Living life and Make it Better

life, learn, contribute

Endy Muhardin

Software Developer berdomisili di Jabodetabek, berkutat di lingkungan open source, terutama Java dan Linux.

Login ssh dengan private key

Masih dalam rangka mengotomasi workflow di ArtiVisi, artikel ini akan membahas tentang cara memindahkan file antar komputer secara aman tapi otomatis.

Ada berbagai cara kita memindahkan file dari satu komputer ke komputer lain, diantaranya:

  • Menggunakan USB Flashdisk

  • Windows File Sharing

  • NFS

  • FTP atau SFTP

  • SCP

  • dan sebagainya

Cara pertama jelas tidak bisa diotomasi.

Cara kedua sampai keempat mengharuskan kita membuka write access tanpa password di komputer tujuan supaya bisa otomatis. Kalau ada passwordnya kan harus ada seseorang yang mengetik password tersebut. Jadi agak sulit mengotomasinya.

Oleh karena itu, kita akan membahas cara kelima, yaitu SCP. SCP –atau Secure Copy– adalah mekanisme copy file melalui protokol SSH. File yang dikirim terenkripsi. Untuk dapat masuk ke komputer tujuan, kita harus melakukan otentikasi. Jadi ini adalah cara yang relatif aman untuk mengirim file.

Tunggu dulu, katanya mau otomatis, tapi kok harus otentikasi?? Berarti harus ada yang mengetik password dong ….

Tidak juga, makanya saya menggunakan istilah otentikasi, bukan password. SSH dapat melakukan otentikasi dengan password maupun private key. Pada artikel ini, kita akan membahas tentang otentikasi private key.

Artikel ini dibuat menggunakan Ubuntu Hardy dengan openssh sudah terinstal.

Ada beberapa langkah yang harus kita lakukan, yaitu:

  1. Membuat private key di komputer pengirim

  2. Mengirim public key ke komputer tujuan

  3. Registrasi public key di komputer tujuan

Sebelum mulai, kita tentukan dulu studi kasusnya.

Di tengah pertarungan dengan Pain, guru genit Jiraiya tiba-tiba berhasil menemukan kelemahan musuhnya. Dia ingin mengirim file berisi informasi tersebut ke sang Hokage seksi, yaitu Tsunade. Rencananya, dia akan login ke server di markas dengan username Tsunade dan menyimpan file tersebut di folder /home/tsunade/important.

Tentunya Tsunade tidak akan memberitahukan passwordnya kepada Jiraiya, mengingat tabiatnya yang genit. Sebagai gantinya, dia mendaftarkan public key Jiraiya ke user accountnya di server, sehingga Jiraiya bisa login sebagai Tsunade, tanpa Tsunade harus memberitahukan passwordnya kepada Jiraiya.

Pada cerita di atas, kita punya dua komputer, yaitu laptopnya Jiraiya yang dibawanya kemanapun pergi, dan server di markas. Kita juga punya dua user, yaitu Jiraiya dan Tsunade.

Agar bisa melakukan public key authentication, tentunya hal pertama yang harus dilakukan adalah membuat public key.

Membuat public key

Jiraiya harus membuat public key di laptopnya sendiri. Public key selalu berpasangan dengan private key. Untuk membuat public key, Jiraiya mengetik perintah berikut di terminal.

ssh-keygen

Perintah tersebut akan menanyakan password untuk membuka private key. Jiraiya memilih tidak memberikan password. Sebetulnya ini kurang aman, karena kalau ada orang lain yang berhasil mendapatkan file private key, dia bisa login ke server di markas tanpa hambatan.

Tapi mau bagaimana lagi, hidup sebagai ninja sangat berbahaya. Kita tidak tahu apakah setelah pertarungan kita masih punya tangan untuk mengetik password.

Tekan enter beberapa kali sampai selesai. Berikut output yang dihasilkan.

Generating public/private rsa key pair.
Enter file in which to save the key (/home/jiraiya/.ssh/id_rsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/jiraiya/.ssh/id_rsa.
Your public key has been saved in /home/jiraiya/.ssh/id_rsa.pub.
The key fingerprint is:
6f:7c:e2:52:f1:14:5d:2c:7f:3a:53:5e:fe:7f:98:9c jiraiya@laptop

Selanjutnya, kita harus kirimkan file public key ke Tsunade agar didaftarkan di accountnya. File public key ini bisa ditemukan di folder /home/jiraiya/.ssh/ dengan nama id_rsa.pub. Public key bisa dikirim melalui media apapun, misalnya email, usb flashdisk, burung hantu, maupun burung merpati.

Registrasi Public Key

Singkat kata, Tsunade telah menerima public key dari Jiraiya. Dia harus mendaftarkannya di accountnya agar Jiraiya bisa login.

Tsunade harus login dulu ke server dan menaruh file public key tersebut di sana. Misalnya dia letakkan di folder /home/tsunade/ dan nama filenya diubah menjadi jiraiya_id_rsa.pub.

Untuk meregistrasinya, Tsunade menggunakan perintah berikut di terminal.

cat /home/tsunade/jiraiya_id_rsa.pub >> /home/tsunade/.ssh/authorized_keys

Setelah itu, public key tidak lagi diperlukan, sehingga bisa dihapus.

rm /home/tsunade/jiraiya_id_pub

Selesai sudah konfigurasi di server, sekarang kita kembali ke pertarungan Jiraiya vs Pain.

Login dengan public key

Sesaat sebelum Jiraiya menekan tombol Send di Mozilla Thunderbird, Pain mendaratkan serangan mematikan ke Jiraiya, sehingga ybs tidak dapat menggerakkan tangannya. Jiraiya membatin, “Untung saja saya sudah setup public key di server dengan account Tsunade. Baiklah, mari kita scp saja.”

Untuk mengirim file tersebut melalui scp dengan public key, berikut adalah perintahnya

scp -i /path/menuju/private/key username@komputer-tujuan:folder-tujuan

Jadi, untuk mengirim file pain-secret.txt ke server dengan username tsunade, Jiraiya menggunakan perintah berikut

scp -i /home/jiraiya/.ssh/id_rsa pain-secret.txt tsunade@server:/home/tsunade/important/

File akan segera terkirim tanpa harus mengetik password.

Lebih lanjut tentang ssh dengan public/private key bisa dibaca di sini.

Lebih lanjut tentang nasib Jiraiya bisa dibaca di sini.

Selamat mencoba


Backup Trac

Trac sudah terinstal, sekarang harus diamankan melalui prosedur backup.

Seperti biasa, semua prosedur backup harus otomatis dan terjadwal. Kalau tidak begitu, pasti tidak akan dijalankan. Jadi, selain kegiatan memburn CD, kegiatan backup lainnya harus diotomasi.

Di website Trac sudah dijelaskan tentang cara melakukan backup terhadap instalasi Trac. Kita hanya perlu membuat script sedikit supaya bisa membackup seluruh project dalam folder parent trac, dan mengkompresnya.

Berikut scriptnya, seperti biasa, menggunakan Ruby.

Script ini diadaptasi dari script sebelumnya untuk backup Subversion repo.

Berikut scriptnya

require 'zlib'
require 'fileutils' 

if ARGV.length < 2
  puts "Usage : ruby trac-backup.rb <Trac Parent folder> <backupfolder>"
  exit
end

# some configuration
trac_parent_path = ARGV[0]
backup_folder = ARGV[1]

# variable initialization
current_date = Time.now.strftime("%Y%m%d")

Dir.foreach(trac_parent_path) { |trac|
    next if('.' == trac || '..' == trac)
    puts "Start to process folder : "+trac

    puts "Performing trac hotcopy"
    project_name = trac_parent_path + File::SEPARATOR + trac
    dumpfile_folder = trac + '-' +current_date
    dumpfile = backup_folder + File::SEPARATOR + dumpfile_folder

    `trac-admin #{project_name} hotcopy #{dumpfile}`

    puts "Compressing dumpfile"
    `tar czf #{backup_folder}/#{dumpfile_folder}.tar.gz -C #{backup_folder} #{dumpfile_folder}`

    puts "Deleting uncompressed backup"
    FileUtils.rm_r dumpfile
}

Save dengan nama trac-backup.rb.

Warning, kode di atas tidak bisa dijalankan di Windows, karena menggunakan command line tar untuk mengkompres file. Jika Anda ingin menggunakan di Windows, silahkan gunakan TugZIP seperti contoh ini.

Untuk menjalankannya, cukup panggil dari command prompt.

ruby trac-backup.rb /var/lib/trac /folder/tempat/backup

Supaya fully-automated, daftarkan di cron. Buka editor crontab.

crontab -e

Kemudian ketikkan entri sebagai berikut

0 23 * * 5 /usr/bin/ruby /full/path/ke/trac-backup.rb /var/lib/trac /full/path/ke/folder/backup

Backup akan dijalankan setiap jam 23.00 pada hari Jumat. Lebih lanjut tentang cron bisa dibaca di sini. Jika bingung dengan formatnya, bisa gunakan generator crontab online.


Instalasi Trac

Mulai beberapa minggu ini, ArtiVisi kebanjiran project. Ini tentu harus dikelola dengan baik. Semua orang harus bekerja se-efisien mungkin. Menjadi tugas saya sebagai manager untuk memudahkan orang-orang bekerja.

Opa Abe Lincoln pernah bilang gini, jauh sebelum mas Barry masuk sekolah di SD Besuki, Menteng.

If I had eight hours to chop down a tree, I’d spend six hours sharpening my axe

So be it ….

Hal pertama yang harus dilakukan sebelum mulai bekerja adalah mempersiapkan environment. Ada beberapa tools yang dapat digunakan untuk mempercepat kegiatan software development, terutama di Java. Ini pernah saya bahas di artikel ini.

Subversion sudah terinstal sejak hari pertama ArtiVisi buka warung. Bahkan sebelum websitenya jadi, repository sudah siap digunakan dan diamankan melalui prosedur backup. Ant-Ivy juga sudah terinstal dan terkonfigurasi. Tinggal menunggu terisi dengan *.jar external dari repository ibiblio dan repository springsource.

Hal berikutnya adalah mempersiapkan bug tracker dan project management tools. Karena saya menggunakan Eclipse, maka kriteria pemilihan bug tracker tentu saja adalah kompatibilitasnya dengan Mylyn. Bugzilla cuma bisa untuk bug-tracker, jadi saya pilih saja Trac.

Berikut langkah instalasi di Ubuntu Gutsy Server.

Instalasi Trac

Instalasi Trac tidak sulit, cukup satu baris perintah saja.

sudo apt-get install trac libapache2-mod-python python-setuptools

Selanjutnya, kita konfigurasi VirtualHost Apache. Saya buatkan satu subdomain khusus yang namanya trac.artivisi.com. Jadi, kita buat file /etc/apache2/sites-available/trac.artivisi.com.

Subdomain ini nantinya akan menampung data Trac untuk banyak project. Jadi, kita harus mengkonfigurasi parent path yang menyatakan folder tempat data trac untuk masing-masing project disimpan.

Berikut isi filenya.

 <Location /trac>
    
	SetHandler mod_python
	PythonHandler trac.web.modpython_frontend
	PythonOption TracEnvParentDir /var/lib/trac
	PythonOption TracUriRoot /trac
    
 </Location>

Selanjutnya, kita konfigurasi otentikasinya supaya mengacu ke LDAP tempat menyimpan username dan password Subversion. Jadi username dan password untuk svn commit sama dengan untuk login ke Trac.

 <LocationMatch "/trac/[^/]+/login">
    
	AuthType Basic
	AuthName "ArtiVisi Trac Server"
	
	AuthBasicProvider ldap
        AuthLDAPURL url-ldap-server
	AuthLDAPBindDN dn-untuk-apache-login-di-ldap
	AuthLDAPBindPassword password-dn-tersebut
  
	AuthzLDAPAuthoritative off
	
	Require valid-user
    
 </LocationMatch>

Sekarang konfigurasi Apache sudah selesai. Jangan lupa me-restart apache.

sudo /etc/init.d/apache2/restart

Berikutnya, membuat project baru.

Membuat Project

Misalnya kita ingin membuat project bernama hello-world. Sebagai root, masuk ke folder /var/lib/trac. Kemudian buat projectnya. Jangan lupa tambahkan user administratornya sekaligus.Terakhir, ganti kepemilikan folder sesuai dengan user yang digunakan proses webserver.

sudo -i
cd /var/lib/trac
trac-admin hello-world initenv
trac-admin hello-world permission add endy TRAC_ADMIN
chown -R www-data.www-data hello-world

Langkah di atas akan menginisialisasi Trac dengan satu username –yaitu endy– sebagai administrator. Selanjutnya, kita edit konfigurasinya agar setiap perubahan bug/task akan mengirim notifikasi ke email. Edit file /var/lib/trac/hello-world/conf/trac.ini

smtp_enabled = true
smtp_default_domain = artivisi.com
smtp_from_name = ArtiVisi Trac Server
smtp_from = artivisi.dev@gmail.com
smtp_replyto = artivisi.dev@gmail.com

smtp_server = smtp.gmail.com
smtp_port = 587
smtp_user = artivisi.dev
smtp_password = rahasia_dong
use_tls = true

Pada konfigurasi di atas, kita menggunakan Gmail yang gratis dan mudah. Kita buat account di Gmail bernama artivisi.dev dan kita berikan password rahasia_dong.

Selesai sudah. Sekarang silahkan browse ke URLnya.

Plugin WebAdmin

Sebagai tambahan, kita bisa menambahkan plugin webadmin supaya kita bisa menambah user dan mengatur permission melalui interface web.

Ubuntu secara default menginstal Trac versi 0.10, jadi kita harus menginstal plugin WebAdmin secara manual. Di versi 0.11 Trac sudah menyertakan WebAdmin secara default.

Instalasi dijalankan langsung dari subversion repository.

sudo easy_install http://svn.edgewall.org/repos/trac/sandbox/webadmin/

Untuk menjalankan plugin, kita perlu membuat file /etc/trac/trac.ini. Berikut isinya.

[components]
webadmin.* = enabled

Voila, nanti akan muncul tombol admin setelah kita login.


Instalasi Ant Ivy

Ant, adalah tools untuk mengotomasi kegiatan build di Java. Seperti kita tahu, dari mulai source code diketik sampai bisa digunakan user, ada beberapa kegiatan yang harus dilakukan, misalnya:

  1. Bersihkan sisa-sisa kompilasi terdahulu

  2. Setting CLASSPATH

  3. Kompilasi

  4. Masukkan artifak lain ke CLASSPATH sesuai kebutuhan (*.properties, *.xml)

  5. Jalankan automated test

  6. Kompilasi Javadoc

  7. Paket menjadi *jar atau *war

  8. Deploy ke server (bila perlu)

Rangkaian kegiatan ini disebut dengan proses build.

Jika kegiatan ini dilakukan secara manual, tentu saja masa muda kita akan habis untuk melakukan build dan tidak akan sempat menulis kode program.

Kita bisa memudahkan proses build dengan bantuan IDE. Tinggal klik Clean and Build, langsung beres. Tapi kita tahu bahwa masing-masing orang memiliki IDE favorit masing-masing. Jadi langkah-langkah build bisa jadi berbeda di masing-masing IDE. Selain itu, build dengan IDE tidak otomatis. Harus ada seseorang yang menekan tombol Clean and Build. Tentu saja hal ini mencegah kita untuk melakukan otomasi penuh semacam Continuous Integration.

Ada dua tools yang biasa digunakan untuk build, yaitu Ant dan Maven. Maven memiliki kelebihan dibanding Ant, yaitu dia:

  • mampu mengelola dependensi

  • membuatkan website

  • melakukan kegiatan lain yang fancy, seperti menjalankan webserver (mvn:jetty), unit test, dan lain sebagainya

dan fitur-fitur lain yang bisa dilihat di sini dan di sini.

Maven sangat powerful, tapi seperti sudah sering saya katakan,

with great power, comes great complexity

Maven relatif sulit dipelajari dan banyak mengandung black-magic (baca: banyak mengandung undocumented behavior). Selain itu, Maven juga tidak reliable, dibuktikan dengan dokumentasi cara melakukan build untuk salah satu project open source terkenal Cocoon.

Dengan berbagai plus-minus di atas, akhirnya saya memutuskan untuk menggunakan Ant ditambah dengan Ivy saja. Toh sebenarnya kami di ArtiVisi cuma butuh dependency management saja. Ivy lebih mudah dipelajari, dan hei … contoh aplikasi SpringSource Application Platform (SSAP) di-build menggunakan Ivy.

Sekedar informasi, contoh aplikasi Petclinic SSAP cukup kompleks. Aplikasi tersebut memiliki banyak konfigurasi yang dapat dipilih, antara lain:

  • Framework akses database : JDBC, JPA, Hibernate, atau Eclipselink

  • Database provider : HSQLDB atau MySQL

Dengan banyak kombinasi tersebut, pengelolaan dependency dan proses build menjadi rumit. Domain modelnya saja digunakan oleh banyak modul lain. Belum lagi dependency terhadap pustaka external seperti Hibernate dan Eclipselink. Akan ada banyak konfigurasi untuk compile, test, dan deployment.

Aplikasi contoh tersebut sudah mencerminkan kemampuan Ivy untuk mengelola project dengan banyak relasi ke project lainnya. Dan faktor yang paling penting, Ivy mudah dipelajari. Kita akan buktikan dalam beberapa posting berikutnya.

Lebih jauh tentang dependency management akan dibahas pada posting selanjutnya tentang Ivy. Untuk sekarang, kita akan bahas cara instalasinya.

Instalasi Ant

Pertama, kita harus menginstal Ant dulu. Karena saya menggunakan Ubuntu, instalasi tidak terlalu sulit. Cukup ketikkan perintah berikut di command prompt.

sudo apt-get install ant ant-optional

Atau jika Anda alergi dengan command prompt, bisa menggunakan System > Administration > Synaptic Package Manager.

Selain cara otomatis seperti di atas, kita juga bisa menginstal secara manual. Caranya, donlod Ant, kemudian extract. Masukkan path menuju folder bin di dalam hasil extract ke dalam environment variable PATH.

Kemudian, test instalasi dengan mengetik perintah ant -v di command prompt. Berikut hasilnya di komputer saya:

endy@kintoun:~$ ant -v
Apache Ant version 1.7.0 compiled on August 29 2007
Buildfile: build.xml does not exist!
Build failed

Baiklah, kita sudah mendapatkan Ant versi 1.7.0. Selanjutnya, instalasi Ivy.

Instalasi Ivy

Pertama, tentunya download dulu Ivy-nya. Pada saat artikel ini ditulis, versi terbaru adalah 2.0.0-beta2. Jangan khawatir dengan status beta, karena menurut pengalaman saya, versi ini cukup stabil.

Setelah donlod, kemudian extract. Kita membutuhkan file berikut :

  • ivy-2.0.0-beta2.jar

  • ivy-core-2.0.0-beta2

dan satu file lagi bila kita ingin mengakses repository melalui ssh.

  • lib/jsch-0.1.25.jar

Masukkan file tersebut ke lokasi instalasi Ant, dalam folder lib. Bila Anda menggunakan Ubuntu seperti saya, dan menginstal Ant menggunakan Synaptic, apt-get, atau aptitude, maka lokasi instalasi Ant ada di

/usr/share/ant

Instalasi Ivy selesai.

Dengan menggunakan Ivy, kita dapat mengelola proyek raksasa (terdiri dari banyak modul, dikerjakan oleh puluhan tim) dengan lebih mudah.

Bagaimana cara menggunakannya? Tunggu posting selanjutnya :D *[IDE]: Integrated Development Environment


KlikBCA Bisnis di Ubuntu

Setelah menjadi pengusaha, KlikBCA saya berganti, dari Individual menjadi Bisnis. Hmm … tentunya KlikBCA ini juga harus bisa diakses via Linux.

Untuk mengakses KlikBCA Bisnis, kita harus dial up VPN dulu. BCA menyediakan installer untuk VPN dialer versi Windows.

Google punya google, dapat link ini dan ini. Tapi keduanya ternyata tidak menyelesaikan masalah. Ada beberapa hal yang kurang jelas. Mudah-mudahan posting ini bisa menjelaskan semuanya sehingga kita semua bisa berbisnis dengan BCA menggunakan Ubuntu Linux.

Pertama, kita tetap butuh komputer Windows. Di komputer Windows ini, kita instal aplikasi KlikBCA Dialer. Tujuan utamanya adalah mendapatkan informasi koneksi VPN yang sebagian ada dalam file KlikBCA Bisnis.pcf. File ini bisa kita dapatkan di CD Installer, tapi ternyata formatnya berbeda dengan yang sudah terinstal. So, instal dulu dialernya, kemudian buka file KlikBCA Bisnis.pcf dengan text editor.

Kita butuh beberapa informasi dari file ini, yaitu:

  1. Host : Ini adalah nama komputer VPN Server

  2. GroupName

Kedua, kita butuh aplikasi kecil untuk mendekripsi field enc_GroupPwd dalam file KlikBCA Bisnis.pcf. Aplikasi tersebut bisa diunduh di sini. Kopikan ke komputer Windows yang sudah terinstal dialer, dan jalankan. Nanti kita akan ditanya Profile mana yang mau didekripsi. Pilih saja KlikBCA Bisnis.pcf. Nanti dia akan menampilkan Group Password yang sudah terdekripsi.

Selesai dengan Windows, silahkan diformat menjadi Ubuntu.

Ketiga, instal dulu VPN Client dan interface Network Managernya.

sudo apt-get install vpnc network-manager-vpnc

Keempat, kita konfigurasi Network Manager Applet. Network Manager Applet adalah icon kecil di taskbar atas, sebelah kanan. Berikut contohnya.

 Gambar diambil dari sini.

Pilih VPN Connections - Configure VPN. Nanti akan tampil daftar jaringan VPN yang sudah ada. Karena kita belum mengkonfigurasi, tentunya ini masih kosong.

Selanjutnya, klik Add untuk menambah jaringan VPN baru. Wizardnya akan muncul.

Kita akan disajikan pilihan VPN client yang tersedia. Pilih Cisco compatible.

Masukkan data-data sesuai dengan isi file KlikBCA Bisnis.pcf.

Dalam tab pertama, isikan:

  • Gateway : Sesuai isi field Host

  • Group Name : Sesuai isi field GroupName

Klik tab Optional, lalu centang Override user name.

Isikan Corporate Id + User Id yang diberikan BCA pada Anda. Kedua ID digabungkan tanpa spasi dan diisikan di textfield Override user name.

Selesai konfigurasi, sekarang jika ingin connect, klik pada network manager applet : VPN Connections - KlikBCA Bisnis. Nanti akan muncul pertanyaan password dan group password.

Password diisi dengan respon dari KeyBCA APPLI 1. Group password diisi dengan hasil dekripsi Group Password. Group password boleh disimpan di keyring, karena nilainya tidak berubah-ubah. Tapi password tidak perlu disimpan, karena nilainya berubah sesuai KeyBCA APPLI 1.

Kalau semua nilai yang diisikan benar, maka setelah menunggu sepeminuman teh, Anda akan segera terhubung ke VPN BCA. Ini ditandai dengan adanya tanda gembok pada network manager applet.

Untuk menyudahi koneksi VPN, bila Anda sudah selesai menggunakan KlikBCA Bisnis, klik lagi network manager applet : VPN Connections - Disconnect VPN.

Beberapa linux user belum merasa macho kalau tidak mengedit text file. No problem, jika ingin connect via command line, begini caranya.

Buat file /etc/vpnc/default.conf. Isinya sebagai berikut:

IPSec gateway <masukkan isi field Host>
IPSec ID <masukkan isi field GroupName>
IPSec secret <masukkan hasil dekripsi Group Password>
Xauth username <masukkan CorporateID digabung dengan UserID>

Selesai konfigurasi. Sekarang dial dengan cara menjalankan:

sudo vpnc-connect

Nanti dia akan minta password. Masukkan respon APPLI 1 KeyBCA.

Untuk mengakhiri koneksi VPN, jalankan:

sudo vpnc-disconnect

Selamat mencoba.