Hardening Linux:
Firewall, SSH, fail2ban & Audit Sistem

# Update daftar paket dan upgrade semua paket
sudo apt update && sudo apt upgrade -y

# Upgrade distribusi (jika ada versi baru Ubuntu/Debian)
sudo apt dist-upgrade -y

# Hapus paket yang tidak lagi diperlukan
sudo apt autoremove --purge -y
sudo apt clean

# Pasang paket unattended-upgrades
sudo apt install unattended-upgrades -y

# Aktifkan dan konfigurasi
sudo dpkg-reconfigure --priority=low unattended-upgrades
# Pilih "Yes" ketika ditanya

// Aktifkan hanya update keamanan otomatis
Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
};

// Hapus paket yang tidak diperlukan setelah update
Unattended-Upgrade::Remove-Unused-Dependencies "true";

// Reboot otomatis jika dibutuhkan (kernel update)
// Hati-hati aktifkan ini di server produksi
Unattended-Upgrade::Automatic-Reboot "false";

# Pasang UFW jika belum ada
sudo apt install ufw -y

# Aturan default: blokir semua masuk, izinkan semua keluar
sudo ufw default deny incoming
sudo ufw default allow outgoing

# Izinkan SSH (WAJIB sebelum aktifkan UFW di server remote!)
sudo ufw allow ssh
# Atau jika SSH di port custom (misalnya 2222):
sudo ufw allow 2222/tcp

# Aktifkan UFW
sudo ufw enable

# Cek status
sudo ufw status verbose

# Lihat aturan dengan nomor
sudo ufw status numbered

# Hapus aturan berdasarkan nomor
sudo ufw delete 3

# Atau hapus berdasarkan aturan eksplisit
sudo ufw delete allow 80/tcp

# Buat SSH key pair dengan ED25519 (lebih kuat dari RSA)
ssh-keygen -t ed25519 -C "[email protected]"

# Saat ditanya lokasi: tekan Enter untuk default (~/.ssh/id_ed25519)
# Saat ditanya passphrase: ISI passphrase yang kuat (WAJIB!)
# Passphrase melindungi private key jika file dicuri

# Salin public key ke server (ganti user dan IP)
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server-ip

# Jika ssh-copy-id tidak tersedia, cara manual:
cat ~/.ssh/id_ed25519.pub | ssh user@server-ip \
  "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

# Test login dengan key (SEBELUM menonaktifkan password auth!)
ssh -i ~/.ssh/id_ed25519 user@server-ip

# Nonaktifkan login root via SSH
PermitRootLogin          no

# Nonaktifkan autentikasi password (hanya izinkan key)
PasswordAuthentication   no
ChallengeResponseAuthentication no
UsePAM                   no

# Nonaktifkan forwarding X11 (tidak diperlukan untuk server)
X11Forwarding            no

# Batasi percobaan autentikasi
MaxAuthTries             3

# Timeout koneksi yang tidak aktif
ClientAliveInterval      300
ClientAliveCountMax      2

# Izinkan hanya user tertentu (opsional — ganti "namauser")
AllowUsers               namauser

# Ganti port SSH (opsional — obscurity bukan keamanan, tapi mengurangi noise log)
# Jika mengubah port, update juga aturan UFW!
Port                     2222

# Validasi konfigurasi sebelum restart
sudo sshd -t
# Harus tidak ada output error. Jika ada error, perbaiki dulu sebelum lanjut.

# Restart SSH service
sudo systemctl restart ssh

# Verifikasi SSH masih berjalan
sudo systemctl status ssh

sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

[DEFAULT]
# Waktu ban (detik) — 1 jam = 3600
bantime  = 3600
# Jendela waktu untuk menghitung percobaan (10 menit)
findtime = 600
# Maksimum percobaan gagal sebelum diblokir
maxretry = 5
# Backend log (auto biasanya sudah tepat)
backend  = auto
# Email notifikasi (opsional — isi dengan email Anda)
destemail = [email protected]
sendername = fail2ban
action = %(action_)s

[sshd]
enabled  = true
port     = ssh
# Jika menggunakan port SSH kustom:
# port = 2222
maxretry = 3
# Ban lebih lama untuk SSH (24 jam)
bantime  = 86400

[nginx-http-auth]
# Aktifkan jika menggunakan Nginx dengan basic auth
enabled  = false

# Restart fail2ban setelah perubahan konfigurasi
sudo systemctl restart fail2ban

# Lihat status semua jail
sudo fail2ban-client status

# Lihat IP yang sedang diblokir di jail sshd
sudo fail2ban-client status sshd

# Unban IP secara manual (jika Anda tidak sengaja terblokir)
sudo fail2ban-client set sshd unbanip 1.2.3.4

# Whitelist IP agar tidak pernah diblokir (tambahkan ke jail.local)
# ignoreip = 127.0.0.1/8 ::1 IP-LOKAL-ANDA

# Buat user baru (ganti "namauser")
sudo adduser namauser

# Tambahkan ke grup sudo
sudo usermod -aG sudo namauser

# Verifikasi user ada di grup sudo
groups namauser

# Lihat semua user yang bisa login (shell /bin/bash atau /bin/sh)
grep -E '/bin/(bash|sh|zsh|fish)' /etc/passwd | cut -d: -f1,3,7

# Lihat user yang ada di grup sudo
getent group sudo

# Lihat user yang pernah login terakhir
lastlog | grep -v "Never logged in"

# Kunci akun user yang tidak diperlukan (jangan hapus, kunci saja)
sudo passwd -l namauser-tidak-aktif

sudo visudo

# Tambahkan di bagian bawah untuk mewajibkan password setiap kali sudo
# (hapus baris yang membuat sudo tidak butuh password)
Defaults    timestamp_timeout=5   # sudo timeout 5 menit
Defaults    requiretty              # sudo hanya dari terminal nyata
Defaults    logfile="/var/log/sudo.log"  # Log semua perintah sudo

# Lihat upaya login gagal SSH
sudo grep "Failed password\|Invalid user" /var/log/auth.log | tail -20

# Lihat login berhasil
sudo grep "Accepted" /var/log/auth.log | tail -20

# Lihat semua login terakhir (sukses)
last -n 20

# Lihat upaya login gagal
sudo lastb | head -20

# Monitor log secara real-time
sudo journalctl -f -u ssh

# Cek log systemd (semua layanan)
sudo journalctl --since "1 hour ago" -p err

# Rangkuman IP yang paling banyak gagal login
sudo grep "Invalid user" /var/log/auth.log \
  | awk '{print $NF}' | sort | uniq -c | sort -rn | head -10

[Journal]
# Simpan log maksimal 2 minggu atau 500MB
MaxRetentionSec=2weeks
SystemMaxUse=500M

sudo systemctl restart systemd-journald

# ===== PROTEKSI JARINGAN =====
# Cegah IP spoofing
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Nonaktifkan ICMP redirect (cegah MITM)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

# Nonaktifkan source routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0

# Aktifkan SYN cookies (proteksi SYN flood)
net.ipv4.tcp_syncookies = 1

# ===== PROTEKSI KERNEL =====
# Nonaktifkan magic SysRq
kernel.sysrq = 0

# Batasi akses ke kernel log bagi non-root
kernel.dmesg_restrict = 1

# Nonaktifkan core dumps
fs.suid_dumpable = 0

# Amankan /proc (sembunyikan proses user lain)
kernel.perf_event_paranoid = 3

sudo sysctl --system
# atau spesifik file:
sudo sysctl -p /etc/sysctl.d/99-hardening.conf

# Nonaktifkan protokol jaringan yang jarang digunakan
# (bisa digunakan untuk eksploitasi)
install dccp /bin/false
install sctp /bin/false
install rds  /bin/false
install tipc /bin/false

# Nonaktifkan USB storage (untuk server headless yang tidak perlu)
# HATI-HATI: nonaktifkan hanya di server, bukan desktop
# install usb-storage /bin/false

# Lihat semua port yang mendengarkan (listening) beserta prosesnya
sudo ss -tlnup
# t=TCP, l=listening, n=numeric, u=UDP, p=process

# Alternatif dengan netstat
sudo netstat -tlnup

# Cek proses mana yang membuka port tertentu (misal port 80)
sudo fuser -n tcp 80

# Lihat semua service yang berjalan
sudo systemctl list-units --type=service --state=running

# Hentikan dan nonaktifkan service yang tidak diperlukan (contoh: avahi)
sudo systemctl stop avahi-daemon
sudo systemctl disable avahi-daemon

# Hapus paket yang tidak diperlukan sepenuhnya
sudo apt purge avahi-daemon cups -y
sudo apt autoremove --purge -y

# Temukan semua file dengan SUID bit (bisa eskalasi privilege)
sudo find / -perm /4000 -type f 2>/dev/null | sort

# Temukan semua file yang ditulis oleh semua user (world-writable)
sudo find / -perm -0002 -type f -not -path "/proc/*" 2>/dev/null

# Ubuntu/Debian
sudo apt install restic -y

# Atau unduh binary terbaru langsung dari GitHub untuk versi terkini
restic version

# Inisialisasi repository backup (ganti path sesuai tujuan)
# Bisa ke disk lokal, NAS, atau cloud (B2, S3, SFTP, dll.)
restic init --repo /backup/restic-repo
# Masukkan password repository — simpan di Bitwarden!

# Jalankan backup pertama
restic -r /backup/restic-repo backup /home /etc /var/www

# Lihat snapshot yang tersimpan
restic -r /backup/restic-repo snapshots

# Test restore (wajib! backup yang tidak diuji = tidak ada backup)
restic -r /backup/restic-repo restore latest --target /tmp/restore-test

sudo crontab -e

# Tambahkan baris ini untuk backup setiap hari pukul 02:00
0 2 * * * RESTIC_PASSWORD='password-repo-anda' restic -r /backup/restic-repo backup /home /etc >> /var/log/restic-backup.log 2>&1

# Bersihkan snapshot lama otomatis (simpan 7 harian, 4 mingguan, 3 bulanan)
0 3 * * 0 RESTIC_PASSWORD='password-repo-anda' restic -r /backup/restic-repo forget --keep-daily 7 --keep-weekly 4 --keep-monthly 3 --prune

#!/bin/bash
echo "===== SECURITY AUDIT: $(date) ====="

echo "\n[1] Pembaruan tersedia:"
apt list --upgradable 2>/dev/null | grep -c upgradable

echo "\n[2] Port terbuka:"
ss -tlnup | grep LISTEN

echo "\n[3] User di grup sudo:"
getent group sudo

echo "\n[4] Login gagal (24 jam terakhir):"
grep "Failed password" /var/log/auth.log | grep "$(date '+%b %e')" | wc -l

echo "\n[5] Status fail2ban:"
fail2ban-client status sshd 2>/dev/null | grep "Banned IP"

echo "\n[6] Status UFW:"
ufw status | head -5

echo "\n[7] Reboot diperlukan?"
[ -f /var/run/reboot-required ] && echo "YA - perlu reboot" || echo "Tidak"

echo "\n[8] Snapshot backup terakhir:"
restic -r /backup/restic-repo snapshots 2>/dev/null | tail -3

echo "\n===== SELESAI ====="

sudo chmod +x /usr/local/bin/security-audit.sh
sudo security-audit.sh