25 wskazówek, jak poprawić bezpieczeństwo cPanel / WHM

Bezpieczeństwo to ogromna sprawa. Istnieje wiele sposobów na zapewnienie bezpieczeństwa serwera cPanel/WHM, ale wszystko zaczyna się od podstaw. W tym poście na blogu omówimy 25 wskazówek, które mogą pomóc chronić Twój system przed wszelkimi zagrożeniami!

25 wskazówek, jak poprawić bezpieczeństwo cPanel / WHM

1. Ustaw bezpieczne hasła

Upewnij się, że zmieniasz hasło co 90 dni. Użyj bezpiecznego generatora haseł, aby utrzymać go w porządku i czystości. Jeśli ktoś zdobędzie Twoje hasło roota, może przejąć serwer w ciągu kilku minut!

2. Zainstaluj aktualizacje

Nie czekaj, aż cPanel/WHM wyświetli monit, gdy dostępna będzie aktualizacja! Ważne jest, aby być na bieżąco ze wszystkimi najnowszymi poprawkami bezpieczeństwa z CentOS lub RedHat.

3. Utwórz konta zapasowe

Utwórz konto kopii zapasowej dla każdego użytkownika, który potrzebuje dostępu do serwera. W ten sposób, jeśli zrobi coś nie w porządku, możesz zawiesić jego konto do czasu rozwiązania problemu.

4. Bezpieczeństwo sieci i poczty e-mail

Cyberprzestępcy atakują pracowników wewnętrznych, aby uzyskać dostęp i popełnić oszustwo. Wyłudzanie informacji jest jednym z narzędzi, z których korzystają, i ważne jest, aby podejrzane wiadomości e-mail zawierające załączniki były ściśle monitorowane pod kątem jakichkolwiek oznak problemów. Filtry zawartości sieci Web i filtry poczty e-mail współpracują ze sobą, blokując użytkownikom dostęp do złośliwej zawartości sieci Web.

5. Ogranicz dostęp SSH TYLKO za pomocą kluczy publicznych

Wszelkie zapisywane hasła powinny być wykonywane przy użyciu kluczy publicznych, a nie haseł przechowywanych lokalnie na każdym indywidualnym serwerze. Zapewni to, że Twój system będzie chroniony przed atakami typu brute force, a hakerzy nie będą mogli dostać się na serwer przez SSH bez odpowiednich poświadczeń.

6. Wyłącz powłokę internetową

Domyślnie większość serwerów ma zainstalowaną powłokę internetową w cPanel/WHM, która może umożliwić atakującemu dostęp do WHM, jeśli uda im się uzyskać dostęp do roota na urządzeniu za pomocą tych poświadczeń. Upewnij się, że ta funkcja jest wyłączona, przechodząc do WHM> Zainstaluj lub usuń oprogramowanie.

7. Ochrona zapory CSF

Jednym z najlepszych narzędzi, których możesz użyć, aby pomóc w zabezpieczeniu cPanel/WHM, jest zapora. Zapora CSF (Config Server Security & Firewall) chroni większość usług, takich jak FTP, SSH i POP/IMAP. Jest łatwy w instalacji i konfiguracji dzięki opcjom takim jak ochrona przed brutalną siłą!

8. Miej oko na dzienniki

Jeśli są jakieś oznaki, że dzieje się coś dziwnego lub użytkownicy próbują uzyskać dostęp do twojego systemu bez wysyłania odpowiednich danych uwierzytelniających pocztą elektroniczną, sprawdź katalog /var/log pod kątem jakichkolwiek podejrzanych.

9. Regularnie aktualizuj cPanel

Jest to jeden z najłatwiejszych sposobów, aby zapewnić, że Twój serwer pozostanie na bieżąco z poprawkami bezpieczeństwa i nie zostaniesz zhakowany. Można to zrobić, przechodząc do WHM> Uaktualnij cPanel i zainstaluj aktualizacje.

10. Włącz ochronę przed brutalną siłą

Atak brute force ma miejsce, gdy ktoś próbuje uzyskać dostęp do Twojego serwera, odgadując kombinację nazwy użytkownika i hasła. Informacje te można uzyskać metodą prób i błędów (wypróbowanie jednego, a następnie wypróbowanie drugiego) lub za pomocą zautomatyzowanego oprogramowania, które służy do tego celu; dlatego nazywa się to „brute force”. Na szczęście w WHM > Tweak Settings dostępna jest opcja, która może pomóc chronić Twój system przed tego typu atakami!

11. Wyłącz anonimowy FTP

Anonimowy FTP to sposób, w jaki użytkownicy mogą uzyskać dostęp do Twoich plików bez konieczności logowania się przy użyciu jakichkolwiek poświadczeń. Może to być użyte przez hakerów jako otwarte drzwi do twojego serwera cPanel/WHM, jeśli uda im się uzyskać dostęp do konta root! Upewnij się, że ta funkcja jest włączona lub wyłączona w zależności od tego, co chcesz, i użyj WHM> Menedżer funkcji, aby zrobić to szybko.

12. Kontrola bezpieczeństwa hostowanej witryny

To szybkie narzędzie może być użyte do przetestowania bezpieczeństwa Twojej witryny (witryn), wprowadzając adres URL. Sprawdzi takie rzeczy, jak certyfikaty SSL, stare wersje oprogramowania i czy używasz przestarzałej struktury motywu/CSS (co może prowadzić do luk w zabezpieczeniach).

13. Włącz audyt

Jeśli ktoś jest w stanie uzyskać dostęp do WHM jako użytkownik root, ważne jest, aby istniała możliwość śledzenia całej aktywności wykonywanej przez tych użytkowników. Powinieneś upewnić się, że audyt jest włączony, aby plik dziennika śledził wszystko, co robią na co dzień!

14. Wyłącz nieużywane usługi i demony

Zawsze upewnij się, że korzystasz tylko z niezbędnych usług wymaganych do zapewnienia płynnego działania serwera. Możesz to zrobić, przechodząc do WHM > Menedżer usług i wyłączając wszystkie funkcje, które nie są używane lub te, które stanowią potencjalne zagrożenie bezpieczeństwa, jeśli pozostaną aktywne.

15. Wyłącz mod_userdirs Apache

Aby ktoś mógł wykorzystać cokolwiek w Apache, wymaga to prawidłowego skonfigurowania pewnych katalogów lub plików, aby wszystko, co próbujesz zrobić, faktycznie działało. Jeśli to nie zostanie ustawione, napastnik będzie miał trudności z dostaniem się gdziekolwiek.

16. Blokada tmp

Partycja tmp służy do tymczasowego przechowywania plików. Jeśli ten katalog ma uprawnienia do odczytu na całym świecie, może być wykorzystany przez atakujących do przechowywania/odczytywania informacji o twoim systemie (takich jak plik /etc/passwd). Taka konfiguracja uniemożliwia atakującym przechowywanie plików i uruchamianie programów w folderze tmp.

17. Włącz aktualizacje zabezpieczeń

Ostatnią rzeczą, którą powinieneś zawsze zrobić przed wylogowaniem się z serwera, jest upewnienie się, że wszystkie aktualizacje zabezpieczeń są zainstalowane, jeśli są dostępne. Możesz dowiedzieć się, co jest wymagane i jak je zainstalować w WHM > Preferencje aktualizacji w „Centrum bezpieczeństwa”.

18. Wyłącz funkcję PHP mail()

Funkcja PHP mail() wysyła wiadomości e-mail bezpośrednio przez PHP bez korzystania z SMTP, co stanowi potencjalne zagrożenie, ponieważ atakujący może potencjalnie sfałszować nagłówki za pomocą technik spamowych, takich jak SPAM lub XBL.

19. Usługa kontroli dostępu według adresu IP

cPanel i WHM pozwala kontrolować, kto może uzyskać dostęp do twojego serwera za pomocą adresu IP. To świetny sposób, aby upewnić się, że tylko właściwe osoby uzyskują dostęp, gdy tego potrzebują! Powinieneś dodać wszystkie niezbędne adresy IP do cPHulk, aby ta usługa była użyteczna.

20. Włącz mod_suPHP Apache

Domyślnie cPanel używa suEXEC, który jest starszą metodą, która może stwarzać pewne zagrożenia bezpieczeństwa, jeśli nie jest poprawnie skonfigurowana; sugerujemy użycie modułu mod_suPHP, ponieważ jest on szybszy i bezpieczniejszy.

21. Wyłącz separację uprawnień do poleceń powłoki z podświetleniem

Jeśli ktoś jest w stanie uzyskać dostęp jako użytkownik root do twojego komputera, pozwala mu to na wykonywanie poleceń powłoki w obrębie tych backticków za pomocą wywołania system() bez konieczności wcześniejszego sprawdzania lub filtrowania.

22. Wyłącz dostęp do roota przez SSH

O ile nie jest to absolutnie konieczne, należy to wyłączyć. Jeśli nie planujesz używać SSH do łączenia, nie ma powodu, aby uzyskać dostęp do roota przez SSH i może to zwiększyć bezpieczeństwo systemu!

jeśli chcesz jeszcze 6 rzeczy, które możesz zrobić za pomocą SSH, zapoznaj się z naszym artykułem na blogu na temat Advanced Secure Shell.

23. Nie używaj „root” jako nazwy użytkownika

Mimo że większość ludzi nie ma problemu z logowaniem się za pomocą swojej głównej nazwy użytkownika, takiej jak „admin”, nie oznacza to, że nie powinni odchodzić od domyślnych ustawień, takich jak admin lub test. Używanie czegoś unikalnego pomoże chronić twoje bezpieczeństwo, jeśli ktoś zdobędzie hasło roota od twojego dostawcy hostingu i spróbuje się z nim zalogować!

24. Włącz uwierzytelnianie dwuskładnikowe

Korzystanie z uwierzytelniania dwuskładnikowego może zapewnić, że nawet jeśli ktoś ma dostęp do tej kombinacji nazwy użytkownika i hasła, nie będzie mógł uzyskać dostępu bez posiadania innej informacji, takiej jak aplikacja uwierzytelniająca lub inne środki.

25. Wyłącz suPHP

Pozwala to na dowolne aplikacje PHP działające w trybie „suphp” cPanel, co nie jest dobre, ponieważ zapewnia bardzo małą ochronę przed takimi rzeczami, jak przechodzenie katalogów. Jeśli jednak potrzebujesz czegoś takiego, upewnij się, że używasz Apache mod_security zamiast tego, aby logowanie mogło nadal przebiegać poprawnie, podobnie jak suPHP. *****

Dlaczego zabezpieczenia cPanel/WHM są ważne?

cPanel i WHM mogą być otwartymi drzwiami do Twojego serwera, jeśli nie traktujesz poważnie bezpieczeństwa. Jeśli zostanie ujawniony, atakujący mogą potencjalnie uzyskać dostęp i zacząć robić bardzo złe rzeczy.

Dlatego ważne jest, aby poważnie traktować bezpieczeństwo i postępować zgodnie z powyższymi wskazówkami, aby zapewnić, że Twój system jest tak bezpieczny, jak to tylko możliwe!

Wniosek

Podsumowując, istnieje wiele innych wskazówek i sztuczek, które mogą sprawić, że Twój serwer cPanel/WHM będzie o wiele bezpieczniejszy w użyciu. Jeśli wykonasz wszystkie te kroki, to nawet jeśli komuś uda się naruszyć coś w pudełku, nie będzie miał dostępu do wszystkiego. Dzieje się tak, ponieważ postępując zgodnie z każdą z tych instrukcji, mamy nadzieję, że ograniczyliśmy dostęp atakującego w danym momencie, co ostatecznie go powstrzyma! Jeśli chcesz dowiedzieć się więcej

Powiązane: 20 porad dotyczących bezpieczeństwa Joomla dla Rock Solid Security przed hakerami.