Ebook Syafi
Koleksi
Admin
← Kembali ke Upgrade Kerjaya Dengan Homelab
Edit Bab
Tajuk Bab
Urutan
Jenis
Syarat & Amaran
Mukadimah
Bab/Chapter
Penutup
Kandungan HTML
<h1 id="bab-9-keselamatan-homelab">Bab 9: Keselamatan Homelab</h1> <p>Jangan skip bab ni. Serius.</p> <p>Saya tahu, bila anda baru excited nak setup homelab, keselamatan bukan benda pertama yang anda fikir. “Ala, homelab je, siapa nak hack?” Percayalah, internet tidak peduli sama ada server itu milik Google atau milik anda di bilik tidur. Bot-bot jahat scan IP secara automatik 24/7. Saya pernah setup server baru dan dalam masa 10 minit dah nampak percubaan brute force SSH dalam log.</p> <p><strong>Apa yang anda akan belajar:</strong></p> <ul> <li>Lapisan keselamatan asas yang WAJIB ada dalam homelab</li> <li>Cara kuatkan firewall, host, aplikasi, dan akses jauh secara praktikal</li> <li>Urutan keselamatan yang paling penting untuk beginner — apa yang patut buat dulu</li> </ul> <blockquote> <p><strong>Nota Beginner:</strong> Keselamatan yang baik tidak semestinya kompleks. Selalunya ia bermula dengan kurang buka port, kurang guna default setting, dan lebih disiplin dalam update. Empat perkara je dulu: update, firewall, kata laluan kuat, backup.</p> </blockquote> <h3 id="laluan-paling-mudah-untuk-beginner">Laluan Paling Mudah untuk Beginner</h3> <p>Kalau anda rasa overwhelmed dengan semua maklumat keselamatan ni, fokus pada empat perkara ni dulu:</p> <ul> <li>Update sistem secara konsisten</li> <li>Guna kata laluan yang kuat (bukan <code>admin123</code>!)</li> <li>Aktifkan firewall</li> <li>Sediakan backup</li> </ul> <p>Elakkan buka port ke internet kalau belum benar-benar faham kesannya. Kalau perlu akses dari luar, utamakan VPN berbanding Port Forward untuk banyak service.</p> <h2 id="langkah-1-gambaran-besar-kenapa-keselamatan-penting">Langkah 1: Gambaran Besar — Kenapa Keselamatan Penting?</h2> <p>Keselamatan bukan ciri tambahan yang boleh anda “pasang kemudian.” Ia adalah sebahagian daripada reka bentuk homelab dari hari pertama.</p> <p>Bayangkan scenario ni: seseorang dapat akses ke homelab anda. Mereka boleh akses NAS anda (semua fail peribadi), guna server anda untuk mining crypto (bil elektrik naik mendadak), atau lebih teruk — guna rangkaian anda sebagai launching pad untuk serangan ke tempat lain.</p> <p>Sebab itu, kita ambil pendekatan yang <strong>praktikal dan berlapis</strong>. Kalau satu lapisan gagal, lapisan lain masih melindungi.</p> <figure><svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 800 500" width="800" height="500"> <rect width="800" height="500" fill="#f8f9fa" rx="10"/> <text x="400" y="35" font-family="Arial" font-size="18" font-weight="bold" fill="#2d3436" text-anchor="middle">Lapisan Keselamatan Homelab</text> <!-- Layer 1: Perimeter --> <rect x="40" y="55" width="720" height="420" rx="12" fill="none" stroke="#d63031" stroke-width="3" stroke-dasharray="10,5"/> <rect x="42" y="48" width="180" height="20" fill="#f8f9fa"/> <text x="50" y="63" font-family="Arial" font-size="12" font-weight="bold" fill="#d63031">Lapisan 1: Perimeter</text> <text x="680" y="85" font-family="Arial" font-size="10" fill="#636e72" text-anchor="end">Firewall, IDS/IPS, Geo-blocking</text> <!-- Layer 2: Network --> <rect x="80" y="100" width="640" height="350" rx="10" fill="none" stroke="#e17055" stroke-width="2.5" stroke-dasharray="8,4"/> <rect x="82" y="93" width="175" height="20" fill="#f8f9fa"/> <text x="90" y="108" font-family="Arial" font-size="12" font-weight="bold" fill="#e17055">Lapisan 2: Rangkaian</text> <text x="640" y="125" font-family="Arial" font-size="10" fill="#636e72" text-anchor="end">VLAN, Segmentasi, VPN</text> <!-- Layer 3: Host --> <rect x="120" y="145" width="560" height="280" rx="8" fill="none" stroke="#fdcb6e" stroke-width="2" stroke-dasharray="6,3"/> <rect x="122" y="138" width="140" height="20" fill="#f8f9fa"/> <text x="130" y="153" font-family="Arial" font-size="12" font-weight="bold" fill="#e17055">Lapisan 3: Hos</text> <text x="600" y="168" font-family="Arial" font-size="10" fill="#636e72" text-anchor="end">Kemas kini, Fail2ban, SELinux</text> <!-- Layer 4: Application --> <rect x="160" y="190" width="480" height="210" rx="6" fill="none" stroke="#00b894" stroke-width="2"/> <rect x="162" y="183" width="155" height="20" fill="#f8f9fa"/> <text x="170" y="198" font-family="Arial" font-size="12" font-weight="bold" fill="#00b894">Lapisan 4: Aplikasi</text> <!-- Security tools inside --> <rect x="180" y="215" width="130" height="70" rx="6" fill="#74b9ff" stroke="#0984e3" stroke-width="1.5"/> <text x="245" y="240" font-family="Arial" font-size="11" font-weight="bold" fill="#fff" text-anchor="middle">Pengesahan</text> <text x="245" y="258" font-family="Arial" font-size="9" fill="#dfe6e9" text-anchor="middle">2FA / SSO</text> <text x="245" y="273" font-family="Arial" font-size="9" fill="#dfe6e9" text-anchor="middle">Authelia/Keycloak</text> <rect x="325" y="215" width="130" height="70" rx="6" fill="#a29bfe" stroke="#6c5ce7" stroke-width="1.5"/> <text x="390" y="240" font-family="Arial" font-size="11" font-weight="bold" fill="#fff" text-anchor="middle">Enkripsi</text> <text x="390" y="258" font-family="Arial" font-size="9" fill="#dfe6e9" text-anchor="middle">SSL/TLS</text> <text x="390" y="273" font-family="Arial" font-size="9" fill="#dfe6e9" text-anchor="middle">Let's Encrypt</text> <rect x="470" y="215" width="150" height="70" rx="6" fill="#55efc4" stroke="#00b894" stroke-width="1.5"/> <text x="545" y="240" font-family="Arial" font-size="11" font-weight="bold" fill="#2d3436" text-anchor="middle">Kata Laluan</text> <text x="545" y="258" font-family="Arial" font-size="9" fill="#2d3436" text-anchor="middle">Vaultwarden</text> <text x="545" y="273" font-family="Arial" font-size="9" fill="#2d3436" text-anchor="middle">Pengurus Kata Laluan</text> <rect x="180" y="300" width="130" height="70" rx="6" fill="#fd79a8" stroke="#e84393" stroke-width="1.5"/> <text x="245" y="325" font-family="Arial" font-size="11" font-weight="bold" fill="#fff" text-anchor="middle">DNS Selamat</text> <text x="245" y="343" font-family="Arial" font-size="9" fill="#dfe6e9" text-anchor="middle">Pi-hole + DoH</text> <text x="245" y="358" font-family="Arial" font-size="9" fill="#dfe6e9" text-anchor="middle">Sekat Iklan/Malware</text> <rect x="325" y="300" width="130" height="70" rx="6" fill="#ffeaa7" stroke="#fdcb6e" stroke-width="1.5"/> <text x="390" y="325" font-family="Arial" font-size="11" font-weight="bold" fill="#2d3436" text-anchor="middle">Pemantauan</text> <text x="390" y="343" font-family="Arial" font-size="9" fill="#636e72" text-anchor="middle">CrowdSec</text> <text x="390" y="358" font-family="Arial" font-size="9" fill="#636e72" text-anchor="middle">Wazuh / OSSEC</text> <rect x="470" y="300" width="150" height="70" rx="6" fill="#636e72" stroke="#2d3436" stroke-width="1.5"/> <text x="545" y="325" font-family="Arial" font-size="11" font-weight="bold" fill="#dfe6e9" text-anchor="middle">Sandaran</text> <text x="545" y="343" font-family="Arial" font-size="9" fill="#b2bec3" text-anchor="middle">3-2-1 Backup</text> <text x="545" y="358" font-family="Arial" font-size="9" fill="#b2bec3" text-anchor="middle">Restic / Borg</text> </svg> <figcaption>Lapisan Keselamatan Homelab</figcaption></figure> <h2 id="langkah-2-bina-model-keselamatan-berlapis">Langkah 2: Bina Model Keselamatan Berlapis</h2> <p>Konsep ni dipanggil <strong>defense in depth</strong> — pertahanan secara mendalam. Macam rumah yang ada pagar, kunci pintu, alarm, DAN anjing. Kalau pencuri lepas pagar, masih ada kunci. Kalau lepas kunci, masih ada alarm.</p> <h3 id="lapisan-1-perimeter-sempadan-rangkaian">Lapisan 1: Perimeter (Sempadan Rangkaian)</h3> <p><strong>Firewall — Barisan Pertahanan Pertama:</strong></p> <p>Prinsip utama: <strong>Default deny</strong> — sekat semua, benarkan yang perlu sahaja. Jangan terbalik!</p> <pre><code>Peraturan Firewall Asas: 1. Sekat semua trafik masuk (default) 2. Benarkan trafik keluar yang diperlukan 3. Benarkan port tertentu sahaja (SSH, HTTP/S, VPN) 4. Sekat trafik dari negara yang tidak berkaitan (geo-blocking)</code></pre> <p><strong>IDS/IPS (Intrusion Detection/Prevention System):</strong></p> <p>Ini macam “CCTV digital” untuk rangkaian anda. Dia detect kalau ada aktiviti mencurigakan:</p> <div class="sourceCode" id="cb2"><pre class="sourceCode bash"><code class="sourceCode bash"><span id="cb2-1"><a href="#cb2-1" aria-hidden="true" tabindex="-1"></a><span class="co"># Suricata pada pfSense/OPNsense</span></span> <span id="cb2-2"><a href="#cb2-2" aria-hidden="true" tabindex="-1"></a><span class="co"># Navigasi ke: Services → Suricata/Snort</span></span> <span id="cb2-3"><a href="#cb2-3" aria-hidden="true" tabindex="-1"></a><span class="co"># Aktifkan pada antara muka WAN</span></span> <span id="cb2-4"><a href="#cb2-4" aria-hidden="true" tabindex="-1"></a><span class="co"># Muat turun set peraturan (ET Open, Snort Community)</span></span></code></pre></div> <blockquote> <p><strong>Nota Beginner:</strong> Kalau anda guna Unifi, router Unifi pun ada basic firewall. Pastikan anda dah configure peraturan asas di situ. Kalau anda guna pfSense atau OPNsense, lagi bagus — lebih banyak kawalan.</p> </blockquote> <h3 id="lapisan-2-rangkaian">Lapisan 2: Rangkaian</h3> <p><strong>Segmentasi VLAN — Asingkan Peranti Mengikut Tahap Kepercayaan:</strong></p> <p>Bayangkan smart TV anda kena hack. Kalau semua peranti dalam satu rangkaian yang sama, penyerang boleh terus “jump” ke NAS atau server anda. Tapi kalau anda guna VLAN, smart TV tu terkurung dalam segmen IoT dan tak boleh akses server.</p> <pre><code>VLAN 10 - Pengurusan: Akses admin sahaja VLAN 20 - Pelayan: VM dan kontena VLAN 30 - IoT: Peranti pintar (terhad) VLAN 40 - Tetamu: WiFi tetamu (internet sahaja)</code></pre> <p><strong>Peraturan antara VLAN:</strong></p> <pre><code>IoT → Pelayan: SEKAT (kecuali port tertentu) IoT → Internet: BENARKAN Tetamu → Semua: SEKAT (kecuali internet) Pengurusan → Semua: BENARKAN</code></pre> <h3 id="lapisan-3-host-pelayan">Lapisan 3: Host (Pelayan)</h3> <p><strong>Kemas kini sistem — Ini benda paling basic tapi ramai yang lupa:</strong></p> <div class="sourceCode" id="cb5"><pre class="sourceCode bash"><code class="sourceCode bash"><span id="cb5-1"><a href="#cb5-1" aria-hidden="true" tabindex="-1"></a><span class="co"># Ubuntu/Debian - kemas kini automatik</span></span> <span id="cb5-2"><a href="#cb5-2" aria-hidden="true" tabindex="-1"></a><span class="fu">sudo</span> apt install unattended-upgrades <span class="at">-y</span></span> <span id="cb5-3"><a href="#cb5-3" aria-hidden="true" tabindex="-1"></a><span class="fu">sudo</span> dpkg-reconfigure <span class="at">-plow</span> unattended-upgrades</span> <span id="cb5-4"><a href="#cb5-4" aria-hidden="true" tabindex="-1"></a></span> <span id="cb5-5"><a href="#cb5-5" aria-hidden="true" tabindex="-1"></a><span class="co"># Konfigurasi /etc/apt/apt.conf.d/50unattended-upgrades</span></span> <span id="cb5-6"><a href="#cb5-6" aria-hidden="true" tabindex="-1"></a><span class="ex">Unattended-Upgrade::Allowed-Origins</span> {</span> <span id="cb5-7"><a href="#cb5-7" aria-hidden="true" tabindex="-1"></a> <span class="st">"</span><span class="va">${distro_id}</span><span class="st">:</span><span class="va">${distro_codename}</span><span class="st">-security"</span><span class="kw">;</span></span> <span id="cb5-8"><a href="#cb5-8" aria-hidden="true" tabindex="-1"></a> <span class="st">"</span><span class="va">${distro_id}</span><span class="st">:</span><span class="va">${distro_codename}</span><span class="st">-updates"</span><span class="kw">;</span></span> <span id="cb5-9"><a href="#cb5-9" aria-hidden="true" tabindex="-1"></a><span class="er">}</span><span class="kw">;</span></span> <span id="cb5-10"><a href="#cb5-10" aria-hidden="true" tabindex="-1"></a><span class="ex">Unattended-Upgrade::Automatic-Reboot</span> <span class="st">"true"</span><span class="kw">;</span></span> <span id="cb5-11"><a href="#cb5-11" aria-hidden="true" tabindex="-1"></a><span class="ex">Unattended-Upgrade::Automatic-Reboot-Time</span> <span class="st">"04:00"</span><span class="kw">;</span></span></code></pre></div> <p><strong>Fail2ban — Perlindungan brute force:</strong></p> <p>Fail2ban memantau log dan automatik ban IP yang cuba login berulang kali. Ini wajib ada kalau SSH anda terbuka:</p> <div class="sourceCode" id="cb6"><pre class="sourceCode bash"><code class="sourceCode bash"><span id="cb6-1"><a href="#cb6-1" aria-hidden="true" tabindex="-1"></a><span class="co"># Pasang Fail2ban</span></span> <span id="cb6-2"><a href="#cb6-2" aria-hidden="true" tabindex="-1"></a><span class="fu">sudo</span> apt install fail2ban <span class="at">-y</span></span> <span id="cb6-3"><a href="#cb6-3" aria-hidden="true" tabindex="-1"></a></span> <span id="cb6-4"><a href="#cb6-4" aria-hidden="true" tabindex="-1"></a><span class="co"># Konfigurasi /etc/fail2ban/jail.local</span></span></code></pre></div> <div class="sourceCode" id="cb7"><pre class="sourceCode ini"><code class="sourceCode ini"><span id="cb7-1"><a href="#cb7-1" aria-hidden="true" tabindex="-1"></a><span class="kw">[DEFAULT]</span></span> <span id="cb7-2"><a href="#cb7-2" aria-hidden="true" tabindex="-1"></a><span class="dt">bantime </span><span class="ot">=</span><span class="st"> 1h</span></span> <span id="cb7-3"><a href="#cb7-3" aria-hidden="true" tabindex="-1"></a><span class="dt">findtime </span><span class="ot">=</span><span class="st"> 10m</span></span> <span id="cb7-4"><a href="#cb7-4" aria-hidden="true" tabindex="-1"></a><span class="dt">maxretry </span><span class="ot">=</span><span class="st"> </span><span class="dv">5</span></span> <span id="cb7-5"><a href="#cb7-5" aria-hidden="true" tabindex="-1"></a></span> <span id="cb7-6"><a href="#cb7-6" aria-hidden="true" tabindex="-1"></a><span class="kw">[sshd]</span></span> <span id="cb7-7"><a href="#cb7-7" aria-hidden="true" tabindex="-1"></a><span class="dt">enabled </span><span class="ot">=</span><span class="st"> </span><span class="kw">true</span></span> <span id="cb7-8"><a href="#cb7-8" aria-hidden="true" tabindex="-1"></a><span class="dt">port </span><span class="ot">=</span><span class="st"> ssh</span></span> <span id="cb7-9"><a href="#cb7-9" aria-hidden="true" tabindex="-1"></a><span class="dt">filter </span><span class="ot">=</span><span class="st"> sshd</span></span> <span id="cb7-10"><a href="#cb7-10" aria-hidden="true" tabindex="-1"></a><span class="dt">logpath </span><span class="ot">=</span><span class="st"> /var/log/auth.log</span></span> <span id="cb7-11"><a href="#cb7-11" aria-hidden="true" tabindex="-1"></a><span class="dt">maxretry </span><span class="ot">=</span><span class="st"> </span><span class="dv">3</span></span> <span id="cb7-12"><a href="#cb7-12" aria-hidden="true" tabindex="-1"></a><span class="dt">bantime </span><span class="ot">=</span><span class="st"> 24h</span></span></code></pre></div> <div class="sourceCode" id="cb8"><pre class="sourceCode bash"><code class="sourceCode bash"><span id="cb8-1"><a href="#cb8-1" aria-hidden="true" tabindex="-1"></a><span class="co"># Mulakan Fail2ban</span></span> <span id="cb8-2"><a href="#cb8-2" aria-hidden="true" tabindex="-1"></a><span class="fu">sudo</span> systemctl enable fail2ban</span> <span id="cb8-3"><a href="#cb8-3" aria-hidden="true" tabindex="-1"></a><span class="fu">sudo</span> systemctl start fail2ban</span> <span id="cb8-4"><a href="#cb8-4" aria-hidden="true" tabindex="-1"></a></span> <span id="cb8-5"><a href="#cb8-5" aria-hidden="true" tabindex="-1"></a><span class="co"># Periksa status — anda akan nampak berapa IP yang dah kena ban</span></span> <span id="cb8-6"><a href="#cb8-6" aria-hidden="true" tabindex="-1"></a><span class="fu">sudo</span> fail2ban-client status sshd</span></code></pre></div> <p><strong>CrowdSec — Alternatif moden kepada Fail2ban:</strong></p> <p>CrowdSec ni macam Fail2ban tapi dengan “kecerdasan kolektif.” Kalau satu IP jahat kena detect oleh pengguna CrowdSec lain di seluruh dunia, IP tu akan disekat untuk anda juga. Macam community-powered security:</p> <div class="sourceCode" id="cb9"><pre class="sourceCode bash"><code class="sourceCode bash"><span id="cb9-1"><a href="#cb9-1" aria-hidden="true" tabindex="-1"></a><span class="co"># Pasang CrowdSec</span></span> <span id="cb9-2"><a href="#cb9-2" aria-hidden="true" tabindex="-1"></a><span class="ex">curl</span> <span class="at">-s</span> https://install.crowdsec.net <span class="kw">|</span> <span class="fu">sudo</span> bash</span> <span id="cb9-3"><a href="#cb9-3" aria-hidden="true" tabindex="-1"></a><span class="fu">sudo</span> apt install crowdsec crowdsec-firewall-bouncer-iptables <span class="at">-y</span></span> <span id="cb9-4"><a href="#cb9-4" aria-hidden="true" tabindex="-1"></a></span> <span id="cb9-5"><a href="#cb9-5" aria-hidden="true" tabindex="-1"></a><span class="co"># CrowdSec menggunakan kecerdasan kolektif -</span></span> <span id="cb9-6"><a href="#cb9-6" aria-hidden="true" tabindex="-1"></a><span class="co"># ia berkongsi IP berniat jahat dengan komuniti</span></span></code></pre></div> <h3 id="lapisan-4-aplikasi">Lapisan 4: Aplikasi</h3> <p><strong>Pengesahan berbilang faktor (2FA/MFA):</strong></p> <p>2FA ni macam kunci tambahan. Walaupun seseorang tahu password anda, mereka masih tak boleh masuk tanpa kod dari telefon anda. Aktifkan 2FA di mana sahaja yang mungkin:</p> <ul> <li>Proxmox (TOTP)</li> <li>Nextcloud (TOTP)</li> <li>Gitea (TOTP)</li> <li>Vaultwarden (TOTP)</li> <li>SSH (menggunakan Google Authenticator PAM)</li> </ul> <p><strong>Konfigurasi 2FA untuk SSH:</strong></p> <div class="sourceCode" id="cb10"><pre class="sourceCode bash"><code class="sourceCode bash"><span id="cb10-1"><a href="#cb10-1" aria-hidden="true" tabindex="-1"></a><span class="co"># Pasang Google Authenticator</span></span> <span id="cb10-2"><a href="#cb10-2" aria-hidden="true" tabindex="-1"></a><span class="fu">sudo</span> apt install libpam-google-authenticator <span class="at">-y</span></span> <span id="cb10-3"><a href="#cb10-3" aria-hidden="true" tabindex="-1"></a></span> <span id="cb10-4"><a href="#cb10-4" aria-hidden="true" tabindex="-1"></a><span class="co"># Jalankan setup</span></span> <span id="cb10-5"><a href="#cb10-5" aria-hidden="true" tabindex="-1"></a><span class="ex">google-authenticator</span></span> <span id="cb10-6"><a href="#cb10-6" aria-hidden="true" tabindex="-1"></a></span> <span id="cb10-7"><a href="#cb10-7" aria-hidden="true" tabindex="-1"></a><span class="co"># Edit /etc/pam.d/sshd - tambah:</span></span> <span id="cb10-8"><a href="#cb10-8" aria-hidden="true" tabindex="-1"></a><span class="ex">auth</span> required pam_google_authenticator.so</span> <span id="cb10-9"><a href="#cb10-9" aria-hidden="true" tabindex="-1"></a></span> <span id="cb10-10"><a href="#cb10-10" aria-hidden="true" tabindex="-1"></a><span class="co"># Edit /etc/ssh/sshd_config:</span></span> <span id="cb10-11"><a href="#cb10-11" aria-hidden="true" tabindex="-1"></a><span class="ex">ChallengeResponseAuthentication</span> yes</span> <span id="cb10-12"><a href="#cb10-12" aria-hidden="true" tabindex="-1"></a><span class="ex">AuthenticationMethods</span> publickey,keyboard-interactive</span> <span id="cb10-13"><a href="#cb10-13" aria-hidden="true" tabindex="-1"></a></span> <span id="cb10-14"><a href="#cb10-14" aria-hidden="true" tabindex="-1"></a><span class="co"># Mulakan semula SSH</span></span> <span id="cb10-15"><a href="#cb10-15" aria-hidden="true" tabindex="-1"></a><span class="fu">sudo</span> systemctl restart sshd</span></code></pre></div> <blockquote> <p><strong>Nota Beginner:</strong> Sebelum aktifkan 2FA untuk SSH, pastikan anda ada akses lain ke server (contoh: akses konsol Proxmox atau IPMI). Kalau tak, dan 2FA ada masalah, anda boleh terkunci dari server sendiri!</p> </blockquote> <h2 id="langkah-3-pengurusan-kata-laluan">Langkah 3: Pengurusan Kata Laluan</h2> <h3 id="vaultwarden">Vaultwarden</h3> <p>“Saya guna password yang sama untuk semua service” — kalau ini anda, tolong berhenti sekarang.</p> <p>Vaultwarden adalah pelaksanaan pelayan Bitwarden yang ringan. Ia membolehkan anda mengurus semua kata laluan dengan selamat, dan anda boleh host sendiri dalam homelab.</p> <p><strong>Amalan terbaik kata laluan:</strong></p> <ol type="1"> <li>Gunakan kata laluan unik untuk setiap perkhidmatan — setiap satu!</li> <li>Minimum 16 aksara</li> <li>Gunakan penjana kata laluan (jangan cipta sendiri, manusia tak pandai buat random)</li> <li>Aktifkan 2FA untuk vault anda</li> <li>Backup vault secara berkala — kalau Vaultwarden down, anda masih ada akses</li> </ol> <h2 id="langkah-4-enkripsi">Langkah 4: Enkripsi</h2> <h3 id="ssltls-untuk-semua-perkhidmatan">SSL/TLS untuk Semua Perkhidmatan</h3> <p>Jangan sesekali akses perkhidmatan homelab melalui HTTP biasa. Walaupun dalam rangkaian dalaman, biasakan guna HTTPS. Kenapa? Sebab data yang travel melalui HTTP boleh dibaca oleh sesiapa sahaja dalam rangkaian yang sama.</p> <p><strong>Let’s Encrypt dengan Nginx Proxy Manager (cara paling senang):</strong></p> <ol type="1"> <li>Tambah Proxy Host di Nginx Proxy Manager</li> <li>Tab SSL → Request new SSL certificate</li> <li>Pilih Let’s Encrypt</li> <li>Aktifkan Force SSL</li> </ol> <p><strong>Let’s Encrypt dengan Traefik (lebih automated):</strong></p> <div class="sourceCode" id="cb11"><pre class="sourceCode yaml"><code class="sourceCode yaml"><span id="cb11-1"><a href="#cb11-1" aria-hidden="true" tabindex="-1"></a><span class="co"># traefik.yml</span></span> <span id="cb11-2"><a href="#cb11-2" aria-hidden="true" tabindex="-1"></a><span class="fu">certificatesResolvers</span><span class="kw">:</span></span> <span id="cb11-3"><a href="#cb11-3" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">letsencrypt</span><span class="kw">:</span></span> <span id="cb11-4"><a href="#cb11-4" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">acme</span><span class="kw">:</span></span> <span id="cb11-5"><a href="#cb11-5" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">email</span><span class="kw">:</span><span class="at"> admin@domain-anda.com</span></span> <span id="cb11-6"><a href="#cb11-6" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">storage</span><span class="kw">:</span><span class="at"> /acme.json</span></span> <span id="cb11-7"><a href="#cb11-7" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">httpChallenge</span><span class="kw">:</span></span> <span id="cb11-8"><a href="#cb11-8" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">entryPoint</span><span class="kw">:</span><span class="at"> web</span></span> <span id="cb11-9"><a href="#cb11-9" aria-hidden="true" tabindex="-1"></a></span> <span id="cb11-10"><a href="#cb11-10" aria-hidden="true" tabindex="-1"></a><span class="fu">entryPoints</span><span class="kw">:</span></span> <span id="cb11-11"><a href="#cb11-11" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">web</span><span class="kw">:</span></span> <span id="cb11-12"><a href="#cb11-12" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">address</span><span class="kw">:</span><span class="at"> </span><span class="st">":80"</span></span> <span id="cb11-13"><a href="#cb11-13" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">http</span><span class="kw">:</span></span> <span id="cb11-14"><a href="#cb11-14" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">redirections</span><span class="kw">:</span></span> <span id="cb11-15"><a href="#cb11-15" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">entryPoint</span><span class="kw">:</span></span> <span id="cb11-16"><a href="#cb11-16" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">to</span><span class="kw">:</span><span class="at"> websecure</span></span> <span id="cb11-17"><a href="#cb11-17" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">websecure</span><span class="kw">:</span></span> <span id="cb11-18"><a href="#cb11-18" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">address</span><span class="kw">:</span><span class="at"> </span><span class="st">":443"</span></span></code></pre></div> <h3 id="enkripsi-storan">Enkripsi Storan</h3> <p>Kalau anda risau tentang data fizikal (contoh: laptop dicuri), enkripsi cakera penuh dengan LUKS:</p> <div class="sourceCode" id="cb12"><pre class="sourceCode bash"><code class="sourceCode bash"><span id="cb12-1"><a href="#cb12-1" aria-hidden="true" tabindex="-1"></a><span class="co"># Enkripsi cakera penuh dengan LUKS</span></span> <span id="cb12-2"><a href="#cb12-2" aria-hidden="true" tabindex="-1"></a><span class="fu">sudo</span> cryptsetup luksFormat /dev/sdb</span> <span id="cb12-3"><a href="#cb12-3" aria-hidden="true" tabindex="-1"></a><span class="fu">sudo</span> cryptsetup open /dev/sdb encrypted-data</span> <span id="cb12-4"><a href="#cb12-4" aria-hidden="true" tabindex="-1"></a><span class="fu">sudo</span> mkfs.ext4 /dev/mapper/encrypted-data</span></code></pre></div> <h2 id="langkah-5-pemantauan-keselamatan">Langkah 5: Pemantauan Keselamatan</h2> <h3 id="wazuh-siem-sumber-terbuka">Wazuh — SIEM Sumber Terbuka</h3> <p>Wazuh macam “security guard digital” yang sentiasa memantau homelab anda. Ia boleh detect ancaman, pantau integriti fail (ada sesiapa ubah fail config?), dan banyak lagi:</p> <ul> <li>Pengesanan ancaman</li> <li>Pemantauan integriti fail</li> <li>Penilaian kerentanan</li> <li>Pematuhan peraturan</li> </ul> <div class="sourceCode" id="cb13"><pre class="sourceCode yaml"><code class="sourceCode yaml"><span id="cb13-1"><a href="#cb13-1" aria-hidden="true" tabindex="-1"></a><span class="co"># docker-compose.yml untuk Wazuh</span></span> <span id="cb13-2"><a href="#cb13-2" aria-hidden="true" tabindex="-1"></a><span class="fu">services</span><span class="kw">:</span></span> <span id="cb13-3"><a href="#cb13-3" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">wazuh.manager</span><span class="kw">:</span></span> <span id="cb13-4"><a href="#cb13-4" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">image</span><span class="kw">:</span><span class="at"> wazuh/wazuh-manager:latest</span></span> <span id="cb13-5"><a href="#cb13-5" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">container_name</span><span class="kw">:</span><span class="at"> wazuh-manager</span></span> <span id="cb13-6"><a href="#cb13-6" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">ports</span><span class="kw">:</span></span> <span id="cb13-7"><a href="#cb13-7" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="kw">-</span><span class="at"> </span><span class="st">"1514:1514"</span></span> <span id="cb13-8"><a href="#cb13-8" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="kw">-</span><span class="at"> </span><span class="st">"1515:1515"</span></span> <span id="cb13-9"><a href="#cb13-9" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="kw">-</span><span class="at"> </span><span class="st">"514:514/udp"</span></span> <span id="cb13-10"><a href="#cb13-10" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="kw">-</span><span class="at"> </span><span class="st">"55000:55000"</span></span> <span id="cb13-11"><a href="#cb13-11" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">volumes</span><span class="kw">:</span></span> <span id="cb13-12"><a href="#cb13-12" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="kw">-</span><span class="at"> ./wazuh-data:/var/ossec/data</span></span> <span id="cb13-13"><a href="#cb13-13" aria-hidden="true" tabindex="-1"></a><span class="at"> </span><span class="fu">restart</span><span class="kw">:</span><span class="at"> unless-stopped</span></span></code></pre></div> <h3 id="log-berpusat">Log Berpusat</h3> <p>Ini tip yang saya rasa sangat berguna: kumpulkan log dari semua pelayan ke satu lokasi. Bila ada masalah, anda tak perlu SSH ke setiap server satu-satu untuk check log:</p> <div class="sourceCode" id="cb14"><pre class="sourceCode bash"><code class="sourceCode bash"><span id="cb14-1"><a href="#cb14-1" aria-hidden="true" tabindex="-1"></a><span class="co"># Menggunakan rsyslog</span></span> <span id="cb14-2"><a href="#cb14-2" aria-hidden="true" tabindex="-1"></a><span class="co"># Pada pelayan log (/etc/rsyslog.conf):</span></span> <span id="cb14-3"><a href="#cb14-3" aria-hidden="true" tabindex="-1"></a><span class="ex">module</span><span class="er">(</span><span class="va">load</span><span class="op">=</span><span class="st">"imudp"</span><span class="kw">)</span></span> <span id="cb14-4"><a href="#cb14-4" aria-hidden="true" tabindex="-1"></a><span class="ex">input</span><span class="er">(</span><span class="va">type</span><span class="op">=</span><span class="st">"imudp"</span> <span class="va">port</span><span class="op">=</span><span class="st">"514"</span><span class="kw">)</span></span> <span id="cb14-5"><a href="#cb14-5" aria-hidden="true" tabindex="-1"></a><span class="ex">module</span><span class="er">(</span><span class="va">load</span><span class="op">=</span><span class="st">"imtcp"</span><span class="kw">)</span></span> <span id="cb14-6"><a href="#cb14-6" aria-hidden="true" tabindex="-1"></a><span class="ex">input</span><span class="er">(</span><span class="va">type</span><span class="op">=</span><span class="st">"imtcp"</span> <span class="va">port</span><span class="op">=</span><span class="st">"514"</span><span class="kw">)</span></span> <span id="cb14-7"><a href="#cb14-7" aria-hidden="true" tabindex="-1"></a></span> <span id="cb14-8"><a href="#cb14-8" aria-hidden="true" tabindex="-1"></a><span class="co"># Pada pelayan klien (/etc/rsyslog.d/50-remote.conf):</span></span> <span id="cb14-9"><a href="#cb14-9" aria-hidden="true" tabindex="-1"></a><span class="ex">*.*</span> @@10.0.20.30:514</span></code></pre></div> <h2 id="langkah-6-dns-selamat">Langkah 6: DNS Selamat</h2> <h3 id="pi-hole-dns-selamat">Pi-hole + DNS Selamat</h3> <p>Pi-hole bukan sekadar ad blocker. Ia juga lapisan keselamatan yang berkesan. Dengan Pi-hole, anda boleh sekat:</p> <ul> <li>Iklan dan penjejak (privacy!)</li> <li>Domain malware yang diketahui</li> <li>Telemetri yang tidak diingini</li> </ul> <p><strong>Senarai sekat tambahan untuk perlindungan lebih:</strong></p> <pre><code># Di Pi-hole → Adlists, tambah: https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts https://raw.githubusercontent.com/hagezi/dns-blocklists/main/adblock/pro.txt</code></pre> <blockquote> <p><strong>Nota Beginner:</strong> Pi-hole ni salah satu projek homelab yang paling “worth it.” Setup sekali, semua peranti dalam rumah anda dilindungi. Malah keluarga anda pun akan perasan sebab iklan kurang.</p> </blockquote> <h2 id="langkah-7-vpn-dan-akses-jauh">Langkah 7: VPN dan Akses Jauh</h2> <h3 id="peraturan-akses-jauh">Peraturan Akses Jauh</h3> <p>Ini peraturan emas yang saya cadangkan anda ikut:</p> <ol type="1"> <li><strong>JANGAN</strong> dedahkan perkhidmatan terus ke internet — ini kesilapan yang paling biasa</li> <li>Gunakan VPN (WireGuard) untuk semua akses jauh</li> <li>Kalau memang perlu, gunakan reverse proxy dengan pengesahan</li> <li>Hadkan port yang dibuka melalui Port Forward ke tahap minimum</li> </ol> <h3 id="cadangan-seni-bina-akses">Cadangan Seni Bina Akses</h3> <pre><code>Internet → Firewall → VPN (WireGuard) ↓ Rangkaian Dalaman ↓ ↓ ↓ Pelayan NAS Peranti</code></pre> <p>Dengan setup macam ni, semua akses dari luar mesti melalui VPN dulu. Lebih selamat, dan anda tak perlu buka banyak port.</p> <h2 id="langkah-8-senarai-semak-keselamatan">Langkah 8: Senarai Semak Keselamatan</h2> <p>Keselamatan bukan benda yang anda “set and forget.” Ia perlu penyelenggaraan berkala. Ini jadual yang saya cadangkan:</p> <h3 id="senarai-semak-mingguan">Senarai semak mingguan:</h3> <ul class="task-list"> <li><label><input type="checkbox" />Periksa log Fail2ban/CrowdSec — berapa IP yang kena ban?</label></li> <li><label><input type="checkbox" />Periksa kemas kini yang tertunda</label></li> <li><label><input type="checkbox" />Semak papan pemuka pemantauan</label></li> </ul> <h3 id="senarai-semak-bulanan">Senarai semak bulanan:</h3> <ul class="task-list"> <li><label><input type="checkbox" />Kemas kini semua perisian</label></li> <li><label><input type="checkbox" />Semak peraturan firewall — ada yang tak perlu lagi?</label></li> <li><label><input type="checkbox" />Uji backup (cuba pulihkan! Backup yang tak pernah diuji bukan backup.)</label></li> <li><label><input type="checkbox" />Jalankan imbasan kerentanan</label></li> <li><label><input type="checkbox" />Semak log akses</label></li> </ul> <h3 id="senarai-semak-suku-tahunan">Senarai semak suku tahunan:</h3> <ul class="task-list"> <li><label><input type="checkbox" />Tukar kata laluan kritikal</label></li> <li><label><input type="checkbox" />Semak kebenaran pengguna</label></li> <li><label><input type="checkbox" />Kemas kini sijil SSL</label></li> <li><label><input type="checkbox" />Semak dan kemas kini dokumentasi</label></li> <li><label><input type="checkbox" />Uji pelan pemulihan bencana</label></li> </ul> <h3 id="checklist-siap-bab-ini">Checklist Siap Bab Ini</h3> <ul class="task-list"> <li><label><input type="checkbox" />Saya sudah senaraikan kawalan keselamatan minimum yang wajib dibuat.</label></li> <li><label><input type="checkbox" />Saya tahu service mana yang boleh dan tidak boleh dibuka ke internet.</label></li> <li><label><input type="checkbox" />Saya sudah ada pelan akses jauh yang lebih selamat.</label></li> </ul> <h2 id="ringkasan">Ringkasan</h2> <p>Bab keselamatan ni memang panjang, tapi setiap bahagian ada sebabnya. Jom recap:</p> <ul> <li><strong>Model keselamatan berlapis</strong> — defense in depth, jangan bergantung pada satu lapisan je</li> <li><strong>Firewall dan IDS/IPS</strong> — barisan pertahanan pertama</li> <li><strong>Segmentasi rangkaian dengan VLAN</strong> — asingkan peranti mengikut kepercayaan</li> <li><strong>Pengerasan host</strong> — Fail2ban/CrowdSec, kemas kini automatik, 2FA</li> <li><strong>Pengurusan kata laluan</strong> — Vaultwarden, kata laluan unik untuk setiap service</li> <li><strong>Enkripsi</strong> — SSL/TLS untuk semua, LUKS untuk storan</li> <li><strong>Pemantauan keselamatan</strong> — Wazuh, log berpusat</li> <li><strong>Senarai semak berkala</strong> — keselamatan adalah proses, bukan destinasi</li> </ul> <p>Ingat, anda tak perlu buat semua sekaligus. Mulakan dengan asas (update, firewall, kata laluan kuat, backup), kemudian tambah lapisan demi lapisan. Yang penting, <strong>mulakan sekarang</strong>.</p> <p>Seterusnya, kita akan masuk ke topik keselamatan lanjutan untuk anda yang nak pergi lebih jauh.</p>
💾 Kemaskini
Batal