Lewati ke konten utama

Recommended Setup

Untuk memastikan Instance DewaVPS Anda aman, stabil, dan lebih mudah dikelola sejak awal, kami sangat merekomendasikan mengikuti praktik terbaik ini selama pembuatan dan konfigurasi awal. Meskipun DewaVPS menawarkan fleksibilitas, langkah-langkah ini memberikan fondasi yang kuat.

1. Autentikasi Aman: Gunakan Kunci SSH

Rekomendasi: Selalu gunakan autentikasi kunci SSH dan secara eksplisit nonaktifkan login berbasis kata sandi dan login root langsung melalui SSH.

  • Mengapa: Kata sandi dapat ditebak, dipaksa secara brutal, atau di-phishing. Kunci SSH menggunakan kriptografi kunci publik, memberikan metode login jarak jauh yang jauh lebih aman. Menonaktifkan login root langsung memaksa pengguna untuk masuk melalui akun standar dan menggunakan sudo, menambahkan lapisan keamanan dan akuntabilitas tambahan.

  • Cara (Menambahkan Kunci SSH):

    1. Hasilkan pasangan kunci SSH di komputer lokal Anda jika Anda belum memilikinya.
    2. Tambahkan kunci publik Anda (biasanya file yang diakhiri dengan .pub) ke DewaVPS:
      • Anda dapat mengunggah kunci sebelumnya melalui bagian Authentication/SSH Keys di panel kontrol DewaVPS.
      • Atau, selama proses Instance Creation / Launch Instance, akan ada opsi untuk memilih kunci yang telah diunggah sebelumnya.
    3. Pastikan kunci SSH yang Anda inginkan dipilih untuk Instance baru sebelum mengklik "Create".

  • Cara (Nonaktifkan Login Kata Sandi - Verifikasi & Tegakkan): Menggunakan kunci SSH selama pembuatan biasanya menonaktifkan login kata sandi root secara default, tetapi sebaiknya memverifikasi dan menegakkan pengaturan ini.

    1. Masuk ke VPS baru Anda menggunakan SSH dengan kunci Anda.
    2. Edit file konfigurasi daemon SSH: sudo nano /etc/ssh/sshd_config (atau gunakan vim).
    3. Temukan baris PasswordAuthentication. Hapus komentar jika perlu (hapus # di depan) dan pastikan diatur ke no: 
      PasswordAuthentication no
    4. Simpan file (Ctrl+O, Enter di nano) dan keluar (Ctrl+X di nano).
    5. Penting: Sebelum memulai ulang SSH, buka jendela terminal kedua dan konfirmasi bahwa Anda masih dapat masuk dengan kunci SSH Anda. Ini mencegah terkunci secara tidak sengaja.
    6. Setelah dikonfirmasi, mulai ulang layanan SSH untuk menerapkan perubahan: sudo systemctl restart sshd (atau sudo service ssh restart pada sistem yang lebih lama).

  • Cara (Nonaktifkan Login Root Langsung): Ini meningkatkan keamanan dengan mengharuskan pengguna untuk masuk sebagai pengguna standar terlebih dahulu.

    1. Penting: Pastikan Anda sudah membuat pengguna non-root dengan hak sudo (Lihat langkah 3 di bawah) dan telah berhasil masuk sebagai pengguna tersebut sebelum melanjutkan.
    2. Edit file konfigurasi SSH lagi: sudo nano /etc/ssh/sshd_config.
    3. Temukan baris PermitRootLogin. Hapus komentar jika perlu dan atur ke no: 
      PermitRootLogin no
      (Catatan: prohibit-password adalah opsi lain, tetapi no umumnya direkomendasikan ketika Anda memiliki pengguna sudo).
    4. Simpan file dan keluar.
    5. Mulai ulang layanan SSH setelah mengonfirmasi login pengguna non-root Anda berfungsi dengan sudo: sudo systemctl restart sshd (atau sudo service ssh restart). Sekarang, upaya login langsung sebagai root melalui SSH harus ditolak.

2. Pilih Sistem Operasi yang Stabil

Rekomendasi: Pilih versi Long-Term Support (LTS) dari distribusi Linux yang terawat dengan baik.

  • Mengapa: Rilis LTS (seperti Ubuntu LTS, Debian Stable, CentOS Stream) menerima pembaruan keamanan dan perbaikan bug untuk jangka waktu yang lama (seringkali lebih dari 5 tahun). Ini menyediakan lingkungan yang stabil tanpa memerlukan peningkatan OS besar yang sering. Versi non-LTS memiliki siklus dukungan yang jauh lebih pendek.

  • Cara: Pilih gambar yang ditandai sebagai "LTS" atau dikenal karena stabilitasnya (misalnya, Ubuntu LTS terbaru, Debian) dari daftar pemilihan gambar selama pembuatan VPS.

3. Buat Pengguna Non-Root dengan Hak Sudo

Rekomendasi: Hindari menggunakan pengguna root untuk tugas sehari-hari. Buat akun pengguna standar dan berikan hak sudo.

  • Mengapa: Mengoperasikan langsung sebagai root berisiko; satu kesalahan ketik atau kesalahan dapat menyebabkan kerusakan signifikan pada sistem. Menggunakan pengguna standar dengan sudo memaksa Anda untuk secara sengaja meningkatkan hak untuk tugas administratif, menambahkan lapisan keamanan dan menyediakan jejak audit.

  • Cara:

    1. Masuk awalnya sebagai root menggunakan kunci SSH Anda.
    2. Buat pengguna baru: adduser yourusername (ikuti petunjuknya).
    3. Tambahkan pengguna ke grup sudo (Debian/Ubuntu) atau wheel (CentOS):
      • usermod -aG sudo yourusername (untuk Debian/Ubuntu)
      • usermod -aG wheel yourusername (untuk CentOS/Fedora - pastikan grup wheel dikonfigurasi untuk akses sudo di /etc/sudoers)
    4. Keluar dari sesi root.
    5. Masuk kembali sebagai yourusername. Anda sekarang dapat menjalankan perintah administratif menggunakan sudo command_name.

4. Konfigurasi Firewall

Rekomendasi: Gunakan layanan DewaVPS Cloud Firewall untuk mengontrol lalu lintas ke dan dari instance Anda.

  • Mengapa: DewaVPS Cloud Firewalls menyediakan penghalang tingkat jaringan, memblokir lalu lintas yang tidak diinginkan sebelum mencapai instance Anda. Ini menawarkan beberapa keuntungan:

    • Mengurangi Beban Server: Instance Anda tidak membuang sumber daya untuk memproses lalu lintas yang diblokir.
    • Meningkatkan Keamanan: Membatasi paparan sistem operasi instance Anda langsung ke internet.
    • Kesederhanaan: Lebih mudah mengelola aturan melalui panel kontrol dibandingkan dengan mengkonfigurasi firewall melalui CLI.

  • Cara:

    1. Arahkan ke bagian Networking di panel kontrol DewaVPS dan temukan area Firewalls.

    2. Buat Firewall Baru: Berikan deskripsi yang deskriptif (misalnya, webserver-prod-fw, database-staging-fw).

    3. Tentukan Aturan: Ini adalah bagian yang paling penting. Mulailah dengan prinsip hak istimewa paling sedikit – izinkan hanya yang diperlukan. Tambahkan aturan untuk layanan penting:

      • SSH (TCP Port 22):
        • Penting: Atur Sumber ke hanya alamat IP spesifik Anda (Your_Static_IP/32) atau rentang jaringan tepercaya (Your_Office_Network/24).
        • Hindari menggunakan All IPv4 / All IPv6 untuk SSH kecuali benar-benar diperlukan dan Anda memahami risikonya, karena ini mengekspos port SSH Anda ke seluruh internet. Jika alamat IP Anda dinamis, pertimbangkan menggunakan VPN atau host bastion dengan IP statis sebagai sumber.
      • HTTP (TCP Port 80): Jika menjalankan server web publik, atur Sumber ke All IPv4 dan All IPv6 (0.0.0.0/0, ::/0).
      • HTTPS (TCP Port 443): Jika menjalankan server web publik dengan SSL/TLS, atur Sumber ke All IPv4 dan All IPv6.
      • Layanan Lain: Tambahkan aturan spesifik untuk port aplikasi lain (misalnya, port database, port API, port server game), selalu membatasi IP Sumber sebanyak mungkin.
      • Anda dapat memilih apakah akan MENERIMA atau MENOLAK lalu lintas masuk untuk port tertentu.

    4. Verifikasi: Setelah menerapkan firewall, uji akses. Pastikan Anda dapat terhubung melalui SSH dari IP yang diizinkan. Periksa apakah server web Anda (jika ada) dapat diakses dari internet. Cobalah menghubungkan ke port yang tidak diizinkan dari sumber eksternal untuk memastikan itu diblokir.

Secara default, server DewaVPS Anda dikonfigurasi untuk mengizinkan semua lalu lintas jaringan masuk dan keluar. Ini berarti bahwa semua port terbuka, dan koneksi diterima kecuali Anda secara khusus mengkonfigurasi aturan untuk MENOLAK port atau lalu lintas tertentu. Untuk keamanan yang lebih baik, Anda juga memiliki opsi untuk beralih ke kebijakan "deny all", di mana semua lalu lintas masuk diblokir secara default, dan Anda harus secara eksplisit MENGIZINKAN port dan koneksi spesifik yang Anda butuhkan.

5. Konfigurasi Backup

Rekomendasi: Manfaatkan layanan backup terintegrasi DewaVPS untuk perlindungan dan pemulihan data.

  • Mengapa: Masalah perangkat lunak muncul, insiden keamanan terjadi, dan penghapusan tidak sengaja terjadi. Backup rutin sangat penting untuk memulihkan data Anda, konfigurasi, dan memastikan kelangsungan bisnis. Menggunakan fitur bawaan DewaVPS menyederhanakan proses ini.

  • Cara: DewaVPS menawarkan dua metode utama untuk mencadangkan instance Anda, dikelola langsung melalui panel kontrol:

    • Backup Otomatis:

      • Apa: Ini adalah backup tingkat sistem yang secara otomatis dibuat oleh DewaVPS pada jadwal reguler (misalnya, harian atau mingguan, periksa spesifikasi DewaVPS). Mereka biasanya menyimpan beberapa salinan terbaru.
      • Terbaik Untuk: Memberikan perlindungan rutin yang konsisten dengan upaya manual minimal ("atur dan lupakan"). Ideal untuk pemulihan bencana umum.
      • Cara: Anda biasanya dapat mengaktifkan backup otomatis melalui kotak centang selama proses pembuatan Instance atau nanti melalui halaman Instance Backups di panel kontrol DewaVPS. Perhatikan bahwa layanan ini mungkin memiliki biaya terkait berdasarkan rencana atau ukuran instance Anda. Tinjau kebijakan retensi untuk memahami berapa banyak backup yang disimpan.

    • Backup Manual (Snapshots):

      • Apa: Snapshots adalah salinan tingkat gambar point-in-time dari disk instance Anda yang Anda buat secara manual kapan pun diperlukan.
      • Terbaik Untuk: Membuat titik pemulihan spesifik sebelum melakukan perubahan sistem besar seperti peningkatan OS, menginstal perangkat lunak kompleks, modifikasi konfigurasi kritis, atau menerapkan kode baru. Mereka juga dapat digunakan untuk membuat gambar kustom untuk meluncurkan instance VPS baru yang sudah dikonfigurasi sebelumnya.
      • Cara: Anda dapat membuat snapshot melalui halaman Instance Backups di panel kontrol DewaVPS. Ingatlah bahwa menyimpan snapshot biasanya menimbulkan biaya berdasarkan ukurannya dan berapa lama Anda menyimpannya. Ingatlah untuk menghapus snapshot lama yang tidak diperlukan untuk mengelola biaya.

Ringkasan

Untuk instance yang aman, stabil, dan dapat dikelola, ikuti praktik utama ini:

  1. Gunakan Kunci SSH: Autentikasi menggunakan hanya kunci SSH. Nonaktifkan login kata sandi dan login root langsung via SSH di file sshd_config.
  2. Pilih OS Stabil: Pilih versi Long-Term Support (LTS) dari distribusi Linux (misalnya, Ubuntu LTS, Debian Stable).
  3. Buat Pengguna Sudo: Hindari menggunakan root. Buat akun pengguna standar dan berikan hak

memiliki hak sudo untuk tugas administratif. 4. Konfigurasi Firewall Cloud: Gunakan Firewall Cloud DewaVPS untuk membatasi lalu lintas masuk. Hanya izinkan port yang diperlukan (seperti 80/443 untuk web) dan batasi akses SSH (port 22) secara ketat ke alamat IP spesifik Anda. 5. Gunakan Cadangan DewaVPS: Aktifkan Cadangan Otomatis DewaVPS untuk perlindungan rutin dan buat Snapshot Manual sebelum melakukan perubahan signifikan pada sistem. Mengikuti langkah-langkah ini memberikan dasar yang kuat untuk lingkungan server DewaVPS Anda.