Съвети за сигурност на WHM за по-безопасен сървър

Научете как да конфигурирате WHM, за да защитите вашия сървър и да защитите вашия уеб сайт от хакерски уязвимости. Съвети за подобряване на сигурността в рамките на WHM.


Съвети за сигурност на WHM

WHM е една от най-популярните платформи за управление на сървъри и потребители, които се използват днес. Безброй уеб администратори и дистрибутори се доверяват на опростяването на процеса на настройка на сървъри и управление на потребителски акаунти. За потребители с VPS или специализирани хостинг акаунти, най-вероятно ще имате достъп до WHM. Сигурността на вашия сървър помага да запазите вашата бизнес репутация от въздействие от хак. WHM съдържа няколко инструмента, които помагат да защитите вашия сървър от хакерски уязвимости.

Съвет 1: Използвайте силни, често актуализирани пароли

Това звучи като здрав разум, но човек не може да подчертае достатъчно значението на наличието на силна парола, с която да влезете в сървъра си. Създайте парола, която съдържа различни знаци, включително букви, цифри и символи. Колкото по-дълга е вашата парола, толкова по-добре. За да актуализирате вашата root парола, намерете секцията „Конфигурация на сървъра“ в лявата странична лента на WHM и кликнете върху „Промяна на коренова парола“. Използвайте парола, която WHM счита за “Много силна”.

Как да промените корен парола в WHM

Честото актуализиране на вашите пароли е препоръчително за сигурността на сървъра. Трябва да актуализирате паролите си на всеки няколко месеца или дори по-често. Също така, не забравяйте винаги да използвате различни пароли за останалите си акаунти, като например вашия уеб хостинг акаунт, ftp акаунти или дори вход в уебсайта.

Ако вашият хостинг е снабден с инсталирана база данни, трябва незабавно да актуализирате паролата на основния потребител на базата данни до сигурна стойност. За да актуализирате вашата root парола за MySQL, намерете секцията „MySQL Services“ в WHM и щракнете върху „MySQL Root Password“. Въведете парола, която WHM счита за “Много силна”.

Съвет 2: Поддържайте актуална информация за WHM и друг софтуер

WHM съдържа няколко секции, които ви позволяват да актуализирате различните софтуерни компоненти на вашия сървър.

  1. Конфигурация на сървъра → Актуализиране на предпочитанията. Този раздел съдържа предпочитания за актуализиране на услуги, свързани с cPanel, OS пакети и SpamAssassin. Препоръчително е да зададете „Release Nier“ на „RELEASE“. Това ще гарантира стабилни версии на софтуера. Препоръчително е също така да настроите всички от следните настройки на „Автоматично“.
  • Ежедневни актуализации
  • Актуализации на операционната система
  • Актуализации на правилата за Apache SpamAssassin ™ ”

Актуализирането на тези услуги автоматично ще гарантира, че софтуерът се актуализира всяка вечер.

Как да поддържаме актуализиран софтуер за WHM

  1. Софтуер → EasyApache (Apache Update) – Този раздел съдържа предпочитания за актуализиране на Apache, PHP и свързани компоненти. Проблемите със сигурността често се решават в софтуера, така че актуализирайте, когато е възможно. WHM не предоставя опция за автоматично актуализиране на тези услуги, тъй като това може да прекъсне приложение, създадено за конкретна версия на PHP и др. Препоръчително е да актуализирате посочения софтуер, когато е подходящо.
  1. Софтуер → Надстройка на MySQL / MariaDB – Този раздел е мястото, където можете да актуализирате версията на вашата база данни. Както при актуализациите на EasyApache, актуализациите на базата данни не са автоматични.

Съвет 3: Активирайте suPHP и suEXEC

PHP работи на сървъра с помощта на зададен манипулатор. Манипулаторът е средството, което Apache използва за комуникация с PHP. SuPHP манипулаторът съдържа няколко реализации за защита, за да ви помогне да защитите приложението си. За да активирате suPHP, намерете секцията „Конфигурация на услугата“ на WHM и щракнете върху „Конфигуриране на PHP и suEXEC“. Когато използвате suPHP, също активирайте suEXEC. Това гарантира, че всички CGI програми (включително PHP, използващи suPHP) се изпълняват като конкретен потребител.

Как да активирате suPHP & suEXEC

Чрез активиране на suPHP манипулатора, PHP скриптите се изпълняват под конкретно потребителско име, а не под „никой“ потребител. Това означава, че ако PHP скриптът някога е бил експлоатиран, скриптът може да има достъп само до тези файлове, собственост на този потребител.

Съвет 4: Шифроване на качените данни и деактивиране на анонимния FTP

Как потребителите могат да прехвърлят файлове сигурно на сървъра на уебсайта? FTP без SSL не криптира вашите данни за вход или файлове, които се прехвърлят. Това означава, че те потенциално биха могли да бъдат прихващани и файлове дори да бъдат модифицирани от хакер. SFTP (FTP през SSH) и FTPS (FTP над SSL) са сигурни методи за прехвърляне, тъй като те криптират данните, изпращани до сървъра.

Ако потребителите на cPanel ще качват файлове под имената на своите акаунти (без да създават FTP акаунти), тогава SFTP може да се използва за сигурни качвания. SFTP е активиран по подразбиране, когато се създаде cPanel акаунт. Потребителите ще трябва да знаят номера на SSH порта на вашия сървър, за да се свържат чрез SFTP. По подразбиране това е порт 22.

Ако потребителите на cPanel ще създават FTP акаунти за качване на файлове, FTPS може да се използва за осигуряване на качвания. Тъй като FTPS използва SSL за защита на данни, прехвърлени на сървъра, ще трябва да добавите SSL сертификат към FTP, за да използвате FTPS. Следвайте тези стъпки, за да активирате FTPS в WHM.

  1. В секцията Конфигурация на услугата на WHM щракнете върху „Управление на сервизни SSL сертификати“. Превъртете надолу до „Инсталиране на нов сертификат“.Как да добавите SSL сертификат към FTP
  2. Поставете отметка в квадратчето „FTP Server“.
  1. Поставете вашето SSL сертификат и съдържание на частния ключ в съответните полета за въвеждане. Ако сте закупили SSL сертификат от трета компания, компанията ще предостави тази информация. Или, ако искате да спестите разходи, можете да генерирате сертификат, самоподписан. За повече информация отидете на интерфейса „Генериране на SSL сертификат и заявка за подписване“, разположен в секцията „SSL / TLS“ на WHM. За самоподписани сертификати също ще трябва да попълните раздела „Пакет от сертифицирани органи“.
  1. Сега, когато SSL сертификатът е инсталиран за FTP, уверете се, че FTPS е активиран на сървъра. Намерете секцията „Конфигурация на услугата“ в WHM и щракнете върху „Конфигурация на FTP сървъра“. Уверете се, че „Поддръжката за шифроване на TLS“ е настроена на „Незадължително“, „Задължително (команда)“ за криптиране на идентификационни данни или за предпочитане „Задължително (команда / данни)“ за криптиране на идентификационни данни и прехвърлени файлове.
  2. Задайте „Разрешаване на анонимни входни данни“ и „Разрешаване на анонимни качвания“ на „Не“. Anonymous FTP позволява FTP достъп без парола. Деактивирайте това от съображения за сигурност.

Вече можете да използвате предпочитания от вас FTP клиент, за да качвате файлове с FTPS, стига той да се поддържа. Просто изберете FTP с TLS / SSL метод за трансфер в FTP клиента.

Съвет 5: Прегледайте настройките на Центъра за сигурност

Разделът „Център за сигурност“ на WHM предоставя различни настройки, които трябва да бъдат прегледани, за да се подобри сигурността на вашия сървър.

  1. Достъп на компилатор. Деактивирайте компилаторите за непривилегировани потребители, за да предотвратите атаки чрез уязвимости на компилатора.Как да деактивирате достъпа на компилатора в WHM
  2. cPHulk Brute Force Detection. Атака с груба сила е, когато хакер се опита да влезе в сървър чрез последователно въвеждане на различни комбинации от пароли. Активирайте cPHulk за защита от тези атаки. cPHulk блокира IP адреса на хакер, когато бъде открита груба атака. Ако активирате и настройката на cPHulk, озаглавена „Изпращане на известие при успешно влизане в корен, когато IP адресът не е в белия списък“, можете да бъдете уведомени по имейл, ако неоторизиран потребител влезе във вашия акаунт.Как да активирате cPHulk Brute Force Protection
  3. Управление на потребителите на колесните групи. Потребителите на колесната група имат възможността да получат достъп до сървъра за суперпотребител, което представлява голяма заплаха за сигурността. За да сте сигурни, че няма потребители да имат достъп до суперпотребител, просто премахнете всички потребители от списъка в раздела „Премахване на потребител от групата на колелата“.
  4. Защита от бомби с вилица от вилица. Активирайте тази настройка, за да предотвратите терминалните връзки да използват неограничени ресурси. Това намалява риска от срив на сървъра.
  5. SMTP ограничения. Активирайте тази настройка, за да разрешите само надеждни източници да се свързват с отдалечен SMTP сървър. Това помага да се намали рискът от изпращане на спам от имейл адресите ви.
  6. Traceroute Enable / Disable. Деактивирайте тази настройка, за да скриете топологията на сървърната мрежа. Разкриването на тази мрежова информация може да помогне при хакване.

Съвет 6: Деактивирайте достъпа до потребителска обвивка

Ако cPanel профилите на вашия сървър не се нуждаят от SSH достъп, трябва да деактивирате достъпа поради съображения за сигурност. Имайте предвид, че потребителите все още могат да качват файлове с SFTP дори и с деактивиран достъп до черупките. За да деактивирате SSH за всички текущи потребители, намерете секцията „Функции на акаунта“ в WHM и щракнете върху „Управление на достъпа до шел“. Под „Деактивирана обвивка“ кликнете върху „Прилагане към всички“.

Как да деактивирате достъпа до Shell

Съвет 7: Настройка на настройките на сървъра

Няколко опции в интерфейса „Настройки за настройване“ трябва да бъдат зададени правилно, за да се подобри сигурността. Намерете секцията „Конфигурация на сървъра“ и кликнете върху „Настройки за настройване“. Актуализирайте следните настройки.

Как да настроите настройките за сигурност на сървъра

  1. Поща → Макс. Часови имейли на домейн. Можете да помислите за задаване на максимален брой разрешени изходящи имейли на час. Това помага да се предотврати потенциалната ви система да се използва за изпращане на масови спам имейли, ако са хакнати. Уверете се, че стойността е достатъчно голяма, че вашият сървър все още може непрекъснато да изпраща законни имейли.
  1. Поща → Предотвратете „никой“ да не изпраща поща → Изключено. Ако приемем, че сте конфигурирали PHP да използва suPHP манипулатора, изключете това. Това ще гарантира, че само тези процеси, работещи като конкретен потребител, могат да изпращат имейли. Това работи за предотвратяване на спам.
  1. Пренасочване → Винаги пренасочване към SSL → Включено. Защитете идентификационните данни на сървъра, като позволявате достъп до услуги, свързани с cPanel, само чрез защитена връзка.
  1. Защита → Проверка на безопасността на празна препратка → Включена и Защита → Проверка на безопасността на препращача → Включена. Чрез активиране на тези настройки достъпът до услуги, свързани с cPanel, се предоставя само ако браузърът изпрати валидна стойност на реферала. Това помага да се предотврати хак, наречен CSRF атака.

Съвет 8: Инсталиране и конфигуриране на ModSecurity

ModSecurity е защитна стена на уеб приложение, която служи за филтриране на HTTP заявки, събития в лога, приложения за кръпка (за предотвратяване на хакове чрез лошо написан код) и други. ModSecurity може да бъде инсталирана по време на изграждане на вашия профил с EasyApache (WHM → Софтуер → EasyApache). Веднъж инсталиран, конфигурирайте ModSecurity с набор от правила, за да помогнете да се защитите от хакове. Фондацията OWASP предоставя набор от правила за защита, който е свободен за използване. За да го добавите, намерете секцията „Сигурност“ в WHM и щракнете върху „ModSecurity ™ доставчици“. След това инсталирайте “OWASP ModSecurity Core Rule Set”. Накрая щракнете върху „Инсталиране и рестартиране на Apache“.

Съвет 9: Инсталирайте CSF

Защита на ConfigServer & Защитната стена (CSF) работи като защитна стена на персонализиращ сървър и също така се използва за откриване на проникване, известия за влизане и други функции за защита. Друга полезна характеристика на CSF е неговата проверка на сигурността, която съдържа препоръчителни промени в защитата въз основа на текущата конфигурация на вашия сървър. Препоръчително е да инсталирате CSF, за да подобрите сигурността на вашия сървър.

За да инсталирате CSF, ще трябва да се свържете със сървъра чрез командния ред. Започнете с отваряне на SSH клиент (като „PuTTY“ за Windows или „Terminal“ за Mac). След това въведете следната команда, замествайки „servername.domain.com“ с името на вашия сървър: „ssh [email protected]“. Натиснете клавиша Enter на клавиатурата, за да се свържете. Ако бъдете подканени, продължете покрай съобщението, казвайки, че автентичността на хоста не може да бъде установена. След това ще бъдете подканени да въведете паролата си; използвайте паролата си WHM и натиснете Enter.

Сега изпълнете следните команди, за да изтеглите и инсталирате CSF. Въведете всеки ред по един в командния ред и натиснете клавиша Enter след въвеждане на всеки ред, за да го стартирате:

rm -fv csf.tgz
wget http://www.configserver.com/free/csf.tgz
катран -xzf csf.tgz
cd csf
sh install.sh
Изберете код

Това е толкова лесно! Ако в момента сте влезли в WHM, излезте и се върнете, за да актуализирате интерфейса. Намерете секцията „Приставки“ на WHM и щракнете върху „ConfigServer Security“&Защитна стена “. На страницата, която се показва, щракнете върху „Проверка на сигурността на сървъра“. След това CSF ще изброи няколко настройки, които можете да промените, за да подобрите сигурността на вашия сървър.

Съвет 10: Инсталирайте ClamAV

ClamAV е антивирусен софтуер, който открива заплахи в имейлите. За да инсталирате ClamAV, намерете секцията „cPanel“ в WHM и щракнете върху „Manage Plugins“. Намерете приставката „clamavconnector“ и поставете отметка в „Инсталиране и актуализиране“. Кликнете върху Запазване. Сега намерете секцията „Plugins“ в WHM и кликнете върху „ClamAV Connector“. Проверете опцията „Scan Mail“ и запазете.

Съвет 11: Последно, но не най-малко: Съветник по сигурността

WHM „Съветникът по сигурността“ генерира списък с потенциални уязвимости на сървъра, както и информация за начините за разрешаване на тези проблеми. „Съветник по сигурността“ можете да намерите в секцията „Център за сигурност“ на WHM. Трябва да изпълните тази стъпка последно, тъй като предходните задачи ще премахнат няколко от препоръките.

Как да инсталирате cPanel съветник по сигурността

заключение

Запазването на вашия сървър сигурно и безопасно от хакери е важна стъпка за защита на вашата бизнес репутация. Клиентите на дистрибутори ще бъдат доволни, като знаят, че сигурността на сървъра на уебсайта им се приема сериозно. Използвайки простия потребителски интерфейс и инструменти, които WHM предлага за повишаване на сигурността, вашият сървър е много по-напред в това да бъдете сигурни и безопасни от хакове.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map