Ketika membangun VPS khusus untuk AI Agent seperti Hermes, banyak orang langsung fokus pada kemampuan AI, integrasi LLM, atau otomatisasi DevOps.

Padahal sebelum itu, ada satu hal yang jauh lebih penting, yaitu keamanan server.

Hermes sering digunakan sebagai pusat operasi untuk mengelola server lain.

Dalam praktiknya, Hermes dapat menyimpan API key, token akses, workflow otomatisasi, hingga kredensial infrastruktur.

Karena itu, jika VPS Hermes berhasil diambil alih pihak lain, dampaknya bisa jauh lebih besar dibanding sekadar website biasa yang diretas.

Artikel ini membahas langkah hardening yang saya terapkan pada VPS Hermes agar cukup aman digunakan sebagai fondasi AI Operations Center.

Perlu dipahami bahwa keamanan tidak pernah mencapai angka 100%.

Tujuan hardening adalah mengurangi permukaan serangan, memperkecil risiko kebocoran kredensial, dan mempersulit upaya kompromi server.

Daftar Isi

1. Matikan Root Login SSH

Secara default banyak VPS masih mengizinkan login root melalui SSH.

Ini menjadi target utama bot yang setiap hari melakukan brute force ke jutaan server di internet.

PermitRootLogin no

Dengan konfigurasi ini, meskipun seseorang mengetahui password root, login langsung tetap tidak diperbolehkan.

2. Gunakan SSH Key, Bukan Password

Password adalah titik lemah yang paling sering dieksploitasi.

PasswordAuthentication no
PubkeyAuthentication yes

Dengan pendekatan ini, login hanya dapat dilakukan menggunakan SSH key yang valid.

Sebelum menonaktifkan password login, pastikan SSH key sudah terpasang dan telah diuji dari perangkat yang digunakan sehari-hari.

3. Ganti Port SSH Default

Mengganti port SSH bukanlah mekanisme keamanan utama, tetapi cukup efektif untuk mengurangi kebisingan log akibat bot scanner otomatis.

Gunakan port custom yang tidak umum digunakan dan tidak mudah ditebak.

Hindari port 22, port paling populer, yang sering menjadi target scanner otomatis.

Yang terpenting bukan nomor portnya, melainkan memastikan root login sudah dimatikan, password login sudah dimatikan, dan akses hanya menggunakan SSH key.

4. Aktifkan Firewall

Jangan membiarkan seluruh port terbuka ke internet.

Untuk VPS Hermes yang belum menjalankan aplikasi publik, cukup izinkan port yang benar-benar diperlukan.

Prinsip yang digunakan adalah least privilege, yaitu hanya membuka akses yang benar-benar dibutuhkan.

5. Pasang Fail2Ban

Fail2Ban merupakan lapisan perlindungan ringan yang sangat efektif untuk memblokir percobaan login berulang.

Ketika seseorang mencoba menebak akses SSH berkali-kali, alamat IP tersebut akan diblokir otomatis selama periode tertentu.

Untuk VPS kecil maupun besar, Fail2Ban hampir selalu menjadi komponen wajib.

6. Audit Permission File Rahasia

Banyak administrator fokus pada firewall tetapi lupa memeriksa permission file.

Pastikan file sensitif menggunakan permission ketat:

600

Contoh:

.env
config.yaml
state.db
kanban.db

Dengan permission tersebut, hanya pemilik file yang dapat membacanya.

7. Lindungi Riwayat dan State Hermes

Hermes biasanya menyimpan riwayat percakapan, task agent, workflow otomatisasi, state database, dan konfigurasi internal.

Meskipun file tersebut tidak selalu berisi password, kebocoran informasi internal dapat membantu penyerang memahami arsitektur sistem.

Karena itu, database state dan file history juga perlu dikunci dengan permission yang ketat.

8. Audit Token dan API Key Secara Berkala

Minimal sebulan sekali lakukan audit terhadap seluruh API key dan token yang tersimpan di server.

Pastikan tidak ada file yang dapat dibaca oleh user lain.

Selain itu, hindari menyimpan token yang sudah tidak digunakan.

9. Jangan Simpan SSH Private Key Sembarangan

Ketika Hermes mulai mengelola banyak VPS, biasanya administrator tergoda menyimpan seluruh SSH key dalam satu lokasi tanpa struktur yang jelas.

Pendekatan yang lebih aman adalah memisahkan kredensial berdasarkan proyek.

/opt/hermes-vault

├── project-a
├── project-b
├── project-c
└── lab

Setiap proyek memiliki key, token, dan dokumentasinya sendiri.

Hal ini mempermudah audit dan mengurangi risiko kesalahan operasional.

10. Simpan Snapshot Bersih

Salah satu langkah keamanan yang sering diabaikan adalah snapshot.

Setelah konfigurasi server dianggap stabil, lakukan snapshot VPS agar proses recovery menjadi jauh lebih cepat jika terjadi masalah di kemudian hari.

Kesalahan yang Sering Terjadi

Kiat Hardening Keamanan VPS untuk Hermes AI Agent

Beberapa kesalahan yang sering saya temui pada VPS AI Agent:

  1. Login root masih aktif.
  2. Password login masih aktif.
  3. Port database terbuka ke internet.
  4. API key disimpan sembarangan.
  5. File .env dapat dibaca user lain.
  6. Tidak menggunakan firewall.
  7. Tidak memasang Fail2Ban.
  8. Menyimpan seluruh kredensial dalam satu folder tanpa struktur.

Kesalahan-kesalahan tersebut jauh lebih berbahaya dibanding sekadar menggunakan port SSH default.

Prompt Hardening Siap Pakai untuk VPS Hermes Baru

Berikut prompt yang dapat diberikan ke OpenCode, Claude Code, OpenHands, atau AI Agent lain untuk melakukan hardening VPS Hermes dari kondisi VPS baru yang masih kosong.

Disclaimer: Tidak garansi hasilnya sama, riset dulu ya sebelum pakai. Ini referensi saja.

Anda adalah Senior Linux Security Engineer.

Target:
Ubuntu Server baru untuk Hermes AI Agent.

Tujuan:

1. Aman untuk production.
2. Aman sebagai AI Operations Center.
3. Tidak merusak akses SSH.
4. Semua perubahan dapat dirollback.
5. Audit dahulu sebelum perubahan.

Tahapan:

STEP 1
Audit:

- OS
- Kernel
- CPU
- RAM
- Disk
- User
- SSH
- Firewall
- Port terbuka
- Service aktif

STEP 2

Buat user operasional:

- admin1
- admin2

Tambahkan ke grup sudo.

STEP 3

Hardening SSH:

- Disable root login
- Enable SSH key authentication
- Disable password authentication
- Gunakan port SSH custom yang aman
- Backup sshd_config sebelum perubahan
- Validasi dengan sshd -t

STEP 4

Firewall:

- Install UFW
- Allow hanya port SSH yang digunakan
- Deny seluruh port lain

STEP 5

Install Fail2Ban:

- enable
- start
- jail sshd

STEP 6

Audit permission:

- .env
- config.yaml
- state.db
- kanban.db
- history files

Set file sensitif ke 600.

STEP 7

Set direktori internal Hermes:

- plugins
- cache
- sandboxes
- bin

Menjadi 700.

STEP 8

Audit credential:

- OpenRouter
- OpenAI
- Anthropic
- Gemini
- Cloudflare
- GitHub
- GitLab
- AWS
- SSH key

Jangan tampilkan isi secret.

STEP 9

Verifikasi:

- PermitRootLogin no
- PasswordAuthentication no
- PubkeyAuthentication yes
- Fail2Ban aktif
- Firewall aktif

STEP 10

Buat laporan:

- Critical
- High
- Medium
- Low
- Security Score
- Rekomendasi lanjutan

Jangan melakukan perubahan sebelum audit selesai dan operator memberikan konfirmasi.

Dengan konfigurasi tersebut, VPS Hermes sudah memiliki fondasi keamanan yang kuat untuk digunakan sebagai pusat operasi AI pribadi maupun pengelola infrastruktur multi-server.

Semoga sharing ini bermanfaat ya.

Seorang Ayah, Blogger, Coach, dan Pebisnis yang cinta Bagaimana Membangun Sistem yang memungkinkan Rejeki Berkah Berlimpah di Antar Ke Rumah :).

Recommended Posts

Cara Membuat PRD Sebelum Vibecoding Coding Pakai AI Ya
Cara Membuat PRD Sebelum Vibecoding Coding Pakai AI
Apa Itu OpenCode Cara Install dan Menggunakannya di Windows
Apa Itu OpenCode? Cara Install dan Menggunakannya di Windows
WebP Converter Gratis untuk Salespage, Blog, dan Toko Online
WebP Converter Gratis untuk Salespage, Blog, dan Toko Online

No comment yet, add your voice below!

Add a Comment

Your email address will not be published. Required fields are marked *