🔐 Lynis Hardening Tracker — Rocky Linux 9 (Dokumentasi Teknis Komprehensif)


🧭 Profil Sistem dan Konteks

ParameterNilaiPenjelasan Teknis
Hostrocky (192.168.130.129)Alamat IP internal untuk sistem target
OSRocky Linux 9 (RHEL-based)Distro berbasis Red Hat Enterprise Linux 9 dengan kompatibilitas Enterprise-grade
Kernel5.14.0-78.el9.x86_64 (misalnya)Versi kernel yang mendukung modul keamanan seperti SELinux dan AppArmor
Baseline Scan2026-06-06 20:00Hasil pemindaian awal sebelum hardening menggunakan lynis audit system
Current Scan2026-06-06 21:37Skor terkini setelah implementasi langkah hardening
Target Score90+ (skala 100)Target berdasarkan benchmark hardening PCI-DSS, CIS, dan OWASP

📈 Progresif Skor Keamanan

FaseTanggalSkorDeltaLangkah Kunci
Baseline2026-06-0667Sistem baru dengan hardening minimal (SSH aktif, firewall dasar)
Hari 12026-06-0669+2SSH lockdown: root login dinonaktifkan, otorisasi berbasis kunci, batasi percobaan login
Hari 22026-06-0674+5Implementasi PAM (Password Authentication Modules) + aIDE (Asset Integrity Directory Engine)
Hari 32026-06-07 (planned)80++6Optimasi SSH (batasi port forwarding, log detail), konfigurasi login.defs (umask, password TTL)
Hari 42026-06-08 (planned)85++5Nonaktifkan protokol legacy (X11), periksa layanan (auditd, syslog), dan partisi log (/var/log)
Hari 52026-06-09 (planned)90++5Implementasi logging eksternal (rsyslog), validasi konfigurasi keamanan (lynis report), dan audit final

✅ Detail Konfigurasi yang Telah Diberlakukan

🔒 Hari 1: SSH & Perlindungan Akun

  • SSH Konfigurasi

    PermitRootLogin no
    PasswordAuthentication no
    AllowUsers rocky

    Mencegah brute-force dan akses root langsung, hanya membolehkan user rocky.

  • Fail2Ban Rule (/etc/fail2ban/jail.local)

    [sshd]
    bantime = 3600
    maxretry = 3

    Menjebak IP yang mencoba 3 kali login salah dalam 1 jam.

  • PAM (Password Authentication Modules)

    authselect select sssd with-faillock with-pwhistory

    Mengaktifkan kebijakan password kompleksitas (minlen=12) dan blokir akun setelah 5 cobaan.


🔐 Hari 2: Integritas Sistem & Audit

  • AIDE (Advanced Intrusion Detection Environment)

    aide --init && cp /etc/aide/aide.db.new /etc/aide/aide.db

    Membangun baseline integritas file. Jadwalkan cron 0 0 * * * aide --check.

  • Kernel Hardening (/etc/sysctl.d/99-hardening.conf)

    net.ipv4.conf.all.rp_filter = 1
    net.ipv4.icmp_echo_ignore_broadcasts = 1

    Mencegah spoofing IP dan mitigasi DDOS.

  • Audit Trail (auditctl -l)

    -w /etc/passwd -p war
    -w /etc/shadow -p war

    *Memantau perubahan