Cara Mengamankan Nginx Web Server Ubuntu 16.04

  1. Home
  2. Blog
  3. Cara Mengamankan Nginx Web Server Ubuntu 16.04
BlogTutorial Komputer

Cara Mengamankan Nginx Web Server Ubuntu 16.04

WarungKomputer.com-Tutorial ini akan mengajak pembaca untuk mengatur sertifikat TLS/SSL dari Let’s Encrypt di server Ubuntu 16.04 yang menjalankan Nginx sebagai server webnya. Kita juga akan membahas bagaimana mengotomasi proses perbaruan sertifikat.

Sertifikat SSL dipakai di dalam server web untuk mengenkripsi traffic antara server dan klien dengan memberikan tambahan lapisan keamanan bagi user yang mengakses aplikasi web kita. Let’s Encrypt memberikan cara mudah untuk mengambil dan memasang sertifikat terpercaya tanpa biaya.

Prasyarat

Untuk menyelesaikan tutorial ini kita akan membutuhkan:

  • Server Ubuntu 16.04 dengan user non-root yang memiliki akses sudo, yang mana bisa diatur dengan mengikuti tutorial Yang Perlu Dilakukan Setelah Memasang Server Ubuntu 16.04.
    Server web Nginx telah terpasang.
    Memiliki domain yang ingin didaftarkan (atau memiliki akses ke domain ini)
  • Sebuah DNS A Record yang mengarahkan alamat IP publik ke server Nginx.

Setelah memenuhi semua prasyarat, mari kita lanjutkan dengan memasang Certbot, aplikasi klien untuk Let’s Encrypt.

Cara Mengamankan Nginx Web Server Ubuntu 16.04

Langkah 1 — Pasang Klien Let’s Encrypt

Sertifikat Let’s Encrypt dapat diunduh lewat software klien yang berjalan di server kita. Klien resmi untuk Let’s Encrypt bernama Certbot dan sudah memiliki repositori Ubuntu sendiri dengan versi terbaru. Karena pengembangannya yang sangat aktif, maka kita dapat langsung memasang Certbot terbaru dari repositorinya sendiri daripada menggunakan repositori Ubuntu.

Pertama, tambahkan dulu repositorinya:

sudo add-apt-repository ppa:certbot/certbot

Tekan ENTER untuk menerima. Lalu, jalankan perintah di bawah:

sudo apt-get update

Terakhir, pasang Certbot dengan perintah:

sudo apt-get install python-certbot-apache

Software klien certbot Let’s Encrypt sekarang sudah siap dipakai.

Langkah 2 — Menyiapkan Nginx

Certbot dapat secara otomatis mengatur SSL untuk Nginx, tapi ia perlu mengetahui server block yang benar di konfigurasi. Nginx melakukan hal ini dengan melihat sebuat server_name yang sama dengan domain untuk didaftarkan sertifikat SSL-nya. Jika pembaca menggunakan Nginx yang baru diinstall, kita bisa memperbarui file konfigurasi bawaannya:

$ sudo nano /etc/nginx/sites-available/default

Cari baris server_name:

server_name _;

Ganti tanda _ dengan nama domain yang ingin dipakai:

server_name example.com www.example.com;

Simpan dan keluar dari editor. Lakukan validasi sintaks yang baru ditulis dengan menjalankan perintah:

$ sudo nginx -t

Jika tidak ada kesalahan, restart Nginx untuk membaca pengaturan yang baru:

$ sudo systemctl reload nginx

Certbot sekarang akan bisa menemukan server block yang benar dan meperbaruinya. Sekarang kita perlu memperbarui firewall agar mengijinkan traffic HTTPS.

Langkah 3 — Mengatur Firewall

Jika pembaca mengaktifkan firewall ufw, seperti yang direkomendasikan di tutorial ini, pembaca perlu mengaturnya untuk menerima traffic HTTPS. Untungnya, Nginx telah mendaftarkan beberapa profil untuk ufw saat dipasang.

Ketikkan perintah berikut:

$ sudo ufw status

Dari pesan yang muncul, kita dapat lihat bahwa baru traffic HTTP yang diijinkan:

Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere                  
Nginx HTTP                 ALLOW       Anywhere                  
OpenSSH (v6)               ALLOW       Anywhere (v6)             
Nginx HTTP (v6)            ALLOW       Anywhere (v6)

Untuk menambahkan traffic HTTPS kita bisa meng-allow-kan profil “Nginx full” lalu menghapus profil “Nginx HTTP” yang sudah aktif.:

$ sudo ufw allow 'Nginx Full'
$ sudo ufw delete allow 'Nginx HTTP'

Ketikkan lagi perintah berikut:

$ sudo ufw status

Maka statusnya sekarang seharusnya sudah terlihat seperti berikut ini:

Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere
Nginx Full                 ALLOW       Anywhere
OpenSSH (v6)               ALLOW       Anywhere (v6)
Nginx Full (v6)            ALLOW       Anywhere (v6)

Sekarang kita sudah siap untuk menjalankan Certbot dan mendapatkan sertifikat SSL.

Langkah 4 — Mendapatkan Sertifikat SSL

Certbot memberikan beberapa cara untuk mendapatkan sertifikat SSL melalui beberapa plugin. Plugin Nginx akan melakukan konfigurasi Nginx ulang dan memuat ulang konfigurasi yang dibutuhkan:

$sudo certbot --nginx -d example.com -d www.example.com

Perintah di atas akan menjalankan certbot dengan plugin --nginx menggunakan opsi -d untuk menentukan nama domain yang ingin diatur.

Jika baru pertama kali menjalankan certbot, ia akan meminta kita memasukkan alamat email dan menyetujui terms of service-nya. Setelah memberikan apa yang ia minta, certbot lalu akan menghubungi server Let’s Encrypt, menjalankan sebuah challenge untuk mengetahui apakah kita memiliki kontrol domain yang ditambahkan tadi.

Jika challenge berhasil, certbot akan menanyakan bagaimana kita ingin mengatur konfigurasi HTTPS:

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

Pilihan 2 akan me-redirect semua traffic untuk mengarah ke HTTPS. Sedangkan, opsi 1 masih tetap menerima permintaan HTTP. Opsi 2 merupakan pilihan terbaik kecuali masih ada layanan HTTP yang tidak bisa dijadikan HTTPS. Masukan angka yang diinginkan lalu tekan tombol ENTER. Setelah proses dilanjutkan dan berhasil, certbot akan memberikan pesan pemberitahuan tempat di mana sertifikatnya disimpan:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at
   /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will
   expire on 2017-10-23. To obtain a new or tweaked version of this
   certificate in the future, simply run certbot again with the
   "certonly" option. To non-interactively renew *all* of your
   certificates, run "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

Sekarang coba akses alamat servernya dan perhatikan indikator dibagian address bar. Jika berhasil, maka akan muncul ikon gembok berwarna hijau.

Langkah 5 — Memperbarui Parameter Diffie-Hellman

Jika pembaca menguji server yang sekarang menggunakan SSL Labs Server Test, pengujian ini hanya akan memberikan nilai B karena parameter Diffie-Hellman. Kita bisa memperbaikinya dengan membuat file dhparam.pem dan menambahkannya ke server block.

Buat file tadi dengan OpenSSL:

$ sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Perintah di atas akan berlangsung agak lama, mungkin beberapa menit. Jika selesai, buka file konfigruasi Nginx yang ada server block kita. Di contoh ini, yang dibuka adalah konfigurasi bawaan:

$ sudo nano /etc/nginx/sites-available/default

Paste baris berikut di dalam file yang sedang dibuka di mana saja:

ssl_dhparam /etc/ssl/certs/dhparam.pem;

Simpan dan keluar dari editor. Jalankan perintah berikut untuk memeriksa kesalahan sintaks:

$ sudo nginx -t

Jika tidak ada kesalahan, muat ulang Nginx:

$ sudo systemctl reload nginx

Sekarang server lebih aman dan mendapatkan nilai A.

Langkah 6 — Memperbarui Sertifikat Secara Otomatis

Sertifikat Let’s Encrypt hanya valid selama 90 hari. Pengguna disarankan untuk mengotomatiskan proses perbaruan sertifikatnya. Kita perlu menyiapkan perintah yang akan berjalan secara otomatis untuk memeriksa tanggal kadaluarsa sebuah sertifikat dan memperbaruinya.

Untuk menjalankan proses di atas kita akan menggunakan cron, service sistem standar untuk melakukan pekerjaan yang berulang. Kita akan memberitahu cron apa yang harus dilakukan dengan membuka dan mengubah isi file bernama crontab.

sudo crontab -e

Tambahkan baris berikut ke dalam crontab:

crontab

. . .
15 3 * * * /usr/bin/certbot renew --quiet

Bagian 15 3 * * * dari perintah di atas artinya “jalankan perintah ini setiap hari jam 3:15 pagi.

Perinath renew akan memberitahu Certbot untuk memeriksa semua sertifikat yang terpasang di sistem dan memperbarui setiap sertifikat yang akan kadaluarsa dalam 30 hari. Opsi --quiet memberitahu Certbot untuk tidak menampilkan informasi apapun atau menunggu masukan pengguna.

Sistem cron akan menjalankan perintah ini setiap hari. Karena kita memasang sertifikat dengan menggunakan --apache, maka Apache juga akan direstart untuk menggunakan sertifkat yang baru.

Penutup

Di tutorial Cara Mengamankan Nginx Web Server Ubuntu 16.04, kita telah belajar bagaimana memasang sertifikat SSL gratis dari Let’s Encrypt untuk mengamankan website yang menggunakan Nginx. Kami sarankan pembaca untuk memeriksan blog resmi Let’s Encrypt untuk info terbaru serta membaca dokumentasi Certbot untuk detail lebih lengkap mengenai klien yang tadi kita gunakan.

Semoga artikel Cara Mengamankan Nginx Web Server Ubuntu 16.04 bisa membantu kalian
jika ada yang ingin di tanyakan tentang Cara Mengamankan Nginx Web Server Ubuntu 16.04 silahkan komen di kolom komentar

SUMBER:
codepolitan.com

Tags: , , ,
Warung Komputer menyediakan layanan Jasa Pembuatan Website, SEO, Digital Marketing dan Jasa Service Laptop/Komputer yang memiliki tenaga ahli professional dan berpengalaman.

Warung Komputer | Your Trusted IT Partner
Telpon/WhatsApp : 0811-1014-930
Email : mail@warungkomputer.co.id
Website : warungkomputer.com

Artikel Terkait

Cara Memasang NPM dengan Azure Function
Cara Install Windows 10 Fall Creators Update

Kategori Artikel

Archives

Menu