fbpx
 

Archive

10 Perintah Linux Untuk Memeriksa Jaringan

Sulit untuk menemukan komputer Linux yang tidak terhubung ke jaringan Internet di jaman ini, baik itu server atau workstation. Dari waktu ke waktu menjadi perlu untuk mendiagnosa kesalahan, latency tinggi atau kelambatan dalam jaringan. Pada artikel ini, kami akan membahas 10 perintah Linux yang paling banyak digunakan untuk memeriksa jaringan pada Server Linux Anda. Artikel ini akan sangat berguna bagi Anda para pengguna VPS Murah dan Dedicated Server dari Herza.ID.

Jika Anda masih bingung dalam memilih antara Apa itu VPS Hosting dan Kenapa Memilih Dedicated Server, mungkin Anda dapat membaca Artikel kami tentang Pengertian, Fungsi dan Bahan Pertimbangan Dalam Memilih VPS Murah.

Memeriksa Jaringan Di Linux Dengan Perintah-Perintah Ini

1. ping

Salah satu perintah pertama, yang paling dikenal banyak orang, ketika memeriksa kegagalan jaringan atau terputus-putus. Alat ping akan membantu kami menentukan apakah ada koneksi di jaringan, apakah itu lokal atau Internet.

[root@jakarta ~]# ping www.herza.id
PING herza.id (149.129.225.111) 56(84) bytes of data.
64 bytes from 111.225.129.149.herza.id (149.129.225.111): icmp_seq=1 ttl=57 time=2.00 ms
64 bytes from 111.225.129.149.herza.id (149.129.225.111): icmp_seq=2 ttl=57 time=1.74 ms
64 bytes from 111.225.129.149.herza.id (149.129.225.111): icmp_seq=3 ttl=57 time=1.78 ms
64 bytes from 111.225.129.149.herza.id (149.129.225.111): icmp_seq=4 ttl=57 time=1.93 ms
64 bytes from 111.225.129.149.herza.id (149.129.225.111): icmp_seq=5 ttl=57 time=1.80 ms
64 bytes from 111.225.129.149.herza.id (149.129.225.111): icmp_seq=6 ttl=57 time=2.05 ms

2. traceroute

Perintah ini memungkinkan kita untuk melihat lompatan atao hoop yang diperlukan untuk mencapai jaringan tujuan. Dalam hal ini, kita akan melakukan pengecekan traceroute untuk melihat lompatan yang diperlukan untuk mencapai situs web kami. Tes ini dilakukan dari Server intranet kami dengan Linux. Dalam contoh ini, kami membuat traceroute ke situs web kami, www.herza.id.

[root@jakarta ~]# traceroute www.herza.id

Tracing route to herza.id [149.129.225.111]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  router.lan [192.168.111.1]
  2     2 ms     2 ms     2 ms  148.subnet125-160-9.speedy.telkom.net.id [125.160.9.148]
  3     1 ms     1 ms     2 ms  157.0.252.180.in-addr.arpa [180.252.0.157]
  4     2 ms     5 ms     2 ms  36.91.230.183
  5     3 ms     2 ms     3 ms  36.67.254.70
  6     3 ms     3 ms     2 ms  189.80.251.116.in-addr.arpa [116.251.80.189]
  7    23 ms    46 ms    54 ms  113.250.16.11.in-addr.arpa [11.16.250.113]
  8     6 ms     3 ms     3 ms  166.202.60.11.in-addr.arpa [11.60.202.166]
  9     2 ms     2 ms     2 ms  111.225.129.149.herza.id [149.129.225.111]

Trace complete.

3. route

Perintah ini memungkinkan kita untuk melihat rute yang digunakan Server Linux kita untuk terhubung ke jaringan, dalam hal ini. Peralatan kami berangkat melalui router 192.168.1.1.

[root@faeyza ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.111.1   0.0.0.0         UG    425    0        0 viifbr0
192.168.111.0   0.0.0.0         255.255.255.0   U     425    0        0 viifbr0

4. dig

Perintah ini memungkinkan kita untuk memverifikasi apakah DNS berfungsi dengan benar, sebelum itu, kita harus memverifikasi DNS yang kita miliki dalam konfigurasi jaringan. Dalam contoh ini, kami ingin melihat alamat IP situs web kami, www.herza.id yang mengembalikan kami ke 149.129.225.111.

[root@jakarta ~]# dig www.herza.id

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-16.P2.el7_8.6 <<>> www.herza.id
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40374
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.herza.id.                  IN      A

;; ANSWER SECTION:
www.herza.id.           300     IN      CNAME   herza.id.
herza.id.               300     IN      A       149.129.225.111

;; Query time: 19 msec
;; SERVER: 100.100.2.136#53(100.100.2.136)
;; WHEN: Sun Jun 21 15:41:13 WIB 2020
;; MSG SIZE  rcvd: 71

5. ethtool

Alat ini adalah pengganti mii-tools. Itu berasal dari CentOS6 dan seterusnya dan memungkinkan untuk melihat apakah kartu jaringan secara fisik terhubung ke jaringan, yaitu. Kita dapat mendiagnosis jika kabel jaringan benar-benar terhubung ke switch.

[root@jakarta ~]# ethtool em1
Settings for em1:
        Supported ports: [ TP ]
        Supported link modes:   10baseT/Half 10baseT/Full
                                100baseT/Half 100baseT/Full
                                1000baseT/Full
        Supported pause frame use: Symmetric
        Supports auto-negotiation: Yes
        Supported FEC modes: Not reported
        Advertised link modes:  10baseT/Half 10baseT/Full
                                100baseT/Half 100baseT/Full
                                1000baseT/Full
        Advertised pause frame use: Symmetric
        Advertised auto-negotiation: Yes
        Advertised FEC modes: Not reported
        Speed: 1000Mb/s
        Duplex: Full
        Port: Twisted Pair
        PHYAD: 1
        Transceiver: internal
        Auto-negotiation: on
        MDI-X: on (auto)
        Supports Wake-on: pumbg
        Wake-on: d
        Current message level: 0x00000007 (7)
                               drv probe link
        Link detected: yes

6. IP ADDR LS

Perintah khusus Linux lainnya yang memungkinkan kami untuk membuat daftar kartu jaringan dan alamat IP masing-masing. Alat ini sangat berguna ketika Anda memiliki beberapa alamat IP yang dikonfigurasi.

[root@jakarta ~]# ip addr ls
1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eno1: mtu 1500 qdisc mq master bond0 state UP group default qlen 1000
link/ether 2c:44:fd:7a:14:90 brd ff:ff:ff:ff:ff:ff
3: eno2: mtu 1500 qdisc mq master bond0 state UP group default qlen 1000
link/ether 2c:44:fd:7a:14:90 brd ff:ff:ff:ff:ff:ff
4: eno3: mtu 1500 qdisc mq state DOWN group default qlen 1000
link/ether 2c:44:fd:7a:14:92 brd ff:ff:ff:ff:ff:ff
5: eno4: mtu 1500 qdisc mq state DOWN group default qlen 1000
link/ether 2c:44:fd:7a:14:93 brd ff:ff:ff:ff:ff:ff
6: bond0: mtu 1500 qdisc noqueue master viifbr0 state UP group default qlen 1000
link/ether 2c:44:fd:7a:14:90 brd ff:ff:ff:ff:ff:ff

7. ifconfig

Sama pentingnya dengan yang sebelumnya, ifconfig memungkinkan kita untuk melihat konfigurasi jaringan kartu yang dipasang di server kami. Dalam kasus ini, kami menggunakan Network Bonding untuk menyatukan 2 NIC (eno1 dan eno2) untuk berfungsi sebagai round-robin atau load balancing. Jadi ketika salah satu network tidak berfungsi, jaringan masih tetap terhubung ke switch kami.kartu jaringan lokal atau localhost lo dan kartu jaringan nirkabel yang akan terhubung ke jaringan ditampilkan. Kami sengaja menyoroti kartu yang dipasang dan alamat IP yang ditetapkan.

[root@jakarta ~]# ifconfig
bond0: flags=5187<UP,BROADCAST,RUNNING,MASTER,MULTICAST>  mtu 1500
        ether 2c:44:fd:7a:14:90  txqueuelen 1000  (Ethernet)
        RX packets 14951  bytes 11554342 (11.0 MiB)
        RX errors 0  dropped 200  overruns 0  frame 0
        TX packets 8254  bytes 631723 (616.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eno1: flags=6211<UP,BROADCAST,RUNNING,SLAVE,MULTICAST>  mtu 1500
        ether 2c:44:fd:7a:14:90  txqueuelen 1000  (Ethernet)
        RX packets 7488  bytes 5785199 (5.5 MiB)
        RX errors 0  dropped 50  overruns 0  frame 0
        TX packets 4127  bytes 314948 (307.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 61

eno2: flags=6211<UP,BROADCAST,RUNNING,SLAVE,MULTICAST>  mtu 1500
        ether 2c:44:fd:7a:14:90  txqueuelen 1000  (Ethernet)
        RX packets 7463  bytes 5769143 (5.5 MiB)
        RX errors 0  dropped 50  overruns 0  frame 0
        TX packets 4127  bytes 316775 (309.3 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 62

eno3: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        ether 2c:44:fd:7a:14:92  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 61

eno4: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        ether 2c:44:fd:7a:14:93  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 62

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 13  bytes 1489 (1.4 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 13  bytes 1489 (1.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

8. mtr

Salah satu alat favorit kami adalah MTR atau My Traceroute memungkinkan kami melihat lompatan / hoop seperti pada traceroute dan melakukan ping pada masing-masing hoop tersebut. Ini sangat berguna untuk menentukan hoop mana yang memiliki keterlambatan dalam lalu lintas jaringan. Dalam contoh kali ini, kita akan menggunakan opsi “mtr -n -r -c 100” yang berarti sebagai berikut:

  • -n atau –no-dns
    Gunakan opsi ini untuk memaksa mtr untuk menampilkan nomor IP saja dan tidak mencoba untuk menampilkan hostname.
  • -r atau –report
    Opsi ini menempatkan mtr ke mode laporan. Ketika dalam mode ini, mtr akan berjalan untuk jumlah siklus yang ditentukan oleh opsi -c, dan kemudian mencetak statistik dan keluar. Mode ini berguna untuk menghasilkan statistik tentang kualitas jaringan.
  • -c COUNT
    Gunakan opsi ini untuk mengatur jumlah ping yang dikirim untuk menentukan mesin pada jaringan dan keandalan mesin tersebut. Setiap siklus berlangsung satu detik.
[root@jakarta ~]# mtr -n -r -c 100 www.herza.id
Start: Sun Jun 21 15:54:39 2020
HOST: faeyza.herza.id             Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 192.168.111.1              0.0%   100    0.2   0.2   0.2   0.2   0.0
  2.|-- 125.160.9.148              0.0%   100    2.0   3.0   1.2  14.9   2.3
  3.|-- 180.252.0.157              0.0%   100    1.8   3.2   1.4  37.6   5.3
  4.|-- 36.91.230.183              0.0%   100    2.0   2.4   1.5  18.8   1.8
  5.|-- 36.67.254.70               0.0%   100    3.0   3.2   2.2   9.8   1.0
  6.|-- 116.251.80.189             0.0%   100    2.8   2.8   2.0   8.0   0.6
  7.|-- 11.16.250.113              0.0%   100   53.9  34.9   4.4  57.5  18.2
  8.|-- 11.60.202.166              0.0%   100    5.6   4.2   3.2   7.6   0.5
  9.|-- 149.129.225.111            0.0%   100    2.6   2.8   2.3   9.3   0.9

9. nslookup

Alat lain untuk mengetahui alamat IP dari host yang ingin kita jangkau. Dalam hal ini, kami ingin mengetahui IP situs web kami, www.herza.id.

[root@jakarta ~]# nslookup herza.id
Server:         1.1.1.1
Address:        1.1.1.1#53

Non-authoritative answer:
Name:   herza.id
Address: 149.129.225.111

10. nmtui

Network Manager Text User Interface (nmtui atau Network Manager berdasarkan pada command line). Ia menggunakan ncurses dan memungkinkan kami untuk dengan mudah mengkonfigurasi dari terminal dan tanpa ketergantungan tambahan. Ini menawarkan User Interface, berdasarkan teks, sehingga pengguna membuat modifikasi tersebut dengan mudah.

Dengan seluruh perintah jaringan yang telah kami bahas diatas, kita akan memiliki kesempatan untuk melakukan manajemen yang jauh lebih mudah dan tepat pada berbagai parameter jaringan di lingkungan Linux. Juga Dengan perintah mtr seperti yang kami sebutkan di atas, kami dapat memiliki kontrol yang lebih sederhana atas keadaan jaringan kami dan memeriksa dengan cara yang jauh lebih sentral dengan aspek-aspek berbeda yang berfokus pada pengoptimalannya.

10 Command Line Tools untuk Monitoring Performa Linux Server

Merupakan pekerjaan yang sangat sulit bagi setiap Sistem Administrator atau Network Administrator untuk memantau dan melakukan debugging atas kendala pada Kinerja VPS atau Dedicated Server setiap hari. Setelah menjadi Linux Administrator selama beberapa tahun di industri IT, saya jadi tahu betapa sulitnya memonitor dan menjaga sistem tetap berjalan. Untuk alasan ini, kami telah menyusun daftar 10 alat pemantauan dengan CLI yang sering digunakan yang mungkin berguna untuk setiap Sistem Administrator Linux / Unix. Perintah-perintah ini tersedia dalam semua distro Linux dan dapat bermanfaat untuk memantau dan menemukan penyebab sebenarnya dari masalah kinerja. Daftar perintah yang ditunjukkan di sini sangat cukup bagi Anda untuk memilih salah satu yang cocok untuk skenario pemantauan Anda.

Untuk mengerti mengenai VPS atau Dedicated Server, silahkan baca Artikel kami tentang Apa itu VPS Hosting dan Kenapa Memilih Dedicated Server.

1. Top – Untuk Monitoring Proses di Linux

Perintah “Top” adalah program pemantauan kinerja yang sering digunakan oleh banyak sistem administrator untuk memantau kinerja VPS Murah atau Dedicated Server Linux dan tersedia di banyak sistem operasi seperti Linux / Unix. Perintah top digunakan untuk menampilkan semua proses real-time yang berjalan dan aktif dalam daftar yang diurutkan dan memperbaruinya secara teratur. Ini menampilkan penggunaan CPU, penggunaan memori, Swap Memory, Ukuran Cache, Ukuran Buffer, PID Proses, Pengguna, Perintah dan banyak lagi. Ini juga menunjukkan memori tinggi dan pemanfaatan CPU dari proses yang berjalan. Perintah top sangat berguna bagi sistem administrator untuk memantau dan mengambil tindakan yang benar bila diperlukan. Mari kita lihat perintah top dalam tampilan di Terminal SSH.

[root@herza ~]# top

2. VmStat – Menampilkan Statistik Virtual Memory

Perintah Linux VmStat digunakan untuk menampilkan statistik memori virtual, kernerl threads, disk, proses sistem, blok I/O, interupsi, aktivitas CPU dan banyak lagi. Secara default, perintah vmstat tidak tersedia di sistem Linux, Anda perlu menginstal paket yang disebut sysstat yang mencakup program vmstat. Penggunaan umum format perintah adalah.

[root@herza ~]# vmstat
procs -----------memory---------- ---swap-- -----io---- -system-- ------cpu-----
 r  b   swpd   free   buff  cache   si   so    bi    bo   in   cs us sy id wa st
 0  0      0 160205056   2124 422484    0    0    40     6   68  101  1  0 99  0  0

3. Lsof – Daftar File yang Terbuka

Perintah Lsof digunakan di banyak sistem seperti Linux / Unix yang digunakan untuk menampilkan daftar semua file yang terbuka dan prosesnya. File yang terbuka termasuk file disk, soket jaringan, pipa, perangkat dan proses. Salah satu alasan utama untuk menggunakan perintah ini adalah ketika disk tidak dapat di-unmount dan menampilkan kesalahan bahwa file sedang digunakan atau dibuka. Dengan perintah ini Anda dapat dengan mudah mengidentifikasi file mana yang digunakan. Format yang paling umum untuk perintah ini adalah.

[root@herza ~]# lsof

COMMAND     PID      USER   FD      TYPE     DEVICE     SIZE       NODE NAME
init          1      root  cwd       DIR      104,2     4096          2 /
init          1      root  rtd       DIR      104,2     4096          2 /
init          1      root  txt       REG      104,2    38652   17710339 /sbin/init
init          1      root  mem       REG      104,2   129900     196453 /lib/ld-2.5.so
init          1      root  mem       REG      104,2  1693812     196454 /lib/libc-2.5.so
init          1      root  mem       REG      104,2    20668     196479 /lib/libdl-2.5.so
init          1      root  mem       REG      104,2   245376     196419 /lib/libsepol.so.1
init          1      root  mem       REG      104,2    93508     196431 /lib/libselinux.so.1
init          1      root   10u     FIFO       0,17                 953 /dev/initctl

4. Tcpdump – Analisa Paket Jaringan

Tcpdump salah satu penganalisa paket jaringan berbasis CLI atau program sniffer paket yang paling banyak digunakan yang digunakan menangkap atau memfilter paket TCP/IP yang diterima atau ditransfer pada interface tertentu melalui jaringan. Ini juga menyediakan opsi untuk menyimpan paket yang diambil dalam file untuk analisis nanti. Tcpdump hampir tersedia di semua distribusi Linux utama.

[root@herza ~]# tcpdump -i bond0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bond0, link-type EN10MB (Ethernet), capture size 262144 bytes
21:27:22.123753 IP faeyza.herza.id.8492 > 192.168.111.190.57182: Flags [P.], seq 2011851315:2011851503, ack 2285624019, win 313, length 188
21:27:22.124601 IP faeyza.herza.id.47194 > one.one.one.one.domain: 57506+ PTR? 190.111.168.192.in-addr.arpa. (46)
21:27:22.165263 IP 192.168.111.190.57182 > faeyza.herza.id.8492: Flags [.], ack 188, win 8207, length 0
21:27:22.492830 ARP, Request who-has 192.168.111.52 tell gateway, length 46
21:27:22.493065 ARP, Reply 192.168.111.52 is-at 00:16:3e:07:a3:14 (oui Unknown), length 28
21:27:22.732856 ARP, Request who-has faeyza.herza.id tell gateway, length 46
21:27:22.732884 ARP, Reply faeyza.herza.id is-at 2c:44:fd:7a:14:90 (oui Unknown), length 28
21:27:22.856754 ARP, Request who-has gateway tell 192.168.111.52, length 28
21:27:22.856848 ARP, Reply gateway is-at 74:4d:28:5c:4e:fd (oui Unknown), length 46
21:27:22.957364 ARP, Request who-has gateway tell 192.168.111.190, length 46
21:27:23.418149 STP 802.1w, Rapid STP, Flags [Learn, Forward], bridge-id 8000.74:4d:28:5c:4e:fd.8001, length 43
21:27:23.585423 IP one.one.one.one.domain > faeyza.herza.id.47194: 57506 1/1/0 A 36.86.63.182 (139)
21:27:23.587798 IP faeyza.herza.id.40443 > one.one.one.one.domain: 27688+ PTR? 188.111.168.192.in-addr.arpa. (46)
21:27:23.696104 IP 192.168.111.217.53563 > 239.255.255.250.ssdp: UDP, length 125

15 packets captured
52 packets received by filter
0 packets dropped by kernel
4 packets dropped by interface

5. Netstat – Statistik Network

Netstat adalah alat perintah untuk memantau statistik paket jaringan yang masuk dan keluar serta statistik interface itu sendiri. Ini adalah alat yang sangat berguna bagi setiap sistem administrator untuk memantau kinerja jaringan dan memecahkan masalah terkait jaringan.

[root@herza ~]# netstat -a | more

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State
tcp        0      0 *:mysql                     *:*                         LISTEN
tcp        0      0 *:sunrpc                    *:*                         LISTEN
tcp        0      0 *:realm-rusd                *:*                         LISTEN
tcp        0      0 *:ftp                       *:*                         LISTEN
tcp        0      0 localhost.localdomain:ipp   *:*                         LISTEN
tcp        0      0 localhost.localdomain:smtp  *:*                         LISTEN
tcp        0      0 localhost.localdomain:smtp  localhost.localdomain:42709 TIME_WAIT
tcp        0      0 localhost.localdomain:smtp  localhost.localdomain:42710 TIME_WAIT
tcp        0      0 *:http                      *:*                         LISTEN
tcp        0      0 *:ssh                       *:*                         LISTEN
tcp        0      0 *:https                     *:*                         LISTEN

6. Htop – Pemantauan Proses Linux

Htop adalah alat pemantauan proses Linux interaktif dan real time yang jauh lebih maju. Ini sangat mirip dengan perintah top Linux tetapi memiliki beberapa fitur yang kaya seperti interface yang user-friendly untuk mengelola proses, tombol shortcut, tampilan vertikal dan horizontal dari proses dan banyak lagi. Htop adalah alat pihak ketiga dan tidak termasuk dalam sistem Linux, Anda harus menginstalnya menggunakan alat pengelola paket YUM. Untuk informasi lebih lanjut tentang instalasi, baca artikel kami di bawah ini.

[root@herza ~]# htop
Pemantauan Proses Linux dengan Htop

Untuk instalasi Htop, baca: Instal Htop (Linux Process Monitoring) di Linux

7. Iotop – Monitor Linux Disk I/O

Iotop juga sangat mirip dengan perintah Top dan program Htop, tetapi memiliki fungsi akuntansi untuk memantau dan menampilkan waktu nyata I/O Disk dan proses. Alat ini sangat berguna untuk menemukan proses yang tepat dan proses pembacaan atau penulisan disk yang digunakan.

[root@herza ~]# iotop
Monitor Linux Disk I/O

8. Iostat – Input/Output Statistics

IoStat adalah alat sederhana yang akan mengumpulkan dan menunjukkan statistik sistem input dan output penyimpanan perangkat. Alat ini sering digunakan untuk melacak masalah kinerja perangkat penyimpanan termasuk perangkat, disk lokal, disk jarak jauh seperti NFS.

[root@herza ~]# iostat
Linux 3.10.0-1062.12.1.vz7.131.10 (jakarta.herza.id)    06/18/2020      _x86_64_        (40 CPU)

avg-cpu:  %user   %nice %system %iowait  %steal   %idle
          18.08    0.00    8.83    0.19    0.00   72.90

Device:            tps    kB_read/s    kB_wrtn/s    kB_read    kB_wrtn
sda             361.86      2677.22      4201.82 13940722347 21879529034
dm-0             80.45       166.08       546.61  864821314 2846308241
dm-1            298.36      2437.17      3326.29 12690704790 17320495805
dm-2              1.35        11.81       298.35   61505561 1553531436
ploop32696        4.56         3.51        28.74   18290730  149658641
ploop15306        8.87         5.11        40.70   26616882  211943321
ploop20652        5.97         7.15       150.44   37257207  783382093
ploop51400        0.05         0.09         0.19     487960    1013405
ploop41804       23.46         2.63       242.41   13706706 1262256976
ploop42553        7.34         1.47        31.97    7634166  166483344
ploop34082        3.68        25.17        30.01  131060599  156259387

9. IPTraf – Real Time IP LAN Monitoring

IPTraf adalah utilitas pemantauan real time network (IP LAN) berbasis konsol sumber untuk Linux. Ini mengumpulkan berbagai informasi seperti monitor lalu lintas IP yang melewati jaringan, termasuk informasi flag TCP, rincian ICMP, gangguan traffic TCP / UDP, paket koneksi TCP dan jumlah byne. Ini juga mengumpulkan informasi statistik antarmuka umum dan yang disembunyikan dari TCP, UDP, IP, ICMP, non-IP, kesalahan checksum IP, aktivitas antarmuka dll.

[root@herza ~]# iptraf-ng
IPTraf

10. Psacct or Acct – Monitor Aktivitas Pengguna

Psacct atau Acct sangat berguna untuk memonitor setiap aktivitas pengguna pada sistem. Kedua daemon berjalan di latar belakang dan terus mengawasi aktivitas keseluruhan masing-masing pengguna pada sistem dan juga sumber daya apa yang dikonsumsi oleh mereka.

Alat-alat ini sangat berguna bagi sistem administrator untuk melacak setiap aktivitas pengguna seperti apa yang mereka lakukan, perintah apa yang mereka keluarkan, berapa banyak sumber daya yang digunakan oleh mereka, berapa lama mereka aktif pada sistem dll.

Untuk instalasi dan contoh penggunaan perintah, baca artikel di Monitor Aktivitas Pengguna dengan psacct atau acct

Konfigurasi Network Bridge di Linux

Dalam artikel sebelumnya, saya berbagi langkah-langkah untuk mengkonfigurasi Network Bonding di RHEL / CentOS 7 Linux. Pada artikel ini saya akan menunjukkan kepada Anda panduan langkah demi langkah untuk mengkonfigurasi Network Bridge di Linux menggunakan nmtui (NetworkManager) pada Server CentOS atau RHEL 7. Network Bridge adalah perangkat Link Layer yang meneruskan lalu lintas antar jaringan berdasarkan MAC Address dan karenanya juga disebut sebagai perangkat Layer 2. Bridge networking (juga dikenal sebagai bridging jaringan atau virtual network switcing) akan menempatkan Network Interface dari VPS pada jaringan yang sama dengan interface fisik.

Artikel ini akan sangat berguna bagi Anda pengguna Dedicated Server yang berenca mengkonfigurasi Dedicated Server Anda untuk melayani VPS Murah menggunakan Virtualizor.com.

Anda dapat mengkonfigurasi Network Bridging menggunakan NetworkManager Text User Interface (NMTUI) atau melalui Command Line Interface (CLI) dengan secara manual membuat file konfigurasi yang diperlukan.

Konfigurasi Network Bridge dengan NMTUI

Tool nmtui dapat digunakan untuk mengkonfigurasi jembatan jaringan di jendela terminal. Keluarkan perintah berikut untuk memulai konfigurasi:

[root@herza ~]# nmtui

Setelah menjalankan nmtui, untuk bernavigasi, gunakan tombol panah atau tekan Tab untuk melangkah maju dan tekan Shift + Tab untuk mundur melalui opsi. Tekan Enter untuk memilih opsi. Tekan spasi mengubah status kotak centang.

Dari menu awal, pilih Edit Connection. Pilih Add, layar Koneksi Baru terbuka.

Pilih Bridge yang Anda inginkan untuk mengkonfigurasi Network Bridge, layar Edit koneksi terbuka.

Berikan nama profil dan nama perangkat ke bridging.

Untuk menambahkan antarmuka slave ke bridge, pilih Add, layar New Connection terbuka.

Masukkan nama perangkat slave yang diperlukan atau alamat MAC di bagian Device dan pilih tombol OK.

Jika Anda tidak menentukan MAC Address, bagian Perangkat secara otomatis terisi setelah jendela Edit Connection reload, tetapi hanya jika berhasil menemukan perangkat tersebut.

Nama budak jembatan muncul di bagian Budak.

Jika Anda memiliki server DHCP maka Anda dapat membiarkan alamat IPv4 dan IPv6 diatur ke “Otomatis”. Jika Anda ingin menetapkan IP statis maka secara manual Anda harus mengisi rincian jaringan seperti yang ditunjukkan di bawah ini. Karena kita tidak akan menggunakan IPv6, maka saya telah menetapkan Konfigurasi IPv6 sebagai Ignore.

Tinjau dan konfirmasikan pengaturan sebelum memilih tombol OK yang akan keluar dari utilitas nmtui (NetworkManager).

Selanjutnya, restart layanan jaringan Anda agar perubahan diterapkan.

[root@herza ~]# systemctl restart network

Sekarang periksa konfigurasi jaringan Anda

[root@herza ~]# ifconfig
eno51: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
ether 9c:dc:71:77:ef:51 txqueuelen 1000 (Ethernet)
RX packets 9856 bytes 554308 (541.3 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

eno52: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
ether 9c:dc:71:77:ef:59 txqueuelen 1000 (Ethernet)
RX packets 9895 bytes 557714 (544.6 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 73 bytes 10718 (10.4 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1 (Local Loopback)
RX packets 15454 bytes 1232040 (1.1 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 15454 bytes 1232040 (1.1 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

nm-bridge1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.43.138.12 netmask 255.255.255.255 broadcast 10.43.138.12
inet6 fe80::9edc:71ff:fe77:ef59 prefixlen 64 scopeid 0x20<link>
ether 9c:dc:71:77:ef:59 txqueuelen 1000 (Ethernet)
RX packets 46 bytes 2324 (2.2 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 37 bytes 5336 (5.2 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

virbr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.122.1 netmask 255.255.255.0 broadcast 192.168.122.255
ether 52:54:00:2c:4b:76 txqueuelen 1000 (Ethernet)
RX packets 2892 bytes 617616 (603.1 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 4322 bytes 372843 (364.1 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

vnet1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet6 fe80::fc54:ff:fe1c:8df6 prefixlen 64 scopeid 0x20<link>
ether fe:54:00:1c:8d:f6 txqueuelen 1000 (Ethernet)
RX packets 162 bytes 46797 (45.7 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 1487 bytes 85335 (83.3 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Akhirnya sekarang kita akan memvalidasi konektivitas briding yang barusan kita buat.

[root@herza ~]# ping 10.43.138.30
PING 10.43.138.30 (10.43.138.30) 56(84) bytes of data.
64 bytes from 10.43.138.30: icmp_seq=1 ttl=64 time=39.4 ms
64 bytes from 10.43.138.30: icmp_seq=2 ttl=64 time=10.8 ms
^C
--- 10.43.138.30 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 10.826/25.147/39.469/14.322 ms

Jadi ketika kita dapat terhubung ke gateway kita yang berarti bridging kita berfungsi seperti yang diharapkan.

Konfigurasi Network Bridge menggunakan CLI

Untuk mengkonfigurasi jembatan jaringan, buat file di direktori /etc/sysconfig/network-scripts/ yang disebut ifcfg-brN, ganti N dengan nomor untuk antarmuka, seperti 0. Untuk kasus kami, kami akan membuat ifcfg-br0.

Isi file antarmuka jembatan dan file antarmuka ethernet hampir. Perbedaan dalam contoh ini adalah sebagai berikut:

  • Arahan DEVICE diberikan nama antarmuka sebagai argumennya dalam format brN, di mana N diganti dengan jumlah antarmuka.
  • Arahan TYPE diberi argumen Bridge. Arahan ini menentukan jenis perangkat dan argumennya peka terhadap huruf besar-kecil.
  • File konfigurasi antarmuka jembatan sekarang memiliki alamat IP dan antarmuka fisik hanya memiliki alamat MAC.
  • Arahan ekstra, DELAY=0, ditambahkan untuk mencegah jembatan menunggu saat memantau lalu lintas, mengetahui di mana host berada, dan membuat tabel MAC Address yang menjadi dasar keputusan penyaringannya.
  • Tambahkan NM_CONTROLLED=no ke antarmuka Ethernet untuk mencegah NetworkManager mengubah file.

Berikut ini adalah file konfigurasi antarmuka antarmuka sampel menggunakan alamat IP statis:

[root@herza ~]# cat ifcfg-br0
DEVICE=nm-bridge0
STP=no
TYPE=Bridge
BOOTPROTO=none
IPADDR=10.43.138.12
PREFIX=32
GATEWAY=10.43.138.30
IPV6INIT=no
NAME=br0
ONBOOT=yes
DELAY=0

Untuk menyelesaikan Network Bridging, kita harus membuat antarmuka lain, atau Anda dapat menggunakan antarmuka yang ada, dan arahkan ke antarmuka bridge tersebut. Berikut ini adalah contoh file konfigurasi antarmuka Ethernet yang menunjuk ke antarmuka jembatan. Konfigurasikan antarmuka fisik Anda di /etc/sysconfig/network-scripts/ ifcfg-ethX, di mana X adalah nomor unik yang terkait dengan antarmuka tertentu, sebagai berikut:

[root@herza ~]# cat ifcfg-eth0
TYPE=Ethernet
NAME="eth0
DEVICE=eth0
ONBOOT=yes
BRIDGE=nm-bridge0

Karena penamaan perangkat jaringan yang berbeda-beda, nama interface dapat berupa ethX atau enX atau akan tergantung pada jenis kartu jaringan.

Terakhir, restart layanan jaringan Anda agar perubahan diterapkan.

[root@herza ~]# systemctl restart network

Saya harap artikel ini untuk mengkonfigurasi Network Bridge menggunakan NetworkManager nmtui di RHEL / CentOS 7/8 Linux bermanfaat.

Konfigurasi Network Bonding di Linux

NIC (Network Interface Card) Bonding juga dikenal sebagai Network Bonding di Linux. Ini dapat didefinisikan sebagai agregasi atau kombinasi dari beberapa NIC menjadi satu ikatan interface. Tujuan utamanya adalah untuk menyediakan ketersediaan tinggi dan redundansi jaringan pada Server Linux Anda.

Jika Anda pengguna Dedicated Server yang menginginkan realibilitas dari jaringan atau konektivitas Server Anda, maka Network Bonding adalah salah satu opsi yang harus anda pertimbangkan.

Harap jangan salah mengerti antara Network Bonding dengan Network Bridging. Mereka adalah bukan hal yang sama. Untuk mengetahui apa itu Network Bridge, silahkan membaca Artikel kami tentang Konfigurasi Network Bridge di Linux.

Pada artikel ini kita akan belajar cara mengkonfigurasi Network Bonding dengan menggunakan CentOS 7 & RHEL 7. Dalam kasus saya, saya memiliki dua kartu antarmuka (enp0s3 & enp0s8) dan akan membentuk interface bonding (bond0).

Catatan: Nama Network Interface pada tiap tiap merek Server bisa berbeda-beda. Mulai dari eth0, em1 dan lain lain.

Jenis-jenis Network Bond

Mode yang berbeda digunakan dalam file bonding.conf yang dapat disesuaikan dengan kebutuhan Anda.

  1. balan-rr atau 0 – Mode round-robin untuk toleransi kesalahan dan load-balancing.
  2. active-backup atau 1 – Mengatur mode cadangan aktif untuk toleransi kesalahan.
  3. balance-xor or 2 – Mengatur mode XOR (eksklusif-atau) untuk toleransi kesalahan dan load-balancing.
  4. broadcast atau 3 – Mengatur mode siaran untuk toleransi kesalahan. Semua transmisi dikirim pada semua antarmuka slave.
  5. 802.3ad atau 4 – Menetapkan mode agregasi tautan dinamis IEEE 802.3ad. Membuat grup agregasi yang berbagi pengaturan kecepatan & dupleks yang sama.
  6. balance-tlb atau 5 – Mengatur mode Transmit Load Balancing (TLB) untuk toleransi kesalahan & penyeimbangan muatan.
  7. balance-alb atau 6 – Menetapkan mode Active Load Balancing (ALB) untuk toleransi kesalahan & load balancing.

Jika Anda tidak mengerti maksud dan penggunaan pada masing-masing mode, maka kami menyarankan untuk menggunakan mode 1 atau Round-Robin untuk toleransi keselahan dengan Load Balancing.

Network Bonding di CentOS 7 Linux

Jika modul bonding belum dimuat pada Server Linux Anda, maka gunakan perintah di bawah ini untuk memuatnya.

[root@openstack ~]# modprobe bonding

Untuk daftar info modul bonding, gunakan perintah berikut.

[root@openstack ~]# modinfo bonding

Output akan seperti di bawah ini

Modul Network Bonding

Langkah: 1 Buat File Bond Interface

Buat file bonding interface (ifcfg-bond0) pada folder “/etc/sysconfig/network-scripts/”

[root@openstack network-scripts]# vi ifcfg-bond0
DEVICE=bond0
TYPE=Bond
NAME=bond0
BONDING_MASTER=yes
BOOTPROTO=none
ONBOOT=yes
IPADDR=192.168.1.70
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
BONDING_OPTS="mode=5 miimon=100"

Simpan & keluar dari file.

Tentukan alamat IP, mode Netmask & bonding sesuai kebutuhan Anda. Dalam contoh saya, saya menggunakan ‘mode = 5 ′ yang digunakan untuk memberikan toleransi kesalahan dan penyeimbangan muatan.

Step:2 Edit the NIC interface files

Untuk ifcfg-enp0s3

[root@openstack ~]# vi /etc/sysconfig/network-scripts/ifcfg-enp0s3
TYPE=Ethernet
BOOTPROTO=none
DEVICE=enp0s3
ONBOOT=yes
HWADDR="08:00:27:69:60:c9"
MASTER=bond0
SLAVE=yes

Untuk ifcfg-enp0s8

[root@openstack ~]# cat /etc/sysconfig/network-scripts/ifcfg-enp0s8
TYPE=Ethernet
BOOTPROTO=none
DEVICE=enp0s8
ONBOOT=yes
HWADDR="08:00:27:ea:71:8d"
MASTER=bond0
SLAVE=yes

Langkah: 3 Restart Layanan Jaringan

Perintah di bawah ini akan merestart kembali layanan jaringan dan akan membawa perubahan diatas untuk berfungsi.

[root @ openstack ~] # systemctl restart network.service

Langkah: 4 Uji & Verifikasi Bonding Interface

Gunakan perintah ‘ifconfig‘ & ‘ip add‘ untuk memeriksa antarmuka bond bersama dengan antarmuka slave-nya.

Memeriksa Bonding Interface pada Server

Gunakan perintah berikut untuk melihat pengaturan antarmuka ikatan seperti mode ikatan & antarmuka slave.

[root@openstack ~]# cat /proc/net/bonding/bond0
Pengaturan Network Bonding

Langkah: 5 Pengujian toleransi kesalahan

Untuk menguji toleransi kesalahan kami akan mematikan satu interface dan memeriksa apakah kita masih dapat mengakses server.

[root @ openstack ~] # ifdown enp0s8
Device 'enp0s8' successfully disconnected.
[root @ openstack ~] #
Verifikasi Konfigurasi Network Bonding

Cukup mudah bukan? Sekarang, setelah Anda membuat ikatan pada interface jaringan Anda, jangan lupa untuk mengamankan Server Anda. Silahkan baca Artikel kami 10 Cara Mengamankan Server Linux Anda dan Panduan Dasar IPTables untuk konfigurasi pengamanan pada Dedicated Server Anda.

Cara Konfigurasi Firewalld di CentOS 7

Firewall yang dikonfigurasi dengan benar adalah salah satu aspek terpenting dari keamanan sistem Linux secara keseluruhan. Pada kesempatan ini kita akan membahas Cara Konfigurasi Firewalld di CentOS 7. Hal ini akan sangat berguna bagi Anda yang menggunakan layanan VPS Murah dan Dedicated Server dari Herza.ID.

FirewallD adalah solusi firewall lengkap yang mengelola aturan sistem iptables dan menyediakan antarmuka D-Bus untuk mengoperasikannya. Dimulai dengan CentOS 7, FirewallD menggantikan iptables sebagai alat manajemen firewall default pada Sistem Linux Anda.

Jika Anda lebih menyukai untuk menggunakan layanan IPTables daripada FirewallD, maka silahkan membaca Artikel kami tentang Panduan Dasar Menggunakan IPTables.

Dalam tutorial ini, kami menunjukkan kepada Anda cara mengatur firewall dengan FirewallD pada sistem CentOS 7 Anda dan menjelaskan kepada Anda konsep dasar FirewallD.

Sebelum Anda mulai dengan tutorial ini, pastikan Anda masuk ke server Anda dengan akun pengguna dengan hak sudo atau dengan pengguna root. Praktik terbaik adalah menjalankan perintah administratif sebagai pengguna sudo daripada user root.

Jika Anda tidak memiliki pengguna sudo di sistem CentOS Anda, Anda dapat membuatnya dengan mengikuti pada Artikel kami Cara Membuat User Sudo di CentOS 7.

Konsep Dasar Firewalld

FirewallD menggunakan konsep zona dan layanan, ketimbang pengaturan menggunakan chain dan rules dengan iptables. Berdasarkan zona dan layanan yang akan Anda konfigurasi, Anda dapat mengontrol lalu lintas apa yang diizinkan atau tidak diizinkan ke dan dari sistem.

FirewallD dapat dikonfigurasi dan dikelola menggunakan utilitas command-line firewall-cmd.

Zona Firewalld

Zona adalah seperangkat aturan yang ditentukan yang menetapkan lalu lintas apa yang harus diizinkan berdasarkan tingkat kepercayaan pada jaringan yang terhubung dengan komputer Anda. Anda dapat menetapkan antarmuka dan sumber jaringan ke zona.

Berikut adalah zona yang disediakan oleh FirewallD yang dipesan sesuai dengan tingkat kepercayaan zona dari tidak dipercaya menjadi tepercaya:

  • drop: Semua koneksi yang masuk terputus tanpa pemberitahuan. Hanya koneksi keluar yang diizinkan.
  • block: Semua koneksi masuk ditolak dengan pesan icmp-host-dilarang untuk IPv4 dan icmp6-adm-dilarang untuk IPv6n. Hanya koneksi keluar yang diizinkan.
  • public: Untuk digunakan di area publik yang tidak terpercaya. Anda tidak mempercayai komputer lain di jaringan, tetapi Anda dapat mengizinkan koneksi masuk yang dipilih.
  • external: Untuk digunakan pada jaringan eksternal dengan penyamaran NAT diaktifkan ketika sistem Anda bertindak sebagai gateway atau router. Hanya koneksi masuk terpilih yang diizinkan.
  • internal: Untuk digunakan pada jaringan internal ketika sistem Anda bertindak sebagai gateway atau router. Sistem lain pada jaringan umumnya dipercaya. Hanya koneksi masuk terpilih yang diizinkan.
  • dmz: Digunakan untuk komputer yang berlokasi di zona demiliterisasi Anda yang memiliki akses terbatas ke seluruh jaringan Anda. Hanya koneksi masuk terpilih yang diizinkan.
  • work: Digunakan untuk mesin kerja. Komputer lain di jaringan umumnya dipercaya. Hanya koneksi masuk terpilih yang diizinkan.
  • home: Digunakan untuk mesin rumah. Komputer lain di jaringan umumnya dipercaya. Hanya koneksi masuk terpilih yang diizinkan.
  • trusted: Semua koneksi jaringan diterima. Percayai semua komputer di jaringan.

Layanan firewall

Layanan Firewalld adalah aturan yang telah ditentukan yang berlaku di dalam zona dan menentukan pengaturan yang diperlukan untuk memungkinkan lalu lintas masuk untuk layanan tertentu.

Firewalld Runtime dan Pengaturan Permanen

Firewalld menggunakan dua set konfigurasi yang terpisah, runtime, dan konfigurasi permanen.

Konfigurasi runtime adalah konfigurasi yang sedang berjalan, dan tidak persisten saat reboot. Ketika layanan Firewalld dimulai, ia memuat konfigurasi permanen, yang menjadi konfigurasi runtime.

Secara default, ketika membuat perubahan pada konfigurasi Firewalld menggunakan utilitas firewall-cmd, perubahan diterapkan pada konfigurasi runtime. Untuk membuat perubahan permanen, Anda perlu menggunakan opsi –permanent.

Menginstal dan Mengaktifkan FirewallD

  1. Firewalld diinstal secara default pada CentOS 7, tetapi jika tidak diinstal pada sistem Anda, Anda dapat menginstal paket dengan mengetik:
    yum install firewalld
  2. Layanan Firewalld dinonaktifkan secara default. Anda dapat memeriksa status firewall dengan perintah:
    firewall-cmd --state
    Jika Anda baru saja menginstal atau tidak pernah diaktifkan sebelumnya, perintah akan memberikan jawaban not running atau tidak berfungsi. Jika tidak, Anda akan melihat running atau berfungsi.
  3. Untuk memulai layanan FirewallD dan mengaktifkannya pada tipe boot:
    systemctl start firewalld
    systemctl enable firewalld

Konfigurasi FirewallD

Dalam panduan konfgurasi firewalld kali ini, kita akan mebahas penggunaan zona publik sebagai zona default. Jadi dalam Tutorial ini, kita tidak akan membahas zona zona lainnya pada FirewallD agar tidak perlu repot malakukan konfigurasi FirewallD tingkat lanjutan. Kita akan membuat rule untuk default-zone tersebut dan ketika firewalld direstart, maka zona tersebut akan menjadi zona yang ditetapkan pada interface.

Tahapan selanjutnya adalah dengan membuat rule pada firewall atas layanan yang diizinkan untuk berfungsi dengan FirewallD. Dan paling pertama dan utama, adalah dengan mengizinkan layanan SSH, karena kita membutuhkan koneksi SSH untuk remote server administratif jarak jauh. Jika layanan SSH tidak diizinkan dalam firewalld, maka kita tidak dapat login ke Server.

Port default pada SSH adalah menggunakan Port 22. Jika Anda belum mengubah port tersebut dari CentOS 7, Anda dapat mengaktifkan layanan SSH hanya dengan mengetik nama layanannya seperti dibawah ini:

firewall-cmd --permanent --add-service=ssh

Jika Anda telah melakukan perubahan port SSH pada server Anda, maka Anda akan harus menentukan port baru tersebut secara eksplisit dan menghapus layanan SSH Default pada firewalld agar port 22 tidak dapat diakses oleh Publik.

sudo firewall-cmd --permanent --remove-service=ssh 
sudo firewall-cmd --permanent --add-port=5555/tcp

Baca juga Artikel kami mengenai 10 Cara Mengamakan Server Linux Anda. Pada Artikel tersebut, kita membahas tentang cara merubah Port SSH Default pada Sistem Linux Anda.

Hal tersebut adalah langkah awal yang perlu Anda lakukan untuk mempertahankan akses administratif ke server Anda. Tahapan selanjutnya adalah dengan menambahkan layanan lainnya yang ingin Anda gunakan dengan membuka firewall untuk layanan-layanan tersebut.

Jika Anda berencana untuk menjalankan web server HTTP konvensional, Anda akan harus mengaktifkan layanan http dengan menggunakan perintah sebagai berikut:

sudo firewall-cmd --permanent --add-service=http

Untuk mengizinkan akses SSL/TLS pada Web Server, anda harus mengizinkan traffic https dengan menjalankan perintah ini:

sudo firewall-cmd --permanent --add-service=https

Jika anda membutuhkan akses email dengan SMTP

sudo firewall-cmd --permanent --add-service=smtp

Anda bisa melihat daftar service, kemudian anda bisa memilih apa saja yang ingin anda tambahkan seperti contoh sebelumnya. Untuk melihat list service ketik:

sudo firewall-cmd --get-services

Setelah anda selesai, anda bisa melihat semua service yang telah anda tambahkan dalam daftar rule firewall dan service mana saja yang diizinkan firewall

sudo firewall-cmd --permanent --list-all

Untuk dapat mengizinkan layanan tertentu yang menggunakan Port Custom dengan interface UDP atau TCP, Anda dapat menggunakan perintah yang kurang lebih sama seperti mengizinkan layanan SSH dengan Port Custom seperti dibawah ini:

TCP: sudo firewall-cmd --permanent --add-port=1234/tcp
UDP: sudo firewall-cmd --permanent --add-port=1234/udp

Dan jika Anda ingin mengizinkan traffic dengan rentang port lebih dari satu, maka Anda dapat menggunakan perintah dibawah ini:

sudo firewall-cmd --permanent --add-port=1001-1005/tcp

Kemudian setelah anda siap untuk menerapkan perubahan pada firewalld Anda, silahkan reload firewalld menggunakan perintah:

sudo firewall-cmd --reload

Jika semua berjalan dengan baik, jangan lupa untuk mengaktifkan firewall secara otomatis setelah system reboot.

sudo systemctl enable firewalld

Selesai, kini server anda mempunyai konfigurasi firewall untuk keamanan server dan sedikit lebih tahu bagaimana cara konfigurasi firewalld di centos 7.

Cara Membuat User Sudo di CentOS 7

Jika Anda dalah pengguna VPS Murah atau Dedicated Server dari Herza.ID, maka Artikel ini akan sangat bermanfaat bagi Anda. Salah satu cara mengamankan server linux anda adalah dengan membuat user sudo yang dapat bertindak sebagai user root, tanpa harus login dengan user root.

Perintah sudo menyediakan mekanisme untuk memberikan hak administrator, biasanya hanya tersedia untuk pengguna root, untuk pengguna normal. Panduan ini akan menunjukkan kepada Anda cara termudah untuk membuat pengguna baru dengan akses sudo di CentOS, tanpa harus memodifikasi file sudoer server Anda. Jika Anda ingin mengonfigurasi sudo untuk pengguna yang ada, cukup lewati ke langkah 3.

Tahapan untuk Membuat User Sudo Baru

  1. Masuk ke server Anda sebagai user root.
    ssh root@server_ip_address
  2. Gunakan perintah adduser untuk menambahkan pengguna baru ke sistem Anda. Pastikan untuk mengganti username dengan pengguna yang ingin Anda buat.
    adduser username
  3. Gunakan perintah passwd untuk memperbarui kata sandi pengguna baru tersebut.
    passwd username
    Setel dan konfirmasikan kata sandi pengguna baru saat diminta. Buatlah kata sandi yang susah untuk dikenali!
Changing password for user username.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
  1. Gunakan perintah usermod untuk menambahkan pengguna ke grup wheel. Secara default, pada CentOS, anggota grup wheel memiliki hak sudo.
usermod -aG wheel username
  1. Uji akses sudo pada akun pengguna baru dengan cara sebagai berikut.
  • Gunakan perintah su untuk beralih ke akun pengguna baru.
    su – username
  • Sebagai pengguna baru, verifikasi bahwa Anda dapat menggunakan sudo dengan menambahkan “sudo” ke perintah yang ingin Anda jalankan dengan hak superuser.
    sudo command_to_run
  • Sebagai contoh, Anda dapat membuat daftar isi direktori / root, yang biasanya hanya dapat diakses oleh pengguna root.
    sudo ls -la /root
  • Pertama kali Anda menggunakan sudo dalam suatu sesi, Anda akan dimintai kata sandi akun pengguna. Masukkan kata sandi untuk melanjutkan.
    [sudo] password for username:
  • Jika pengguna Anda berada di grup yang tepat dan Anda memasukkan kata sandi dengan benar, perintah yang Anda keluarkan dengan sudo harus dijalankan dengan hak akses root.

Demikian Tutorial kali ini, dengan informasi yang singkat dan jelas untuk dapat dimengerti mengenai cara membuat user sudo pada CentOS 7. Jangan lupa untuk membaca Artikel kami lainnya seperti Cara Menonaktifkan Login Root di SSH dan penjelasan dan cara penggunakan IPTables dan FirewallD.

10 Cara Mengamankan Server Linux Anda

Kali ini kami akan membagi 10 Cara Mengamankan Server Linux Anda. Banyak orang mengatakan bahwa Linux aman secara default, Ini adalah topik yang dapat diperdebatkan. Namun, Linux memiliki model keamanan bawaan di tempatnya secara default. Hanya perlu menyesuaikan sesuai kebutuhan Anda yang dapat membantu membuat sistem lebih aman. Linux lebih sulit untuk dikelola tetapi menawarkan lebih banyak fleksibilitas dan opsi konfigurasi.

Mengamankan Server Linux dari tangan peretas atau hacker adalah tugas yang menantang bagi seorang System Administrator. Ini adalah artikel pertama kami yang terkait dengan “Cara Mengamankan Linux Server”. Dalam posting ini Kami akan menjelaskan 10 Cara Mengamankan Server Linux yang berguna untuk Anda. Semoga, tip & trik di bawah ini akan membantu Anda memperluas wawasan untuk mengamankan sistem Anda.

1. Membuang layanan yang tidak diperlukan

Apakah Anda benar-benar ingin semua jenis layanan diinstal? Dianjurkan untuk menghindari menginstal paket yang tidak berguna untuk menghindari kerentanan dalam paket. Ini dapat meminimalkan risiko dari satu layanan yang dapat menyebabkan kompromi layanan lain. Temukan dan hapus atau nonaktifkan layanan yang tidak diinginkan dari server Linux Anda untuk meminimalkan kerentanan. Gunakan perintah ‘chkconfig‘ untuk mencari tahu layanan yang berjalan di runlevel 3.

# /sbin/chkconfig --list |grep '3:on'

Setelah Anda mengetahui ada layanan yang tidak diinginkan sedang berjalan, nonaktifkan layanan tersebut menggunakan perintah berikut.

# chkconfig serviceName off

Gunakan manajer paket RPM seperti “yum” atau “apt-get” untuk mendaftar semua paket yang diinstal pada sistem dan menghapusnya menggunakan perintah berikut.

# yum -y remove package-name

atau

# sudo apt-get remove package-name

2. Periksa Port Yang Terbuka di Server Anda

Dengan bantuan perintah jaringan ‘netstat‘, Anda dapat melihat semua port terbuka dengan program yang terkait. Seperti yang saya katakan di atas, gunakan perintah ‘chkconfig‘ untuk menonaktifkan semua layanan jaringan yang tidak diinginkan dari sistem.

# netstat -tulpn

3. Amankan Akses SSH ke Server Anda

Protokol Telnet dan rlogin menggunakan teks biasa, bukan format terenkripsi yang menjadi sangat rentan dari sisi keamanan Server Anda. SSH adalah protokol aman yang menggunakan teknologi enkripsi selama komunikasi dengan server.

Jangan pernah login langsung sebagai root kecuali diperlukan. Gunakan “sudo” untuk menjalankan perintah. sudo ditentukan dalam file /etc/sudoers yang juga dapat diedit dengan utilitas “visudo” yang terbuka di editor VI.

Juga sangat disarankan untuk mengubah nomor port default SSH 22 dengan beberapa nomor port level lebih tinggi lainnya. Buka file konfigurasi SSH utama dan buat beberapa parameter berikut untuk membatasi pengguna untuk mengakses.

# vi /etc/ssh/sshd_config

Merubah Port Default SSH

Port 22 >>> Port 8822

Mematikan Akses Login root

PermitRootLogin yes >>> PermitRootLogin no

Hanya izinkan Pengguna Tertentu

AllowUsers username

Menggunakan SSH Protokol 2

Protocol 2

Baca Artikel kami yang lebih lengkap tentang Mengamankan SSH Server Linux Anda.

4. Selalu Mengupdate Server Linux Anda

Selalu perbarui sistem dengan patch rilis terbaru, perbaikan keamanan, dan kernel saat tersedia.

# yum updates
# yum check-update

5. Mengaktifkan SELinux

Security Enhanced Linux (SELinux) adalah mekanisme keamanan kontrol akses wajib yang disediakan di kernel. Menonaktifkan SELinux berarti menghapus mekanisme keamanan dari sistem. Berpikir dua kali dan berhati-hati sebelum menghapus, jika sistem Anda terhubung ke internet dan diakses oleh publik, maka pikirkan lagi.

SELinux menyediakan tiga mode operasi dasar dan mereka.

  • Enforcing: Ini adalah mode default yang memungkinkan dan menegakkan kebijakan keamanan SELinux pada mesin.
  • Permissive: Dalam mode ini, SELinux tidak akan memberlakukan kebijakan keamanan pada sistem, hanya memperingatkan dan mencatat tindakan. Mode ini sangat berguna dalam hal mengatasi masalah SELinux terkait masalah.
  • Disable: SELinux dimatikan

Anda dapat melihat status mode SELinux saat ini dari baris perintah menggunakan perintah ‘system-config-selinux‘, ‘getenforce‘ atau ‘sestatus‘.

# sestatus

Jika dinonaktifkan, aktifkan SELinux menggunakan perintah berikut.

# setenforce enforcing

Ini juga dapat dikelola dari file ‘/etc/selinux/config‘, di mana Anda dapat mengaktifkan atau menonaktifkannya.

6. Menonaktifkan IPv6 Jika Tidak digunakan

Jika Anda tidak menggunakan protokol IPv6, maka Anda harus menonaktifkannya karena sebagian besar aplikasi atau kebijakan tidak memerlukan protokol IPv6 dan saat ini tidak diperlukan di server. Buka file konfigurasi jaringan dan tambahkan baris berikut untuk menonaktifkannya.

# vi /etc/sysconfig/network

NETWORKING_IPV6=no
IPV6INIT=no

7. Mengaktifkan Firewall iptables / firewalld

Sangat disarankan untuk mengaktifkan firewall Linux untuk mengamankan akses yang tidak sah dari atau/dan ke server Anda. Terapkan aturan dalam iptables untuk memfilter paket masuk, keluar dan forwarding. Kita dapat menentukan sumber dan alamat tujuan untuk mengizinkan dan menolak dalam nomor port udp / tcp tertentu.

Baca Artikel kami tentang Panduan Dasar IPtables di Server Linux.

8. Memeriksa Akun untuk Kata Sandi Kosong

Akun apa pun yang memiliki kata sandi kosong berarti terbuka untuk akses tidak sah dari siapa pun di Internety dan itu merupakan bagian dari keamanan yang sangat fatal di dalam server Linux. Jadi, Anda harus memastikan semua akun memiliki kata sandi yang kuat dan tidak ada yang memiliki akses resmi selain Anda sendiri. Akun kata sandi kosong adalah risiko keamanan dan dapat dengan mudah diretas. Untuk memeriksa apakah ada akun dengan kata sandi kosong, gunakan perintah berikut.

# cat /etc/shadow | awk -F: '($2==""){print $1}'

9. Abaikan ICMP atau Permintaan Broadcast

Tambahkan baris berikut dalam file “/etc/sysctl.conf” untuk mengabaikan permintaan ping atau broadcast.

Ignore ICMP request:
net.ipv4.icmp_echo_ignore_all = 1

Ignore Broadcast request:
net.ipv4.icmp_echo_ignore_broadcasts = 1

Muat pengaturan atau perubahan baru, dengan menjalankan perintah berikut

# sysctl -p

10. Tinjau Log secara teratur

Memindahkan log di server log khusus, ini dapat mencegah penyusup untuk dengan mudah memodifikasi log lokal. Di bawah ini adalah nama file log default Linux Biasa dan penggunaannya:

  1. / var / log / message – Di mana seluruh log sistem atau log aktivitas saat ini tersedia.
  2. /var/log/auth.log – Log otentikasi.
  3. /var/log/kern.log – Log kernel.
  4. /var/log/cron.log – Crond logs (cron job).
  5. /var/log/maillog – Log server mail.
  6. /var/log/boot.log – Log boot sistem.
  7. /var/log/mysqld.log – File log server database MySQL.
  8. /var/log/ secure – Log otentikasi.
  9. /var/log/ utmp atau / var / log / wtmp: File catatan masuk.
  10. /var/log/yum.log: File log Yum.

Penutup

Jika Anda mempunyai Informasi tambahan tentang cara mengamakan Server Linux, silahkan untuk menuliskan komentar Anda dibawah. Kami dengan sangat senang hati menerima segala masukan yang penting untuk dapat dibagi dengan yang lainnya.