Setting CSF

[cloud3peace]

Dear all,

Saya sedang belajar menggunakan CSF untuk mengatur keamanan VPS saya.
Karena baru pertama kali sehingga agak bingung untuk melakukan setting.
Oleh karena itu, saya melampirkan screenshot dari hasil Cek Server Security
https://www.dropbox.com/s/osphskdgcrk174p/csf.jpg

Kira-kira setting apa yang perlu saya ubah?
Bisa dijelasin?

Karena saya Web Developer jadi VPS saya menampung Web dari klien-klien saya alias Shared Hosting.


Terima kasih

 

[kudahitamnet]

Sebetulnya agak susah mas untuk memaparkan seluruh settingan CSF yang ideal di forum, mengingat:

- Settingan CSF sangat komplek, jadi buanyak banget yang musti dijelasin.
- Tidak semua settingan CSF harus dipenuhi, seperti analogi yang selalu saya pakai kalo make gesper itu jangan terlalu kencang ikatannya bisa jadi sesak/menyiksa diri sendiri, kalo misalnya perut kegendutan, sakit lah, malah jadi gak comfortable.
- Tiap hoster punya settingan beda-beda untuk kebutuhan server, termasuk memperhitungkan banyaknya clients, spesifikasi server, dan tetek bengek lainnya.

Tapi kalo memang butuh banget settingan CSF untuk menaikan score CSF, disini sudah saya buat tutorialnya (walopun belum semuanya saya tulis):

http://www.kudahitam.net/blog/category/csf/

Semoga membantu :o

 

[deRegen]

settingan csf by default untuk keperluan dasar firewall saya rasa bisa mengakomodir. Untuk memenuhi kebutuhan lainnya, coba pelan2 mengobrak abrik file config-nya, disana terletak penjelesan singkat. modal awal tentunya memahami konsep firewall/security.

 

[cloud3peace]

Sebetulnya agak susah mas untuk memaparkan seluruh settingan CSF yang ideal di forum, mengingat:

- Settingan CSF sangat komplek, jadi buanyak banget yang musti dijelasin.
- Tidak semua settingan CSF harus dipenuhi, seperti analogi yang selalu saya pakai kalo make gesper itu jangan terlalu kencang ikatannya bisa jadi sesak/menyiksa diri sendiri, kalo misalnya perut kegendutan, sakit lah, malah jadi gak comfortable.
- Tiap hoster punya settingan beda-beda untuk kebutuhan server, termasuk memperhitungkan banyaknya clients, spesifikasi server, dan tetek bengek lainnya.

Tapi kalo memang butuh banget settingan CSF untuk menaikan score CSF, disini sudah saya buat tutorialnya (walopun belum semuanya saya tulis):

http://www.kudahitam.net/blog/category/csf/

Semoga membantu :o

settingan csf by default untuk keperluan dasar firewall saya rasa bisa mengakomodir. Untuk memenuhi kebutuhan lainnya, coba pelan2 mengobrak abrik file config-nya, disana terletak penjelesan singkat. modal awal tentunya memahami konsep firewall/security.

Terima kasih atas saran-sarannya.
Setelah saya baca-baca ternyata benar.
Tidak susah untuk dimengerti karena setiap opsi terdapat penjelasan.
Apalagi dibantu dengan google sehingga istilah-istilah yang asing bisa cari di situ.
Dan benar juga bahwa setting2 tersebut harus sesuai dengan kebutuhan masing-masing, kalau buat personal bisa ketat banget tetapi kalau buat pakai bersama, harus dikit longgar agar tidak dikomplain

Oya, kalau kita pakai CSF apakah CPHulk tetap dibiarkan enable saja?

 

[JuraganWebHosting]

CSF by default memang sudah sudah bisa mengakomodir kebutuhan standard web hosting, jadi tidak perlu di setting lagi kecuali perlu membuka port tertentu yang tidak umum. Kalau untuk CPHulk sepertinya bisa dibiarkan enable saja karena menurut http://forums.cpanel.net/f185/cphulk-vs-csf-241251.html , keduanya berbeda tapi bisa jalan berdampingan IMHO..

 

[cloud3peace]

CSF by default memang sudah sudah bisa mengakomodir kebutuhan standard web hosting, jadi tidak perlu di setting lagi kecuali perlu membuka port tertentu yang tidak umum. Kalau untuk CPHulk sepertinya bisa dibiarkan enable saja karena menurut http://forums.cpanel.net/f185/cphulk-vs-csf-241251.html , keduanya berbeda tapi bisa jalan berdampingan IMHO..

Thanks atas infonya.
Saya sendiri juga biarkan enable dan so far tidak ada masalah sih.

Oya, mau nanya maksud dari setting berkut ini apa yah:
Check csf PT_ALL_USERS option
This option ensures that almost all Linux accounts are checked with Process Tracking, not just the cPanel ones

Check php for ini_set disabled
You should consider adding ini_set to the disable_functions in the PHP configuration as this setting allows PHP scripts to override global security and performance settings for PHP scripts. Adding ini_set can break PHP scripts and commenting out any use of ini_set in such scripts is advised

Thanks

 

[kudahitamnet]

Oya, mau nanya maksud dari setting berkut ini apa yah:
Check csf PT_ALL_USERS option
This option ensures that almost all Linux accounts are checked with Process Tracking, not just the cPanel ones

Kalau ini, CSF akan memantau gak hanya cPanel aja, tapi seluruh proses linux.
Di WHM root → CSF → Firewall Configuration → search PT_ALL_USERS → ubah ke 1

Check php for ini_set disabled
You should consider adding ini_set to the disable_functions in the PHP configuration as this setting allows PHP scripts to override global security and performance settings for PHP scripts. Adding ini_set can break PHP scripts and commenting out any use of ini_set in such scripts is advised

Thanks

Kalau yang ini, mendisable ini_set. Tapi kalo misalnya ada halaman yang error misalnya ini_set disabled, remove aja di page kita yang ada # nya.
Di WHM root → PHP Configuration Editor → Advanced Mode → search disable_functions → tambahkan ini_set

 

[cloud3peace]

Terima kasih atas penjelasannya

Kalau ini, CSF akan memantau gak hanya cPanel aja, tapi seluruh proses linux.
Di WHM root → CSF → Firewall Configuration → search PT_ALL_USERS → ubah ke 1

Berarti opsi ini kudu di-enable nih

Kalau yang ini, mendisable ini_set. Tapi kalo misalnya ada halaman yang error misalnya ini_set disabled, remove aja di page kita yang ada # nya.
Di WHM root → PHP Configuration Editor → Advanced Mode → search disable_functions → tambahkan ini_set

Maaf, tapi saya tidak menangkap maksud dari kalimat ini "remove aja di page kita yang ada # nya."
Bisa jelasin maksud gimana ya?

Oya, ini_set sendiri fungsinya ngapain ya?

Kemudian di bagian statistic ada saran untuk mengaktifkan opsi
ST_MYSQL dan ST_APACHE

Apakah dibiarkan aktifkan akan menyebabkan server lambat?
atau ada kelemahan lain?


Thanks

 

[kudahitamnet]

Maaf, tapi saya tidak menangkap maksud dari kalimat ini "remove aja di page kita yang ada # nya."
Bisa jelasin maksud gimana ya?

Oya, ini_set sendiri fungsinya ngapain ya?

Begini, ini_set itu sediri memberikan keleluasaan cilent kita untuk meng-custom php.ini.
Demi alasan keamanan, custom php.ini tidak dizinkan dengan pertimbangan:
- bisa saja client mengubah sesukanya konsumsi memory. (ya kalo client awam), kalo misalnya mereka merasa ada yang kurang, misal ngupload template di wordpress mudah timeout, posting kehabisan memory, bisa aja mereka iseng nyoba custom php.ini, wah dari tadinya dialokasikan hanya 128 (misal), ditambah ke 256, atau bahkan 512.

Untuk maksud kalimat remove aja di page kita yang ada # nya.
Beberapa kasus yang mendisable ini_set, memang beberapa cms mengalami error, misal Drupal. Tapi Wordpress/Joomla kadang error juga. Biasanya (dari sumber yg saya kutip), itu diakbitkan karena beberapa page memang membutuhkan fungsi ini_set itu, nah untuk mem-fixnya sebetulnya bisa (tapi saya memang belum mencoba karena belum ketemu errornya), yaitu dengan me-remove # yang ada di halaman tersebut.

Begitulah, performances, selalu konflik dengan security. Di 1 sisi kita ingin was wis wus kerjanya, tapi servernya sendiri, kuat gak? :o

ini_set sebaiknya di-disable "engga juga", tapi kalo emang dirasa perlu, disable silakan demi melindungi server kita tentunya.

Kemudian di bagian statistic ada saran untuk mengaktifkan opsi
ST_MYSQL dan ST_APACHE

Apakah dibiarkan aktifkan akan menyebabkan server lambat?
atau ada kelemahan lain?


Thanks

Fungsi ini belum terlalu signifikan menurut saya, jadi bebas mau diaktifkan/enggak. CMIIW