Ane udah lama punya ebook ini namun belum tertarik untuk membacanya, sungguh karena ane sudah terikat dengan gaya penulisan Seishi Yokomizo sehingga ketika memulai membaca tulisan dari pengarang (Jepang) lainnya rasa-rasanya sudah tidak begitu menarik. Apalagi kemudian beberapa buku lainnya tidak begitu bagus (seperti Yukito Ayatsuji dan Akimitsu Takagi － menurut ane). Sehingga ketika mendapatkan ebook ini muncul rasa malas untuk membaca.

Rencana awalnya adalah membaca buku ini untuk menemani perjalanan naik kereta, namun saat sudah di atas kereta malah malas untuk buka Kindle, al hasil dia bersemayam dengan tenang untuk beberapa lama sampai ane ada kesempatan untuk membacanya.

Strange Houses #

Rumah-rumah yang aneh. Pada suatu hari seorang penulis lepas (cerita dari sudut pandang orang pertama, mari kita sebut Uketsu) mendapatkan permintaan saran oleh seorang kawannya, Yanaoka yang mengiriminya layout atau denah dari rumah. Diketahui si Yanaoka ini berniat membeli rumah dengan 2 lantai karena sebentar lagi akan memiliki anak. Yanaoka dan istri sudah sangat cocok dengan rumah yang hendak dibelinya ini karena lokasinya strategis sekaligus desain rumahnya sangat nyaman untuk ditempati. Hanya saja dia merasa ada yang aneh dengan gambar denah ruangan yang diberikan oleh agensi penjualan rumah.

Menurut denah ada ruangan aneh yang tidak wajar dan tidak jelas fungsinya.

Karena tidak paham dengan hal semacam ini, Uketsu kemudian menghubungi sahabatnya bernama Kurihara yang seorang arsitek. Menurut Kurihara memang ada kejanggalan di denah itu, terutama adanya ruangan kosong yang tidak bermanfaat di lantai bawah. Menurut (otak konspirasi) Kurihara jangan - jangan ruangan kosong itu sengaja dibikin untuk melakukan kejahatan (pembunuhan), apalagi saat denah lantai atas ditumpuk. Ditemukan kemungkinan ruangan kosong di lantai bawah adalah lorong yang dipakai untuk seseorang untuk menyelinap masuk ke Kamar Mandi dan melakukan pembunuhan disitu. Masalahnya adalah dimensi ruangan tersebut cukup sempit sehingga tidak bisa dilalui oleh orang dewasa, maka kemungkinan yang bisa melakukan pembunuhan adalah anak - anak.

Dengan analisa ini, Uketsu kemudian menghubungi Yanaoka untuk menyampaikan sarannya namun Uketsu terkejut karena Yanaoka membatalkan rencana membeli rumah ini karena ada kejadian yang tak terduga, yaitu ditemukan mayat seorang laki - laki di dekat rumah itu dengan kondisi tangan kiri hilang.

Kasus ditutup, namun tidak buat Uketsu karena denah rumah dan analisa Kurihara terus membekas dalam hatinya. Kemudian Uketsu membuat artikel pendek di majalah tentang rumah tersebut dengan menghilangkan detail tentang lokasi untuk privasi. Tak disangka dia mendapatkan banyak respon dari pembaca, salah satunya dari seseorang mengaku bernama Yuzuki Miyae yang merasa bahwa artikel tentang denah rumah ini berhubungan dengan kematian suaminya Kyoichi Miyae (si mayat dengan tangan kiri hilang).

Dari Yuzuki Miyae, Uketsu mendapatkan kembali denah rumah lain yang memiliki keanehan yang sama, yaitu ada ruangan yang tidak wajar dengan sudut mati tidak terlihat dari luar. Setelah ditelusuri ternyata pemilik rumahnya sama yaitu Keita Katabuchi. Kurihara merasa curiga dengan Yuzuki dan berpesan agar Uketsu berhati - hati dengan dia karena menurut catatan pemerintah Kyoichi Miyae belum pernah menikah, tapi kenapa Yuzuki mengaku sebagai istri mendiang?. Setelah di konfrontasi akhirnya Yuzuki jujur bahwa dia memang bukan istri dari Kyoichi melainkan Yuzuki Katabuchi saudara ipar dari Keita.

Klan Katabuchi & ritual potong tangan #

Pada tahun 1920-an keluarga Katabuchi dengan kepala keluarganya bernama Kaei Katabuchi menjadi kaya raya karena sukses dengan bisnisnya. Kaei memiliki 3 orang anak yaitu

Ketika usia sudah tua, Kaei harus memilih penerus dari Klan Katabuchi namun anak laki - laki tertuanya tidak memiliki kecakapan dalam berkerja seperti Kaei. Kerjaannya tiap hari bermain - main dengan saudari perempuannya. Sedangkan Seikichi mewarisi keterampilan berbisnis ayahnya, namun Kaei tetap memilih Soichiro sebagai penerus kepala keluarga Katabuchi. Kecewa, Seikichi akhirnya memilih untuk berpisah dan membangun bisnisnya sendiri.

Sebelum meninggal Kaei menjodohkan Soichiro dengan Ushio seorang wanita yang sebelumnya adalah pelayan di mansion keluarga Katabuchi. Kaei menganggap bahwa Ushio cocok untuk Soichiro karena dipandang sebagai wanita yang tenang, tangguh, dan tabah. Namun dalam perjalanan rumah tangga mereka tertempa badai. Binis keluarga Katabuchi hancur dan Soichiro melakukan hubungan terlarang dengan Chizuru sampai kemudian Chizuru mengandung anak kembar.

Ushio yang sakit hati kemudian bunuh diri dengan memotong pergelangan tangan kirinya.

Seikichi yang sudah sukses dan kaya raya kemudian kembali ke mansion Katabuchi berusaha menyelamatkan “muka” Klan Katabuchi, dia mengambil alih bisnis dan “mengurung” Keluarga Utama di mansion di Gunung dan memberikan sebagian tanah, pelayan, dan harta kepada mereka. Ini menimbulkan sakit hati kepada anggota Keluarga Utama namun mereka tidak berdaya.

Seikichi sendiri sudah menikah setidaknya dengan 4 wanita berbeda dan masing - masing memiliki keturunan. Sedangkan Chizuru akhirnya melahirkan anak kembarnya, 2 anak laki - laki namun salah satu anaknya cacat tidak memiliki telapak tangan. Pada tahun itu, hal ini dianggap sebagai kutukan dari mendiang Ushio yang sakit hati padahal sebenarnya karena hasil hubungan incest yang membuat struktur tubuh hasil hubungannya sering kali “berbeda”. Ketakutan dengan kutukan Ushio, membuat Keluarga Utama Klan Katabuchi ini semakin mengasingkan diri.

Pada suatu saat, datang seorang dukun wanita bernama Rankyo ke kediaman keluarga Katabuchi. Dia mengatakan bisa menolak bala dari kutukan Ushio. Keluarga Katabuchi percaya penuh dengan dukun Rankyo karena dia menyebutkan beberapa fakta terkait keluarga Katabuchi yang rahasia. Rankyo memberikan ritual dengan syarat dan aturan agar keluarga Katabuchi terhindar dari amarah Ushio, yaitu

1. Anak kembar dari Chizuru adalah Asano dan Momota (yg cacat). Momota harus disembunyikan di ruangan khusus dan tidak boleh terkena sinar matahari. Pada ulang tahunnya yang ke-10, dia harus membunuh salah satu anak dari keluarga Cabang yaitu anak Seikichi yang seumuran,
2. Setiap tahun sampai usia 13 tahun, Momota harus membunuh anak - anak itu (total 3 anak),
3. Asano (atau anak seumuran) bertindak sebagai pembantu dalam usaha pembunuhan,
4. Tangan kiri korban harus dipotong sebatas pergelangan tangan dan kemudian dipersembahkan di makam Ushio.

Akhirnya ritual ini menjadi sebuah tradisi turun temurun dari Klan Katabuchi sampai saat ini, apalagi jika dari keturunannya ada yang lahir tanpa telapak tangan kiri. Namun rahasia dari Klan Katabuchi tidak hanya itu, melainkan ternyata mereka mempunyai anak laki - laki ketiga setelah Soichiro dan Seikichi yaitu Shigehiru yang kemudian menjadi kakek dari Yuzuki Katabuchi.

Lalu siapakah Rankyo? Siapakah Keita dan bagaimanakah akhir dari ritual keluarga Katabuchi ini?

Catatan #

Novel ini pendek, hanya terdiri dari 4 bab yang sebagian besar berisi percakapan - percakapan saja. Ditulis seperti naskah skenario film, meski begitu ketegangan tetap terbangun dengan manis. Pelan - pelan tak terasa namun pada saatnya membuat kengerian yang nyata.

buku lain yang mungkin kamu suka

Ane tidak mengira novel ini creepy, apalagi pelaku pembunuhannya adalah anak - anak (yang di brainwashed oleh para orang tuanya) untuk membunuhi saudara mereka (meski tidak diceritakan secara explisit tentang pembunuhannya). Akhir dari novel ini pun sedikit mengganggu, tidak sedih tidak pula happy ending melainkan menyisakan ruang kosong bagi pembaca untuk menebak apakah sebenarnya kasus ini benar - benar sudah tertutup atau belum?. Ruang kosong yang sama seperti di denah rumah yang aneh.

Novel ini juga tersedia versi manga dengan judul The Strange House/Hen na le, di versi manga-nya lebih lengkap daripada versi novel terutama di bagian akhir dan pengungkapan.

Sekilas tentang Uketsu, dia seorang youtuber yang sering membuat film pendek. Bahkan versi audiovisual dari novel ini tersedia di kanal youtube-nya. Dia sudah menulis beberapa novel yang langsung menjadi best seller diantaranya Strange Houses dan Strange Pictures. Meski sudah populer, sosok Uketsu sendiri masih misteri sampai sekarang karena setiap tampil dia selalu memakai celana dan jaket hitam dan menutupi wajahnya dengan topeng dari bubur kertas yang dikeringkan.

Ane beri rating bintang 4 dari 5 karena memang novel yang ini enak untuk dibaca dan terasa fresh dibandingkan Japanese crime mistery novel yang sebelumnya ane baca. FYI arti dari bintang 4 dari ane adalah “Buku yang bagus dan saya rekomendasikan untuk dibaca”.

Ane sedang membaca buku Uketsu lainnya yaitu Strange Pictures harapan ane memiliki kualitas yang serupa atau mungkin lebih baik?, semoga.

Daftar Isi

1. Mempergunakan PKG
   • Pengaturan PKG
   • Mencari, lihat deskripsi, dan meng-install package
   • Menghapus package
   • Mengunci package supaya tidak dirubah
   • Statistik
   • Query PKG
   • Audit
   • Jika pkg rusak tak bisa dipakai
2. Mempergunakan Port’s
   • Mempersiapkan Port’s
   • Memasang aplikasi dari Port’s
   • Menghapus package dari Ports
   • Meng-upgrade Ports
3. Kesimpulan

Meski sudah banyak aplikasi yang dibawa di dalam paket base-nya namun FreeBSD tetap menyediakan alat untuk menginstall aplikasi pihak ketiga, mengelola atau mengupdatenya. Disediakan 2 alat dan 2 cara berbeda yaitu dengan FreeBSD ports collections yaitu cara menginstall aplikasi lewat build source code. Cara lainnya adalah memasang aplikasi dari pre-built binaries dengan pkg(8)

Memasang dari ports collections biasanya dilakukan jika di dalam repository resmi FreeBSD sebuah paket belum terupdate karena biasanya memang di ports lebih dahulu diluncurkan. Freshports adalah situs yang bisa dipergunakan untuk melacak rilis dari ports, resminya juga ada yaitu melalui FreeBSD Ports Collections.

Mempergunakan PKG #

Semua versi FreeBSD sudah datang dengan pkg secara standar. Ketika pertama kali memakai sistem FreeBSD atau saat di awal membuat jail maka perlu melakukan pkg bootstrap untuk mengunduh paket pkg (jika di sistem belum ada) dan memasangnya, jika ternyata pkg sudah ada di dalam sistem maka perintah ini tidak akan berpengaruh apa - apa. Jika perintah ini diberi flag -f sehingga menjadi pkg bootstrap -f maka akan melakukan pengunduhan dan pemasangan paket pkg dan mengabaikan apakah pkg sudah ada atau belum.

Setelah pkg tersedia bisa dipergunakan dengan memasukkan perintah - perintah sebagai berikut.

# pkg bootstrap
# pkg
# pkg update
# pkg upgrade

Pengaturan PKG #

Perintah pkg update akan membuat pkg mengunduh data repository FreeBSD dan menyimpannya di lokal. Umumnya pkg akan menghubungi server pkg.FreeBSD.org dan kemudian akan dialihkan ke server terdekat berdasarkan lokasi geografi. Untuk Asia Tenggara lokasi server terdekat ada di Kuala Lumpur, namun server ini kurang memiliki akses yang cepat sehingga pengunduhan sering terkendala.

Namun ada sebuah aplikasi yang bagus yang biasanya dipergunakan untuk menentukan posisi server yang sesuai dan cepat, nama aplikasinya adalah fastest_pkg. Berikut cara memasang dan pakainya.

$ doas pkg search fastest_pkg
py311-fastest_pkg-0.2.3        Script to find the fastest pkg mirror
$ doas pkg install py311-fastest_pkg
...

$ doas fastest_pkg
pkg0.your.freebsd.org: 378.5 kB/s
pkg0.son.freebsd.org: 0.0 B/s
pkg0.sjb.freebsd.org: 351.4 kB/s
pkg0.twn.freebsd.org: 0.0 B/s
pkg0.kul.freebsd.org: 0.0 B/s
pkg0.bbt.freebsd.org: 0.0 B/s
pkg0.jinx.freebsd.org: 0.0 B/s
pkg0.kwc.freebsd.org: 18.4 MB/s
pkg0.syd.freebsd.org: 636.2 kB/s
pkg0.pao.freebsd.org: 772.4 kB/s
pkg0.tuk.freebsd.org: 1.1 MB/s
pkg0.bra.freebsd.org: 234.9 kB/s
pkg0.nyi.freebsd.org: 275.3 kB/s

Fastest:
pkg0.kwc.freebsd.org: 18.4 MB/s


Write configuration:
mkdir -p /usr/local/etc/pkg/repos/
echo 'FreeBSD: { url: "http://pkg0.kwc.freebsd.org/${ABI}/latest", mirror_type: "NONE" }' \
        > /usr/local/etc/pkg/repos/FreeBSD.conf

Dari hasil fastest_pkg seperti di atas ditemukan bahwa server pkg0.kwc.freebsd.org adalah server dengan kecepatan pengunduhan paling baik dibandingkan yang lainnya. Di atas juga disebutkan cara untuk membuat pkg mempergunakan server pkg0.kwc.freebsd.org sebagai pilhan utama.

Setelah FreeBSD.conf selesai dibuat, maka paksa pkg untuk mengunduh ulang definisi repo ke lokal dengan perintah pkg update -f, seharusnya kecepatan pengunduhan akan naik secara signifikan/menyesuaikan.

File FreeBSD.conf adalah file khusus yang dipergunakan oleh FreeBSD untuk merubah atau menimpa pengaturan pada pkg. Pengaturan asli dari pkg.conf ada di path /etc/pkg/FreeBSD.conf namun mengubah isi dari file ini sangat tidak direkomendasikan. Untuk merubah pengaturan, FreeBSD merekomendasikan file FreeBSD.conf yang berada di path /usr/local/etc/pkg/repos/FreeBSD.conf dimana semua pengaturan yang berada di bawah path /usr/local hanya akan dijalankan secara khusus untuk user yang bersangkutan, sedangkan pengaturan di bawah path /etc/ akan berlaku menyeluruh.

Salah satu pengaturan yang biasanya sering dipakai oleh pengguna FreeBSD adalah menentukan jenis update repositori dimana ada 2 pilihan utama yaitu latest dan quarterly. Perbedaan utamanya sebagai berikut

Cara untuk berpindah dari repo latest ke quarterly atau sebaliknya bisa dilakukan dengan merubah pengaturan di file FreeBSD.conf sebagai berikut

$ doas ee /usr/local/etc/pkg/repos/FreeBSD.conf
url: "pkg+http://pkg.FreeBSD.org/${ABI}/quarterly"

Mencari, lihat deskripsi, dan meng-install package #

Setelah pengaturan selesai dan repository sudah diupdate, maka perintah untuk memasang sebuah atau lebih package bisa dilakukan dengan perintah pkg install. Namun penting untuk melakukan pencarian terlebih dahulu karena defaultnya FreeBSD akan menampilkan beberapa pilihan versi package jika tersedia apalagi jika memakai repositori latest. Sebagai contoh akan mencari dan memasangan vim.

$ pkg search vim
...
vim-9.2.0272            Improved version of the vi editor (console flavor)
vim-gtk2-9.2.0272       Improved version of the vi editor (gtk2 flavor)
vim-gtk3-9.2.0272       Improved version of the vi editor (gtk3 flavor)
vim-lsp-0.1.4.198       Async language server protocol plugin for vim and neovim
vim-motif-9.2.0272      Improved version of the vi editor (motif flavor)
vim-tiny-9.2.0272       Improved version of the vi editor (tiny flavor)
vim-x11-9.2.0272        Improved version of the vi editor (x11 flavor)
...

Ditemukan banyak versi package dari VIM, untuk mengetahui uraian atau deskripsi dari sebuah package maka gunakan perintah pkg info.

$ pkg info vim
vim-9.2.0272
Name           : vim
Version        : 9.2.0272
Installed on   : Sat Apr  4 10:37:32 2026 WIB
Origin         : editors/vim
Architecture   : FreeBSD:15:amd64
Prefix         : /usr/local
Categories     : editors
Licenses       : VIM
Maintainer     : adamw@FreeBSD.org
WWW            : https://www.vim.org/
Comment        : Improved version of the vi editor (console flavor)
...
...

Kemudian pasang package tersebut dengan perintah

$ doas pkg install vim
doas (poes@kocheng) password: 
All repositories are up to date.
Checking integrity... done (0 conflicting)
The following 1 package(s) will be affected (of 0 checked):

New packages to be INSTALLED:
  vim: 9.2.0272 [FreeBSD-ports]

Number of packages to be installed: 1

The process will require 42 MiB more space.

Proceed with this action? [y/N]: y
[1/1] Installing vim-9.2.0272...
[1/1] Extracting vim-9.2.0272: 100%

Menghapus package #

Ada 2 perintah yang memiliki fungsi untuk menghapus package dengan pkg yaitu pkg delete dan pkg remove, meski berbeda namun memiliki fungsi yang sama. Namun di man pages pkg perintah pkg remove tidak disebut sehingga untuk kompatibilitas pergunakan perintah pkg delete.

Cara pakainya seperti ini

$ doas pkg delete vim
Checking integrity... done (0 conflicting)
Deinstallation has been requested for the following 1 packages (of 0 packages in the universe):

Installed packages to be REMOVED:
  vim: 9.2.0272

Number of packages to be removed: 1

The operation will free 42 MiB.

Proceed with deinstalling packages? [y/N]: y
[1/1] Deinstalling vim-9.2.0272...
[1/1] Deleting files for vim-9.2.0272: 100%

Ada juga perintah autoremove yang tugasnya mencari dan menghapus package yang sudah tidak dipakai lagi, biasanya adalah package yang menjadi dependecies dari build package utama.

$ doas pkg autoremove
doas (poes@oyenBSD) password:
Checking integrity... done (0 conflicting)
Deinstallation has been requested for the following 67 packages:

Installed packages to be REMOVED:
        abseil: 20250127.1_1
        alsa-lib: 1.2.15.3
        at-spi2-core: 2.56.8
        basu: 0.2.1
        bsddialog: 1.1
        ...
        
Number of packages to be removed: 67

The operation will free 269 MiB.

Proceed with deinstalling packages? [y/N]: y
[ 1/67] Deinstalling abseil-20250127.1_1...
[ 1/67] Deleting files for abseil-20250127.1_1: 100%
...
$

pkg autoremove bisa dipakai untuk membersihkan ruang yang dipakai oleh banyak package sehingga membuat kapasitas storage menjadi lebih lega. Namun ada perintah lain yang juga bisa dipakai yaitu pkg clean, yang ini tugasnya menghapus/membersihkan isi dari local cache dari package yang terunduh.

Mengunci package supaya tidak dirubah #

Jika ane ingin agar sebuah atau lebih package tidak bisa dirubah (direinstall, diupgrade, dimodifikasi, bahkan dihapus) maka ane akan pakai pkg lock untuk urusan ini. Bermanfaat jika ingin tetap memakai versi tertentu dari sebuah package.

$ vim --version
VIM - Vi IMproved 9.2 (2026 Feb 14, compiled Mar 31 2026 01:05:15)
$ doas pkg lock vim
doas (poes@oyenBSD) password:
vim-9.2.0272: lock this package? [y/N]: y
Locking vim-9.2.0272

untuk unlock

$ doas pkg unlock vim
doas (poes@oyenBSD) password:
vim-9.2.0272: unlock this package? [y/N]: y
Unlocking vim-9.2.0272

Statistik #

Untuk menampilkan statistik database pkg gunakan pkg stats yang akan memberikan info jumlah package yang terpasang dan disk storage yang dipergunakan.

$ doas pkg stats
Local package database:
  Installed packages: 231
  Disk space occupied: 2 GiB

Remote package database(s):
  Number of repositories: 2
  Packages available: 37306
  Unique packages: 37306
  Total size of packages: 160 GiB

Query PKG #

Mendapatkan informasi sebuah paket selain dengan pkg info bisa juga dengan pkg-query (man) sebuah tool yang dibuat khusus untuk meng-query data informasi dari sebuah atau lebih package meski lebih sering dipakai untuk melakukan tracing.

Sebagai contoh ingin melihat daftar package mana saja yang pakai jpeg-turbo sebagai reverse dependencies-nya

$ pkg query %ro jpeg-turbo
graphics/tiff
graphics/openjpeg
graphics/libraw
graphics/lcms2
graphics/php81-gd
multimedia/libv4l
graphics/gd
graphics/webp

Sedangkan untuk melihat dependencies dari sebuah package (misal vnstat) bisa dengan perintah berikut

$ doas pkg query %dn-%dv vnstat
sqlite3-3.50.4_2,1
libgd-2.3.3_13,1

Audit #

FreeBSD Security Advisories adalah informasi resmi dari FreeBSD terkait masalah keamanan di base system FreeBSD misalnya soal jaringan, kernel, sistem inti lainnya. Informasi ini berisi tentang penjelasan masalah yang ditemukan dan cara penyelesaiannya. pkg memberikan perintah audit untuk memeriksa apakah di dalam sistem saat ini ditemukan masalah sesuai dengan informasi dari FreeBSD Security Advisories. Untuk memeriksanya gunakan perintah pkg audit -F

$ doas pkg audit -F
doas (poes@oyenBSD) password:
vulnxml file up-to-date
python311-3.11.15 is vulnerable:
  Python -- poplib module, when passed a user-controlled command, can have additional commands injected using newlines
  CVE: CVE-2025-15367
  WWW: https://vuxml.FreeBSD.org/freebsd/6d3488ae-2e0f-11f1-88c7-00a098b42aeb.html

  Python -- imaplib module, when passed a user-controlled command, can have additional commands injected using newlines
  CVE: CVE-2025-15366
  WWW: https://vuxml.FreeBSD.org/freebsd/0be929a5-2e0f-11f1-88c7-00a098b42aeb.html

  Python -- The webbrowser.open() API allows leading dashes
  CVE: CVE-2026-4519
  WWW: https://vuxml.FreeBSD.org/freebsd/9fdad262-2e0f-11f1-88c7-00a098b42aeb.html

openexr-3.4.8 is vulnerable:
  openexr -- multiple vulnerabilities
  CVE: CVE-2026-34378
  CVE: CVE-2026-34379
  CVE: CVE-2026-34380
  CVE: CVE-2026-34588
  CVE: CVE-2026-34589
  WWW: https://vuxml.FreeBSD.org/freebsd/adb096d4-2e72-11f1-acc1-339a1a6999b0.html

3 problem(s) in 1 package(s) found.

Hasil dari perintah ini adalah informasi tentang kerentanan. Sebagai contoh di atas setidaknya ada 3 masalah dari 1 package yaitu python. Informasi lebih lengkap bisa diperiksa dengan mengakses halaman WWW di tautan yang diberikan. Sebagai contoh masalah di python disebutkan bahwa itu merupakan tindak lanjut dari temuan oleh laporan Python Software Foundation Security Developer.

Cara penyelesaiannya biasanya dengan menunggu patch resmi dari FreeBSD atau upgrade ke versi lebih tinggi, dengan pkg (nunggu patch) atau lewat Freshport.

Jika pkg rusak tak bisa dipakai #

Karena proses update atau upgrade yang keliru, belum selesai, database corrupt, atau perubahan dari jenis repo yang gagal bisa membuat pkg tidak bisa dipergunakan. Oleh karena itu meng-install ulang pkg mutlak diberikan, disini alat kecil bernama pkg-static(8) bisa dipergunakan. pkg-static adalah sebuah aplikasi yang (sudah tersedia di base) fungsinya sama dengan pkg namun tidak tertaut pada library lain seperti libssl atau library lain yang terus berubah (karena proses upgrade dan sebagainya), library yang dibutuhkan untuk pkg-static berkerja sudah tersedia di dalam binari-nya sendiri sehingga pkg-static tidak akan rusak dan selalu bisa dipakai. pkg-static dipergunakan untuk membuild pkg itu sendiri (bootstrap pkg). Namun untuk penggunaan sehari - hari pkg lebih diutamakan karena aplikasi ini terus diupdate dan upgrade.

Secara fitur, pkg-static memiliki fitur yang identik dengan pkg. Namun ada fungsi utama yang sering dipakai yaitu bootstrap untuk menggenerate ulang aplikasi pkg.

1. Bootstrap pkg

$ doas pkg-static bootstrap -y

pkg-static akan membuild ulang pkg, sebaiknya dilanjut dengan update repo setelah selesai.

2. Database corrupt

$ doas pkg-static update -f

pkg-static akan mengunduh data secara paksa dan membuat database baru.

Mempergunakan Port’s #

Port’s adalah kumpulan dari beberapa files Makefile, patches, dan Description yang dipergunakan untuk mem-build sebuah package. Sehingga untuk mendapatkan sebuah binary yang siap untuk diinstall perlu melakukan build yang sering kali membutuhkan sumber daya komputasi lebih.

Mempersiapkan Port’s #

Files Makefile dan kawan - kawannya terlebih dahulu harus disalin ke lokal dan kemudian baru bisa melakukan build. Karena repo dari Port’s ini disimpan dalam repo git maka perlu untuk memasang package git terlebih dahulu. Asumsi bahwa Port’s sama sekali masih kosong, maka install git dengan pkg.

$ doas pkg install git-lite

Kemudian mulai untuk menyalin (clone) repositori Port’s, simpan di /usr/ports dan lakukan checkout.

$ doas git clone --depth 1 https://git.FreeBSD.org/ports.git /usr/ports
$ doas git -C /usr/ports pull

Memasang aplikasi dari Port’s #

Repotnya di Port’s adalah saat mencari dimana letak dari folder aplikasi yang dimaksud, karena di dalam /usr/ports sendiri setidaknya ada 70 kategori dengan total 46195 folders di bawahnya!!!. Ane biasanya gunakan FreshPorts untuk mencari letak folder yang sesuai. Sebagai contoh ane akan pasang vim. Jika merujuk pada FreshPorts letak vim ada di /usr/ports/editors/vim. Maka cara install-nya seperti ini

$ cd /usr/ports/editors/vim
==>  License VIM accepted by the user
===>   vim-9.2.0204 depends on file: /usr/local/sbin/pkg - found
=> vim-vim-v9.2.0204_GH0.tar.gz doesn't seem to exist in /usr/ports/distfiles.
=> Attempting to fetch https://codeload.github.com/vim/vim/tar.gz/v9.2.0204?dummy=/vim-vim-v9.2.0204_GH0.tar.gz
vim-vim-v9.2.0204_GH0.tar.gz                            18 MB 7562 kBps    03s
===> Fetching all distfiles required by vim-9.2.0204 for building
===>  Extracting for vim-9.2.0204
=> SHA256 Checksum OK for vim-vim-v9.2.0204_GH0.tar.gz.
install  -m 0644 /usr/ports/editors/vim/files/vietnamese_viscii.vim /usr/ports/editors/vim/work-console/vim-9.2.0204/runtime/keymap
===>  Patching for vim-9.2.0204
===>  Applying FreeBSD patches for vim-9.2.0204 from /usr/ports/editors/vim/files

===>   vim-9.2.0204 depends on package: libiconv>=1.14_11 - found
===>   vim-9.2.0204 depends on package: pkgconf>=1.3.0_1 - found
===>   vim-9.2.0204 depends on file: /usr/local/bin/python3.11 - found

===>  Installing for vim-9.2.0204

/usr/local/bin/vim

Untuk menghemat spasi karena dalam proses build Ports akan mengunduh banyak sekali dependecies maka gunakan opsi clean. Bisa sebelum atau sesudah proses build.

Menghapus package dari Ports #

Untuk menghapus ada 2 cara, bisa pakai perintah pkg delete karena toh juga package namanya meski dipasang dari Ports dan bisa pakai perintah make deinstall. Untuk perintah yang kedua ini harus masuk kembali ke folder package tersebut terlebih dahulu. Jadi gunakan saja pkg delete karena lebih mudah.

Meng-upgrade Ports #

Caranya ribet, pokoknya pakai Ports itu ribet!. Pertama harus tau dulu daftar dari package yang ada versi pembaharuan namun harus melakukan git pull terlebih dahulu untuk memperbarui local copy dari repo Ports.

$ doas git -C pull /usr/ports
$ doas pkg version -l "<"

Akan mengupdate dan menampilkan package yang ada versi pembaharuan dan kemudian (secara manual) melakukan build ulang satu per satu. Kalo cuma ada 2 atau 3 packages yang perlu diupgrade maka ga terlalu masalah, namun kalo ada 10-an ke atas packages itu baru masalah. Maka ada yang namanya Portmaster sebuah alat kecil yang berjasa untuk melakukan upgrade atas Ports yang terpasang. Install dulu dengan

$ cd /usr/ports/ports-mgmt/portmaster
$ doas make install clean

Setelah sukses, tinggal pakai cara ini untuk menampilkan daftar yang perlu diugrade

$ doas portmaster -L
...
...
===>>> 176 total installed ports
    ===>>> 1 has a new version available

$ doas portmaster -a
...

Selain untuk melakukan upgrade sebenarnya portmaster bisa juga dipakai untuk meng-install Ports. Caranya adalah dengan perintah $ doas portmaster editors/vim dan ini jauh lebih mudah daripada cara manual.

Kesimpulan #

FreeBSD memberikan alat untuk melakukan pencarian, pemasangan, upgrade, maupun menghapus sebuah atau lebih aplikasi yang bernama pkg. Package Manager ini sangat powerfull untuk melakukan tugasnya secara umum dan jauh lebih mudah daripada memakai ports karena akan menginstall aplikasi dari pre-built binaries yang sudah tersedia.

Meski disebut tidak memiliki wrapper untuk pkg namun portmaster juga bisa dipakai untuk manajemen package. Ada juga Poudriere yang bisa dipakai meski fungsi utamanya untuk melakukan package builder dan port tester. Berbeda dengan wrapper package manager lainnya seperti Powerpill di Arch Linux, di FreeBSD tidak memberikan fitur download accelerator namun lebih pada kekuatan di pengelolaan dependencies dan keamanan.

Nama warungnya adalah Nasi Tongkol Mbak Ju yang berlokasi di dalam pasar DTC (Darmo Trace Center) di daerah Wonokromo Surabaya. Jika sempat menengok ke Toktok atau Youtube, maka bakal banyak video yang muncul mereview dan menjelaskan tentang warung ini. Seperti namanya warung ini berjualan nasi dengan lauk ikan tongkol. Hanya ini saja menunya namun yang beli ramai pula.

Dari sekian banyak video yang sudah ane tonton, ada 1 kesimpulan bahwa nasi tongkol ini enak banget namun 1 hal yang hilang yaitu rute ke lokasi. Apa pasal? Warung ini terletak di dalam pasar modern dengan total 6 lantai. Banyak orang hanya memuji - muji saja rasa menunya tanpa menunjukkan arah dan rute yang tepat dan cepat untuk menuju warung ini.

Menuju Lokasi #

Berbekal niat saja ane putuskan untuk mencoba mencari dimana letak warung ini. Dari terminal bus Bungurasih, ane naik Gojek. Harapannya adalah abang gojek akan membantu menjawab pertanyaan saya namun ternyata zonk. Si abang lebih paham tentang skincare pelindung dari sengatan matahari daripada lokasinya. Jadi diputuskan ikut dengan petunjuk dari Google Maps (sambil berdo’a semoga tak salah arah).

Tentu saja apa yang bisa diharapkan dari Google Map kalo lokasinya di dalam pasar?

Si abang Gojek nurunin ane di kampung sebelah pasar karena Google Map menyebut disitu tempat terdekatnya. Lokasinya dekat dengan Warung Mak Yeye yang terkenal itu (tutup kalo siang).

Alhasil ane harus muter - muter dulu untuk masuk ke DTCnya. Setelah capek muter - muter, ane akhirnya bisa masuk DTC lewat jalur jalan parkir mobil dan langsung mengarah ke Lantai 1. Di dalam pasar Google Map ini cupu, tidak bisa menunjukkan arah yang tepat. Ane seperti sedang di dalam lorong - lorong labirin dengan tumpukan daster dan celana jeans KW yang bertebaran di kanan kiri. Semakin ke dalam semakin sepi penjualnya, hanya ada deretan stand kosong dan tertutup.

Disini istilah “malu bertanya sesat di jalan” sepertinya sangat relevan. Bye Google you’re useless. Akhirnya ane lewat depan orang jualan skincare, what!!!. Ane langsung saja ditarik sama mbak - mbak SPG untuk ditawarin produknya, si mbak sales nyerocos terus ga bisa distop. Ane lirik ternyata sudah agak sepuh. Kasian, akhirnya ane beli produknya meski ga butuh. Tapi di sisi yang lain ane mau manfaatkan untuk bertanya lokasi warung nasi ini.

Setelah bertanya ternyata memang berada di lantai 1 dan ada di pojokan belakang. Berbekal informasi ini ane jalan - jalan muter - muter lagi sampai akhirnya ketemu lokasi yang dimaksud. Alhamdulillah.

Namun setelah makan ternyata ada rute yang gampang dan mudah menuju warung ini, yaitu masuk ke DTC lewat pintu di Jalan Wonokromo (jangan di Jalan Stasiun Wonokromo maupun Jalan Jagir Wonokromo). GAMBAR 1.

Rute paling mudah untuk menuju Warung Mbak Ju

Kemudian pilih gang menuju lokasi parkir sepeda motor, jalan lurus GAMBAR 2 sampai ketemu tangga, naik, dan kemudian belok ke kiri. GAMBAR 3. Setelah 1 atau 2 gang, Warung Nasi Tongkol Mbak Ju berada di sebelah kananmu.

Nasi Tongkol #

Ane sampai di warung sekitar jam 11 lebih 20 menit, saat itu sudah ada beberapa pembeli yang datang belum ramai sekali. Kata orang nanti ramainya pas jam makan siang.

Area sekitaran warung, sempit, tempat duduk terbatas dan agak kotor. Maklum di dalam pasar. Anak alm. Mbak Ju sedang meracik sepiring nasi tongkol

Tak menunggu lama ane langsung pesan saja nasi tongkol dengan tambah lauk telor dadar. Si penjual adalah anak dari Mbak Ju (sudah meninggal) kerjanya cepat. Beliau kemudian menyiapkan sambal tomat - terasi dan menguleknya langsung di tempat, segera 1 porsi nasi tongkol langsung tersedia lengkap dengan telor dadar dan sambal lalapan. Selain itu dikasih juga teri goreng dan sambal yang terbuat dari tongkol yang dihaluskan.

Sepiring nasi tongkol mbak Ju

The moment of the truth.

Ngomongin influencer kuliner di Indonesia, ane tidak pernah percaya kecuali dengan rekomendasi (alm) Bondan Winarno. Kalo beliau bilang enak maka sudah pasti enak. Maknyus!!! 👌🏽

Sedangkan yang lain ane masih ragu. Termasuk untuk rekomendasi nasi tongkol ini yang setelah ane coba rasa sambalnya biasa saja. Terasinya kurang terasa, menurut ane lebih enak sambal tempong di Banyuwangi. Namun ada yang unik di sambal tongkolnya, ane sama sekali belum pernah makan sambal seperti ini. Menarik. Rasa ikan teri goreng ya sama seperti ikan teri lainnya, crispy dan salty. Menurut ane malah rasa teri ini yang memberikan “rasa” pada masakan ini karena telor dadarnya pun tidak ada rasa apapun.

Tapi tentu saja ane tetap habiskan dengan penuh semangat karena belum makan sejak pagi. Selain itu yang membuat ane sedikit kecewa adalah ketika diberi pilihan sambal ane sudah sampaikan minta sambal yang pedas tapi ternyata pedasnya sama sekali tak terasa. Ane ingin merasakan sambal terasi yang pedas menggelora, biar berkeringat dan lendir di hidung keluar. Apakah mungkin si penjual lupa?

Review rasa ini subyektif ane, bisa saja orang lain akan berpendapat berbeda. Tapi yang pasti ane datang ke warung saat sedang flu dan batuk. Bisa jadi flu ini mengurangi kerja alat perasa ane. Ya mungkin seperti itu. Oleh karena itu ane ada rencana akan mampir saat ada keperluan di Surabaya lagi.

Update #

Beberapa pekan yang lalu ane sempatkan datang lagi kesini saat ada kesempatan ke Surabaya. Seperti biasa datang saat akhir pekan dan pas tengah hari. Saat itu pengunjung penuh sekali dan ane harus mengantri. Tidak lama karena pelayanan memang cepat.

Suasana ramai di Warung Mbak Ju. Sepiring nasi tongkol Mbak Ju.

Ane pesan menu yang sama seperti sebelumnya namun dengan pesan tegas kalo ane minta sambel yang pedas. Akhirnya setelah mendapatkan sepiring nasi tongkol ane kemudian mencari tempat duduk. Sangat ramai tapi untungnya pas ane sudah dapat makanan ada sepasang insan manusia bergeser untuk keluar sehingga ane dapat tempat (meski sempit dan seadanya).

Ternyata kekhawatiran ane terbalas, rasanya sama dengan saat ane datang sebelumnya. Bukan karena ane pilek, melainkan memang rasanya kurang menurut ane. Oke sambelnya pedas namun rasa terasi kurang terasa, tongkolnya pun bukan yang salty melainkan biasa saja. Telur dadarnya pun seakan tidak dibumbui apa - apa. Namun begitu ane tetap habiskan menu ini dan pesan 1 bungkus lagi untuk dibawa pulang.

Ini adalah buku/novel yang sangat ane antisipasi terbitnya ketika petang baru beranjak datang di pertengahan bulan Juli. Namun informasi yang beredar novel ini baru tersedia di akhir tahun. Ketika gegap gempita orang - orang membuat kaleidoskop yang berisi tentang sesosok plonga plongo yang sekarang meminang sebagian kekuasaan, akhirnya ane mendapatkan versi e-book dari buku ini.

The Black Cat Café #

Di sebuah malam yang tenang di kota Tokyo yang mulai berbenah setelah kehancuran di Perang Dunia II, seorang anggota polisi berpatroli di daerah yang bernama Pink Labyrinth. Daerah ini cukup sepi karena berada di sisi perbukitan yang di atasnya ada kuil, ada pemakaman yang berada di bawah kuil, dan area luas dengan sebuah kafe di ujung jalan. Kafe itu dikenal dengan nama Kafe Kucing Hitam karena di dalamnya ada seekor kucing hitam yang menjadi maskot peliharaan pemilik kafe. Seperti umumnya kafe di Tokyo saat itu, di Kafe Kucing Hitam juga menyediakan “kucing” yang bisa elus dan menemani untuk sekedar minum - minum.

Namun saat itu Kafe Kucing Hitam sudah tutup karena pemilik sebelumnya − yaitu Daigo dan Oshige Itojima − sudah menjualnya kepada orang lain dan sekarang sedang dalam proses renovasi. Namun tidak ada pekerja di sekitar situ karena sedang libur.

Si Polisi berjalan melewati depan Kafe dan mendengar suara aneh seperti orang sedang menggali tanah di tanah lapang di belakang Kafe. Penasaran, si Pak Pol kemudian menyelidikinya dan menemukan seseorang sedang menggali tumpukan tanah di belakang Kafe, dia adalah seorang biksu muda bernama Nitcho yang merupakan biksu di kuil Renge-in di atas bukit. Nitcho berteriak histeris melihat apa yang ditemukannya, ternyata di dalam lubang galian terdapat jasad perempuan dengan wajah hancur dan tidak bisa dikenali lagi.

Distrik kecil itu langsung heboh, para detektif dikerahkan untuk melakukan penyelidikan. Yokomizo sendiri ditahuan dan dimintai keterangan, katanya kepada petugas kalo dia bermimpi bertemu seorang perempuan di dekat situ dan terus kepikiran sehingga kemudian turun dan memeriksa. Dia melihat ada semacam gundukan tanah yang sepertinya masih baru dan melihat ada sedikit bagian tangan yang tersembul di permukaan dan kemudian mulai menggali. Menurut keterangan para saksi, dari bentuk tubuh korban mirip dengan bentuk tubuh istri dari pemilik kafe. Namun si Pak Pol membantah karena sempat melihat dan menyapa pasangan suami istri itu saat hendak pergi setelah menutup kafe, meski tidak bisa melihat jelas wajah istri pemilik kafe karena tersembunyi di bawah kerudung.

Setelah melakukan penyelidikan, polisi menemukan beberapa fakta sebagai berikut

1. Suami istri tersebut adalah warga Jepang yang kabur kembali dari Manchuria (Cina) setelah perang, namun mereka tidak kembali bersama - sama melainkan Oshige (istri) pulang terlebih dahulu baru setelah beberapa bulan sang suami menyusul,
2. Selama tinggal di Tokyo, Oshige berkerja di kabaret dan kemudian menjadi simpanan seorang pengusaha konstruksi yang juga bekas bos Yakuza,
3. Daigo (suami) kemudian datang ke Tokyo, dia datang bersama dengan seorang perempuan kenalan yang merupakan pasangannya selama tidak bertemu istrinya. Jadi baik Daigo dan Oshige sama - sama berselingkuh,
4. Setelah saling bertemu, Daigo memutuskan hubungan dengan perempuan kenalannya itu dan kemudian membeli sebuah kafe dan diberi nama Black Cat Café,
5. Meski begitu Oshige masih sering menemui bos konstruksi dan masih berhubungan/berselingkuh,
6. Daigo tahu ini tapi tidak berdaya dan kemudian dia juga mulai kembali berselingkuh dengan perempuan kenalannya itu,
7. Oshige marah, pasangan ini jadi sering bertengkar. Oshige curhat kepada pegawainya dan mengungkapkan betapa bencinya dia dengan perempuan selingkuhan Daigo. Mereka kemudian menjual kafe dan berencana pergi ke kota lain dan memperbaiki hubungan keluarga kembali,
8. Sebelum kafe terjual, Oshige sakit karena alergi kulit parah akibat salah memakai make up. Dia tidak terlihat selama beberapa hari, bahkan oleh para pekerja di kafenya. Menurut Daigo, Oshige bersembunyi karena malu,
9. Pekerja di kafe menemukan kucing maskotnya makin lama makin kurus dan menemukan beberapa bercak darah di pintu shoji (pintu geser kertas) yang menurut Daigo adalah darah si kucing yang menggila,
10. Kafe dijual, pekerja dipecat, dan kemudian suami istri Daigo Oshige keluar dan pindah ke kota lain,
11. Ditemukan mayat perempuan di belakang kafe yang fisiknya mirip Oshige,
12. Ditemukan mayat kucing hitam,

Pertanyaanya adalah jasad siapakah itu? siapa yang membunuhnya? lalu apa hubungan Daigo dan Oshige dengan Yakuza?

Catatan #

Meski judulnya Murder at Black Cat Café, buku ini ternyata terdiri dari 2 cerita yang tidak saling berkaitan sehingga bisa dibilang ini adalah novel pendek.

Ane tak pernah meragukan kualitas cerita misteri karya Seishi Yokomizo, beliau adalah salah satu penulis hebat dari Jepang dengan karakter fiksinya Kosuke Kindaichi yang masih sangat populer dari dulu sampai sekarang. Sentuhan khasnya dalam membuat karakter yang kuat, trik pembunuhan ruang tertutup, dan plot yang sering kali tragis menjadi semacam standar emas dalam kesusastraan novel misteri di Jepang (bahkan dunia).

Pertama membaca bukunya yang berjudul The Inugami Curse ane sudah kagum dengan penulisannya, bukunya adalah literatur klasik. Dibuat antara tahun 1946 - 1975 membuat ane harus menurunkan ekspektasi dan berusaha menyelam di era itu yang metode dan alat penyelidikan belum secanggih sekarang. Tapi ternyata ekspektasi rendah ane tidak berbuah manis karena isi bukanya adalah kumpulan masterpieces, sejak saat itu Yokomizo adalah penulis favorit ane.

The Inugami Curses

Seishi Yokomizo

Kutukan yang menimpa keluarga Inugami, saat waris dibacakan, satu persatu akan mati

Namun untuk buku ini ada sehelai sembilu di hati, bukan tentang kualitas Seishi melainkan betapa pendeknya cerita Murder at The Black Café, hanya ada 9 bab saja (11 dengan prolog dan epilog) bandingkan dengan The Inugami Curses yang terdiri dari 35 bab!. Begitu juga dengan porsi kemunculan Detektif Kindaichi yang kesannya cuma sebentar saja. Ini mengingatkan kekecewaan ane juga pada buku Murder in The Crooked House karya Soji Shimada yang memiliki pola serupa.

Murder in The Croocked House

Soji Shimada

Pembunuhan di Rumah Miring. Kasus ruang tertutup yang nyaris sempurna

Meski begitu ane tetap menikmati karya Seishi satu ini (dan satu lagi cerita yang belum selesai ane baca di buku yang sama (8 bab)). Namun menurut ane tokoh penjahatnya cukup mudah ditebak. Ya mungkin karena sudah banyak buku atau film dengan plot yang serupa.

Daftar Isi

1. Blocklistd
   • SSH
   • FTP
2. SSH Guard
3. Cara lainnya (paling mudah)
4. Pilih yang mana?
5. Pengamanan SSH lanjutan

Semua yang online pasti beresiko atas perentasan, meski bilangnya sistem paling kuat tapi assume everything will be attacked atau no system is safe. Teknik awal dalam perentasan adalah melakukan scanning ports dan kemudian mengeksploitasinya, yang paling sering diincar adalah port SSH dan FTP. Meskipun banyak sekali teknik dalam perentasan, namun paling tidak mengamankan ports ini adalah langkah awal yang baik.

Blocklistd #

Blacklistd (sekarang sudah dirubah menjadi Blocklistd) adalah salah satu fitur di FreeBSD yang berguna untuk membuka atau menutup sebuah port dengan kriteria tertentu. Apalagi jika masih mempergunakan port standar untuk SSH yaitu di port 22. Saat selesai install FreeBSD (di VPS), tak lama kemudian akan bermunculan para hiu mencoba bruteforce akses SSH, dengan pelbagai macam cara dimana IP yang sering sekali mencoba berasal dari Asia. Maka Blocklistd ini sangat berguna untuk menghalau dan memblokir alamat IP tersebut untuk mengakses SSH. Secara fungsi mirip dengan fail2ban yaitu memblokir alamat IP yang gagal login SSH dengan rentang waktu tertentu.

Blocklistd sudah ada di dalam FreeBSD, tidak perlu memasangnya lagi, dan tinggal mengaktifkan saja.

$ doas sysrc blocklistd_enable="YES"
$ doas sysrc blocklistd_flags="-r"

ini akan mengaktifkan Blocklistd dan akan tersedia setiap sistem dimulai ulang, untuk sistem yang sudah berjalan tinggal perintahkan untuk start

$ doas service blocklistd start

SSH #

Khusus untuk memonitor SSH, maka rubah konfigurasi SSH untuk mengaktifkan Blocklistd.

$ doas sysrc sshd_flags="-o UseBlocklistd=yes"

atau langsung rubah file konfigurasi sshd_config.conf dan uncomment baris UseBlacklistd yes (jika masih no tinggal ganti ke yes). Setelah merubah konfigurasi atau menambahkan baris di /etc/rc.conf, layanan SSH harus di restart.

$ doas service sshd restart

Di FreeBSD semua hal yang berkaitan dengan akses jaringan, maka PF pasti akan ikutan bermain. Maka rubah konfigurasi PF untuk mengaktifkan Blocklistd.

table <blocklistd> persist
anchor "blacklistd/*" in on $ext_if

block in quick from <blocklistd>

Untuk menentukan waktu tunggu sampai sebuah IP bisa kembali mengakses SSH, maka perlu merubah konfigurasi Blocklistd.

$ doas ee /usr/local/etc/blocklistd.conf
location      type    proto   owner   name    nfail   duration
vtnet:ssh        *       *       *       *       3       72h

dimana perintah ini akan membuat Blocklistd memonitor port SSH di interface vtnet, jika sebuah IP gagal login 3 kali, maka IP tersebut akan diblokir selama 72 jam. Pengaturan 72 jam ini bisa saja diubah sesuai keinginan, 2400h untuk 100 hari, namun perhatikan juga bahwa semakin lama waktu tunggu maka semakin banyak IP yang tercatat dan bisa saja memenuhin table PF sehingga membutuhkan sumber daya lebih untuk memprosesnya.

Tapi bagaimana jika ini menjadi pedang bermata dua saat kita sendiri gagal login ke SSH? Maka caranya adalah menghapus IP kita dari table blocklistd dengan perintah berikut.

$ doas pfctl -a "blocklistd/22" -t port22 -T delete <IP>

Ini akan menghapus IP kita dari PF sehingga kita bisa kembali mengakses SSH, namun masih akan muncul di dalam table blocklistd dan akan dihapus saat masa tunggu expired. Lalu bagaimana cara melihat IP apa saja yang terjaring oleh Blocklistd? Ada perintah khusus untuk itu.

$ doas blocklistctl dump -abr
rulename                address/ma:port id      nfail   remaining time
blocklistd       143.198.161.12/32:22   OK      3/3     5h29m32s
blocklistd          54.38.52.18/32:22   OK      3/3     8h51m11s
blocklistd         46.151.182.7/32:22           1/3     10h16m37s
blocklistd       103.105.176.66/32:22   OK      3/3     17h39m40s
blocklistd          161.35.92.3/32:22           1/3     5h31m23s
blocklistd        45.78.193.199/32:22   OK      3/3     6h10m2s
blocklistd       209.15.115.240/32:22   OK      3/3     11h12m9s
blocklistd        153.99.94.233/32:22           1/3     11h13m45s
blocklistd       122.55.205.229/32:22   OK      3/3     13h39m36s

Untuk melihat data IP dengan PF, gunakan perintah seperti ini

# pfctl -a blacklistd/22 -t port22 -T show
143.198.161.12
54.38.52.18
46.151.182.7
103.105.176.66

FTP #

Pada dasarnya Blocklistd akan memblok port’s yang sudah diatur di /etc/blocklistd.conf salah satunya FTP. Jika memakai FTP sebagai koneksi ke server, maka bentuk pengamanannya adalah dengan menambahkan flags -B setelah command FTP.

Pengaturannya bisa di /etc/inetd.conf atau langsung di /etc/rc.conf. Berikut cara mengaturnya di rc.conf

$ doas sysrc ftpd_flags="-B"

SSH Guard #

Selain Blocklist, FreeBSD juga memiliki SSH Guard untuk melindungi port SSH dari serangan, khususnya metode brute-force attack. SSH Guard akan mengumpulkan data dari system log dan memblokir IP pelaku pelanggaran berulang mempergunakan kemampuan dari firewall. Tidak seperti Blocklist, SSH Guard bisa melakukan pemblokiran secara permanen atau sementara waktu saja.

SSH Guard bisa dipasangkan dengan PF, IPFW, firewalld, maupun IPtables (nftables) sebagai backend.

$ doas pkg install sshguard
$ doas sysrc sshguard_enable="YES"
$ doas vim /usr/local/etc/sshguard.conf

sebelum mengaktifkan SSH Guard, perlu melakukan sshguard-setup, yaitu dengan mengubah file /usr/local/etc/sshguard.conf. Beberapa hal yang perlu ane sesuaikan, karena pakai PF maka ane uncomment baris BACKEND.

BACKEND="/usr/local/libexec/sshg-fw-pf"

Selain itu agar IP ane tidak diblokir maka ane perlu uncomment juga baris WHITELIST.

WHITELIST_FILE=/usr/local/etc/sshguard.whitelist

Kemudian bikin file /usr/local/etc/sshguard.whitelist dengan isian IP yang hendak diijinkan. Masalahnya adalah ane tidak punya IP publik (CG NAT), maka ane masukkan IP yang bisa dicek di situs seperti WhatIsMyIPAddress. Misalkan hasilnya 100.99.98.97 maka ane masukkan subnetnya 100.99.98.0/24. Yang dimasukkan cukup IP saja, 1 baris 1 IP.

Untuk pengaturan PF, maka perlu ditambahkan baris berikut di /etc/pf.conf

table <sshguard> persist
block in proto tcp from <sshguard>

Kemudian restart PF dan jalankan SSH Guard,

$ doas pfctl -nf /etc/pf.conf
$ doas pfctl -f /etc/pf.conf
$ doas service sshguard start

Contoh hasil penjaringan oleh SSH Guard:

Jan 14 20:27:54 oyenBSD sshd-session[56374]: Invalid user admin from 103.23.199.119 port 44768
Jan 14 20:27:54 oyenBSD sshguard[56323]: Attack from "103.23.199.119" on service SSH with danger 10.
Jan 14 20:27:55 oyenBSD sshd-session[56374]: Received disconnect from 103.23.199.119 port 44768:11: Bye Bye [preauth]
Jan 14 20:28:06 oyenBSD sshd-session[56376]: Received disconnect from 188.37.194.181 port 46948:11: Bye Bye [preauth]
Jan 14 20:28:12 oyenBSD sshd-session[56378]: Invalid user ubuntu from 45.78.204.234 port 49542
Jan 14 20:28:12 oyenBSD sshguard[56323]: Attack from "45.78.204.234" on service SSH with danger 10.
Jan 14 20:28:13 oyenBSD sshd-session[56378]: Received disconnect from 45.78.204.234 port 49542:11: Bye Bye [preauth]

Untuk melihat daftar IP yang diblokir SSH Guard, bisa menggunakan perintah berikut:

$ doas pfctl -t sshguard -T show
103.23.199.119

Cara lainnya (paling mudah) #

Daripada ribet dan repot mengatur Blocklist dan atau SSH Guard, ada cara atau trik khusus yang sering ane pakai dan selalu berjalan lancar yaitu merubah port SSH ke custom port acak lainnya. Kenapa? karena bot lebih banyak scrapping dan brute force pada port standar.

Defaultnya port SSH adalah 22, jadi ane akan rubah misalnya menjadi 2277. Maka ane perlu merubah pf.conf dan sshd_config.

$ doas ee /etc/pf.conf
pass in quick inet proto tcp from any to any port 2277 flags S/SA keep state
$ doas ee /etc/ssh/sshd_config
Port 2277

kemudian restart SSH dan PF

$ doas service sshd restart
$ doas service pf restart

Aman? mungkin. Tapi bisa saja akan ketahuan saat bot melakukan scan terhadap semua port. Pengalaman ane, dari 100x bot tertangkap ada 1 atau 2 bot yang berusaha terhubung ke custom port ini.

Pilih yang mana? #

Jika kamu pengguna NetBSD maka Blocklist sudah ada di dalam sistem dan sudah jalan dengan baik, sedangkan kalo pakai FreeBSD harus mengaktifkannya secara manual. SSH Guard bukanlah aplikasi native di dalam sistem, perlu memasangnya dulu tapi kelebihannya tersedia untuk pelbagai OS (di luar BSD). Selain itu SSH Guard juga punya kelebihan untuk monitor banyak ports, jadi jika di sistem punya banyak service yang perlu dimonitor SSH Guard cocok sekali dipakai. Namun jika cuma port SSH atau FTP, maka Blocklist sudah lebih dari cukup.

Mengganti port SSH dengan custom port mungkin terlihat aman untuk waktu tertentu, tapi bot semakin hari semakin canggih sehingga bisa saja nantinya akan meng-scan port lain dan tinggal tunggu waktu untuk ketemu. Jadi tetap memasang Blocklist adalah pilihan yag bijaksana, apalagi Blocklist ringan dan tidak memakan resources yang tinggi.

Pengamanan SSH lanjutan #

Meskipun sudah memasang Blocklist atau SSH Guard, akan lebih baik lagi jika akses ke SSH diamankan lebih kuat lagi. Beberapa cara yang umum dan disarankan adalah tidak memberikan akses untuk login ke SSH dengan password melainkan dengan SSH Pubkey ID dan tidak memberikan ijin user root untuk login dengan SSH.

1. Login dengan SSH Public Key
• Buat public key, katakanlah hendak membuat public key khusus untuk akses ke SSH

$ ssh-keygen -t ed25519 -C "ssh-FreeBSD"

ikuti semua prompt yang muncul sampai selesai. Setelah selesai seharusnya file public key sudah tersedia di ~/.ssh/id_ed25519.pub

$ cat ~/.ssh/id_ed25519.pub

akan muncul baris teks kode acak dengan awalan SSH-ed25519

• Salin file id_ed25519.pub ke VPS

$ ssh-copy-id -i ~/.ssh/id_ed25519.pub poes@oyenBSD

ikuti prompt dan proses yang muncul seperti minta password login ke SSH.

    $ cat ~/.ssh/id_ed25519
    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCDSbxBaKblxIjY+ugSUoE51/bd
    OMp2mo7f4S+11PQvSeKqzrgtHFmbccA5fabkRWXv0mEGEscHm/dDNpapZCAJEdM4
    WPsfeqxv+dZvcPI++L+kkIJU9VdvYlmpUWyXX1+RMqOOSlflv8S6dLHiakgpGNqq
    O7YxmjM3ucnqHKobjQIDAQAB
    -----END PUBLIC KEY-----
    

2. Menolak root login lewat SSH. Para penyerang biasanya akan memakai username root untuk melakukan serangan, jadi membatasi akses root untuk login ke SSH adalah pilihan yang tepat. Caranya adalah dengan mengubah konfigurasi sshd_config.

   $ doas vim /etc/ssh/sshd_config
   ---
   PermitRootLogin no
   PasswordAuthentication no
   PubkeyAuthentication yes
   PermitEmptyPasswords no
   KbdInteractiveAuthentication no
   ---
   

   Di sshd_config.conf cari baris konfigurasi di atas, hilangkan tanda # atau komentar, kemudian sesuaikan isinya seperti baris - baris di atas. Penjelasannya sebagai berikut:

Kemudian restart SSH dengan $ doas service sshd restart dan coba login ke SSH lagi. Seharusnya prompt yang muncul adalah password dari file id_ed25519.pub yang sebelumnya ane buat.

shell-session ➜ ~ ssh poes@oyenBSD Enter passphrase for key '/Users/poes/.ssh/id_ed25519':

masukkan password yang dibuat sebelumnya.

3. Pakai rate limit untuk membatasi jumlah akses. Mengatur rate limiting akan membuat firewall mencegah serangan brute force attack dengan membatasi jumlah koneksi pada port SSH dalam kurun waktu tertentu. Untuk ini PF bisa menghandlenya dengan baik.

   Jika Blocklistd akan memblok akses jika dalam beberapa kali percobaan gagal login dengan sukses di SSH, maka PF akan memblok akses bahkan sebelum percobaan login terjadi. Maka rubah bagaimana PF mengatur akses ke SSH

   $ doas vim /etc/pf.conf
   pass in on $ext_if proto tcp from any to any port 22 /
   flags S/SA keep state (max-src-conn 10, max-src-conn-rate 5/60)
   $ doas pfctl -nf /etc/pf.conf
   $ doas pfctl -f /etc/pf.conf
   

   Perintah ini akan membuat PF memeriksa jumlah akses secara bersamaan dan mencoba akses ke SSH dengan maksimal 5 percobaan dalam semenit (60 detik). Jika percobaan (biasanya oleh bot) itu lebih dari 5 kali dalam semenit maka PF akan mengabaikan koneksi ini.

   Digabungkan dengan Blocklistd maka PF akan menolak akses dari IP yang mencoba akses lebih dari 5 kali dalam kurun satu menit, jika tidak maka akan muncul prompt login SSH. Jika gagal login sebanyak 3x karena salah password, maka Blocklistd akan memblokir aksesnya dalam jangka waktu yang sudah ditentukan (misalnya 100 hari).

Daftar Isi

1. Persiapan
2. Build
   • Backend
   • Frontend
3. Caddy Reverse Proxy
   • Konfigurasi lanjutan
   • Linux

Artikel ini berisi catatan ane saat memasang Ente di FreeBSD. Sejujurnya memasang Ente adalah proses self host app yang sangat rumit dan menjengkelkan yang pernah ane rasakan, hingga saat ini. Jadi tujuan catatan ini dibuat menjadi sangat jelas agar ane (atau ente atau elu) tidak menjadi pusing dan jengkel seperti ane sebelum ini.

Ente adalah aplikasi backup foto seperti Google Photos atau iCloud Photos, dia punya banyak fitur keren (dan overkill untuk ukuran aplikasi Photos) seperti end to end encryption, open source, cross platform, face recognition, zero knowledge AI, tanpa iklan, tanpa AI, tanpa tracking, dan bahkan 2FA Authenticator di dalamnya.

Ane akan fokus pada fungsi Ente untuk penyimpanan Photos, jadi berikut catatan yang sudah ane kumpulkan dari pengalaman memasang Ente (yang menjengkelkan itu). Ente sudah memberikan dokumentasi untuk self host tanpa Docker, per hari ini sudah banyak perbaikan atas dokumentasi ini namun 3 bulan yang lalu kacau isinya.

Persiapan #

Ente sudah menyediakan binary yang bisa langsung dipasang, sayangnya tidak untuk FreeBSD. Oleh karena itu ane perlu mem-build sendiri binary tersebut. Untuk melakukan itu ada beberapa aplikasi dan pustaka yang perlu dipasang terlebih dahulu.

1. Go. Mutlak diperlukan karena Ente dibuat dengan Go, tambahkan pkgconf untuk handling dependencies. Ane nanti perlu pull data dari repo Ente di Github jadi butuh Git. Untuk reverse proxy ane akan pakai Caddy.

   $ doas pkg update
   $ doas pkg install go124 pkgconf git-lite caddy
   

2. Postgresql. Ente pakai postgresql untuk database-nya, juga minta libsodium untuk enkripsi E2E. Karena ane sudah ada postgresql di jail yang lain, jadi ane cukup pasang libsodium. Tapi, oke baiklah mari kita anggap tidak ada postgres.

   $ doas pkg install libsodium postgresql18-server
   

   Kemudian buat database postgresql, sebelum itu aktifkan postgresql, inisialisasi postgres ,dan jalankan daemonnya dulu

   $ doas sysrc postgresql_enable="YES"
   $ doas /usr/local/etc/rc.d/postgresql initdb
   $ doas service postgresql start
   

   Pastikan bahwa postgresql sudah berjalan dengan baik

   $ doas service postgresql status
   status postgresql
   pg_ctl: server is running (PID: 66771)
   /usr/local/bin/postgres "-D" "/data/postgres/data18"
   
   $ doas sockstat -4 | grep 5432
   postgres postgres   88698  9 tcp4  10.0.0.3:5432         10.0.0.4:13701
   postgres postgres   88682  9 tcp4  10.0.0.3:5432         10.0.0.4:62644
   postgres postgres   88662  9 tcp4  10.0.0.3:5432         10.0.0.4:58171
   postgres postgres   66771  6 tcp4  10.0.0.3:5432         *:*
   

   Setelah postgres benar - benar berjalan, ganti password untuk user default postgresql yaitu postgres

   $ doas passwd postgres
   

   Buat user dan database untuk Ente, kemudian atur agar database tersebut menjadi milik user yang dibuat.

   $ su - postgres
   $ CREATEUSER ente-admin
   $ CREATEDB ente-db -O ente-admin
   

   Atur password untuk ente-admin dan beri semua privilleges untuknya.

   $ psql ente-db
   ente-db=# ALTER ROLE ADMIN WITH ENCRYPTED PASSWORD 'entebahlul';
   ente-db=# GRANT ALL PRIVILLEGES ON DATABASE ente-db TO ente-admin;
   ente-db=# exit
   $ exit
   $ doas service postgresql restart
   

   Asumsi postgresql dan Ente akan berjalan di localhost, maka ane tidak perlu mengubah pengaturan untuk akses jaringan di postgresql.conf dan pg_hba.conf. Namun jika postgresql jalan di jaringan atau jail yang lain, maka perlu merubah pengaturan.

   # vim /data/db/postgres/data18/postgresql.conf
   listen_addresses = '*'
   

   merubah isian listen_addresses ke * membuat postgresql akan menerima koneksi dari luar jail. Kemudian di file pg_hba.conf ditambahkan isian sebagai berikut

   # vim /data/db/postgres/data18/pg_hba.conf
   	host    ente_db      all     10.0.0.3/32         trust
   	host    ente_db      all     10.0.0.0/24         trust
   

   dimana 10.0.0.3 adalah IP dari Ente.

3. NodeJS, diperlukan untuk build frontend. Sebenarnya ane ga butuh untuk build frontend di FreeBSD, namun siapa tahu ada masalah ane tetap install saja.

$ doas pkg install node24 yarn-node24

4. Storage alias penyimpanan. Ane sudah punya Garage S3 yang berjalan di dalam jail dan sudah menulis tentang cara pasang dan pengaturannya.

Build #

Ente memiliki 2 jenis servis yaitu backend dan frontend, oleh karena itu perlu untuk melakukan build secara terpisah. Backendnya sendiri dibangun dengan Go dan akan menghasilkan file binary, sedangkan frontendnya dibangun dengan NextJS.

Backend #

Setelah semua persiapan selesai, saatnya melakukan build Ente server. Unduh repo Ente terlebih dahulu dengan git dan kemudian build.

$ git clone https://github.com/ente-io/ente.git
$ cd ente/server
$ go124 mod tidy
$ go124 build cmd/museum/main.go

Perintah go124 mod tidy digunakan untuk mengunduh semua dependencies dan perintah go124 build untuk memulai melakukan build dengan hasil file main yang sudah memiliki atribut execute.

Saat file main dijalankan akan muncul error bahwa dia membutuhkan file konfigurasi bernama museum.yaml. Jadi salin file tersebut dari folder example atau bikin sendiri kosongan.

$ cp config/example.yaml ./museum.yaml

Agar bisa berjalan saja untuk sementara ane isi dengan konfigurasi database dan bucket S3. Contohnya seperti ini

db:
  host: 10.0.0.3
  port: 5432
  sslmode: disable
  name: ente-db
  user: ente-user
  password: entebahlul

s3:
  are_local_buckets: false
  use_path_style_urls: true
  b2-eu-cen:
    key: W3wNV6XRh1YJ8arQKBoongNqGhQ
    secret: FakeLIpA3l0VjttIiHaZgdMXF4ujQOYTyBtztpSy7w0yD2qzphOQwRtvj
    endpoint: s3.taa.ee
    region: us-east-1
    bucket: ente-bucket

khusus untuk s3, karena ane pakai local atau selfhost maka nilai are_local_buckets: false karena ane pakai endpoint url. Ane sudah coba kasih true tapi tak pernah bisa tersambung dengan baik. b2-eu-cen adalah key yang harus dipakai jika pakai s3 selfhost atau AWS Compatible s3.

Kemudian jalankan ./main secara defaultnya akan mencari file museum.yaml sebagai konfigurasi utama atau kasih flags --config path jika memakai nama yang lain. Ente akan berjalan di http://localhost:8080.

# cd ente/server
# ./main --config /root/ente/server/museum.yaml

#!/bin/sh
 # PROVIDE: ente
 # REQUIRE: networking postgresql
 # KEYWORD: shutdown
 . /etc/rc.subr
 
 name="ente"
 rcvar="ente_enable"
 desc="Ente Photos Server"
 
 ente_dir="/root/ente/server"
 ente_bin="${ente_dir}/main"
 ente_config="${ente_dir}/museum.yaml"
 ente_log="/var/log/ente.log"
 ente_pid="/var/run/ente.pid"
 
 load_rc_config $name
 : ${ente_enable:=NO}
 
 command="${ente_bin}"
 command_args="--config ${ente_config}"
 start_cmd="ente_start"
 stop_cmd="ente_stop"
 status_cmd="ente_status"
 
 ente_start() {
     echo "Starting ${name}..."
     # PAKSA CWD = folder ente
     cd "${ente_dir}" || { echo "Failed to cd to ${ente_dir}"; exit 1; }
     nohup ${command} ${command_args} > ${ente_log} 2>&1 &
     echo $! > ${ente_pid}
     echo "${name} started (PID: $!)"
 }
 ente_stop() {
     echo "Stopping ${name}..."
     if [ -f "${ente_pid}" ]; then
         kill $(cat ${ente_pid}) 2>/dev/null && rm -f ${ente_pid}
         echo "${name} stopped."
     fi
 }
 ente_status() {
     if [ -f "${ente_pid}" ]; then
         pid=$(cat ${ente_pid})
         if kill -0 $pid 2>/dev/null; then
             echo "${name} is running (PID: $pid)"
         else
             echo "${name} not running (stale PID)"
         fi
     else
         echo "${name} is not running."
     fi
 }
 run_rc_command "$1"
 

Jika ada rencana untuk memakai email sebagai alat komunikasi dan verifikasi, ada baiknya untuk mengatur JWT (JSON Web Token) yang bisa dibuat dengan perintah

$ cd ente/server
$ go124 run tools/gen-random-keys/main.go

Kemudian simpan hasilnya di file museum.yaml di bawah pengaturan sebelumnya. Karena ane hanya single user maka ane tak perlu pengaturan ini, resikonya adalah OTP tidak akan dikirim ke email, melainkan harus melihat di console. (Lihat contoh dibawah)

Setelah backend sudah selesai dibuild selanjutnya adalah build ente-cli yang nantinya sangat penting untuk melakukan tweaks akun Ente.

$ cd ente/cli
$ go124 build -o "bin/ente-cli" main.go

perintah ini akan menghasilkan file ente-cli di dalam folder bin. Agar bisa dipergunakan yang harus dilakukan adalah menentukan konfigurasi, ente-cli membutuhkan file config.yaml di folder .ente di home directory.

$ cd ~
$ mkdir .ente
$ touch config.yaml
endpoint:
	api: http://localhost:8080
$ mkdir secrets

elu bisa pakai nilai http://localhost:8080 atau langsung domain (tapi harus set di Caddy dulu). Juga harus membuat folder secrets yang dipergunakan ente-cli untuk menyimpan secrets auth.

Untuk sementara sampai disini build backend (server dan cli), selanjutnya adalah build frontend.

Frontend #

Ane tidak melakukan build frontend di FreeBSD karena NextJS tidak bisa berjalan lancar di sini, memang bisa diakali dengan mengikuti banyak sekali build library dari source tapi tidak worth it untuk dilakukan. NextJS adalah aplikasi web dan dia tidak butuh harus dibuild di FreeBSD (framework agnostic), jadi ane akan build di Macos karena lebih mudah.

Di Macos tentu harus pasang Node, npm, dan yarn semua diselesaikan oleh Homebrew.

$ git clone https://github.com/ente-io/ente.git
$ cd ente/web
$ yarn install

Tunggu sampai selesai, setelah itu ane bisa saja mengatur environment variables tapi tidak ane lakukan karena memang mau buat Ente Photos lebih aman dengan mengetik langsung endpoint-nya saat login.

Frontend bisa dibuild dengan yarn (ane hanya build accounts, photos saja ga butuh yang lainnya) caranya sebagai berikut

$ yarn build
$ yarn build:accounts

kedua perintah di atas akan membuild frontends dan hasilnya bisa dilihat di folder out di bawah apps/photos/ dan apps/accounts/ . Untuk mempermudah maka ane kumpulkan folder out tadi ke satu folder khusus dengan nama ente-www.

$ cp -R ente/web/apps/photos/out ~/ente-www/photos
$ cp -R ente/web/apps/accounts/out ~/ente-www/accounts

Caddy Reverse Proxy #

Untuk ini ane sudah siapkan domain, sebut saja photos.taa.ee. Langsung saja edit file konfigurasi Caddy dan tambahkan rules baru.

$ doas vim /usr/local/etc/caddy/Caddyfile
photos.taa.ee {
	root * /home/tae/ente-www/photos
	file_server try_files {path} {path}.html /index.html
	}

ente.taa.ee {
	reverse_proxy http://127.0.0.1:8080
	}

$ doas caddy validate /usr/local/etc/caddy/Caddyfile
$ doas service caddy restart

Jika tidak ada masalah seharusnya Ente sudah bisa diakses dengan membuka photos.taa.ee. Di tampilan awal Ente, klik 7x di gambar brankas dan ketik alamat dari ente server yaitu ente.taa.ee. Kemudian klik pada tautan Don’t have an account untuk mendaftar.

Karena ane tidak setup email (SMTP dll termasuk JWT), maka verifikasi akun tidak bisa dilakukan melalui email. Jadi kembali ke console dan lihat log dari main dan cari baris seperti ini

Skipping sending email to poes@taa.ee: Verification code: 946197

Masukkan kode verifikasi 946197 dan voila bisa langsung masuk ke dalam Ente Photos.

Konfigurasi lanjutan #

Semua perubahan di museum.yaml harus diikuti dengan restart main agar Ente mempergunakan konfigurasi yang baru dirubah.

1. Closed, tidak menerima pendaftaran. Instance Ente ini ane pergunakan pribadi sehingga ane tidak perlu menerima pendaftaran, oleh karena itu ane masukkan key berikut di museum.yaml

internal:
	disable-registration: true

2. Jadi Admin. Ini penting karena menjadi admin bisa melakukan pengaturan secara maksimal. Untuk menjadi admin ada beberapa langkah yang harus dilakukan yaitu mencari user_id di dalam database postgres dan masukkan ke dalam museum.yaml.

$ psql -U ente-user -d ente-db
ente-db=# SELECT * FROM users;

Catat user_id, misalnya 1580567352375231 kemudian edit file museum.yaml

internal:
	disable-registration: true
	admins:
		- 1580567352375231

3. Upgrade storage. Meski selfhost, defaultnya Ente akan memberikan storage maksimal 10GB pada setiap user, agar bisa memaksimalkan storage ada 2 cara yaitu edit database atau pakai ente-cli.

Agar bisa mempergunakan ente-cli maka akun ane harus sudah menjadi admin. Kemudian jalankan ente-cli.

$ cd ente/cli/bin
$ ./ente-cli admin update-subscription -u poes@taa.ee --no-limit True

perintah ini akan membuat user poes@taa.ee akan memiliki storage sebesar 100TB yang akan expired di 100 tahun kemudian.

Namun jika lebih nyaman dengan SQL, bisa dicoba cara berikut:

$ psql -U ente-user -d ente-db
$ UPDATE subscriptions SET storage = 107374182400 WHERE user_id = 1580567352375231;

Mempergunakan cara ini lebih beresiko database rusak sehingga ane pilih memakai ente-cli.

Sebelum

Sesudah

4. Update CORS. Ane pakai Garage S3 (AWS Compatible), entah mengapa selalu gagal saat upload media melalui Ente. Dari web console errornya adalah masalah CORS Origin. Jadi ane perlu benerin bucket dengan mengupdate CORS. Buat file dengan nama misalnya cors.json

   {
     "CORSRules": [
       {
         "AllowedOrigins": ["*"],
         "AllowedHeaders": ["*"],
         "AllowedMethods": ["GET", "HEAD", "POST", "PUT", "DELETE"],
         "MaxAgeSeconds": 3000,
         "ExposeHeaders": ["Etag"]
       }
     ]
   }
   

Kemudian dengan aws-cli update bucket policy.

 $ doas pkg install -y py-awscli
 $ aws configure
 AWS Access Key ID [None]: W3wNV6XRh1YJ8arQKBoongNqGhQ
 AWS Secret access key [None]: FakeLIpA3l0VjttIiHaZgdMXF4ujQOYTyBtztpSy7w0yD2qzphOQwRtvj
 Default Region name [None]: us-east-1
 Default output format [None]: JSON

$ aws s3api put-bucket-cors \
--endpoint s3.taa.ee \
--bucket ente-bucket \
--cors-configuration file://home/poes/cors.json

5. Ente Desktop Meski ada web GUI, memasang Ente Desktop app adalah pilihan yang lebih baik karena pengalaman ane saat pakai web gui sebagian besar media (terutama video) yang ane unggah tidak bisa digenerate thumbnailnya atau frame pertama muncul warna gelap/hitam. Namun masalah ini tidak terjadi saat ane pakai Ente Desktop app.

Untuk memasang tinggal unduh saja aplikasinya di halaman Ente Desktop atau untuk versi termutakhir bisa lewat Repo Github Ente Desktop. Satu - satunya kelemahan yang ane ga suka adalah Ente Desktop app dibangun dengan electron 👎🏾.

Linux #

Khusus untuk yang ingin mudah hidupnya, gunakan Linux karena Ente bisa diinstall hanya dengan 1 baris perintah. Apa itu adek - adek?

$ sh -c "$(curl -fsSL https://raw.githubusercontent.com/ente-io/ente/main/server/quickstart.sh)"

Setelah semua selesai Ente akan tersedia di http://localhost:3000. Linux itu mudah bukan? bukan.

Oleh karena itu penting bagi ane untuk rutin melakukan backup database (dan data penting lainnya) untuk berjaga - jaga jika suatu hari ada masalah. Backup database yang ane restore tersebut ane backup di host (postgresql di jail), syukur Alhamdulillah tapi model backup seperti ini tak aman. Karena jika ane membuat kesalahan lagi dan host error/rusak maka otomatis backup tidak akan bisa ane akses. Maka memiliki backup di tempat berbeda (cloud storage) menjadi sebuah kewajiban yang tidak bisa ane hindari.

Namun ane ga mau keluarkan uang untuk sewa cloud storage, jadi ane pilih beberapa layanan backup dan cloud storage gratisan yang bisa dipakai. Salah duanya adalah Borgbase dan Koofr. Keduanya memberikan storage gratis sebesar 10GB per user dan itu sudah cukup untuk membackup database yang ane miliki, apalagi nantinya ane akan pakai tool backup yang mendukung deduplikasi. Dalam hal ini ane akan memakai Restic karena tool ini yang mendukung proses backup ke Borgbase maupun Koofr.

Di FreeBSD restic dan rclone sudah tersedia di dalam repo sehingga tak perlu build manual atau lewat Freshports¹

$ doas pkg install -y restic rclone

Borgbase #

Ane mendaftar untuk trial (lifetime) dan mendapatkan 10GB storage dengan batasan hanya bisa dipakai untuk 2 repositori/repo saja. Setelah login ane bikin repo baru dengan nama “VaultWarden” karena akan dipakai untuk backup database SQLite Vaultwarden.

Di tab Basic, ane pilih Repo Region ke EU. Alasannya? karena EU biasanya lebih cepat diakses dari Indonesia dan karena sentimen politik saja. Untuk Repo Format ada 2 pilihan yaitu memakai Borg dan Restic. Borg adalah tool backup yang juga dibuat oleh Borgbase, namun disini ane akan pakai Restic. Ane abaikan tab Access dan Monitoring, tapi di tab Advanced ane aktifkan Enable Storage Limit ke 5GB (sisanya untuk repo kedua).

Borg akan memberikan URL restic repo, yang ini harus disimpan karena nantinya akan dipakai untuk restic mengakses repo. Formatnya biasanya seperti ini:

rest:https://trkhdakh06:akljhkldjav@trp54607.repo.borgbase.com

Di local atau di VPS ane kemudian melakukan inisialisasi restic repo, namun yang pertama kali dilakukan adalah memastikan URL restic repo tersedia secara global². Maka di file ~/.profile perlu ane tambahkan baris berikut:

export RESTIC_REPOSITORY="rest:https://trkhdakh06:akljhkldjav@trp54607.repo.borgbase.com"

kemudian refresh shell profile dengan perintah . ~/.profile atau logout dari session dan login kembali. Setelah itu jalankan inisialisasi restic repo dengan perintah:

$ doas restic init

Restic akan meminta password (2 kali), password ini akan dipergunakan restic untuk mengakses repo. Begitu inisialisasi selesai maka repo sudah siap dipergunakan. Untuk memulai backup bisa dengan perintah berikut:

$ doas restic backup /path/ke/data_backup

Untuk melihat status backup bisa dengan perintah:

$ doas restic snapshots
repository c4brutd5 opened (version 2, compression level auto)
ID        Time                 Host        Tags        Paths                            Size
-------------------------------------------------------------------------------------------------
7f3ffd40  2025-12-19 02:01:13  pribsd                  /usr/local/www/vaultwarden/data  5.441 MiB
4fbca2f9  2025-12-20 02:00:34  pribsd                  /usr/local/www/vaultwarden/data  5.504 MiB
25tgeb19  2025-12-21 02:00:20  pribsd                  /usr/local/www/vaultwarden/data  5.945 MiB
-------------------------------------------------------------------------------------------------
3 snapshots

Koofr #

Pada dasarnya cara backup ke Koofr sama saja dengan Borgbase namun Koofr tidak bisa diakses langsung melalui restic, disini rclone tampil sebagai jembatan.

+-----------------------------------+        +------------+
| FreeBSD Host                      |        |            |
|                                   |        |            |
|  +----------+       +----------+  | https  |    Koofr   |
|  |  Restic  |------>|  Rclone  |---------->|   Storage  |
|  +----------+       +----------+  |        |            |
|                                   |        |            |
+-----------------------------------+        +------------+

Namun agar bisa diakses dengan rclone, Koofr perlu membuat semacam password khusus. Caranya adalah login ke dalam Koofr kemudian masuk ke Preferences dan buka halaman Password. Gulir ke bawah dan temukan App Passwords, bikin nama app dan kemudian klik tombol Generate. Catat password acak yang dibuat oleh Koofr karena akan dipakai untuk akses rclone.

Di local atau VPS, setup rclone dengan perintah rclone config dan isian seperti berikut:

Jika data yang dimasukkan benar, maka tes koneksi dengan perintah rclone lsd koofr: maka akan muncul daftar folder yang ada di dalam Koofr ane.

# rclone lsd koofr:
         -1 2000-01-01 07:00:00        -1 My documents
         -1 2000-01-01 07:00:00        -1 Vaultwarden

Rclone sudah selesai saatnya mengatur restic. Seperti di Borgbase maka di ~/.profile rubah menjadi

export RESTIC_REPOSITORY=rclone:koofr:Vaultwarden

restic backup -r $RESTIC_KOOFR /path/ke/backup_data

Selesai, kemudian tinggal melakukan backup dengan perintah seperti sebelumnya di Borgbase. Keren!. Level selanjutnya adalah automatisasi dengan shell script dan cronjob, tapi ane ga akan bahas disini karena itu hanyalah rangkuman command di atas.

Update #

Oke - oke berikut contoh shell script sederhana untuk backup data ke Koofr dan Borg.

#!/bin/sh

SERVICE=vaultwarden
DATA=/usr/local/www/vaultwarden/data

# Restic config
export RESTIC_PASSWORD='passwordku-yang-sangat-panjang'
export RESTIC_BORG='rest:https://um7lty27:bo1oY8i83GV2pgKG@um7lty27.repo.borgbase.com'
export RESTIC_KOOFR='rclone:koofr:Vaultwarden'

# Masih running?
if pgrep -f $SERVICE >/dev/null; then
        echo "$SERVICE: masih berjalan"
        echo "Mematikan $SERVICE"
        service $SERVICE stop
        echo "Service $SERVICE sudah berhenti."
else
        echo "$SERVICE: sudah berhenti"
fi


sleep 5
echo "Restic: memulai backup data..."
echo "Restic: backup data ke Koofr"
restic backup $DATA -r $RESTIC_KOOFR
sleep 3
echo "Restic: backup data ke Borg"
restic backup $DATA -r $RESTIC_BORG
sleep 3
echo "Restic: backup data selesai."
sleep 5

# Prune : hapus snapshot lama biar storage ga penuh
echo "Restic: cleaning snapshot lama"
restic forget --keep-last 7 --prune -r $RESTIC_KOOFR
sleep 3
restic forget --keep-last 7 --prune -r $RESTIC_BORG
echo "Restic: cleaning snapshot lama selesai."
sleep 5

#start service
echo "$SERVICE: memulai service..."
service $SERVICE start
echo "$SERVICE: service sudah berjalan."

Simpan sebagai misalnya restic_warden.sh di /usr/local/bin/restic_warden.sh dan kemudian beri atribut agar bisa dijalankan dengan

$ doas chmod +x /usr/local/bin/restic_warden.sh

Untuk automatisasi bisa memanfaatkan cronjob, rencananya ane akan backup setiap hari pada pukul 02.00 WIB dan setiap kegiatan akan di-log di /var/log/restic_warden.log.

$ doas crontab -e
0 2 * * * /usr/local/bin/restic_warden.sh > /var/log/restic_warden.log 2>&1

Demikian cara untuk melakukan backup data dengan mempergunakan tools restic dan rclone di FreeBSD, caranya mudah dan efektif. Restic sudah memiliki fitur untuk melakukan enkripsi data sehingga terjamin keamanannya dan tidak perlu memakai aplikasi pihak ketiga seperti age.

Meski akan sangat kuat jika disandingkan dengan age, namun hal ini akan menghilangkan kemampuan restic untuk deduplikasi data. Sedangkan rclone ini adalah tool yang sangat powerfull untuk akses data dan bahkan bisa menjadi server webdav sendiri secara built-in. Dia semacam swiss army knife untuk akses data kemana saja. Menggabungkan restic dan rclone menjadi salah satu solusi prima untuk operasi backup data di FreeBSD.

Maka ane perlu memasang tools ini untuk disandingkan dengan Wireguard yang sebelumnya sudah dipasang. Selain sebagai DNS Resolver nantinya ane akan pasang ads blocker juga untuk menghalau iklan dan menghemat bandwitdh.

Memasang Unbound #

Karena sudah tersedia di base maka tinggal diperiksa apakah Unbound sudah berjalan atau belum. Jika fresh install atau default OpenBSD akan pakai Unwind sebagai DNS Resolver, Unwind ini mirip Unbound tapi lebih sederhana namun tidak bisa disandingkan dengan Wireguard secara langsung karena secara default hanya LISTEN di localhost saja. Jika Unwind berjalan sebagai DNS Resolver, seharusnya Unbound tidak akan berjalan demikian pula sebaliknya. Cek apakah Unwind sudah jalan, jika iya harus dimatikan.

$ doas rcctl check unwind
unwind(ok)
$ doas stop unwind && doas disable unwind
unwind (failed)

Kemudian jalankan Unbound

$ doas rcctl check unbound
unbound (failed)
$ doas rcctl enable unbound
unbound (ok)
$ doas rcctl start unbound
unbound (ok)

Cek nameserver yang dipakai #

Seperti keluarga NIX lainnya, OpenBSD juga pakai /etc/resolv.conf sebagai DNS Resolution.

$ cat /etc/resolv.conf
nameserver 127.0.0.1
nameserver 8.8.8.8 # resolvd: vio0
nameserver 9.9.9.9 # resolvd: vio0
lookup file bind

Jika nameserver 127.0.0.1 sudah ada di dalam file /etc/resolv.conf maka sebenarnya sudah siap untuk memanfaatkan Unbound (atau Unwind) namun jika tidak ada maka harus mengatur secara manual file ini (menambahkan entry ke dalam file ini).

Untuk # resolvd: vio0 menandakan bahwa baris entry tersebut ditulis oleh resolvd, hal ini bisa menyebabkan konflik karena resolvd lebih mengutamakan Unwind. Untuk itu daemon ini harus di-disable karena dhclient sebagai pengelola file /etc/resolv.conf kemungkinan akan menulis ulang file ini ketika selesai di-edit sehingga file /etc/resolv.conf akan balik ke default.

$ doas rcctl check resolvd
resolvd(ok)
$ doas rcctl stop resolvd && doas rcctl disable resolvd
resolv (failed)

Dalam banyak kasus yang ane temukan, nameserver 127.0.0.1 tidak ada di dalam file /etc/resolv.conf karena di-overwrite oleh dhclient dan biasanya tidak bisa di-edit bahkan dengan akun root sekalipun. Namun kadang kala masih bisa dirubah ditambahkan entry-nya dengan cara ini

$ doas echo 'nameserver 127.0.0.1' > /etc/resolv.conf

secepatnya setelah perintah ini, beri status imuttable ke file ini agar dhclient ga bisa balikin isinya ke semula (jika dhclient tidak boleh dinonaktifkan karena dipakai untuk mendapatkan IP dari DHCP Server).

$ doas chflags schg /etc/resolv.conf

   
      $ doas vim /etc/dhclient.conf
      prepend domain-name-servers 127.0.0.1;
      

Konfigurasi Unbound #

Default-nya konfigurasi Unbound terletak di /var/unbound/etc/unbound.conf, konfigurasi minimalis yang bisa dipakai untuk mengawali adalah sebagai berikut

$ doas vim /var/unbound/etc/unbound.conf

server:
    verbosity: 1
    interface: 127.0.0.1
    interface: 10.0.0.1                # IP server Wireguard
    access-control: 127.0.0.0/8 allow
    access-control: 10.0.0.0/24 allow. # IP range Wireguard
    cache-max-ttl: 86400
    cache-min-ttl: 3600
    hide-identity: yes
    hide-version: yes
    harden-glue: yes
    harden-dnssec-stripped: yes
    auto-trust-anchor-file: "/var/unbound/db/root.key"
    prefetch: yes

forward-zone:
    name: "."
    forward-tls-upstream: yes
    forward-addr: 1.1.1.1@853         # Cloudflare DNS over TLS
    forward-addr: 9.9.9.9@853         # Quad9 DNS over TLS

Di bagian interface: 10.0.0.1 perlu ditambahkan agar IP server dari Wireguard bisa dijadikan sebagai IP DNS resolver selain 127.0.0.1 (ini adalah kelebihan dari Unbound yang tidak bisa/dimiliki oleh Unwind). Sekalian ane tambahkan access-control: 10.0.0.0/24 allow untuk megijinkan semua IP di dalam Wireguard memanfaatkan Unbound.

simpan file ini dan kemudian reload unbound

$ doas rcctl reload unbound
unbound (ok)

jika hasilnya failed, cek ulang konfigurasi unbound.conf dengan perintah

$ doas unbound-checkconf
unbound-checkconf: no errors in /var/unbound/etc/unbound.conf

Percobaan #

Waktunya untuk mencoba!.

$ dig kusaeni.com
; <<>> dig 9.10.8-P1 <<>> kusaeni.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34850
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;kusaeni.com.                   IN      A

;; ANSWER SECTION:
kusaeni.com.            12014   IN      A       34.120.54.55

;; Query time: 17 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Dec 07 13:22:42 WIB 2025
;; MSG SIZE  rcvd: 56

Alhamdulillah Unbound sudah berjalan, bisa dicek di baris ;; SERVER: 127.0.0.1#53(127.0.0.1) dimana resolver sekarang memakain IP 127.0.0.1 sebagai DNS resolver utama.

Kemudian ane sambungkan MacOS (wireguard klien) ke server namun sebelum itu ane rubah pengaturan DNS di Wireguard agar mengarah ke 10.0.0.1 yaitu DNS server Wireguard.

di terminal (client/macos) dicoba untuk tes resolver

➜  ~ dig kusaeni.com

; <<>> DiG 9.10.6 <<>> kusaeni.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;kusaeni.com.                   IN      A

;; ANSWER SECTION:
kusaeni.com.            11880   IN      A       34.120.54.55

;; Query time: 171 msec
;; SERVER: 10.0.0.1#53(10.0.0.1)
;; WHEN: Sun Dec 07 13:24:56 WIB 2025
;; MSG SIZE  rcvd: 56

Terlihat bahwa klien sudah mempergunakan IP dari server Wireguard sebagai resolvers.

Block Ads/iklan #

Jutaan orang tau kalo browsing di internet itu sering banget diganggu dengan iklan yang bejibun, untuk itu orang sering pakai µBlock Origin untuk menghalau iklan. Powerfull namun sayangnya hanya tersedia di browser tidak system wide. Unbound bisa bantu untuk masalah yang terakhir ini, karena blocking berada di sisi DNS maka efeknya akan system wide alias global selama pakai DNS tersebut. Caranya seperti ini

Unduh dulu daftar URL iklan yang sudah dikurasi oleh orang - orang, ane pakai dari Steven Black.

$ doas mkdir -p /var/unbound/etc/include
$ doas wget https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts -O /tmp/adblock-hosts

karena daftar di dalam file adblock-hosts ini formatnya berbeda dengan format yang dipakai oleh Unbound maka perlu merubah format tersebut, bisa pakai shell script seperti di bawah ini

#!/bin/bash
BLOCKLIST="/tmp/adblock-hosts"
CONFIG="/var/unbound/etc/include/adblock.conf"

# Extract domains (skip localhost/0.0.0.0 lines, sort/unique)
grep '^0\.0\.0\.0' "$BLOCKLIST" | awk '{print $2}' | grep -v 'localhost' | sort -u > /tmp/domains.txt

# Generate Unbound config
echo "# Auto-generated adblock list" > "$CONFIG"
echo "server:" >> "$CONFIG"
while read -r domain; do
    echo "    local-zone: \"$domain\" refuse" >> "$CONFIG"
done < /tmp/domains.txt

rm /tmp/domains.txt
echo "Adblock config updated: $(wc -l < "$CONFIG") entries"

kemudian simpan dengan nama misalnya convert-adsblock.sh (taruh dimana saja, kalo ane di ~/.local/bin) dan rubah ijin file supaya bisa dijalankan chmod +x convert-adsblock.sh kemudian jalankan dengan perintah ./convert-adsblock.sh. Tunggu sampai selesai.

Agar bisa dibaca oleh Unbound, ane rubah konfigurasi unbound.conf dan menyisipkan baris include: "/etc/unbound/adblock.conf" di blok server sehingga hasilnya seperti ini

server:
    verbosity: 1
    interface: 127.0.0.1
    interface: 10.0.0.1                # IP server Wireguard
    access-control: 127.0.0.0/8 allow
    access-control: 10.0.0.0/24 allow. # IP range Wireguard
    cache-max-ttl: 86400
    cache-min-ttl: 3600
    hide-identity: yes
    hide-version: yes
    harden-glue: yes
    harden-dnssec-stripped: yes
    auto-trust-anchor-file: "/var/unbound/db/root.key"
    prefetch: yes
    include: "/var/unbound/etc/include/adblock.conf"`

simpan dan jalankan lagi unbound-checkconf untuk mengvalidasi konfigurasi. Jika tidak ada masalah, reload Unbound dan test dengan mengunjungi situs seperti detik.com yang banyak iklannya itu dan cek apakah iklan - iklannya sudah hilang atau berkurang. Ya berkurang karena ada beberapa iklan yang di-host di internal situs sehingga tidak terdeteksi oleh Unbound. Tapi ini wajar, karena jika terdeteksi di dalam adblock maka bisa saja malah situs tersebut yang tidak akan bisa dibuka karena akan diblok oleh Unbound. Ga masalah karena 99% iklan pasti akan terfilter oleh Adsblok dan Unbound.

Contoh lain adalah ada situs yang pakai banner iklan dan banner tersebut disimpan di blogspot.com/blogger.com, sehingga pasti akan tetap muncul kecuali domain blogspot.com/blogger.com diblok. Resikonya maka domain tersebut tidak akan bisa dibuka lagi. Maka disini µBlock Origin bisa bermanfaat untuk memblok elemen tertentu tanpa memblok domain.

Daftar Isi

1. Setup Wireguard di VPS
   • Buat key
   • Buat konfigurasi untuk Wireguard
2. Wireguard Client di macos
3. Finishing WireGuard di VPS
   • Killswitch
   • Dengan aplikasi

Tutorial ini juga bisa diterapkan di FreeBSD, perbedaannya hanya penggunaan package manager untuk memasang paket - paket yang dibutuhkan saja.

Jika di OpenBSD mempergunakan pkg_add maka di FreeBSD memakai pkg.

Kata orang - orang kalo pakai BSD paling gampang di OpenBSD karena Wireguard sudah ada di dalam base, oke karena memang sudah diinstall OpenBSD bisa langsung lanjut. Akan tetapi, ternyata itu bohong. Semua sama saja, harus mulai dari nol (kayak di BSD lainnya). Mau gimana lagi nasi sudah jadi krupuk maka mau ga mau lanjut.

Catatan ini akan dibagi menjadi 2 bagian yaitu memasang Wireguard di sisi server (VPS) dan sisi client (macos).

Setup Wireguard di VPS #

Karena wg (binary dari wireguard) ternyata belum ada di dalam OpenBSD, maka perlu memasangnya secara manual. Sebelum itu ada beberapa hal yang perlu ane catat yaitu VPS ane sudah memakai OpenBSD 7.8 dengan spesifikasi 1vCPU - 1GB RAM - 25GB SSD dan akan login dengan user bukan root sehingga ane akan pakai doas untuk elevasi ke root.

$ doas pkg_add wireguard-tools

perintah ini akan memasang wireguard-tools yang akan menyediakan binari wg dan wg-quick. tapi ane akan pakai wg saja. wg-quick emang mantap untuk membuat akses wireguard secara cepat, namun ane ingin belajar jadi akan membangunnya dari nol.

Buat key #

Setelah terpasang, langkah selanjutnya adalah membuat direktori khusus yang akan berisi berkas konfigurasi dari wireguard. Ini opsional, berkas wireguard bisa saja ditaruh dimana terserah tapi ane ikuti dulu panduan yang sudah ada dan jamak. Di dalam direktori /etc/wireguard, ane akan buat 2 buah key yang diperlukan untuk authentication server wireguard nantinya.

$ doas mkdir -p /etc/wireguard
$ cd /etc/wireguard
$ doas wg genkey | doas tee private.key | doas wg pubkey > public.key
$ cat private.key
QJqx4o8lsM1eZb2u+t4yRctEkjALq2GFJgimdkTphHc=
$ cat public.key
dbXB+Cue2VpYBIjaTYneGgNglJHdgylriDkb014v6nI=

Catat hasil dari private.key dan public.key karena ini nanti penting untuk konfigurasi.

Buat konfigurasi untuk Wireguard #

Cara pertama #

Masih di direktori /etc/wireguard, ane akan buat berkas konfigurasi wireguard yang akan digunakan untuk mengatur koneksi antara server dan client yaitu wg0.conf

$ doas vim wg0.conf
[Interface]
PrivateKey = QJqx4o8lsM1eZb2u+t4yRctEkjALq2GFJgimdkTphHc=
ListenPort = 51820

[Peer]
PublicKey = <kosongin dulu nanti diisi publickey dari klien>
AllowedIPs = 10.0.0.2/32

Untuk PrivateKey, diisi dengan isi dari berkas PrivateKey yang sudah dibuat sebelumnya (yang tadi sudah dicatat. Sudah dicatat kan?). Sedangkan PublicKey nanti diisi dengan publickey yang akan dibuat diklien.

untuk interface, buat file baru dengan nama hostname.wg0 di direktori /etc.

$ doas vim /etc/hostname.wg0
inet 10.0.0.1 255.255.255.0
!/usr/local/bin/wg setconf wg0 /etc/wireguard/wg0.conf
up

Perhatikan baris kode !/usr/local/bin/wg setconf wg0 /etc/wireguard/wg0.conf, perintah ini akan memanggil konfigurasi Wireguard di /etc/wireguard/wg0.conf dan akan membacanya saat interface wg0 diaktifkan.

Pengaturan Interface di FreeBSD bisa saja memakai cara yg sama di atas namun biasanya ada 2 cara lain yang bisa di pakai yaitu melalui wg0.conf dan rc.conf.

Dengan wg0.conf adalah menambahkan keterangan tentang IP (dan MTU) langsung ke dalam file wg0.conf sehingga menjadi seperti ini

[Interface]
Address = 10.0.0.1/24
MTU = 1420

Penulisan netmask (/24) ini sangat penting karena FreeBSD sejak versi 14.2 tidak mengijinkan penulisan IP tanpa netmask maka jika terlewat Wireguard akan menolak untuk start. Namun kadang kala konfigurasi netmask ini tiba - tiba hilang, bisa karena sistem atau service Wireguard reboot sehingga harus kembali menambahkan secara manual. Jika dirasa merepotkan maka mengatur hal ini di file rc.conf adalah pilihan yang lebih baik.

$ doas sysrc cloned_interfaces+="wg0"
$ doas sysrc ifconfig_wg0="inet 10.0.0.1/24 mtu 1420 up"

Jika pakai cara ini, maka konfigurasi Address dan MTU harus dihapus dari file wg0.conf.

Cara kedua #

Untuk cara yang kedua adalah membuat konfigurasi dengan metode tradisional OpenBSD. Untuk interface, buat file baru dengan nama hostname.wg0 di direktori /etc.

$ doas vim /etc/hostname.wg0
wgkey QJqx4o8lsM1eZb2u+t4yRctEkjALq2GFJgimdkTphHc=
wgport 51820
wgpeer <kosongin dulu nanti diisi publickey dari klien> wgaip 10.0.0.2/32
inet 10.0.0.1 255.255.255.0
up

Jika memakai cara yang ini tidak perlu membuat file konfigurasi /etc/wireguard/wg0.conf. Apapun cara yang dipilih, sementara biarin dulu seperti ini, ane akan atur wireguard di klien terlebih dahulu.

Catatan untuk FreeBSD #

Jika pakai #FreeBSD maka sebaiknya pakai cara yang pertama yaitu dengan membuat file konfigurasi /usr/local/etc/wireguard/wg0.conf. Isinya mirip dan prosesnya juga sama dengan OpenBSD.

Wireguard Client di macos #

Ane pakai aplikasi #WireGuard resmi dari Wireguard. Kemudian membuat dan mengatur tunnel kosong baru (lihat gambar).

  
       ➜ ./wire-seek-darwin-arm64 --tunnel 10.0.0.1
       Wire-Seek: WireGuard MTU Optimizer
       Target: 10.0.0.1(10.0.0.1)
       Protocol: IPv4
       Discovering path MTU (range: 576-1500)...
       Results:
         Path MTU: 1500 bytes
         WireGuard MTU: 1500 bytes
       Add to your WireGuard config:
         MTU = 1500
    
    

Simpan dan kembali ke pengaturan wireguard di VPS.

Finishing WireGuard di VPS #

Apapun pilihan jenis konfigurasi WireGuard, setelah mendapatkan public key dari klien (dalam hal ini DQ/kSnXwMGIRmF/40wQhCWCrNe7k4V6zb3Jo92Y3s3w=) maka bisa dimasukkan ke dalam wg0.conf atau di hostname.wg0 di bagian peer publickey.

Maka isian dari /etc/wireguard/wg0.conf akan seperti ini:

$ doas vim /etc/wireguard/wg0.conf
[Interface]
PrivateKey = QJqx4o8lsM1eZb2u+t4yRctEkjALq2GFJgimdkTphHc=
ListenPort = 51820

[Peer]
PublicKey = DQ/kSnXwMGIRmF/40wQhCWCrNe7k4V6zb3Jo92Y3s3w=
AllowedIPs = 10.0.0.2/32

atau /etc/hostname.wg0:

wgkey QJqx4o8lsM1eZb2u+t4yRctEkjALq2GFJgimdkTphHc=
wgport 51820
wgpeer DQ/kSnXwMGIRmF/40wQhCWCrNe7k4V6zb3Jo92Y3s3w= wgaip 10.0.0.2/32
inet 10.0.0.1 255.255.255.0
up

Selanjutnya adalah mengatur aliran data untuk mengalihkan paket wireguard ke interface wg0.

$ doas sysctl net.inet.ip.forwarding=1
$ doas echo "net.inet.ip.forwarding=1" >> /etc/sysctl.conf

Tidak cukup ini saja, perlu juga mengatur firewall di pf.conf. Ane cukup pusing disini dan butuh waktu yang lama agar bisa berjalan.

$ doas vim /etc/pf.conf
# Set MTU
match on wg0 scrub (max-mss 1352)

# Wireguard
pass in on egress proto udp from any to any port 51820
pass in on wg0
pass out on egress
pass from 10.0.0.0/24 to any
match out on egress from 10.0.0.0/24 to any nat-to (egress)

# SSH
pass in quick on egress proto tcp from any to (egress) port 22

Tes firewall jika tidak ada masalah langsung aktifkan.

$ doas pfctl -nf /etc/pf.conf
$ doas pfctl -f /etc/pf.conf

Aktifkan wireguard network interface dan cek statusnya.

$ doas sh /etc/netstart wg0
$ doas wg show
interface: wg0
public key: dbXB+Cue2VpYBIjaTYneGgNglJHdgylriDkb014v6nI=
 private key: (hidden)
 listening port: 5

peer: DQ/kSnXwMGIRmF/40wQhCWCrNe7k4V6zb3Jo92Y3s3w=
  endpoint: 103.102.101.100:5976
  allowed ips: 10.0.0.2/32

di bagian peer tidak ada keterangan handshake menandakan bahwa klien belum terhubung. Hubungkan klien di aplikasi wireguard dan seharusnya di bagian peer menjadi seperti ini:

peer: DQ/kSnXwMGIRmF/40wQhCWCrNe7k4V6zb3Jo92Y3s3w=
  endpoint: 103.102.101.100:5976
  allowed ips: 10.0.0.2/32
  latest handshake: 10 seconds ago
  transfer: 1 MiB received, 2 Mib sent

kemudian cek akses internet di klien dan cek IP dengan mengunjungi situs ipleak seharusnya lokasi dan IPnya sudah sesuai dengan IP dan lokasi VPS.

$ doas ifconfig wg0 destroy
$ doas sh /etc/netstart wg0
$ doas wg show

Killswitch #

Killswitch adalah fitur keamanan yang sekarang sepertinya sudah menjadi standar untuk layanan VPN. Fungsinya adalah memutus akses internet saat VPN terputus sehingga tidak ada kebocoroan (data leak) berupa IP, DNS, atau data lainnya yang terkait. Hampir semua aplikasi VPN sudah menyediakan fitur ini.

Namun karena ane buat VPN secara mandiri, maka ane hanya pakai aplikasi resmi dari wireguard yang sangat minimalis dan tidak banyak fitur tersedia termasuk killswitch. Karena MacOs sendiri adalah bagian dari keluarga BSD, maka tentu saja MacOs memiliki atau mempergunakan firewall PF, sehingga bisa dimanfaatkan untuk membuat mode killswitch sendiri.

Inti dari killswitch ini adalah memutus akses keluar masuk saat tidak sedang terhubung ke VPN, script pf sederhananya sebagai berikut

vpn_ip = '103.102.101.100'
vpn_port = '5128'

set skip on lo0

# block semua akses keluar
block drop out all

# ijinkan akses ke wireguard saja
pass out proto udp from any $vpn_ip to any port $vpn_port
pass on utun4 all

Saat diaktifkan perintah ini akan memblokir semua akses keluar kecuali akses ke wireguard dan akses ke interface utun4.

Cara pakainya adalah, saat VPN sudah terhubung, jalankan perintah berikut:

$ sudo pfctl -fa ~/.pf_killswitch.conf -e

Saat sudah tidak memakai VPN, pf ini harus dimatikan supaya tidak memblokir akses internet yang lain. Jalankan perintah berikut:

$ sudo pfctl -d

Jika punya pengaturan pf yang lain, maka jangan lupa aktifkan kembali pengaturan pf asli dari Macos dengan perintah berikut:

$ sudo pfctl -f /etc/pf.conf -e

Cukup merepotkan bukan? Tapi diluar sana tidak hanya ane yang repot, sehingga ada seseorang yang kemudian membuat script untuk memudahkan proses ini. Namanya killswitch dari github - https://vpn-kill-switch.com/. Cara pasangnya mudah sekali, dibantu oleh homebrew dan cara pakainya seperti ini

$ brew install killswitch
$ sudo killswitch -e
$ sudo killswitch -d

Sedangkan perintah killswitch sendiri akan menghasilkan informasi terkait interface tersedia dan public IP address yang digunakan oleh VPN.

$ sudo killswitch
Interface  MAC address         IP
en0        76:61:a8:f1:ex:1O   172.20.10.2/16
utun4                          10.0.0.2

Public IP address: 103.102.101.100
PEER IP address:   <nil>

To enable the kill switch run: sudo killswitch -e
To disable: sudo killswitch -d

seperti contoh di atas adalah informasi setelah VPN terhubung, masalahnya adalah di PEER IP address: <nil> ini karena killswitch tidak bisa menemukan IP dari Endpoint VPN, bug yang memang muncul jika pakai MacOS. Sehingga saat killswitch dijalankan dia akan bikin semua akses internet terblokir meski sudah terhubung ke VPN.

Jadi agar killswitch bisa mengerti PEER IP address, maka perlu menambahkan flag -ip untuk menentukan IP address dari Endpoint VPN.

$ sudo killswitch -e -ip 103.102.101.100
$ sudo killswitch
Interface  MAC address         IP
en0        76:61:a8:f1:ex:1O   172.20.10.2/16
utun4                          10.0.0.2

Public IP address: 103.102.101.100
PEER IP address:   103.102.101.100

To enable the kill switch run: sudo killswitch -e
To disable: sudo killswitch -d

dan dengan ini killswitch akan menandai akses ke IP Address VPN dan mengaktifkan pf, jika VPN terputus maka killswitch akan memblokir semua akses internet yang meningkatkan keamanan dan privasi pengguna.Jangan lupa mematikan killswitch jika sedang tidak memakai VPN, agar tidak repot ketik perintah manual di terminal gunakan Shortcuts app untuk membuat shortcut.

Mempergunakan Shortcuts app memiliki satu masalah yaitu akan membuka terminal setiap kali shortcut dijalankan. Jika pernah dijalankan misalnya 100 kali, maka di perintah ke 101 akan membuka terminal sebanyak 100 jendela. Ini sangat menganggu meski nantinya jendela - jendela tersebut akan menghilang setelah perintah selesai diproses.

Untuk itu ane gunakan cara lain yaitu dengan mempergunakan aplikasi kecil lainnya yang bernama Hammerspoon. Setelah terpasang, cara pengaturannya adalah dengan membuat file ~/.hammerspoon/init.lua. Iya Hammerspoon pakai Lua untuk pengaturannya, memang sedikit repot tapi kalo paham Lua maka ini membuat Hammerspoon sangat fleksibel.

local wg_server = "103.102.101.100"
local anybarPort = "1738"

local function updateAnyBar(color)
    hs.execute('echo -n "' .. color .. '" | nc -4u -w0 localhost ' .. anybarPort, true)
end

local function sudoPoes(command, successColor, successMsg)
    local _, status = hs.execute("sudo " .. command, true)
    if status then
        updateAnyBar(successColor)
        hs.alert.show(successMsg, 2)
    end
end

-- Hotkeys
hs.hotkey.bind({"alt", "cmd"}, "9", function()
    sudoPoes("killswitch -e -ip " .. wg_server, "red", "Killswitch Aktif")
end)

hs.hotkey.bind({"alt", "cmd"}, "0", function()
    sudoPoes("killswitch -d", "green", "Killswitch Berhenti")
end)

Setelah disimpan dan reload config, maka jika menekan tombol ⌥ + ⌘ + 9 akan mengaktifkan perintah pengaktifan killswitch, setelah perintah aktif maka Hammerspoon juga akan mengirimkan sinyal ke AnyBar sebagai indikator di menubar dengan warna merah saat aktif dan hijau saat tidak aktif.

Scripts Hammerspoon di atas, khusus untuk aktifkan killswitch hanya bisa dijalankan saat wireguard sudah tersambung. Jika belum maka tidak akan menghasilkan apa - apa karena ane set IP wireguard langsung hard coded di dalam scripts. Peningkatan scripts ke depannya mungkin saat ⌥ + ⌘ + 9 ditekan maka secara otomatis memeriksa apakah wireguard sudah aktif atau belum. Jika sudah maka langsung aktifkan killswitch namun jika belum maka harus hubungkan wireguard terlebih dahulu.

Tentu saja AnyBar ini opsional, boleh tidak dipakai namun ane pasang karena membantu memberikan visual apakah killswitch sedang aktif atau tidak.

Dengan aplikasi #

Ada beberapa aplikasi yang bisa digunakan sebagai alternatif killswitch seperti Little Snitch atau Lulu. Dari kedua ini Little Snitch lebih bagus dan mudah namun memang aplikasi berbayar, sedangkan Lulu gratis namun kurang fleksibel dan masih memerlukan campur tangan user (manual aktifkan rules.)

Aplikasi gratis lain yang bisa dipakai adalah Mirham KillSwitch, yang bisa diunduh dari sini. Aplikasi ini akan menaruh ikon di menubar dan tinggal klik untuk memakainya.

Sebenarnya Ko Reader sudah menyediakan fitur untuk kirim file tanpa harus kembali ke Kindle OS. Cara yang paling mudah bagi ane saat ini adalah dengan fungsi SSH. Berikut cara ane untuk terkoneksi antara komputer (Mac) dan Ko Reader (Kindle) dengan akses SSH alias Secure Shell.

Tentu saja untuk bisa terhubung maka antara Kindle dan komputer harus dalam jaringan yang sama, untuk ini ane pakai tethering dari ponsel. Setelah terhubung maka pembagian IP-nya sebagai berikut:

Sebelum itu tentu harus mengatur agar Kindle (mode Ko Reader) terhubung ke WiFi Ponsel. Usap ke bawah pada bagian atas layar Kindle kemudian pilih icon Gear dan kemudian pilih Network dan beri centang pada Wi-Fi Connection kemudian pilih dan masukkan password pada SSID WiFi Ponsel. Setelah tersambung akan muncul informasi terkait jaringan.

Kemudian di menu yang sama pilih SSH Server akan muncul menu baru dan tekan beri centang pada Login without password (DANGEROUS). Sementara tidak pakai password dulu karena ane pelupa. Setelah itu baru kasih centang pada SSH Server dan catat port-nya (dalam hal ini punya ane di port 2222.

Maka server SSH sudah tersedia dan bisa diakses melalui IP dan port yang sudah ditentukan, bisa pakai CLI/Terminal atau dengan File Manager. Ane pilih yang kedua dan pakai Nimble Commander karena punya 2 panel terpisah dalam 1 jendela aplikasi. Di Nimble SSH bisa diakses dengan SFTP atau Secure File Transfer Protocol. Konfigurasi melibatkan alamat IP tujuan, username, password dan port.

Nimble tidak mengijinkan pengaturan SFTP tanpa password tapi di pengaturan Ko Reader sudah diatur tanpa password, maka apapun password yang ane masukkan akan diabaikan oleh Ko Reader.

Setelah terhubung, default-nya akan terbuka /var/tmp directory. Tujulah directory //172.20.10.4/mnt/us/. Dalam pengaturan Ko Reader ane simpan semua buku di folder Buku. Sehingga ane tinggal copy - paste ke dalam folder ini. Semua dilakukan melalui Nimble Commander.

Cara yang lainnya adalah dengan mempergunakan authorized_keys yaitu dengan cara mengirim SSH Key ke Kindle dan kemudian bisa login lewat SSH tanpa password. Metode ini membuat koneksi menjadi sangat aman, namun ane cukup dengan model SSH (pakai SFTP) seperti sebelumnya.

Setelah selesai jangan lupa untuk mematikan SSH Server dan disconnect dari WiFi (untuk mengindari Kindle mendownload firmware yang bisa membuat jailbreak gagal berfungsi.)