Dalam lingkungan produksi, terutama ketika mengelola VPS hosting untuk banyak domain, tantangan utama yang sering dihadapi adalah pengelolaan beban server, keamanan, dan performa. Misalnya, dalam sebuah kasus nyata di perusahaan kami, kami menghadapi masalah performa yang signifikan saat traffic meningkat secara tiba-tiba. Setiap domain harus dilayani dengan cepat, sementara juga harus mempertahankan keamanan tinggi dari serangan seperti brute force atau malware. Karena itu, kami memutuskan untuk melakukan hardening Linux pada server yang menjalankan NGINX dan PHP-FPM.<\/p>\n
Sebelum kita mulai, mari kita tinjau arsitektur yang akan kita gunakan. Kami menggunakan VPS yang menjalankan Ubuntu 22.04 LTS dengan NGINX sebagai web server dan PHP-FPM untuk memproses skrip PHP. Database menggunakan MariaDB. Kami juga akan menggunakan beberapa alat untuk pemantauan dan keamanan seperti fail2ban dan logwatch.<\/p>\n
Pertama-tama, pastikan semua paket di sistem Anda diperbarui. Ini adalah langkah penting untuk memastikan bahwa Anda memiliki semua patch keamanan terbaru. Gunakan perintah berikut:<\/p>\n
sudo apt update && sudo apt upgrade -y<\/code><\/pre>\nPerintah ini melakukan dua hal: pertamanya, apt update<\/code> meminta informasi terbaru dari repositori, dan keduanya apt upgrade -y<\/code> akan menginstal semua pembaruan yang tersedia tanpa meminta konfirmasi. Menjalankan perintah ini secara teratur akan sangat membantu dalam menjaga keamanan sistem Anda.<\/p>\nLangkah 2: Mengonfigurasi Firewall dengan UFW<\/h2>\n
Setelah sistem diperbarui, kita perlu mengonfigurasi firewall. UFW (Uncomplicated Firewall) adalah alat yang bagus untuk memulai. Pertama, kita perlu mengaktifkan UFW dan menambahkan aturan untuk membolehkan trafik SSH dan HTTP\/HTTPS:<\/p>\n
sudo ufw allow OpenSSH\nsudo ufw allow 'Nginx Full'\nsudo ufw enable<\/code><\/pre>\nPerintah di atas pertama-tama mengizinkan koneksi untuk SSH, yang penting untuk mengelola server secara remote, dan aturan kedua untuk mengizinkan trafik menuju NGINX. Setelah itu, kita mengaktifkan firewall dengan ufw enable<\/code>.<\/p>\nLangkah 3: Menginstal dan Mengonfigurasi Fail2Ban<\/h2>\n
Fail2Ban adalah alat yang dapat membantu melindungi server dari serangan brute force dengan memblokir alamat IP yang gagal login setelah sejumlah percobaan tertentu. Instalasi dapat dilakukan dengan:<\/p>\n
sudo apt install fail2ban<\/code><\/pre>\nSetelah terinstal, kita perlu mengkonfigurasi fail2ban. Buat salinan konfigurasi default:<\/p>\n
sudo cp \/etc\/fail2ban\/jail.conf \/etc\/fail2ban\/jail.local<\/code><\/pre>\nSelanjutnya, buka file konfigurasi tersebut dan ubah pengaturan sesuai kebutuhan Anda:<\/p>\n
sudo nano \/etc\/fail2ban\/jail.local<\/code><\/pre>\nCari bagian [sshd] dan ubah enabled<\/code> menjadi true<\/code>. Anda juga dapat menambahkan pengaturan untuk NGINX:<\/p>\n[nginx-http-auth]\nenabled = true\nport = http,https\nfilter = nginx-http-auth\nlogpath = \/var\/log\/nginx\/error.log\nmaxretry = 3\nbantime = 86400<\/code><\/pre>\nPengaturan ini akan memblokir alamat IP yang melakukan lebih dari 3 kali percobaan gagal dalam 24 jam.<\/p>\n
Langkah 4: Mengoptimalkan Konfigurasi NGINX<\/h2>\n
Setelah keamanan dasar diterapkan, kita perlu memastikan bahwa NGINX dioptimalkan untuk performa. Pertama, kita akan mengubah pengaturan di \/etc\/nginx\/nginx.conf<\/code>:<\/p>\nworker_processes auto;\nworker_connections 1024;<\/code><\/pre>\nDengan mengatur worker_processes<\/code> ke auto<\/code>, sistem akan menyesuaikan jumlah proses worker sesuai dengan jumlah core CPU tersedia, sementara worker_connections<\/code> menentukan jumlah koneksi per proses worker.<\/p>\nKemudian, tambahkan gzip compression untuk mempercepat pengiriman konten:<\/p>\n
gzip on;\ngzip_types text\/plain text\/css application\/json application\/javascript text\/xml application\/xml application\/xml+rss text\/javascript;<\/code><\/pre>\nDengan mengaktifkan gzip, kita bisa mengurangi ukuran data yang dikirim ke klien, sehingga mempercepat waktu loading.<\/p>\n
Langkah 5: Mengatur PHP-FPM untuk Performa Optimal<\/h2>\n
Berikutnya, kita akan mengoptimalkan pengaturan PHP-FPM. Buka file konfigurasi PHP-FPM:<\/p>\n
sudo nano \/etc\/php\/7.4\/fpm\/pool.d\/www.conf<\/code><\/pre>\nUbah pengaturan berikut:<\/p>\n
pm = dynamic\npm.max_children = 50\npm.start_servers = 5\npm.min_spare_servers = 5\npm.max_spare_servers = 10<\/code><\/pre>\nPengaturan ini mengizinkan PHP-FPM untuk mengelola proses PHP dengan lebih efisien berdasarkan traffic yang meningkat. Anda dapat menyesuaikan pengaturan max_children<\/code> berdasarkan sumber daya server Anda.<\/p>\nLangkah 6: Memantau Log dengan Journalctl dan Logwatch<\/h2>\n
Pemantauan log sangat penting dalam menjaga kesehatan server. Gunakan journalctl<\/code> untuk melihat log sistem dan NGINX:<\/p>\njournalctl -u nginx.service<\/code><\/pre>\nSelain itu, Anda dapat menggunakan Logwatch untuk mendapatkan ringkasan harian dari aktivitas server:<\/p>\n
sudo apt install logwatch<\/code><\/pre>\nSetelah instalasi, Anda dapat menjalankan Logwatch dengan:<\/p>\n
logwatch --detail high --mailto your-email@example.com --range yesterday<\/code><\/pre>\nIni akan mengirimkan laporan via email dengan detail tinggi tentang aktivitas server kemarin.<\/p>\n
Langkah 7: Implementasi Backup dan Restore<\/h2>\n
Kami tidak dapat membahas keamanan tanpa menyentuh backup. Skenario terburuk adalah ketika kita kehilangan data. Gunakan rsync untuk melakukan backup:<\/p>\n
rsync -av --delete \/var\/www\/html \/path\/to\/backup\/<\/code><\/pre>\nPerintah ini akan mengcopy semua file dari direktori web dan melakukan sinkronisasi dengan lokasi backup. Opsi --delete<\/code> memastikan bahwa file yang dihapus di sumber juga dihapus di backup.<\/p>\nLangkah 8: Tips Terakhir dan Kesalahan Umum<\/h2>\n
Saat mengonfigurasi server, ada beberapa kesalahan umum yang perlu dihindari:<\/p>\n
\n- Melebih-lebihkan batas max_children di PHP-FPM, yang dapat menyebabkan kehabisan memori.<\/li>\n
- Melupakan untuk mengamankan file konfigurasi seperti
config.php<\/code> dengan izin yang tepat.<\/li>\n- Tidak memantau log secara teratur, yang dapat menyebabkan ketidakpastian di kemudian hari.<\/li>\n<\/ul>\n
Secara umum, implementasi keamanan hardening ini adalah langkah penting untuk memastikan server produksi yang aman dan optimal. Dengan mengikuti langkah-langkah di atas, Anda meningkatkan ketahanan sistem dari serangan dan memastikan bahwa semua domain di server dapat berfungsi dengan baik meski di tengah lalu lintas yang padat.<\/p>\n