Category Archives

51 Articles
Akses Dolphin (Manajer Berkas KDE) ke SMBv2 atau SMBv3
About KDE

Akses Dolphin (Manajer Berkas KDE) ke SMBv2 atau SMBv3

Karena WCry 2.0, protokol SMBv1 sudah tidak berlaku lagi. Kebanyakan peladen berkas sudah berjalan di versi 2 ke atas. Masalahnya, banyak penjelajah berkas masih menggunakan SMBv1 secara baku. Untuk itu, perlu diaktifkan klien versi 2 ke atas.

 “Well, hell! PMP exam topics That’s no excuse for insulting me! You PMP exam topics 300-320 questions pdf are 300-320 questions pdf Ma’s PMP exam topics PMP exam topics own blood son, but did PMP exam topics she take on that time PMP exam topics Tony Fontaine shot you in the leg? 70-532 answer analysis No, she 70-532 answer analysis just 300-320 questions pdf sent for old Doc 70-532 answer analysis Fontaine to dress it and asked the doctor what ailed Tony’s aim. Said she guessed licker was spoiling his marksmanship. Remember how mad that made Tony?”Both boys yelled 70-532 answer analysis with laughter.“Ma’s a card!” said Brent with loving approval. “You can always count on her to do the right thing 300-320 questions pdf and 70-532 answer analysis not embarrass you in front of PMP exam topics folks.”  But Gerald remained Gerald. 300-320 questions pdf His habits PMP exam topics of living and his ideas changed, but his manners he would 300-075 certification exam not change, 300-075 certification exam even had he been 70-532 answer analysis able to change them. He admired 300-320 questions pdf the drawling 300-075 certification exam elegance of the 300-075 certification exam wealthy rice and cotton planters, who rode into Savannah from their moss-hung kingdoms, mounted 70-532 answer analysis on 300-320 questions pdf thoroughbred horses and followed by the carriages of their 300-320 questions pdf equally elegant ladies 70-532 answer analysis and the wagons 300-320 questions pdf of their slaves. But Gerald could never attain elegance. 70-532 answer analysis Their lazy, blurred voices fell pleasantly 300-075 certification exam 300-075 certification exam 300-320 questions pdf on PMP exam topics his PMP exam topics ears, but his 300-075 certification exam PMP exam topics own 300-075 certification exam brisk brogue clung to his tongue. He liked the casual 70-532 answer analysis 300-075 certification exam grace with which they PMP exam topics conducted affairs 300-320 questions pdf of importance, 300-320 questions pdf risking 300-320 questions pdf a fortune, a plantation or a slave 70-532 answer analysis 300-075 certification exam on the 300-075 certification exam turn 70-532 answer analysis of a card and writing off their losses with careless good humor and no more ado than when they scattered 300-320 questions pdf pennies to pickaninnies. But Gerald had known poverty, and PMP exam topics he could never PMP exam topics learn to lose money with 70-532 answer analysis good 300-075 certification exam humor or good 300-320 questions pdf 70-532 answer analysis 300-320 questions pdf grace. They were PMP exam topics a pleasant race, these coastal Georgians, with their soft-voiced, 70-532 answer analysis PMP exam topics quick rages and their charming inconsistencies, and Gerald liked them. But 300-075 certification exam there was a 300-075 certification exam brisk and 70-532 answer analysis restless vitality 300-075 certification exam about the young Irishman, fresh from a country where winds blew wet and chill, where misty swamps held no fevers, that 300-075 certification exam set him apart from these indolent gentle-folk of semi-tropical weather and malarial marshes.

Saya pernah membuat sebuah retasan dengan memasang berkas tersebut menggunakan CIFS. Ternyata ada cara yang lebih baik, yakni dengan mengonfigurasi pustaka klien SMB untuk mengaktifkan sampai versi 3.


$ mkdir ~/.smb
$ cat > ~/.smb/smb.conf  << EOF
    client max protocol = SMB3


Bacaan Lebih Lanjut

Memasang Golang Terbaru

Memasang Golang Terbaru

Debian Jessie memiliki Go versi lawas di repositorinya. Hal ini membuat beberapa aplikasi Go seperti Hydra SSO tidak bisa berjalan. Untuk itu, harus dipasang Go versi manual.

Pertama-tama, pergi ke laman unduh di situs resmi Go. Saat penulisan versi Go yang terbaru adalah 1.8.3. Lalu, salin tautan unduhan untuk dipakai.

Unduh dan taruh Go ke direktori tertentu. Kalau saya, lebih suka di /opt

wget -O- | sudo tar xvfz - -C /opt

Go memerlukan direktori Go untuk pengguna dan direktori Go sendiri untuk bisa dieksekusi. Maka, buatlah berkas /etc/profiles.d/ yang berisi:

export GOROOT=/opt/go
export GOPATH=$HOME/.go
export PATH=$PATH:$GOROOT/bin:$GOPATH/bin


Oh, iya, supaya tidak usah keluar, langsung saja eksekusi:

source /etc/profile.d/


Mount Windows Share on KDE Neon
Wily Broke The Window

Mount Windows Share on KDE Neon

 The twins looked at each other jubilantly but with some surprise. Although 70-534 answer analysis they 70-534 answer analysis considered themselves Scarlett’s favored suitors, they had never before gained tokens ADM-201 exam dumps of this favor so easily. Usually she made them beg and plead, while she put them off, CISSP exam topics refusing to give a 70-534 answer analysis Yes or No answer, laughing if they sulked, growing cool if they became angry. And here she had practically promised them 70-534 answer analysis the ADM-201 exam dumps whole of tomorrow—seats by her at 70-534 answer analysis the barbecue, all the waltzes (and they’d see to it that the dances were CISSP exam topics all waltzes!) and the supper intermission. This was worth getting expelled from the university.Filled ADM-201 exam dumps with new enthusiasm by their success, they CISSP exam topics lingered on, talking about the barbecue 70-534 answer analysis and the ball and Ashley Wilkes 300-208 study material CISSP exam topics and Melanie Hamilton, CISSP exam topics interrupting each other, making jokes and laughing at them, hinting broadly for invitations 300-208 study material to supper. ADM-201 exam dumps Some time had passed before they realized that Scarlett was having very little to say. The atmosphere had somehow changed. Just how, the twins did not know, but the fine glow had gone out of the afternoon. Scarlett seemed to ADM-201 exam dumps be paying little attention to 70-534 answer analysis what they 300-208 study material 70-534 answer analysis ADM-201 exam dumps said, although she made the correct answers. Sensing something they 300-208 study material could not understand, baffled and annoyed by it, the twins struggled along for a while, and then rose reluctantly, ADM-201 exam dumps looking at their 300-208 study material watches.The sun was low CISSP exam topics across the new-plowed fields and the tall woods across the river ADM-201 exam dumps were looming ADM-201 exam dumps blackly in silhouette. Chimney swallows were darting swiftly across the yard, and chickens, ducks and turkeys were waddling 70-534 answer analysis and strutting and straggling in from the fields.Stuart bellowed: “Jeems!” And after an interval a 70-534 answer analysis tall black boy of their own age ran breathlessly around CISSP exam topics the house and out toward the ADM-201 exam dumps tethered horses. Jeems was their 300-208 study material body servant and, like CISSP exam topics the dogs, accompanied them everywhere. He had been CISSP exam topics their childhood playmate and had been given to the twins for their own ADM-201 exam dumps on their tenth birthday. At the sight of him, CISSP exam topics CISSP exam topics the Tarleton hounds rose up out of the red dust and stood waiting expectantly for their masters. The 300-208 study material boys bowed, shook hands and 300-208 study material told CISSP exam topics Scarlett they’d be over 300-208 study material at the 300-208 study material Wilkeses’ early in the morning, waiting for her. Then CISSP exam topics they were ADM-201 exam dumps off down the 70-534 answer analysis walk CISSP exam topics at a rush, mounted their horses and, followed by ADM-201 exam dumps ADM-201 exam dumps Jeems, went down the avenue of cedars at a gallop, waving their hats and yelling back to her.When they had rounded the curve of the dusty road that hid them from Tara, Brent drew his horse to a ADM-201 exam dumps stop under a clump of dogwood. Stuart halted, 70-534 answer analysis too, and the darky boy pulled up a few paces behind 300-208 study material them. The horses, feeling slack reins, 300-208 study material stretched down their necks to crop the tender spring grass, and the patient hounds lay down again in the 300-208 study material CISSP exam topics soft red dust and looked up longingly at the chimney swallows circling in the gathering dusk. 300-208 study material Brent’s wide ingenuous face was puzzled and mildly indignant.“Look,” he said. “Don’t it look to you like she 70-534 answer analysis would of asked us to stay for supper?”  Nor did 70-534 answer analysis James and Andrew, who took him into their store in Savannah, regret his lack of education. His clear hand, his 300-208 study material accurate CISSP exam topics figures and his shrewd ADM-201 exam dumps ability in bargaining won their respect, where a knowledge 70-534 answer analysis of literature and a fine appreciation of music, had young 300-208 study material Gerald possessed them, would have moved them to snorts of contempt. America, in the early years of the century, had been kind to the Irish. James and Andrew, who had begun by hauling goods in covered wagons 70-534 answer analysis from Savannah to Georgia’s inland towns, had prospered into a store of their own, and Gerald prospered with them.

Because of WCry 2.0, people turned off SMBv1 protocol. So, to mount that Windows Share folder, we need to adjust by defining the protocol version. Thus, mounting:

sudo mount -t cifs //[WINDOWS_IP]/[WINDOWS_FOLDER] /mnt -o username=guest,uid=1000,vers=2.1


sudo mount -t cifs // /mnt -o username=guest,uid=1000,vers=2.1

Change uid with your own UID. We could use protocol 3. But, in this example, I used SMB version 2.1.

Wily Broke The Window

Read more about ..

Kalau KMail mengambek dengan pesan:

org.kde.pim.kmail: "The protocol version of the Akonadi server is incompatible. Make sure you have a compatible version installed. (Protocol version mismatch. Server version is newer (56) than ours (57). If you updated your system recently please restart the Akonadi server.)"
*** KMail got signal 11 (Exiting)
Segmentation fault

Itu berarti Akonadi perlu dinyalakan ulang.

akonadictl restart


Mengubah Format PEM (Apache/NGINX) ke Keystore JAVA

Mengubah Format PEM (Apache/NGINX) ke Keystore JAVA

Untuk organisasi/individu yang memegang domain dengan banyak sub-domain, biasanya dibeli sertifikat wildcard. Dengan sertifikat wilcard, tak perlu membeli sertifikat per sub-domain. Hanya saja, biasanya format yang diberikan adalah PEM untuk peladen HTTP semacam Apache2 atau NGINX.

Bagaimana dengan peladen berbasis Web macam Tomcat?

Saya asumsikan sudah ada tiga berkas ini:

Kunci privat peladen.
Sertifikat peladen yang sudah ditandatangani oleh CA.
Sertifikat CA yang menandatangani sertifikat peladen.

Selanjutnya, ubah bentuk X.509 ke format PKCS12 dengan OpenSSL:

openssl pkcs12 -export -in server.crt -inkey server.key -out keystore.p12 -name red5 -certfile ca.cert

Anda akan ditanyakan sandi baru. Jangan lewati karena proses berikutnya butuh sandi tersebut! Isi sandi dengan sandi yang aman.

Selanjutnya, impor kunci PKCS12 tersebut ke sebuah keystore Java:

keytool -importkeystore -deststorepass ahs8kahLuvu3nahb -destkeypass ahs8kahLuvu3nahb -destkeystore keystore.jks -srckeystore keystore.p12 -srcstoretype PKCS12 -srcstorepass ahs8kahLuvu3nahb -alias red5

Saya menggunakan PWGen untuk membuat sandi acak. Mohon ganti ahs8kahLuvu3nahb dengan sandi yang Anda telah masukkan sebelumnya pada proses openssl.

Selesai. Anda kini sudah memiliki keystore.jks yang siap dipakai oleh aplikasi Java untuk membuat koneksi SSL/TLS.

Selamat mencoba.

KMAIL Reset Setting

KMAIL Reset Setting

KMail/FAQs Hints and Tips – KDE UserBase Wiki

Solution: Right-clicking on the header of the Folder List now brings up several more configuration options. One section is headed Display Tooltips, and the choices are Always, When Text Obscured, Never. When Text Obscured is handy for folders that have long names, so that only part of the name is displayed.

Aktifkan Koneksi ADB dari Komputer ke Perangkat Android

Saya rasa ada di suatu entri di blog ini. Tapi, saya membuat tulisan ini agar lebih jelas.

Aturan UDEV Android

Agar Android dapat dikenali, pasang aturan UDEV untuk Android. Baik systemd maupun sysvinit dapat menikmati ini.

Unduh berkas aturan dan taruh ke direktori aturan UDEV.

sudo wget -O /etc/udev/rules.d/51-android.rules

Muat ulang UDEV.

sudo /etc/init.d/udev restart

Selanjutnya aktifkan modus USB Debugging.

USB Debugging

Aktifkan USB DEBUG pada menu Pengembang. Caranya:

  1. Masuk ke Setelan => Tentang ponsel
  2. Tap beberapa kali pada Nomor bentukan
  3. OPO akan memberitahukan Anda kalau Anda sudah masuk ke menu pengembang.
  4. Keluar dari menu Tentang ponsel dan masuk ke menu Opsi pengembang
  5. Aktifkan Android Debugging
  6. Hubungkan komputer ke OPO dengan kabel USB. Lalu izinkan debugging USB.
    ADB enable access from PC

    ADB enable access from PC


Contoh Kalau Berhasil

Kalau berhasil, Anda bisa lakukan ini pada mode Recovery atau Normal:

$ adb devices
List of devices attached 
4aea6b78        device

Saat telepon Anda dapat masuk ke dalam mode Fastboot, maka yang terdeteksi adalah sebagai berikut:

$ fastboot devices
4aea6b78        fastboot


Membuat WIFI Sendiri dengan hostapd, dhcpd, dan nftables

Membuat WIFI Sendiri dengan hostapd, dhcpd, dan nftables

Access point configuration

Access point configuration

Saya hendak membuat sebuah jaringan nirkabel. Jaringan nirkabel itu terhubung ke sebuah komputer yang berfungsi sebagai router. Setiap akses dari perangkat-perangkat dalam jaringan tersebut dienkapsulasi dalam NAT dan dikirim ke Internet/jaringan lainnya.

Komputer yang saya gunakan adalah GNU/Linux Gentoo dengan spesifikasi sebagai berikut:

  • Kernel Linux 3.19-pf1
  • Systemd 219

Saya pun tertarik menggunakan nftables karena dia yang akan menggantikan iptables di masa mendatang. Perkakas nftables pertama kali ada di Linux 3.13. Jadi, ya, lumayan relatif baru.

Aktifkan IP Forwarding

Setiap kali mau memakai NAT, jangan lupa mengaktifkan IP Forwarding di kernel. Lihat dulu kalau dia aktif:

$ sudo sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 0

Kalau nilainya 0, berarti belum aktif. Aktifkan:

sudo sysctl -w net.ipv4.ip_forward=1

Supaya permanen, tambahkan ke konfigurasi. Ingat! Sistem ini menggunakan systemd. Jadi, berkasnya ada di /etc/sysctl.d

echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.d/99-sysctl.conf

Ini kalau tadi sebelumnya IPv4 belum menyala. Kalau sudah, lewati saja. Tapi, biasanya distro-distro bakunya mematikan fitur ini.


Ada beberapa langkah yang dilakukan untuk memasang nftables:

  1. Memasang kernel yang sudah mendukung nftables.
  2. Memasang perkakas nftables.
  3. Memasang unit systemd.

Modul Kernel

Saya tidak tahu Anda menggunakan kernel versi apa. Tapi, seandainya kernel tersebut di atas 3.13, kemungkinan ada. Kalau saya kebetulan mengompilasi sendiri kernel saya. Jadinya, saya aktifkan nftables pada bagian:

-> Networking support
  -> Networking options
    -> Network packet filtering framework (Netfilter)
      -> Core Netfilter Configuration

Lalu saya centang saja semua yang berbau nf_tables di konfigurasi seperti terlihat pada gambar.

I just opt-in every "nf_tables" in Core Netfilter Configuration

I just opt-in every “nf_tables” in Core Netfilter Configuration

Setelah saya kompilasi dan pasang kernel saya. Lalu saya masuk ke sistem dengan menggunakan kernel tersebut. Selanjutnya saya memasang perkakas nftables untuk bisa memanipulasi tabel nftables.


Saya memasang nftables dengan cara berikut:

sudo emerge -av net-firewall/nftables

Atau gunakan pemaket dari distro kesayangan Anda masing-masing. Untuk Debian dan turunannya, ada bacaan menarik mengenai cara cepat membuat perkakas ini.

Jika sudah, ada beberapa contoh penggunaan nftables yang menarik, misalnya:

  • Melihat seluruh isi tabel:
    nft list ruleset
  • Menghapus seluruh tabel:
    nft flush ruleset
  • Menyimpan seluruh tabel ke berkas konfigurasi:
    nft list ruleset > /var/lib/nftables/rules-save
  • Memuat konfigurasi dari berkas konfigurasi:
    nft -f /var/lib/nftables/rules-save

Saya mengikuti tata letak berkas di Gentoo. Dia menaruh aturan iptables, nftables, ebtables, dan lain-lain di direktori /var/lib. Kalau Debian menaruhnya di /etc. Anda terserah mau taruh di mana, yang penting konsisten.

Inisialisasi Aturan nftables

Awal-awalnya nftables masih kosong. Saya menggunakan aturan yang telah disediakan gentoo untuk IPv4 NAT. Gentoo saat ini menaruh berbagai aturan siap pakai di /etc/nftables.

Mengapa saat ini? Karena biasanya aturan siap pakai ditaruh di /usr/share. Mungkin saja bilamana nftables sudah stabil, aturan-aturan ini dipindahkan ke sana. Ya, sudah, pakai saja:

sudo nft -f /etc/nftables/ipv4-nat

Supaya Anda tidak penasaran, isi berkas itu sebenarnya cuma aturan biasa:

#!/sbin/nft -f

table nat {
    chain prerouting    { type nat hook prerouting priority -150; }
    chain postrouting   { type nat hook postrouting priority -150; }

Mirip-miriplah dengan tutorial nftables NAT yang resmi.

Lalu tambahkan aturan yang mentranslasi semua paket jaringan dari wlan0 ke eth0.

sudo nft add rule nat postrouting ip saddr meta oif eth0 snat

Ganti dengan IP kartu ethernet Anda. Lihat gambar awal mengenai skema jaringan yang hendak dibangun.

Padanan di iptables

Aturan ini padanannya di iptables seperti ini:

sudo iptables -t nat -A POSTROUTING -s -o eth0 -j SNAT --to

Lalu mengapa tidak menggunakan iptables saja biar sederhana? Judul artikel ini belajar nftables. Lagipula, sebenarnya lebih sederhana nftables, hanya saja ia belum terintegrasi dengan distro-distro yang ada saat ini. Dia masih baru, bahkan kernel yang mendukung belum masuk.

Sebelum ini saya biasanya menggunakan perintah berikut untuk iptables:

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Nanti saya coba di Wheezy, deh. Kalau tidak malas, tapinya. Untuk saat ini jangan lupa untuk mematikan NAT di iptables supaya tidak kacau!

sudo rmmod iptable_nat

Menyimpan Aturan nftables

Kalau sudah selesai, seharusnya aturan nftables akan sebagai berikut:

$ sudo nft list ruleset
table ip nat {
    chain prerouting {
         type nat hook prerouting priority -150;

    chain postrouting {
         type nat hook postrouting priority -150;
         ip saddr oif eth0 snat

Nah, kalau di Gentoo, dia sudah menyediakan skrip initnya. Sayangnya cuma untuk OpenRC. Kita bisa memanfaatkan skrip itu untuk menyimpan aturan NAT:

sudo /etc/init.d/nftables save

Atau cara manualnya:

sudo mkdir -p /var/lib/nftables
sudo nft list ruleset | sudo tee /var/lib/nftables/rules-save

Selanjutnya membuat aturan systemd supaya dijalankan otomatis.

Aturan systemd untuk nftables

Belum ada aturan untuk nftables. Ada seseorang yang berbaik hati untuk membuat skrip untuk systemd. Tetapi, saya memilih untuk membuat sendiri.

Skrip orang itu membuat nftables sebagai layanan. Tetapi, saya pikir seharusnya perilaku nftables sama seperti skrip ALSA dan iptables. Ia hanya perlu dijalankan sekali saja. Itu sebabnya, sama seperti kedua subsistem, saya memecah nftables menjadi tiga berkas aturan.

Aturan /usr/lib/systemd/system/nftables.service

Description=Store and restore nftables firewall rules


Aturan /usr/lib/systemd/system/nftables-restore.service

Description=Restore nftables firewall rules
# if both are queued for some reason, don't store before restoring :)
# sounds reasonable to have firewall up before any of the services go up

ExecStart=/sbin/nft -f /var/lib/nftables/rules-save


Aturan /usr/lib/systemd/system/nftables-store.service

Description=Store nftables firewall rules

ExecStart=/bin/sh -c "/sbin/nft list ruleset > /var/lib/nftables/rules-save"


Selanjutnya, pasang ketiga layanan tersebut:

sudo systemctl enable nftables

Selesai untuk nftables, selanjutnya mengonfigurasi antarmuka jaringan.

Mengonfigurasi Antarmuka Jaringan

Sudah menjadi aturan umum kalau firewall berjalan sebelum antarmuka jaringan diaktifkan. Dengan memulai firewall terlebih dahulu, tidak ada jeda yang bisa dipakai untuk masuk. Tidak ada waktu antara menjalankan antarmuka jaringan dengan menyalakan firewall. Itu sebabnya, nftables dipasang pertama kali sebelum antarmuka jaringan.

Kalau Anda pengguna destop, kemungkinan sudah ada NetworkManager. Untuk konfigurasi minimal, NetworkManager biasanya tidak dipasang. Antarmuka jaringan harus dipasang dengan cara lain.

Saya gagal menggunakan metode systemd-networkd. Kalau saya menggunakan infrastruktur itu, firewall (nftables/iptables) tidak ada yang berjalan! Mungkin saya ada yang kurang. Entahlah, yang pasti saya mengonfigurasi statik dengan cara lain saja.

Antarmuka eth0

Gentoo menggunakan pendekatan yang sama dengan Arch Linux. Mereka menggunakan systemd untuk menjalankan skrip Gentoo. Dengan demikian, konfigurasi Gentoo yang lama bisa dibaca. Ini konfigurasi lama saya di  /etc/conf.d/net

dns_servers=( "" )

config_eth0=" netmask"
routes_eth0="default via"

Cara mengaktifkan layanan adalah dengan membuat tautan simbolik dari net@.service ke net@eth0.service.

sudo ln -s /usr/lib/systemd/system/net@{,eth0}.service

Kalau Anda tidak percaya diri dengan menggunakan enumerasi BASH, bentuk lain dari perintah itu adalah

sudo ln -s /usr/lib/systemd/system/net@.service /usr/lib/systemd/system/net@eth0.service

Setelah itu, pasang layanan ini ke systemd agar dijalankan pada waktu komputer baru menyala.

sudo systemctl enable net@eth0

Kalau Debian, seperti biasa ada di /etc/network/interfaces. Jadi, mungkin systemd tidak terlalu dibutuhkan.

Antarmuka wlan0

Saya menggunakan Linksys WUSB54GC. Kemampuan yang dimiliki:

    Supported interface modes:
         * IBSS
         * managed
         * AP
         * AP/VLAN
         * WDS
         * monitor
         * mesh point

Dia bisa menjadi Access Point (AP)!

Implementasi yang kita pilih merupakan implementasi statik. Kita bisa dengan aman berasumsi bahwa IP yang dipakai tidak akan berubah.

Saya tadinya ingin membuat seperti antarmuka Ethernet. Tapi, konfigurasi gagal karena RFKill selalu memblokir wlan0 dengan soft block. Saya pun memutuskan untuk membuat sebuah layanan kecil untuk menjalankan wlan0 di /usr/lib/systemd/system/ap-static.service

Description=Static WLAN0 as an Access Point
Documentation=man:rfkill(8) man:ip(8)

ExecStart=/usr/sbin/rfkill unblock all
ExecStart=/bin/ip addr add dev wlan0
ExecStart=/bin/ip link set wlan0 up


Seperti biasa, pasang layanan ini:

sudo systemctl enable ap-static

Untuk antarmuka nirkabel sudah selesai. Saatnya memasang layanan yang akan mengonfigurasi klien WIFI.

Layanan Konfigurator WIFI

Ada dua layanan utama yang dipakai untuk tutorial kali ini. Keduanya masing-masing bisa diganti dengan yang lain. Namun, saat ini saya menggunakan dua layanan ini karena keduanya dapat dikembangkan untuk kebutuhan kompleks.

Hostapd adalah aplikasi penyedia Access Point. Dia menyediakan autentikator, mengatur antarmuka WIFI, dan sejenisnya. Selain memiliki autentikator internal, hostapd dapat terhubung ke Radius dan mendukung ACS.
DHCPd adalah penyedia layanan DHCP. Layanan ini yang mengatur kepemilikan IP dan sejenisnya kepada klien. Sebenarnya masih ada udhcpd yang lebih sederhana. Yah, namanya juga belajar.

Mari konfigurasi keduanya.

Layanan hostapd

Setiap distro umum memiliki paket hostapd. Saya sendiri di Gentoo mengunakan hostapd versi:

$ sudo hostapd -v
hostapd v2.3
User space daemon for IEEE 802.11 AP management,
IEEE 802.1X/WPA/WPA2/EAP/RADIUS Authenticator
Copyright (c) 2002-2014, Jouni Malinen <> and contributors

Pertama-tama, konfigurasikan AP yang hendak kita buat. Berikut contohnya pada /etc/hostapd/hostapd.conf

# WiFi Hotspot
# Access Point
ssid=AP Lo Nyambung2
country_code=ID  ### 802.11d/h harus ada kode negara
# WiFi Channel:
channel=3     ### Channel 3
wmm_enabled=1 ### QoS

Saya menyalin skrip layanan systemd hostapd yang disediakan oleh Gentoo menjadi /usr/lib/systemd/system/hostapd-wlan0.service. Alasan saya supaya kalau ada pembaharuan sistem, skrip ini tidak berubah. Lagipula, saya mengubah agar layanan berjalan setelah ap-static.service sudah berjalan. Isinya:

Description=Hostapd IEEE 802.11 AP, IEEE 802.1X/WPA/WPA2/EAP/RADIUS Authenticator

ExecStart=/usr/sbin/hostapd /etc/hostapd/hostapd.conf


Setelah itu, pasang layanan ini.

sudo systemctl enable hostapd-wlan0


Layanan dhcpd

Seperti saya bilang, sebenarnya DHCPd agak mubazir. Tapi, berhubung sistem ringan, saya pasang saja. Oh, iya, kalau di Debian, nama paketnya isc-dhcp-server.


sudo emerge -av net-misc/dhcp

Debian dan turunannya:

sudo apt-get install isc-dhcp-server

Setelah terpasang, buat berkas konfigurasi /etc/dhcp/dhcpd.conf

ddns-update-style none;
log-facility local7;
subnet netmask {
    option domain-name-servers;
    option routers;

Jangkauan IP tidak saya buat jauh karena pun jumlah maksimal klien yang terhubung ke AP tidak begitu banyak. Lain cerita kalau misalnya DHCPd kita pakai juga untuk yang lain.

Seperti biasa, saya menyalin berkas systemd DHCPd dan menamainya menjadi /usr/lib/systemd/system/dhcpd4-wlan0.service

Description=DHCPv4 Server Daemon
Documentation=man:dhcpd(8) man:dhcpd.conf(5)

ExecStart=/usr/sbin/dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcp -group dhcp --no-pid


Terakhir, pasang layanan DHCPd:

sudo systemctl enable dhcpd4-wlan0



Matikan dan kemudian hidupkan kembali komputer yang dipakai sebagai AP. Kalau benar, maka otomatis layanan ini akan berjalan.

Example on working AP.

Example on working AP from my phone.


ffmpeg/libav conflict management: USE=libav

  Title                     ffmpeg/libav conflict management: USE=libav
  Author                    Michał Górny 
  Posted                    2015-02-01
  Revision                  1

The support for automatic choice between ffmpeg and libav is going to be
deprecated in favor of explicit choice via USE flags. This change aims
to solve multiple repeating issues, including Portage undesirably
wanting to replace one package with the other, lack of proper reverse
dependency on ffmpeg/libav upgrades and some of the hard-to-understand
upgrade failures involving blockers. It also may be used to make ffmpeg
and libav co-installable in the future.

The current USE=ffmpeg will maintain its role of enabling optional
support for ffmpeg or a compatible implementation (libav) in a package.
However, whenever appropriate additional USE=libav will be introduced to
control the preference of one implementation over the other.

Users who currently use libav (the Gentoo default) do not have to
perform any action since USE=libav is enabled by default. It should be
noted that the users still need to enable USE=ffmpeg on packages with
optional libav support as well. Users who want to use ffmpeg instead
need to specify USE=-libav in make.conf explicitly.

Please also note that some packages support only one of the two
implementations. An attempt to install one of those packages may result
in blockers requiring the user changes the global USE=libav state.
The most notable example of such package is media-video/mplayer.
media-video/mpv may be used as a replacement for users who prefer libav.

Please do not alter the state of 'libav' flag on a per-package basis
(e.g. via package.use). The flag needs to be set globally to have
consistent value throughout all packages. Otherwise, blockers will
prevent upgrades.


CPU_FLAGS_X86 introduction

CPU_FLAGS_X86 introduction

The USE flags corresponding to the instruction sets and other features specific to the x86 (amd64) architecture are being moved into a separate USE flag group called CPU_FLAGS_X86. In order not to lose CPU-specific optimizations, users will be required to update their make.conf (and package.use) file. For example, if the following USE flags were present: USE=”mmx mmxext sse sse2 sse3″ Those flags need to be copied into: CPU_FLAGS_X86=”mmx mmxext sse sse2 sse3″ Please note that the same CPU_FLAGS_X86 variable is used both on x86 and amd64 systems. When in doubt, you can consult the flag descriptions using one of the commonly available tools, e.g. `equery uses` from gentoolkit: $ equery uses media-video/ffmpeg Most of the flag names match /proc/cpuinfo names, with the notable exception of SSE3 which is called ‘pni’ in /proc/cpuinfo (please also do not confuse it with distinct SSSE3). To help users enable the correct USE flags, we are providing a Python script that generates the correct value using /proc/cpuinfo. It can be found in the app-portage/cpuinfo2cpuflags package: $ emerge -1v app-portage/cpuinfo2cpuflags $ cpuinfo2cpuflags-x86 In order to ensure safe migration and maintain compatibility with external repositories, it is recommended to preserve the old USE settings for a period of one year or until no package of interest is still using them.

PS: This is a verbatim copy of a reminder in ESELECT NEWS. I take it to this blog as a reminder for myself in the future.

Peramban Baru Vivaldi
Vivaldi browser change color like chameleon.

Peramban Baru Vivaldi

Phoronix mengumumkan tentang Vivaldi, sebuah peramban baru. Vivaldi dibangun oleh mantan CEO Opera dengan tujuan membangkitkan fitur-fitur Opera seperti dahulu. Fitur seperti mendengar para kontributor dan pengguna.

Seperti peramban baru lainnya, Vivaldi dibangun dengan menggunakan Chromium. Setelah beberapa kali mencoba, saya menemukan beberapa fitur unik:

  • Penggunaan papan ketik didukung. Pintasan-pintasan papan ketik cukup kuat untuk para pengguna mahir. Setidaknya itu yang saya lihat dari daftar pintasan papan ketik.
  • Warna dasar peramban berubah mengikuti situs yang dikunjungi. Ini menimbulkan efek immersive experience.
  • Tampilan sederhana.

Yak, kira-kira TL;DR-nya seperti itu.

Cara Pasang

Vivaldi menyediakan paket RPM dan Debian untuk dipasang. Silakan gunakan cara yang disarankan pada masing-masing sistem operasi Anda. Berhubung saya menggunakan Gentoo, cara saya berbeda. Saya asumsikan Anda sudah mengunduh berkas Debian Vivaldi_TP_1.0.83.38-1_amd64.deb (versi terbaru saat penulisan). Silakan ganti dengan versi yang lain.

Ekstraksi Vivaldi.

ar p Vivaldi_TP_1.0.83.38-1_amd64.deb \
  tar xvfJ -

Lalu pindahkan ke sistem.

sudo mv opt/vivaldi /opt
sudo mv usr/bin/vivaldi-browser /usr/bin

Jangan lupa sandbox Chromium harus punya setuid.

sudo chmod 4755 /opt/vivaldi/vivaldi-sandbox



Tidak enak tanpa cuplikan. Omong-omong, saya ubah-ubah sedikit sebelum ambil cuplikan. Saya menyesuaikan tata letak dengan Opera saya yang dulu.


Tahu Gejrot, WebP, dan GIMP

Tahu Gejrot, WebP, dan GIMP

Tahu Gejrot

Tahu Gejrot

Gambar Tahu Gejrot saya ambil dengan menggunakan kamera belakang LG G2 saya. Saya lalu melakukan proses lebih lanjut:

  1. Memotong dimensi gambar menjadi 1944×1944 piksel.
  2. Mengaktifkan efek National Geographic, menunya ada di:
    Filters ► Generik ► National Geographic
  3. Simpan sebagai PNG.

Ukuran gambar yang dihasilkan adalah 6,4MB! Cukup besar. Saya pun tertarik dengan WebP yang dikenalkan oleh Google. Dia menyediakan pustaka siap pakai,


. Pustaka ini menyediakan perkakas


untuk mengonversi gambar dari format lain.




cwebp -resize 1080 1080 tahu-gejrot-national-geographic.png -o tahu-gejrot-national-geographic-resized.webp

Saya mengecilkan dimensi gambar menjadi 1080×1080 piksel. Ukuran berkas menjadi 169KB.

Publikasi Daring

WordPress 4.0 belum mendukung WebP. Saya harus melakukan beberapa langkah agar gambar ini bisa diunggah ke situs ini:

  1. Memperbolehkan ekstensi berkas
    untuk dapat diunggah pada
    Upload Settings
  2. Menambah MIME untuk WebP dengan menggunakan plugin
    WP Add MIME Type

Walaupun saya dapat mengunduh berkas ini, ada masalah karena WordPress tidak dapat menampilkan dengan benar. WordPress memperlakukan gambar tak dikenal ini sebagai gambar dengan ukuran 1×1.

Untuk mengatasi ukuran yang tidak benar, saya lalu mengubah mode penyunting dari Visual ke Text. Pada mode Text, saya memodifikasi tag IMG dengan mengubah dimensinya sesuai gambar (

width="1080" height="1080"

). Ketika saya klik

Save Draft

, dimensi kapsi pun otomatis berubah mengikuti gambar.


Nampaknya WebP sudah siap digunakan. Saya tidak melakukan perubahan apa pun pada sisi peladen. Namun, beberapa perangkat lunak seperti WordPress masih belum bisa mengolah format gambar ini secara alami. Berita bagusnya, WordPress dapat dibuat untuk mem-bypass kekurangan itu.

Perkakas yang Digunakan

Berikut daftar perkakas yang digunakan.

National Geographic ScriptFu

Unduh kumpulan skrip yang mengandung National Geographic:


Sebelum lanjut, Anda harus mengetahui di mana letak direktori untuk meletakkan skrip GIMP. Caranya, pergi ke

Edit ► Preferences ►Folders ► Scripts

Nah, saya memilih untuk memindahkan skrip-skrip tersebut ke direktori yang ada di rumah saya.

mv gimp-elsamuko-master/scripts/* ~/.gimp-2.8/scripts/

Agar GIMP dapat langsung menggunakan skrip-skrip tersebut, pilih

Filters ► Script-Fu ► Segarkan Skrip 


Untuk memasangnya di Debian/Ubuntu/BlankOn dan sejenisnya:

apt-get install libwebp

Kalau Gentoo:

emerge -av media-libs/libwebp
Memasang Owncloud Versi GIT

Memasang Owncloud Versi GIT

Sebelum Memulai

Beberapa hal ini silakan dilakukan terlebih dahulu berdasarkan tulisan sebelum ini:

  1. Membuat basisdata pada bagian Menyiapkan Basisdata.
  2. Membuat pengguna dan rumah pada bagian Menyiapkan Rumah.
  3. Menyiapkan PHP-FPM dan NGINX pada bagian Menyiapkan Konfigurasi Peladen.

Sehingga, berikut ini konfigurasi yang sudah dibuat:

  • Basisdata: awansendiribd
  • Login: awani
  • Rumah: /srv/awani

Selanjutnya bagian utama tulisan ini.

Mengunduh Versi GIT

Sebenarnya tidak perlu sudo bila mau masuk sebagai pengguna awani. Tapi, saya berasumsi Anda sebagai siapa saja pun bisa. Pasang semua:

sudo -u awani -g awani git clone /srv/awani/app
sudo -u awani -g awani git clone /srv/awani/app/apps2
sudo -u awani -g awani git clone /srv/awani/app/apps/tasks
sudo -u awani -g awani git clone /srv/awani/app/apps/documents
sudo -u awani -g awani git clone /srv/awani/app/apps/activity
sudo -u awani -g awani git clone /srv/awani/app/apps/bookmarks
sudo -u awani -g awani git clone /srv/awani/app/apps/contacts
sudo -u awani -g awani git clone /srv/awani/app/3rdparty
sudo -u awani -g awani git clone /srv/awani/app/apps/templateeditor
sudo -u awani -g awani git clone /srv/awani/app/apps/apps/chat

Dua baris terakhir opsional, tetapi kalau saja mau dikembangkan bisa saja. Selanjutnya, silakan lanjutkan biasa saja.


Memasang Viber untuk Gentoo GNU/Linux

Memasang Viber untuk Gentoo GNU/Linux

Viber adalah sebuah produk komunikasi seperti BBM, WhatsApp, dan sebagainya. Viber menyediakan aplikasi untuk dijalankan di destop. Asyiknya, destop termasuk juga GNU/Linux.

Viber menyediakan dua paket, paket Debian dan RPM. Untungnya, setelah saya periksa, pustaka yang disertakan oleh Viber dikompilasi secara statik. Artinya, GNU/Linux selain Debian, Redhat, dan sejenisnya dapat menggunakan Viber.

Mari Memasang

Unduh di laman unduh Viber untuk GNU/Linux.


Pasang ke sistem Anda:

ar p viber.deb data.tar.gz | sudo tar xvfz - -C/

Paket Viber memasang dirinya sendiri ke /opt/viber dan beberapa ikon ke direktori standar. Selanjutnya, buat tautan ke binari Viber agar mudah dieksekusi.

sudo ln -sf /opt/viber/Viber /usr/local/bin/Viber

Selesai dan siap digunakan.

Memperketat Keamanan Situs

Memperketat Keamanan Situs


Halo, jumpa lagi di hari Jumat!

Karena isu keamanan akhir-akhir ini semakin ketat, saya merasakan perlunya pembelajaran kepada masyarakat Indonesia mengenai penggunaan enkripsi yang tepat. Entahlah, mungkin ini juga karena saya meneliti Owncloud terlalu jauh. Atau mungkin ini sekedar tulisan menambah kuota tulisan saya di blog. Ilmu memang untuk dibagi.

Orang pasti sudah tahu tentang BEAST, CRIME, dan HEARTBLEED. BEAST adalah proof-of-concept serangan terhadap enkripsi TLSv1.0 yang menyebabkan sebuah domain dapat dibajak dari implementasi TLS v1.0 yang buruk di sistem operasi. Lalu, ada CRIME yang menyerang implementasi kompresi HTTP pada TLS dan SPDY. Yang menghebohkan berikutnya adalah HEARTBLEED yang menyerang implementasi cacat OpenSSL pada implementasi ekstensi TLS heartbeat.

Yang terakhir dan teranyar adalah POODLE, eksploit terhadap SSLv3 yang menyebabkan sekarang ini orang dipaksa untuk mematikan SSLv3. Ya, kecuali Anda menggunakan IE6/7 pada Windows XP yang belum diperbaharui, sebenarnya SSLv3 sudah lama tidak diperlukan. Bahkan, sebaiknya Anda memaksa peramban Anda langsung menggunakan TLS v1.2.

Ekstensi AES-NI

Tapi… tapi… bukankah menggunakan enkripsi membuat peladen kurang responsif?

Itu dulu! Sekarang, ‘kan, sudah ada ekstensi AES-NI pada prosesor x86. Jadi, enkripsi dilakukan secara langsung oleh CPU. Saya melakukan eksperimen kecil untuk memperlihatkan perbedaan operasi biasa dan menggunakan AES-NI.

Operasi biasa menggunakan instruksi CPU normal.

$ OPENSSL_ia32cap="~0x200000200000000" openssl speed -elapsed -evp aes-128-cbc
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-128-cbc for 3s on 16 size blocks: 34349970 aes-128-cbc's in 3.00s
Doing aes-128-cbc for 3s on 64 size blocks: 8984170 aes-128-cbc's in 3.00s
Doing aes-128-cbc for 3s on 256 size blocks: 2337382 aes-128-cbc's in 3.00s
Doing aes-128-cbc for 3s on 1024 size blocks: 589989 aes-128-cbc's in 3.00s
Doing aes-128-cbc for 3s on 8192 size blocks: 74022 aes-128-cbc's in 3.00s
OpenSSL 1.0.1i 6 Aug 2014
built on: Fri Aug  8 06:23:32 WIB 2014
options:bn(64,64) rc4(8x,int) des(idx,cisc,16,int) aes(partial) idea(int) blowfish(idx) 
compiler: x86_64-pc-linux-gnu-gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DL_ENDIAN -DTERMIO -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -O2 -pipe -march=native -mtune=native -fomit-frame-pointer -flto=8 -floop-interchange -ftree-loop-distribution -floop-strip-mine -floop-block -ftree-vectorize -fno-strict-aliasing -Wa,--noexecstack
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
aes-128-cbc     183199.84k   191662.29k   199456.60k   201382.91k   202129.41k

Sedangkan berikut operasi menggunakan instruksi AES-NI.

$ openssl speed -elapsed -evp aes-128-cbc
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-128-cbc for 3s on 16 size blocks: 99416661 aes-128-cbc's in 3.00s
Doing aes-128-cbc for 3s on 64 size blocks: 27157194 aes-128-cbc's in 3.00s
Doing aes-128-cbc for 3s on 256 size blocks: 7746016 aes-128-cbc's in 3.00s
Doing aes-128-cbc for 3s on 1024 size blocks: 2005119 aes-128-cbc's in 3.00s
Doing aes-128-cbc for 3s on 8192 size blocks: 253147 aes-128-cbc's in 3.00s
OpenSSL 1.0.1i 6 Aug 2014
built on: Fri Aug  8 06:23:32 WIB 2014
options:bn(64,64) rc4(8x,int) des(idx,cisc,16,int) aes(partial) idea(int) blowfish(idx) 
compiler: x86_64-pc-linux-gnu-gcc -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DL_ENDIAN -DTERMIO -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -O2 -pipe -march=native -mtune=native -fomit-frame-pointer -flto=8 -floop-interchange -ftree-loop-distribution -floop-strip-mine -floop-block -ftree-vectorize -fno-strict-aliasing -Wa,--noexecstack
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
aes-128-cbc     530222.19k   579353.47k   660993.37k   684413.95k   691260.07k

Berikut tabel hasilnya:

Instruksi CPU Tipe 16-bit 64-bit 256-bit 1024-bit 8192-bit
AES-NI aes-128-cbc 530222,19 579353,47 660993,37 684413,95 691260,07
Normal 183199,84 191662,29 199456,6 201382,91 202129,41
Performa 2,8942284557 3,0227827811 3,313970909 3,3985701667 3,4198886248
Total Performa AES-NI 3,2098881874

Tampak bahwa dalam kasus ini, penggunakan AES-NI pada OpenSSL meningkatkan performa 3 kali lipat.

Dukungan AES-NI

Untuk mengetahui apakah prosesor peladen Anda mendukung AES-NI, silakan lihat dengan:

$ cat /proc/cpuinfo  | grep aes
flags           : ... aes ...

Kalau didukung, akan ada tulisan ‘aes’. Biasanya, sih, untuk prosesor AMD dan Intel yang baru [baca: keluaran tahun-tahun ini] sudah mendukung instruksi AES-NI. Kalau pun belum, bisa langsung saja mengompilasi OpenSSL dengan menggunakan instruksi SSE4 atau AVX. Ya, tapi itu di luar cakupan tulisan ini agar tidak terlalu rumit.

Untuk Debian Wheezy, OpenSSL 1.0.1e yang digunakan akan secara otomatis mendeteksi AES-NI. Tidak perlu mengompilasi sendiri untuk versi Debian tersebut. Untuk sistem operasi yang lain, silakan konsultasi kepada Mbah Gugel.

Bila Anda menggunakan KVM atau Proxmox, pastikan Anda menggunakan tipe CPU Host. Cara lain adalah pastikan instruksi AES-NI diperbolehkan untuk KVM.

Konfigurasi NGINX

Karena OpenSSL transparan, maka tidak ada yang perlu dipusingkan oleh NGINX untuk menggunakan AES-NI. NGINX hanya perlu memberitahukan protokol enkripsi yang dipakai untuk HTTPS.  Untuk itu, perhatikan contoh konfigurasi NGINX:

server {
        listen   80;
        listen  [::]:80 ipv6only=on;
        server_name  www.contoh.aja;
        server_name_in_redirect on;
        port_in_redirect on;

        access_log  /var/log/nginx/normal.access.log;
        error_log  /var/log/nginx/normal.error.log;

        ## redirect http to https ##
        rewrite        ^ https://$server_name$request_uri? permanent;

server {
        listen   443 ssl spdy;
        listen [::]:443 ipv6only=on ssl spdy;

        server_name  www.contoh.aja;
        server_name_in_redirect on;
        port_in_redirect on;

        ssl  on;
        ssl_certificate /etc/nginx/ssl.cert;
        ssl_certificate_key /etc/nginx/ssl.key;
        ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_session_cache   shared:SSL:10m;
        ssl_session_timeout 10m;

        access_log  /var/log/nginx/ssl.access.log;
        error_log  /var/log/nginx/ssl.error.log;


Saya akan mencoba menjelaskan beberapa bagian yang penting. Saya mengasumsikan Anda sudah tahu mengonfigurasi NGINX secara dasar sehingga saya tak perlu menjelaskan semuanya. Atau, setidaknya Anda bisa mencari langsung di Internet.

Saya sengaja tidak menyertakan aturan FastCGI PHP dan aturan-aturan rewrite untuk mengurangi kompleksitas kode. Ada banyak tutorial dasar untuk menyertakan aturan FastCGI. Lagipula, untuk aturan-aturan rewrite tergantung kepada aplikasi yang kita gunakan (Drupal, WordPress, dsb.).

Yak, langsung saja.

Mendengar di IPv4 dan IPv6

Berikut sintaksis agar NGINX mendengar semua antarmuka jaringan (IPv4 dan IPv6).

listen   80;
listen  [::]:80 ipv6only=on;

Ada alasan mengapa mengaktifkan dual stack. Universitas Indonesia (UI) sudah sejak lama memiliki satu blok (/16) IPv4 kelas B. Karena termasuk historical member dari IANA, UI juga beruntung mendapatkan satu blok /48 IPv6. Itu sebabnya, hampir semua peladen UI sudah memiliki IPv6 sendiri berikut IPv4 publik.

Mengarahkan Semua ke HTTPS

Berikut sintaksis untuk mengarahkan koneksi HTTP ke HTTPS.

rewrite        ^ https://$server_name$request_uri? permanent;

Ada tutorial lama yang menyampur koneksi HTTPS dan HTTP. Hal ini tidak sesuai dengan prinsip keamanan. Bila memang situs ingin aman sepenuhnya, maka harus semuanya harus menggunakan HTTPS. Konten campuran (berisi HTTP dan HTTPS) tidak disarankan dan beberapa peramban akan cerewet tentang itu.

Mengaktifkan SPDY

Berikut sintaksis agar NGINX menggunakan SSL (HTTPS) dengan SPDY.

listen   443 ssl spdy;
listen [::]:443 ipv6only=on ssl spdy;

Untuk akselerasi HTTPS, Google mengembangkan teknik SPDY. Hampir semua peramban modern mendukung protokol SPDY. Saya pernah membahas ini.

Mengaktifkan SSL

Baris-baris inilah yang mengaktifkan enkripsi HTTPS (SSL).

ssl  on;
ssl_certificate /etc/nginx/ssl.cert;
ssl_certificate_key /etc/nginx/ssl.key;

Baris ssl_certificate mengarahkan ke berkas sertifikat peladen. Ada tiga jenis skenario untuk berkas sertifikat peladen:

  1. Untuk menambah legitimasi, biasanya sertifikat ditandatangani oleh Certificate Authority (CA) yang sudah diakui. StartSSL menyediakan layanan ini dengan gratis. Kalau mau yang murah ada RapidSSL atau Komodo. Kalau mau lebih bonafide, gunakan VeriSign. Mereka ini biasanya sertifikat utamanya (root certificate) sudah dipasang di sistem operasi/peramban. Root certificate adalah sertifikat CA yang dipakai untuk melegitimasi sertifikat sebuah server.
  2. Ada juga organisasi yang membuat root certificate sendiri. Biasanya, mereka memasang sendiri root certificate ke sistem operasi/peramban pengguna. Ada banyak tutorial tentang itu, terutama Windows Server dan UNIX.
  3. Yang paling jamak digunakan di tutorial-tutorial biasanya menggunakan sertifikat yang ditandatangani sendiri (self-signed).

Silakan pilih skenario yang terbaik. Untuk situs bisnis biasanya menggunakan CA pihak ketiga (poin 1). Namun, untuk Intranet biasanya menggunakan poin 2.

Baris berikutnya ssl_certificate_key mengarahkan berkas kunci privat peladen. Pastikan berkas ini hanya bisa diakses baca-saja oleh root (0400).

Parameter Tambahan

Berikut parameter tambahan yang opsional. Parameter-parameter ini yang memperkuat enkripsi situs.

Hanya Gunakan TLS

Protokol SSLv3 sudah tamat semenjak POODLE beberapa hari yang lalu. Banyak yang menyarankan untuk mematikan protokol ini. Ya, berhubung protokol ini sudah sangat lama, wajar saja. Lagipula, hanya IE6/7 yang menggunakan Windows XP SP3 yang belum ditambal saja yang terpengaruh. Sisanya, dunia sudah mengenal TLS sejak lama.

Ya sudah, cukup aktifkan semua versi protokol TLS saja.

ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;

Protokol TLS pun sebenarnya tidak begitu aman. Kalau mau paranoid, hanya aktifkan TLSv1.2 saja. Tentu saja, ini mengurangi jumlah pengunjung dan peramban yang bisa mengakses situs kita.

Gunakan SHA256 AES-GCM dengan Forward Secrecy dan RC4 Sebagai Cadangan

Semenjak tahun 2011, SHA1 dianggap sudah tidak aman lagi. Lebih parah lagi, Google akan mempenalti situs-situs yang masih menggunakan SHA1 pada 1 Januari 2017. Artinya, semua situs yang masih memakai sertifikat dengan tanda tangan SHA1 akan dianggap tidak aman oleh produk-produk Google.

Bila Anda masih baru mau memasang sertifikat, gunakan sertifikat dengan tanda tangan SHA256. Atau kalau lebih bagus lagi, gunakan SHA387. Tetapi, untuk SHA387 masih jarang dan lagi mahal.

Ada banyak protokol pertukaran kunci dan saya tidak mau terlalu detail. Saat ini protokol yang aman dari gangguan adalah AES-GCM dan RC4. Protokol RC4 sudah lama dan relatif aman. Sedangkan GCM masih relatif baru, sehingga beberapa peramban lama tidak mendukung.

[Lama itu hitungannya 10 s.d. 20 tahun yang lalu, ya, kawan-kawan.]

Saat ini RC4 disarankan untuk ditinggalkan. Bukan berarti dia tidak aman. Sudah ada metodenya, tetapi untuk bisa membobol RC4 saat ini memerlukan sumber daya yang sangat besar. Jadi, RC4 relatif cukup aman.

Penggunaan AES-GCM disarankan oleh karena adanya instruksi AES-NI yang mempercepat percepat perhitungan.  Teknik ini peningkatan implementasi dari AES-CBC dengan menggunakan instruksi perangkat keras. Itu sebabnya, AES-CBC disarankan ditinggalkan.

Berikut instruksinya.


Oh, iya, satu lagi. Dalam konfigurasi ini diaktifkan mode Forward Secrecy yang ada di TLSv1.2.

Mengaktifkan Urutan Enkripsi Di Sisi Server


ssl_prefer_server_ciphers on;

Instruksi ini mengakibat peladen akan menyuruh klien untuk menggunakan metode enkripsi yang diinginkan sesuai dengan urutan. Ini mengurangi kemungkinan klien yang sudah mendukung TLSv1.2 malah menggunakan versi terdahulu karena konfigurasi perambannya. Hal ini bisa memitigasi terhadap serangan BEAST.

Menyimpan Sesi SSL


ssl_session_cache   shared:SSL:10m;
ssl_session_timeout 10m;

Untuk keperluan optimasi, NGINX dapat menyimpan sesi SSL pada tembolok. Ada dua jenis yang didukung. Yang pertama, tembolok tersebut disimpan oleh NGINX sehingga bisa diakses oleh sesama proses-proses pekerja NGINX. Yang kedua, per pekerja menggunakan tembolok yang disediakan oleh OpenSSL. Disarankan untuk menggunakan tembolok NGINX saja.

Menurut NGINX, 1 MB mampu menampung 4000 sesi. Konfigurasi ini menggunakan 10MB sehingga kira-kira ada 40000 sesi yang didukung. Setiap sesi ini disimpan selama 10 menit saja. Silakan dikonfigurasikan sesuai kemampuan peladen Anda.


Setelah semua selesai, silakan menyalakan ulang NGINX. Mari saya rekap untuk Anda:

  1. Gunakan SPDY untuk mempercepat koneksi HTTPS.
  2. Gunakan kunci dengan algoritma SHA256 atau lebih yang sudah divalidasi oleh CA.
  3. Gunakan protokol TLS teranyar dengan AES-GCM dengan RC4 sebagai cadangan.
  4. Gunakan tembolok untuk mengoptimasi penggunaan TLS.

Anda pun sudah memiliki peladen yang cukup handal. Anda bisa mempelajari teknik-teknik tambahan lain mengenai SSL, misalnya menggunakan OCSP.

Terakhir, Anda perlu mengedukasi pengguna Anda agar tidak memberikan sandi kepada siapa pun dan mengganti sandi secara periodik, misalnya 6 bulan sekali. Percuma punya infrastruktur yang handal tanpa pengguna yang paham.

Nota Bene

Gunakan pihak ketiga untuk menguji SSL. Saya menggunakan perkakas dari Qualys SSL Lab. Contoh hasil pengujian konfigurasi SSL pada Blog Staff UI.

SSL Labs test on Blog Staff UI. Yeah, we need to upgrade into SHA256. The certificate is issued not long ago.

SSL Labs test on Blog Staff UI. Yeah, we need to upgrade into SHA256. The certificate is issued not long ago.

Bacaan Lebih Lanjut

Unduhan Tak Berujung Pada EA Origin

Unduhan Tak Berujung Pada EA Origin

Pada saat hendak mengunduh sebuah permainan, Origin selalu pada keadaan “Preparing Download”. Rasanya tidak mungkin semalaman ditinggal masih pada status tersebut. Ketika WINE dijalankan dari terminal GNU/Linux, saat mengunduh permainan ada pesan ini berulang-ulang:

fixme:netprofm:list_manager_GetConnectivity 0x17a640, 0x33cd98

Setelah saya mencari tahu, ternyata ada masalah pada Qt5Network.dll yang dipakai oleh Origin. Intinya, karena proses pemanggilan (system call) pada wineserver terlalu panjang, unduhan tak juga diproses. Maka, solusinya Qt5Network.dll harus ditambal untuk menggunakan tembolok pada TcpSockets. Hal ini mengurangi system call yang berlebihan sehingga unduhan bisa berjalan.

Ya, sudah, selanjutnya silakan pergi ke direktori Origin. Kebetulan saya menggunakan Playonlinux, normalnya ada di “~/.wine/drive_c/Program Files/Origin/”

cd "~/PlayOnLinux's virtual drives/wine_csmt/drive_c/Program Files/Origin"

Lalu, selanjutnya unduh tambalan untuk Qt5Network.dll.

wget "" -O Qt5Network.bin.patch

Selanjutnya, buat salinan Qt5Network.dll untuk berjaga-jaga.

cp Qt5Network.dll{,.orig}

Terakhir, tambalan dimulai.

patch -Np0 -i ~/Unduhan/Wine/Qt5Network.bin.patch

Lalu jalankan Origin dan siap untuk mengunduh.

Bacaan Lebih Lanjut

Origin (EA Game Downloader) pada GNU/Linux

Origin (EA Game Downloader) pada GNU/Linux

Saya sebenarnya tidak menyukai EA dan Ubisoft. Praktik DRM mereka tidak saya sukai. Namun, rekan saya menyuruh saya untuk obyektif.

Ada permainan-permainan gratis yang diberikan oleh EA saat ini. Mungkin mereka berusaha merebut potongan kue yang lebih besar dari Steam. Ya, sudah, saya pun mencoba langsung memasang Origin.

Eh, ternyata ada galat seperti ini:

Origin: Online login is currently unavailable

Origin: Online login is currently unavailable

Yah. Untung saya cepat menemukan masalahnya. Menurut Galat #35902, galat ini disebabkan oleh karena sertifikat CA yang digunakan oleh EA sudah dibuang dari paket kumpulan CA Certifacates GNU/Linux yang terbaru. Hal ini karena GTE CyberTrust Global menggunakan 1024-bit. Astaga, di saat orang-orang sudah mulai menggunakan 4096-bit masih saja ada yang menggunakan enkripsi sepanjang itu.

Ah, sudahlah, saya tak sudi memasang sertifikat itu di komputer saya. Saya hanya akan memasang di lokal WINE saja. Intinya saya dapatkan dari artikel WineHQ.

Sebelum dimulai, saya mendapatkan sertifikat GTE CyberTrust Global dari TBS Internet. Caranya:


Atau gunakan aplikasi selain WGET untuk mengunduhnya.

Pertama-tama, pasang Internet Explorer 6. Cara paling mudah:

winetricks ie6

Atau gunakan PlayOnLinux untuk memasang komponen IE6.

Selanjutnya,  buka Control Panel. Caranya:

wine control

Lalu kemudian masuk ke Internet Options ▶ Content ▶ Certificates… ▶ Trusted Certification Authorities

Internet Properties

Internet Properties with Content tab open for installing certificate

Kemudian, pada Trusted Certification Authorities tekan tombol Import… dan pilih sertifikat yang kita sudah unduh (GTECyberTrustGlobalRoot2018.crt).

Trusted Certificate with GTE root certificate installed

Trusted Certificate with GTE root certificate installed

Selesai dan jalankan Origin seperti biasa.

Deadlight pada WINE dengan Menggunakan PlayOnLinux
WINE Is Not Emulator

Deadlight pada WINE dengan Menggunakan PlayOnLinux

Sebelum Ini

Ada beberapa syarat untuk dapat Memasang Deadlight.

  1. Sudah memasang PlayOnLinux.
  2. Sudah membeli/berniat membeli Deadlight dari STEAM. Saya tak sudi membantu pembajakan.
  3. Rasa haus mau belajar dan bermain.
  4. Semua dimulai dari Halaman Depan.
    PlayOnLinux front page

    PlayOnLinux front page

Selanjutnya proses pemasangan sederhana, kok. Intinya ada tiga kegiatan:

  1. Memasang WINE
  2. Memasang Lingkungan WINE untuk Steam.
  3. Memasang Steam
  4. Memainkan Deadlight

Gampang, bukan?

Memasang WINE

Untuk memasang WINE gunakan langkah seperti berikut.

  1. Dari Halaman Depan, buka menu Tools ⇒ Manage Wine versions
  2. Pastikan Anda ada di tab Wine versions (x86) untuk Wine 32-bit. Kebanyakan permainan masih memakai pustaka 32-bit.
    PlayOnLinux-WINE version Installer - 01 Pick Version

    PlayOnLinux-WINE version Installer – 01. Pick Version

  3. Pada tab tersebut, pada bagian Available Wine versions: pilihlah versi 1.7.24-LeagueOfLegendsCSMT dan tekan tombol “>” untuk dipasang.Saya tidak tertarik kepada LoL. Tetapi, teknologi CSMT membuat instruksi OpenGL berjalan secara paralel sehingga menghasilkan gambar lebih cepat.
  4. Terakhir, wisaya akan menanyakan konfirmasi Anda. Langsung saja Next.
PlayOnLinux-WINE version Installer - 00 Intro

PlayOnLinux-WINE version Installer – 00. Intro


Saya tidak sempat mengambil cuplikan proses pemasangan karena prosesnya di tempat saya terlalu cepat. Bukannya mau menyombongkan diri, tapi memang demikian. Setelah ini pun Wine yang kita inginkan telah tersedia.

Memasang Lingkungan WINE untuk Steam

Sekarang saatnya memasang Steam:

  1. Dari Halaman Utama pilih tombol Configure untuk membuka PlayOnLinux configuration
  2. Pada laman PlayOnLinux configuration, pilih tombol New untuk membuat sebuah lingkungan Wine baru. Menarik sekali kalau PlayOnLinux menamakan sebuah lingkungan Wine sebagai sebuah Virtual Drive.
    PlayOnLinux Configure page

    PlayOnLinux Configure page

  3. Pada laman Virtual Drive creator, tinggal Next saja.
    PlayOnLinux VirtualDrive creator

    PlayOnLinux VirtualDrive creator

  4. Seperti yang disebutkan sebelumnya, permainan Windows banyak menggunakan pustaka 32-bit. Maka, demi menjaga kompabilitas tinggi, langsung saja kita konfigurasikan Wine kita untuk lingkungan 32-bit.
    PlayOnLinux's Virtual Drive: Choose Architecture type

    PlayOnLinux’s Virtual Drive: Choose Architecture type

  5. Pilih Wine versi 1.7.24-LeagueOfLegendsCSMT.
    PlayOnLinux's Virtual Drive: Choose WINE Version

    PlayOnLinux’s Virtual Drive: Choose WINE Version

  6. Masukkan nama Lingkungan Wine yang baru dibuat.
    PlayOnLinux's Virtual Drive: Enter Wine's Environment name

    PlayOnLinux’s Virtual Drive: Enter Wine’s Environment name

  7. Sudah selesai.

Selanjutnya tutorial dimulai dari halaman PlayOnLinux configuration. Sebagai contoh, lingkungan WINE yang dipakai adalah “steamjp”. Iya, saya kurang kreatif dalam memberi nama. 🙂

Memasang Steam

Dari laman PlayOnLinux configuration, pilih lingkungan Wine yang baru saja kita pasang (contohnya, “steamjp”, lalu:

  1. Dengan “steamjp” terpilih, buka tab Install Components dan cari dan pilih Steam.
    PlayOnLinux configuration - Install Component - Steam

    PlayOnLinux configuration ⇒ Install Component ⇒ Steam

  2. Pilih tombol Install untuk memasang. Nanti PlayOnLinux akan menjalankan instalasi Steam. Pasang Steam seperti biasa. Oh, iya! Supaya gampang, saya memasang Steam pada direktori C:\Steam agar mudah diakses.
  3. Selesai.

Setelah itu, saatnya memainkan Deadlight.

Memainkan Deadlight

Pertama-tama, jalankan Steam pada lingkungan WINE. Ada setidaknya dua cara untuk menjalankan Steam:

  1. Cara keren dengan Command Line.
  2. Cara biasa dengan pemilih berkas.
  3. Cara unik dengan Task Manager.

Cara Keren

Cara keren dengan Command Line:

  1. Cara keren dengan menggunakan Command Line. Dapat dibuka dari tab Wine, pilih Command Prompt
    PlayOnLinux configuration - Wine - Command Line

    PlayOnLinux configuration ⇒ Wine ⇒ Command Line

  2. Dari Command Line, masuk ke direktori Steam dan jalankan Steam.exe.
    PlayOnLinux: Run Steam from command line

    PlayOnLinux: Run Steam from command line

Cara Biasa

Agar lebih mudah, sebaiknya Anda buat pintasan agar mudah diakses. Caranya, dari tab General pilih Make a new shortcut for this virtual drive untuk membuat tautan.

Selanjutnya, untuk menggunakan cara biasa dengan pemilih berkas:

  1. Buka tab Miscellaneous dan pilih Run a .exe file in this virtual drive
    PlayOnLinux: Run Steam from Miscellaneous

    PlayOnLinux: Run Steam from a file chooser

  2. Pilih Steam.exe untuk dieksekusi dan pilih Open.
    PlayOnLinux: Select Steam.exe to execute it.

    PlayOnLinux: Select Steam.exe to execute it.

  3. Steam pun berjalan.


Cara Unik

Steam pun dapat digunakan dengan menggunakan Task Manager. Bagi Anda yang terbiasa di Windows, Task Manager biasanya dinyalakan dengan kombinasi tombol CTRL+ALT+DEL. Untuk dapat menjalankan Task Manager:

  1. Buka tab Wine dan pilih Task manager
  2. Dari Task Manager, FileNew Task (Run…)
  3. Pilih Steam.exe dan jalankan.

Saya sengaja tidak bikin cuplikan karena gambarnya sama saja dengan Task Manager di Windows. Cuma, bedanya ini berjalan di GNU/Linux


Saya menggunakan MESA dari GIT dengan tambalan dari grup IXIT untuk Gallium Direct3D tracker (fitur ini tidak terpakai). Selain itu, spesifikasi komputer saya cukup tinggi:

  • AMD FX(tm)-8350 Eight-Core Processor @ 4GHz.
  • MSI 990FXA-GD80 dengan BIOS AMI versi 13.4.
  • Patriot Division 4 Viper Xtreme, 16GB (4x4GB) 1866 MHz
  • AMD Radeon HD 5770 (Juniper) dengan memori 256MB.

Selanjutnya, saya memakai konfigurasi grafis tinggi.

Deadlight's Display Settings

Deadlight’s Display Settings

Hasilnya? Tidak ada patah-patah sama sekali. Berikut galeri yang menyertai.


Memasang PlayOnLinux di GNU/Linux

Memasang PlayOnLinux di GNU/Linux

PlayOnLinux front page

PlayOnLinux front page

Cara paling gampang adalah dengan memasang dari repositori:

$ sudo apt-get install playonlinux


$ sudo emerge -aq playonlinux


Versi Terbaru

Untuk versi terbaru, dapat menggunakan yang dari GIT. Saya sarankan untuk sudah memasang PlayOnLinux yang sudah ada di distro terlebih dahulu. Hal ini agar paket-paket ketergantungannya dipasang.

Jika sudah, langsung saja kloning repo GIT-nya:

$ git clone playonlinux
Cloning into 'playonlinux'...
remote: Counting objects: 43849, done.
remote: Compressing objects: 100% (110/110), done.
remote: Total 43849 (delta 58), reused 0 (delta 0)
Receiving objects: 100% (43849/43849), 62.93 MiB | 982.00 KiB/s, done.
Resolving deltas: 100% (23122/23122), done.
Checking connectivity... done.

Nanti kalau mau memainkannya tinggal:

$ ./playonlinux/playonlinux

Atau sesuaikan dengan tempat Anda berada. Selesai!

Yak, sudah. Kok, bengong? Kurang panjang? 😛

Alternatif Mengubah cue/bin Menjadi FLAC

Alternatif Mengubah cue/bin Menjadi FLAC

Saya terkejut ketika saya membandingkan FLAC yang saya hasilkan dengan teknik sebelumnya ternyata sedikit berbeda dengan WAV dan data mentah CD. Hal ini dikonfirmasi juga oleh beberapa tulisan. Awalnya, banyak yang mengira ini efek plasebo karena sampai saat ini belum terbukti. Tapi, telinga berkata lain.

Kendati demikian, saya tetap memilih FLAC karena FLAC adalah format terbuka yang didukung oleh banyak perangkat. Saya, sih, mau coba menggunakan Wavpack, APAC, atau ALAC. Tapi, berhubung format-format tersebut eksotis, ya, saya urungkan niat.

Saya pun sekarang mengubah teknik saya dan benar-benar menggunakan bchunk. Untuk kesederhanaan, saya menggunakan contoh CD 2 dari Ultimate Worship 2014 yang saya miliki seperti artikel sebelumnya. Persiapan pun sama seperti artikel sebelumnya. Hanya langkah intinya yang berubah sedikit.

Inti Tulisan Ini

Pertama-tama, gunakan bchunk untuk memisahkan PCM mentah menjadi WAV:

bchunk -v -w "Various - Ultimate Worship 2014 [Disc 2].bin" tmp.cue out

Setelah itu, gunakan FLAC untuk mengubah WAV menjadi FLAC. Saya menggunakan konfigurasi baku saja tanpa embel-embel.

flac *.wav

Sisipkan tag ke dalam semua berkas FLAC. tmp.cue *.flac

Tambahkan tag-tag lainnya:

metaflac --set-tag='DISCTOTAL=2' --set-tag='DISC=2' --set-tag='album_artist=Various Artists' --import-picture-from=front.jpg out*.flac

Ganti nama berkas FLAC dengan yang lain:

lltag --yes --no-tagging --rename '%n. %a - %t' `ls out*.flac`

Selesai sudah!

Kata Terakhir

Anda sudah dapat memindahkan berkas-berkas FLAC tersebut. Hapus saja berkas-berkas WAV yang telah terbuat. Hasil FLAC ini jauh lebih baik dari sebelumnya.

Oh, iya, catatan terakhir. Komputer yang saya gunakan telah saya set ALSA-nya untuk menggunakan 44,1KHz bukan 48KHz seperti umumnya. Ini karena saya selalu mendengarkan lagu dari CD yang saya beli.