全部产品
Search

搜索本产品

    Security Center:Perkuat keamanan kata sandi

    文档中心

    Security Center:Perkuat keamanan kata sandi

    更新时间:Dec 15, 2025

    Jika Anda masuk ke server menggunakan kata sandi lemah, penyerang dapat secara ilegal mengakses server Anda, mencuri data, atau membahayakan sistem. Kami menyarankan Anda mengonfigurasi kata sandi logon yang kuat dan mengubahnya secara berkala. Dokumen ini menjelaskan cara memperkuat keamanan kata sandi logon serta cara mengubah kata sandi di sistem umum.

    Dampak kata sandi lemah

    Penggunaan kata sandi lemah pada server dapat menyebabkan risiko berikut:

    • Kata sandi lemah pada akun standar dapat diterjemahkan atau dipecahkan menggunakan alat peretas, menyebabkan kebocoran privasi pribadi atau bahkan kerugian ekonomi.

    • Penyerang dapat mengeksploitasi kata sandi lemah akun administrator untuk menyerang sistem pengguna, mencuri informasi database, menyebabkan kebocoran informasi, kerugian ekonomi besar, dan bahkan masalah keamanan jaringan yang meluas.

    Untuk mencegah serangan dan kebocoran informasi serta meningkatkan keamanan sistem, segera periksa apakah kata sandi lemah digunakan dalam sistem Anda. Anda dapat menggunakan fitur Pemeriksaan Baseline dari Security Center untuk mendeteksi kata sandi lemah berisiko tinggi pada server Anda. Jika terdeteksi, segera ubah kata sandi tersebut dengan metode yang dijelaskan di Tingkatkan Keamanan Kata Sandi. Untuk detail lebih lanjut tentang cara mengubah kata sandi, lihat Ubah Kata Sandi di Sistem Umum.

    Tingkatkan keamanan kata sandi

    Gunakan metode berikut untuk meningkatkan keamanan kata sandi logon:

    • Konfigurasikan Kata Sandi yang Kompleks

      Kata sandi kompleks harus memenuhi persyaratan berikut:

      • Panjang minimal delapan karakter.

      • Mengandung setidaknya tiga jenis karakter berikut: huruf besar, huruf kecil, angka, dan karakter khusus (~, !, @, $, %, ^, &, *, -, _, =, +, #, /, ?).

      • Bukan nama pengguna atau nama pengguna dalam urutan terbalik.

    • Hindari Kata Sandi Lemah Umum atau Terpapar

      Hindari penggunaan kata sandi lemah umum atau terpapar berikut:

      • Kata sandi lemah umum seperti abcd1234, admin, root, dan admin@123.

      • Pola angka, huruf, atau keyboard seperti 123456, abcdef, 123abc, qwerty, dan 1qaz2wsx.

      • Kata sandi berbasis budaya seperti 5201314 dan woaini1314.

      • Kata sandi mudah ditebak seperti nama perusahaan, tanggal lahir, nomor kartu identitas, nomor telepon seluler, alamat email, ID pengguna, waktu, atau tahun.

    • Ubah Kata Sandi Secara Berkala

      Disarankan untuk mengubah kata sandi setiap 90 hari.

    Ubah kata sandi di sistem umum

    Tabel berikut menjelaskan metode untuk mengubah kata sandi logon lemah di sistem umum seperti Server Linux, basis data MySQL, dan Redis.

    Penting

    Daftar berikut menjelaskan parameter umum yang disebutkan dalam tabel. Sesuaikan nilai parameter sesuai kebutuhan bisnis Anda.

    • <NamaPengguna>: nama pengguna logon

    • <KataSandiLama>: kata sandi saat ini

    • <KataSandiBaru>: kata sandi baru

    • <NamaHost>: nama atau alamat IP host

    Sistem

    Prosedur untuk mengubah kata sandi logon

    Linux

    Masuk ke server Linux Anda dan jalankan perintah passwd <NamaPengguna> untuk mengubah kata sandi logon. Setelah Anda menjalankan perintah, masukkan kata sandi baru sesuai petunjuk.

    Jika Anda tidak menentukan nama pengguna untuk <NamaPengguna>, kata sandi pengguna saat ini akan diubah.

    Windows

    Dalam contoh ini, kata sandi logon untuk server yang menjalankan Windows Server 2019 diubah.

    1. Masuk ke server Windows Anda. Di pojok kiri bawah desktop Windows, klik ikon 开始图标.

    2. Klik ikon 设置图标. Di jendela Windows Settings, klik Accounts.

    3. Di panel navigasi sisi kiri, klik Sign-in options.

    4. Ubah kata sandi logon server sesuai petunjuk.

    Basis data MySQL

    1. Masuk ke basis data MySQL Anda.

    2. Jalankan perintah berikut untuk melihat informasi kata sandi tentang pengguna basis data:

      SELECT user, host, authentication_string FROM user;
      Catatan

      Perintah ini mungkin tidak didukung oleh beberapa versi basis data MySQL. Jika Anda tidak dapat memperoleh informasi kata sandi setelah menjalankan perintah, Anda dapat menjalankan perintah berikut:

      SELECT user, host, password FROM user;

    3. Jalankan perintah berikut untuk mengubah kata sandi pengguna tertentu berdasarkan hasil kueri dan informasi peringatan tentang kata sandi lemah:

      ALTER USER '<UserName>'@'<HostName>' IDENTIFIED BY '<NewPassword>';

    4. Jalankan perintah flush privileges;.

    Basis data Redis

    1. Masuk ke basis data Redis Anda dan buka file redis.conf.

    2. Jalankan perintah berikut untuk mengubah kata sandi saat ini atau mengonfigurasi kata sandi:

      requirepass <KataSandiBaru>

      Jika kata sandi logon dikonfigurasi, kata sandi logon akan diubah setelah Anda menjalankan perintah. Jika tidak ada kata sandi logon yang dikonfigurasi, konfigurasikan kata sandi setelah Anda menjalankan perintah.

    3. Mulai ulang layanan Redis.

    Basis data SQL Server

    • Sistem operasi Linux

      Masuk ke basis data SQL Server Anda dan jalankan perintah berikut untuk mengubah kata sandi logon:

      ALTER USER '<UserName>'@'<HostName>' IDENTIFIED BY '<NewPassword>';

    • Sistem operasi Windows

      Masuk ke klien basis data SQL Server Anda, pilih Security > Logins, temukan nama pengguna yang diperlukan, lalu ubah kata sandi lemah menjadi kata sandi yang kompleks.

    Basis data MongoDB

    1. Masuk ke basis data MongoDB Anda.

    2. Jalankan perintah use admin untuk beralih ke admin pengguna.

    3. Jalankan perintah db.changeUserPassword("<NamaPengguna>", "<KataSandiBaru>") untuk mengubah nama pengguna dan kata sandi logon basis data.

      Kami menyarankan agar Anda mengonfigurasi kata sandi yang kompleks dengan panjang lebih dari 12 karakter dan mengandung angka, huruf besar, huruf kecil, dan karakter khusus.

    4. Aktifkan fitur otentikasi identitas.

      Buka file mongod.conf dari basis data MongoDB, atur item konfigurasi security.authorization ke enabled atau item konfigurasi auth ke true.

    5. Jalankan perintah systemctl restart mongod untuk memulai ulang layanan MongoDB.

    Basis data PostgreSQL

    1. Masuk ke basis data PostgreSQL Anda.

    2. Jalankan perintah berikut untuk mengubah kata sandi lemah:

      ALTER USER <NamaPengguna> WITH PASSWORD <KataSandiBaru>;

    Tomcat

    1. Pergi ke direktori root server Tomcat Anda dan buka file conf/tomcat-user.xml.

    2. Ubah nilai atribut kata sandi node pengguna menjadi kata sandi yang kompleks.

    Rsync

    1. Buka file rsyncd.conf server rsync Anda.

    2. Temukan item konfigurasi secrets file dan peroleh jalur ke file rsyncd.secret di item konfigurasi.

    3. Edit file rsyncd.secret dalam format <NamaPengguna>:<KataSandiBaru>, dan ubah kata sandi pengguna logon menjadi kata sandi yang kompleks.

    4. Mulai ulang layanan rsync.

    SVN

    1. Buka direktori repositori Subversion (SVN).

    2. Temukan password-db di file <jalur>/conf/svnserve.conf.

    3. Temukan jalur ke file konfigurasi kata sandi berdasarkan konfigurasi password-db dan ubah kata sandi di file konfigurasi kata sandi menjadi kata sandi yang ditentukan. Secara default, file konfigurasi kata sandi bernama passwd.

    4. Mulai ulang layanan SVN.

    vsftpd

    • Pengguna lokal

      1. Buka file vsftpd.conf.

      2. Tambahkan item konfigurasi anonymous_enable dan atur item konfigurasi ke NO. Jika item konfigurasi sudah ada, ubah nilai item konfigurasi menjadi TIDAK. Ini menolak logon anonim.

      3. Jalankan perintah passwd <NamaPengguna> untuk mengubah kata sandi pengguna yang menggunakan layanan FTP.

      4. Konfigurasikan kata sandi yang kompleks yang memenuhi persyaratan sesuai petunjuk.

    • Pengguna virtual

      1. Buka file /etc/vsftpd/login.txt.

      2. Ubah kata sandi pengguna dan simpan kata sandi baru.

        Di file, baris 1 berisi nama pengguna pengguna A, baris 2 berisi kata sandi pengguna A, baris 3 berisi nama pengguna pengguna B, baris 4 berisi kata sandi pengguna B, dan seterusnya.

      3. Jalankan perintah db_load -T -t hash -f /etc/vsftpd/login.txt /etc/vsftpd/login.db.

      4. Edit file /etc/pam.d/vsftpd.

        Tambahkan parameter db=/etc/vsftpd/login ke baris yang berisi auth pam_userdb.so dan account pam_userdb.so. Lalu, simpan modifikasi. Gambar berikut menunjukkan contohnya.vsftpd文件修改位置

      5. Mulai ulang layanan vsftpd.

    FTP

    1. Masuk ke server Linux Anda sebagai pengguna root.

    2. Jalankan perintah berikut:

      passwd <NamaPengguna>

    3. Masukkan kata sandi baru sesuai petunjuk.

      Jika pesan all authentication tokens updated successfully muncul, kata sandi telah diubah.

    Basis data InfluxDB

    1. Masuk ke basis data InfluxDB Anda.

    2. Jalankan perintah berikut untuk mengubah kata sandi akun yang digunakan untuk masuk ke basis data:

      Ganti KataSandiBaru dengan kata sandi baru. Kata sandi baru harus diapit oleh tanda kutip tunggal (').

      set password for "<NamaPengguna>" = "<KataSandiBaru>"

    JBoss 6 dan JBoss 7

    • JBoss 6

      1. Temukan file /conf/props/jmx-console-users.properties dan ubah kata sandi di file tersebut. Kata sandi baru harus dalam format <NamaPengguna> =<KataSandi>.

      2. Mulai ulang layanan JBoss6.

        1. Jalankan perintah ps -ef|grep jboss untuk melihat proses saat ini dari JBoss6.

        2. Jalankan perintah kill -9 ID_proses untuk mengakhiri proses.

          Ganti ID_proses dengan ID proses JBoss 6.

        3. Jalankan perintah berikut untuk memulai layanan JBoss:

          Ganti jboss6_path dengan direktori instalasi JBoss 6.

           jboss6_path/bin/run.sh

    • JBoss 7

      1. Temukan file /configuration/mgmt-users.properties dan hapus nama pengguna yang kata sandinya lemah.

      2. Jalankan skrip bin/adduser.sh di direktori instalasi JBoss. Lalu, tambahkan pengguna baru yang Anda konfigurasikan dengan kata sandi kompleks sesuai petunjuk.

    Jenkins

    1. Masuk ke konsol Jenkins.

    2. Klik Configure untuk pergi ke halaman Configure.

    3. Masukkan kata sandi baru di bidang Password.

    OpenLDAP

    1. Jalankan perintah berikut untuk menanyakan nilai dan posisi kata sandi administrator OpenLDAP:

      ldapsearch -H ldapi:// -LLL -Q -Y EXTERNAL -b "cn=config" "(olcRootDN=*)" dn olcRootDN olcRootPW

    2. Jalankan perintah berikut untuk menghasilkan kata sandi:

       slappasswd -s <KataSandiBaru>

      Setelah Anda menjalankan perintah, nilai hash kata sandi baru dikembalikan.

    3. Buat file bernama newpassword.ldif dan tambahkan konten berikut ke file:

      dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: NewHash

      Konten baris yang berisi dn adalah nilai dn yang dikembalikan oleh perintah yang dijalankan di Langkah 1, dan nilai NewHash adalah nilai hash kata sandi baru.

    4. Jalankan perintah berikut untuk mengimpor file .ldif yang dibuat:

      ldapmodify -H ldapi:// -Y EXTERNAL -f newpassword.ldif

    Linux OpenVPN

    Lakukan langkah-langkah berikut untuk mengedit file pwd-file dan mengubah kata sandi OpenVPN:

    1. Temukan file pwd-file. Dalam banyak kasus, file disimpan di direktori /etc/openvpn.

    2. Tambahkan pernyataan berikut ke file untuk membatalkan otentikasi sertifikat klien:

      client-cert-not-required

    3. Tambahkan pernyataan berikut ke file untuk mengaktifkan skrip kata sandi pengguna:

      auth-user-pass-verify /etc/openvpn/checkpsw.sh via-env

    4. Tambahkan pernyataan berikut ke file untuk memblokir peringatan yang dihasilkan oleh sistem:

      script-security 3

    5. Edit file /etc/openvpn/psw-file. Setiap baris mewakili satu akun. Pisahkan nama pengguna dan kata sandinya dengan spasi. Contoh:

      cat /etc/openvpn/psw-file 
abcdocker <KataSandiBaru>
abc <KataSandiBaru>
test <KataSandiBaru>

    6. Jalankan perintah berikut untuk mendapatkan skrip checkpsw.sh:

      wget http://openvpn.se/files/other/checkpsw.sh
      Catatan

      Secara default, skrip checkpsw.sh membaca nama pengguna dan kata sandi dari file /etc/openvpn/psw-file.

    Basis data Oracle

    1. Masuk ke basis data Oracle Anda.

    2. Jalankan perintah berikut untuk mengubah kata sandi:

      alter user <NamaPengguna> identified by <KataSandiBaru>;

    pptpd

    1. Edit file /etc/ppp/chap-secrets.

    2. Tentukan nama pengguna dan kata sandi dalam format <NamaPengguna> pptpd <KataSandiBaru>.

      Pisahkan NamaPengguna, pptpd, dan KataSandiBaru dengan tab.

    3. Mulai ulang layanan pptpd.

    Proftpd

    Jalankan perintah berikut dan masukkan kata sandi baru sesuai petunjuk:

    File_Path menentukan jalur file pengguna virtual yang terlibat.

    ftpasswd --passwd --name=<NamaPengguna> --change-password --file=File_Path

    RabbitMQ

    Jalankan perintah berikut untuk mengubah kata sandi lemah:

    rabbitmqctl change_password <NamaPengguna> '<KataSandiBaru>'

    VncServer

    1. Nonaktifkan VNC Server dan pergi ke direktori instalasi VNC Server di server tempat VNC Server diinstal.

      Jika kata sandi lemah tidak milik pengguna root, masuk atau beralih ke pengguna yang memiliki kata sandi lemah setelah Anda pergi ke direktori instalasi. Misalnya, jika pengguna yang ingin Anda ubah kata sandinya adalah aliuser, jalankan perintah su - aliuser.

    2. Hapus file passwd dari direktori instalasi. Contoh: /home/aliuser/.vnc/passwd.

    3. Jalankan perintah vncpasswd untuk menyetel ulang kata sandi.

      Penting

      Untuk kata sandi VNC Server, sistem hanya memeriksa delapan karakter pertama dari kata sandi. Misalnya, jika Anda menetapkan kata sandi baru menjadi Aliyunpasswd, hanya delapan karakter pertama Aliyunpa yang berlaku. Jika kata sandi baru tidak memenuhi persyaratan kompleksitas, kata sandi baru memiliki risiko tinggi untuk dipecahkan. Pastikan bahwa kata sandi baru memenuhi persyaratan kompleksitas.

    Weblogic 12c

    1. Masuk ke konsol WebLogic.

    2. Di panel navigasi sisi kiri, pilih Security Realms > Realms > Users and Groups > Users.

    3. Pilih pengguna yang ingin Anda ubah kata sandinya.

    4. Di tab Passwords, masukkan dan konfirmasi kata sandi baru, lalu klik Save.

    5. Jika Activate Changes ditampilkan di bagian Change Center di pojok kiri atas konsol WebLogic, klik Activate Changes.

    6. Masuk ke server Anda dan ubah nilai bidang password untuk pengguna yang dipilih di file `%DOMAIN_HOME%/servers/AdminServer/security/boot.properties.

      Kata sandi baru harus sama dengan kata sandi yang Anda masukkan di konsol WebLogic. Setelah Anda mengubah kata sandi, enkripsi AES akan diaktifkan secara otomatis.

    7. Jalankan perintah %DOMAIN_HOME%/bin/stopWeblogic.sh untuk menghentikan WebLogic secara aman. Lalu, mulai ulang WebLogic.

    Catatan

    • Kata sandi baru hanya berlaku setelah Anda memulai ulang WebLogic.

    • Jika Anda tidak dapat memodifikasi konfigurasi, temukan bagian Change Center di pojok kiri atas konsol WebLogic dan klik Lock & Edit.

    • WebLogic harus dihentikan secara aman. Jika tidak, WebLogic mungkin gagal memulai.

    Activemq

    1. Pergi ke direktori activemq_/pathconf/ dan temukan file konfigurasi.

      activemq_path menentukan jalur instalasi aplikasi.

    2. Jalankan perintah vim jetty-realm.properties untuk mengedit file konfigurasi.

    3. Tambahkan atau modifikasi pengguna.

      Ubah nama pengguna dan kata sandi menjadi nilai dalam format <NamaPengguna>: <KataSandiBaru>,NamaPeran. NamaPeran menentukan nama peran. Contoh: admin: passwd123!@#, admin.

    4. Setelah modifikasi selesai, simpan modifikasi dan keluar. Lalu, mulai ulang layanan ActiveMQ.

    Elasticsearch

    Catatan

    Instal plug-in X-Pack menggunakan kebijakan keamanan Elasticsearch. Plug-in X-Pack dibangun di dalam Elasticsearch V7.X atau lebih baru. Jika Anda menggunakan Elasticsearch versi lebih lama dari V7.X, Anda harus mengaktifkan konfigurasi plug-in X-Pack. Di file elasticsearch.yml, ubah nilai xpack.security.enabled menjadi true.

    Jalankan perintah berikut untuk mengubah kata sandi pengguna:

    ES_HOME_PATH menentukan jalur instalasi Elasticsearch dan passwd menentukan kata sandi baru.

    ES_HOME_PATH/bin/elasticsearch-users passwd <NamaPengguna>

    Samba

    1. Jalankan perintah smbpasswd <NamaPengguna> untuk mengubah kata sandi pengguna.

    2. Masukkan kata sandi baru sesuai petunjuk.

    Zabbix

    1. Masuk ke antarmuka web Zabbix menggunakan akun administrator.

    2. Di bilah navigasi atas, pilih Administration > Users untuk melihat pengguna.

    3. Klik nama pengguna yang ingin Anda ubah kata sandinya dan klik Change password.

    4. Masukkan kata sandi baru dan klik Update.

    Apa yang harus dilakukan selanjutnya

    Gunakan fitur Pemeriksaan Baseline dari Security Center untuk mendeteksi risiko kata sandi lemah pada server Anda. Untuk informasi lebih lanjut, lihat Pemeriksaan Baseline.