Infrastruktur Security Hardening | Smart System Docs

01. Baseline Keamanan

Mon, 01 Jan 0001 00:00:00 +0000

01. Baseline Keamanan (Berlaku Semua Server) Semua server Debian 13 harus mengikuti baseline security ini sebelum deployment service-specific. Diasumsikan Anda melakukan instalasi server fresh dengan akses root. Ujung Gunakan Script Otomatis! Kami telah menyediakan script setup_baseline.sh yang akan mengotomatisasi seluruh proses di halaman ini secara interaktif dan aman (termasuk setup password admin, mitigasi konflik SSH config, dan pengaturan UFW yang aman dari pemutusan koneksi). Anda sangat disarankan untuk menjalankan skrip tersebut daripada melakukan setup manual: ./setup_baseline.sh

02. Cloudflare Virtual Mesh

Mon, 01 Jan 0001 00:00:00 +0000

02. Cloudflare Virtual Mesh Enrollment Cloudflare Virtual Mesh mengenkripsi semua traffic antar-server dalam infrastructure secara otomatis menggunakan Cloudflare One Client (WARP). Setiap server dalam mesh mendapatkan IP privat virtual dari range Carrier-Grade NAT (CGNAT) yang diassign oleh Cloudflare, memungkinkan komunikasi encrypted end-to-end tanpa direct public IP exposure melalui Zero Trust tunnel. 2.1 Prasyarat Akses ke dashboard Cloudflare One (https://one.dash.cloudflare.com) Sudah melakukan baseline security setup (bagian 01) Token enrollment dari dashboard Cloudflare Tentang CGNAT IP Space () Range IP adalah Carrier-Grade NAT (CGNAT) address space yang diperuntukkan khusus oleh Cloudflare untuk virtual IP addresses. IP addresses ini:

03. Cloudflare Tunnel

Mon, 01 Jan 0001 00:00:00 +0000

03. Cloudflare Tunnel Setup Cloudflare Tunnel (cloudflared) memungkinkan server menjalankan aplikasi di balik firewall tanpa membuka port publik. Traffic diteruskan melalui tunnel terenkripsi yang diinisiasi oleh server (outbound connection). 3.1 Prasyarat Akses ke dashboard Cloudflare One (https://one.dash.cloudflare.com) Domain yang sudah dikonfigure di Cloudflare Token tunnel dari dashboard Sudah melakukan baseline security setup (bagian 01) 3.2 Instalasi Cloudflared Step 1: Setup Repository dan Install Paket # Create directory untuk keyrings sudo mkdir -p --mode=0755 /usr/share/keyrings # Add Cloudflare GPG key curl -fsSL https://pkg.cloudflare.com/cloudflare-main.gpg | sudo tee /usr/share/keyrings/cloudflare-main.gpg >/dev/null # Add this repo to apt echo 'deb [signed-by=/usr/share/keyrings/cloudflare-main.gpg] https://pkg.cloudflare.com/cloudflared any main' | sudo tee /etc/apt/sources.list.d/cloudflared.list # Install cloudflared sudo apt-get update && sudo apt-get install -y cloudflared 3.3 Enroll Service Tunnel Step 1: Dapatkan Token dari Dashboard Login ke https://one.dash.cloudflare.com Navigasi ke Access → Tunnels (atau Network → Tunnels) Klik Create a tunnel atau Add tunnel Pilih Cloudflared sebagai connector type Cloudflare akan menampilkan token unik untuk server Anda Step 2: Install Tunnel Service Jalankan command service install dengan token dari dashboard:

04. Role: Web App Server

Mon, 01 Jan 0001 00:00:00 +0000

04. Role: Web App Server (Caddy + Backend) Server ini menjalankan aplikasi web (Node.js, Python, Go) yang diisolasi dengan Caddy sebagai reverse proxy dan TLS terminator. 2.1 Arsitektur Semua aplikasi backend mendengarkan pada 127.0.0.1 (localhost) untuk meminimalkan permukaan serangan. Caddy menangani komunikasi eksternal.

05. Role: Web CMS Server

Mon, 01 Jan 0001 00:00:00 +0000

05. Role: Web CMS Server (WordPress + PHP-FPM) Server ini dikhususkan untuk menjalankan WordPress dengan PHP-FPM dan Caddy. 3.1 Instalasi Paket Instal PHP-FPM dan ekstensi yang diperlukan oleh WordPress. sudo apt update sudo apt install -y php-fpm php-mysql php-curl php-gd php-mbstring php-xml php-zip php-imagick 3.2 Konfigurasi Caddy untuk WordPress cms. { root * /var/www/wordpress encode gzip php_fastcgi 127.0.0.1:9000 file_server # Block access ke file sensitif @blocked { path /wp-config.php path /wp-includes/* path /.env } handle @blocked { respond 404 } } 3.3 Hardening WordPress (wp-config.php) // Nonaktifkan pengeditan file dari dashboard define('DISALLOW_FILE_EDIT', true); define('DISALLOW_FILE_MODS', true); // Gunakan salt yang unik (generate dari api.wordpress.org) define('AUTH_KEY', '...'); // ... dst 3.4 Konfigurasi PHP-FPM File: /etc/php//fpm/pool.d/www.conf

06. Role: Database Server

Mon, 01 Jan 0001 00:00:00 +0000

06. Role: Database Server Server basis data menjalankan MySQL, PostgreSQL, MongoDB, dan Valkey (Redis alternative). Akses dibatasi pada jaringan yang telah ditentukan (LAN, Virtual Mesh, Campus Wide). 4.1 Instalasi Paket Instal database engine sesuai kebutuhan proyek. 4.1.1 MariaDB / MySQL sudo apt update && sudo apt install -y mariadb-server 4.1.2 PostgreSQL sudo apt update && sudo apt install -y postgresql 4.1.3 MongoDB (v8.2) Memerlukan repository resmi MongoDB.

07. Role: Message Broker

Mon, 01 Jan 0001 00:00:00 +0000

07. Role: Message Broker (RabbitMQ) RabbitMQ bertindak sebagai broker pesan utama menggunakan protokol AMQP, MQTT, dan WebSocket. 5.1 Instalasi Paket (Apt Quick Start) Gunakan repository resmi Team RabbitMQ untuk mendapatkan versi terbaru dan runtime Erlang yang didukung. 5.1.1 Persiapan & Import GPG Key ## Import Team RabbitMQ's signing key curl -1sLf "https://keys.openpgp.org/vks/v1/by-fingerprint/" | sudo gpg --dearmor | sudo tee /usr/share/keyrings/com.rabbitmq.team.gpg > /dev/null 5.1.2 Tambahkan Repository (Debian 13 Trixie) sudo tee /etc/apt/sources.list.d/rabbitmq.list <

08. Role: Storage Server

Mon, 01 Jan 0001 00:00:00 +0000

08. Role: Storage Server (RustFS + SFTPGo) Server ini menyediakan layanan penyimpanan objek (S3-compatible via RustFS) dan gateway akses (SFTP/FTP/HTTP via SFTPGo) dengan Caddy sebagai reverse proxy dan TLS terminator. 6.1 Instalasi Paket 6.1.1 Caddy (Reverse Proxy) Gunakan repository resmi untuk mendapatkan versi terbaru.

09. Operational & Maintenance

Mon, 01 Jan 0001 00:00:00 +0000

09. Catatan Operasional & Pemeliharaan Bagian ini mencakup prosedur rutin dan tips troubleshooting untuk menjaga keamanan server. 7.1 Konsistensi Baseline Semua server WAJIB mengikuti konfigurasi baseline di 01. Baseline Keamanan. Jangan pernah menonaktifkan UFW atau CrowdSec dalam jangka panjang. 7.2 Kepemilikan & Izin File Gunakan prinsip least privilege:

10. Lampiran & Cheat Sheet

Mon, 01 Jan 0001 00:00:00 +0000

10. Lampiran & Cheat Sheet Referensi cepat untuk port, path file, dan contoh konfigurasi lengkap. 8.1 Tabel Referensi Port Service Port Akses Dari Peran SSH 22 TRUSTED + GREY Admin HTTP 80 Public Web HTTPS 443 Public Web MySQL 3306 TRUSTED only Database PostgreSQL 5432 TRUSTED only Database MongoDB 27017 TRUSTED only Database Valkey 6379 Public (IoT) Database AMQP/S 5671, 5672 Public (IoT) Message Broker MQTT/S 1883, 8883 Public (IoT) Message Broker STOMP/S 61613, 61614 Public (IoT) Message Broker RabbitMQ 15672 TRUSTED + GREY Mgmt UI SFTP 2222 TRUSTED only Storage 8.2 Path File Konfigurasi Penting SSH Hardening: /etc/ssh/sshd_config.d/hardening.conf UFW Rules: /etc/ufw/user.rules Caddyfile: /etc/caddy/Caddyfile PHP-FPM: /etc/php//fpm/pool.d/www.conf CrowdSec Bouncer: /etc/crowdsec/bouncers/crowdsec-firewall-bouncer.yaml 8.3 Skrip Setup Cepat UFW Simpan sebagai setup-ufw.sh dan jalankan sebagai root: