native
systemd services. SysV configuration data might be overridden by native
systemd configuration.
systemd services. SysV configuration data might be overridden by native
systemd configuration.
If you want to list systemd services use ‘systemctl list-unit-files’.
To see services enabled on particular target use
‘systemctl list-dependencies [target]’.
To see services enabled on particular target use
‘systemctl list-dependencies [target]’.
netconsole 0:off 1:off 2:off 3:off 4:off 5:off 6:off
network 0:off 1:off 2:on 3:on 4:on 5:on 6:off
network 0:off 1:off 2:on 3:on 4:on 5:on 6:off
Tidak ada komentar:
Posting Komentar