Consells sobre seguretat WHM per a un servidor més segur

Obteniu més informació sobre com configurar WHM per protegir el vostre servidor i ajudar a protegir el vostre lloc web contra les vulnerabilitats de pirateria. Consells per millorar la seguretat dins de WHM.


Consells sobre seguretat WHM

WHM és una de les plataformes de gestió de servidors i usuaris més populars en ús avui dia. Molts proveïdors de web i distribuïdors de confiança confien per simplificar el procés de configuració de servidors i gestió de comptes d’usuari. Per als usuaris amb VPS o comptes d’allotjament dedicats, molt probablement tindreu accés a WHM. La protecció del vostre servidor ajuda a evitar que la reputació de la vostra empresa afecti un pirateig. WHM conté diverses eines que ajuden a protegir el servidor contra les vulnerabilitats de pirateria.

Consell 1: utilitzeu contrasenyes fortes i d’actualització freqüent

Sembla que és de sentit comú, però no es pot subratllar prou la importància de tenir una contrasenya forta amb la que iniciar la sessió al servidor. Creeu una contrasenya que contingui diversos caràcters, incloent lletres, números i símbols. Com més llarga sigui la vostra contrasenya, millor. Per actualitzar la vostra contrasenya arrel, busqueu la secció “Configuració del servidor” a la barra lateral esquerra de WHM i feu clic a “Canvia la contrasenya arrel”. Utilitzeu una contrasenya que WHM considera “molt forta”.

Com canviar la contrasenya d’arrel en WHM

És recomanable actualitzar les contrasenyes per a la seguretat del servidor. Hauríeu d’actualitzar les vostres contrasenyes cada pocs mesos o fins i tot amb més freqüència. Recordeu utilitzar sempre contrasenyes diferents per a la resta dels vostres comptes, com ara el vostre compte d’allotjament web, comptes ftp o fins i tot enllaços de llocs web..

Si el vostre allotjament tenia una base de dades instal·lada, haureu d’actualitzar immediatament la contrasenya d’usuari root de la base de dades a un valor segur. Per actualitzar la vostra contrasenya d’arrel de MySQL, busqueu la secció “Serveis MySQL” a WHM i feu clic a “Contrasenya d’arrel de MySQL”. Introduïu una contrasenya que WHM considera “Molt forta”.

Consell 2: mantingueu al dia WHM i altres programes actualitzats

WHM conté diverses seccions que us permeten mantenir actualitzats els diversos components de programari del vostre servidor.

  1. Configuració del servidor → Preferències d’actualització. Aquesta secció conté preferències per actualitzar serveis relacionats amb cPanel, paquets del sistema operatiu i SpamAssassin. És recomanable establir “Release Tier” a “RELEASE”. Això garantirà que s’instal·lin versions estables del programari. També és aconsellable que configureu tots els paràmetres següents a “Automàtics”.
  • Actualitzacions diàries
  • Actualitzacions del paquet del sistema operatiu
  • Actualitzacions de les regles d’Apache SpamAssassin ™ “

L’actualització d’aquests serveis automàticament garantirà que el programari es mantingui actualitzat de manera nocturna.

Com mantenir actualitzat el programari WHM

  1. Programari → EasyApache (Apache Update): aquesta secció conté preferències per actualitzar Apache, PHP i components relacionats. Els problemes de seguretat sovint es resolen en el programari, de manera que actualitzeu quan sigui possible. WHM no proporciona una opció per actualitzar automàticament aquests serveis, ja que això podria trencar una aplicació creada per a una versió específica de PHP, etc. És convenient actualitzar el programari enumerat quan correspongui..
  1. Programari → MySQL / MariaDB Actualització: aquesta secció és on podeu actualitzar la vostra versió de la base de dades. Com en les actualitzacions de EasyApache, les actualitzacions de la base de dades no són automàtiques.

Consell 3: Activa suPHP i suEXEC

PHP s’executa al servidor mitjançant un controlador de conjunt. Un manipulador és el mitjà que Apache utilitza per comunicar-se amb PHP. El gestor de suPHP conté diverses implementacions de seguretat per ajudar a mantenir la vostra aplicació segura. Per habilitar suPHP, busqueu la secció “Configuració del servei” de WHM i feu clic a “Configura PHP i suEXEC”. Si feu servir suPHP, activeu també suEXEC. D’aquesta manera es garanteix que tots els programes CGI (inclòs PHP que utilitzi suPHP) s’executen com a usuari específic.

Com habilitar suPHP i suEXEC

En activar el gestor de suPHP, els scripts PHP s’executen sota un nom d’usuari específic, en lloc de l’usuari “ningú”. Això significa que si alguna vegada es va explotar un script PHP, l’script només pot accedir als fitxers propietat d’aquest usuari.

Consell 4: Xifra les dades carregades i desactiva l’FTP anònim

Com poden els usuaris transferir fitxers de forma segura al servidor del lloc web? FTP sense SSL no xifra les vostres credencials d’inici de sessió ni els fitxers que s’estan transferint. Això significa que podrien ser interceptats i fins i tot un pirata informàtic podria ser modificat per fitxers. SFTP (FTP sobre SSH) i FTPS (FTP sobre SSL) són mètodes de transferència segurs ja que xifren les dades que s’envien al servidor..

Si els usuaris de cPanel pujaran fitxers amb els seus propis noms de compte (sense crear comptes FTP), llavors es pot utilitzar SFTP per a càrregues segures. L’SFTP està habilitat per defecte quan es crea un compte cPanel. Els usuaris hauran de conèixer el número de port SSH del vostre servidor per connectar-se mitjançant SFTP. Per defecte, aquest és el port 22.

Si els usuaris de cPanel creen comptes FTP per penjar fitxers, FTPS es pot utilitzar per assegurar càrregues. Com que FTPS utilitza SSL per protegir dades transferides al servidor, haureu d’afegir un certificat SSL al FTP per poder utilitzar FTPS. Seguiu aquests passos per habilitar FTPS en WHM.

  1. A la secció Configuració del servei de WHM, feu clic a “Gestiona els certificats SSL de servei”. Desplaceu-vos cap avall fins a “Instal·leu un nou certificat”.Com afegir un certificat SSL a FTP
  2. Marqueu la casella titulada “Servidor FTP”.
  1. Enganxeu el certificat SSL i el contingut de clau privada als quadres d’entrada respectius. Si heu comprat un certificat SSL d’una empresa de tercers, la companyia us proporcionarà aquesta informació. O si voleu estalviar costos, podeu generar un certificat autofirmat. Per obtenir més informació, aneu a la interfície “Generar un certificat SSL i sol·licitud de signatura” situada a la secció “SSL / TLS” de WHM. Per als certificats autofirmats, també heu d’omplir la secció “Paquet d’autoritat de certificats”.
  1. Ara que el certificat SSL està instal·lat per a FTP, assegureu-vos que FTPS estigui habilitat al servidor. Cerqueu la secció “Configuració del servei” a WHM i feu clic a “Configuració del servidor FTP”. Assegureu-vos que “Suport de xifratge TLS” estigui definit com a “Opcional”, “Obligatori (Comanda)” per xifrar les credencials, o preferiblement a “Obligatori (Comandament / Dades)” per xifrar les credencials i fitxers transferits..
  2. Configureu “Permet iniciar sessions anònimes” i “Permetre càrregues anònimes” a “No”. FTP anònim permet l’accés FTP sense contrasenya. Desactiveu-ho per motius de seguretat.

Ara podeu fer servir el vostre client FTP preferit per penjar fitxers amb FTPS, sempre que sigui compatible. Simplement seleccioneu el mètode FTP amb transferència TLS / SSL al client FTP.

Consell 5: reviseu la configuració del centre de seguretat

La secció “Centre de seguretat” de WHM ofereix diverses configuracions que han de revisar per millorar la seguretat del vostre servidor.

  1. Accés al compilador Desactiveu els compiladors per a usuaris no privilegiats per evitar atacs per vulnerabilitats del compilador.Com desactivar Access Compiler in WHM
  2. Detecció de la força bruta cPHulk. Un atac de força bruta és quan un hacker intenta iniciar sessió en un servidor introduint seqüencialment diverses combinacions de contrasenyes. Habiliteu cPHulk per protegir-se contra aquests atacs. cPHulk bloqueja l’adreça IP d’un pirata informàtic quan es detecta un atac de força bruta. Si també activeu el paràmetre cPHulk titulat “Enviar una notificació en iniciar la sessió root correcta quan l’adreça IP no es troba a la llista blanca”, podeu rebre una notificació per correu electrònic si un usuari no autoritzat inicia sessió al vostre compte..Com habilitar la protecció de la força bruta de cPHulk
  3. Gestiona els usuaris del grup de rodes. Els usuaris del grup de rodes tenen la possibilitat d’obtenir accés al servidor de superusuaris, la qual cosa és una amenaça important per a la seguretat. Per assegurar-vos que cap usuari no tingui accés a un usuari, només cal que elimineu tots els usuaris de la llista de la secció titulada “Eliminar un usuari del grup de rodes”.
  4. Protecció contra bombes Shek Fork Bomb. Habiliteu aquesta configuració per evitar que les connexions del terminal utilitzin recursos il·limitats. D’aquesta manera es redueix el risc d’accident del servidor.
  5. Restriccions SMTP. Habiliteu aquesta configuració per permetre que només les fonts de confiança es puguin connectar a un servidor SMTP remot. Això permet reduir el risc d’enviament de correu brossa des de les vostres adreces de correu electrònic.
  6. Activa / desactiva el traceroute. Desactiveu aquesta configuració per ajudar a ocultar la topologia de la xarxa del servidor. La publicació d’aquesta informació de xarxa pot ajudar a la pirateria.

Consell 6: Desactiva l’accés a les peticions d’usuari

Si els comptes cPanel del vostre servidor no necessiten accés SSH, haureu de desactivar l’accés per raons de seguretat. Tingueu en compte que els usuaris encara poden carregar fitxers amb SFTP fins i tot amb accés de shell desactivat. Per desactivar SSH per a tots els usuaris actuals, busqueu la secció “Funcions del compte” a WHM i feu clic a “Gestiona l’accés a Shell”. A “Desactivat closca”, feu clic a “Aplica a tots”.

Com desactivar Access Shell de l'usuari

Consell 7: configuració del servidor Tweak

Per millorar la seguretat, s’han de definir diverses opcions dins de la interfície “Tweak Settings”. Cerqueu la secció “Configuració del servidor” i feu clic a “Configuració d’ajust”. Actualitzeu la configuració següent.

Com modificar la configuració de seguretat del servidor

  1. Correu electrònic → Correus horaris màxims per domini. És possible que vulgueu plantejar-vos establir un nombre màxim de correus electrònics sortints permesos per hora. Això ajuda a evitar que el vostre sistema pugui utilitzar-se per enviar missatges de correu brossa en massa si es pirateja. Assegureu-vos que el valor sigui prou gran com que el vostre servidor pugui enviar ininterrompudament correus electrònics legítims.
  1. Correu → Eviteu que “ningú” enviï correu electrònic → Desactivat. Si suposeu que heu configurat PHP per utilitzar el controlador suPHP, desactiveu-lo. Això garantirà que només aquells processos que s’executin com a usuari específic poden enviar correus electrònics. Funciona per prevenir el correu brossa.
  1. Redirecció → Redireccionar sempre a SSL → Activat. Protegiu les credencials del servidor permetent l’accés als serveis relacionats amb cPanel només mitjançant una connexió segura.
  1. Seguretat → Comprovació de seguretat del referidor en blanc → Activat i Seguretat → Comprobador de seguretat del remitent → Activat. En activar aquesta configuració, l’accés als serveis relacionats amb cPanel només es concedeix si el navegador envia un valor de referència vàlid. Això ajuda a prevenir un hack anomenat atac de CSRF.

Consell 8: Instal·leu i configureu ModSecurity

ModSecurity és un tallafoc d’aplicació web que serveix per filtrar les sol·licituds HTTP, esdeveniments de registre, aplicacions de pegats (per evitar hacks mitjançant un codi poc escrit) i molt més. ModSecurity es pot instal·lar mentre creeu el vostre perfil amb EasyApache (WHM → Programari → EasyApache). Un cop instal·lat, configureu ModSecurity amb un conjunt de regles que us ajudi a defensar-se dels hacks. La fundació OWASP proporciona un conjunt de regles de protecció lliure d’ús. Per afegir-lo, cerqueu la secció “Seguretat” a WHM i feu clic a “Proveïdors ModSecurity ™”. A continuació, instal·leu el “Conjunt de regles bàsiques ModSecurity OWASP”. Finalment, feu clic a “Instal·la i reinicia Apache”..

Consell 9: instal·leu CSF

ConfigServer Security & Firewall (CSF) funciona com un tallafoc del servidor personalitzable i també s’utilitza per a la detecció d’intrusions, les notificacions d’inici d’inici i altres funcions de seguretat. Una altra característica útil de CSF és el control de seguretat, que enumera les modificacions de seguretat recomanades en funció de la configuració actual del vostre servidor. És recomanable instal·lar CSF per millorar la seguretat del servidor.

Per instal·lar CSF, haureu de connectar-vos al servidor mitjançant la línia de comandaments. Comença obrint un client SSH (com “PuTTY” per a Windows o “Terminal” per a Mac). A continuació, escriviu l’ordre següent, substituint “servername.domain.com” pel nom del vostre servidor: “ssh [email protected]”. Premeu la tecla Enter del teclat per connectar-se. Si se us demana, feu un missatge al costat del missatge dient que no es pot establir l’autenticitat de l’amfitrió. Aleshores se us demanarà que introduïu la vostra contrasenya; utilitzeu la vostra contrasenya WHM i premeu Enter.

Ara, executeu les ordres següents per descarregar i instal·lar CSF. Introduïu cada línia una a la vegada a la línia de comandaments i premeu la tecla Enter després d’entrar a cada línia per executar-la:

rm -fv csf.tgz
wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
Selecciona el codi

És tan fàcil! Si actualment teniu la sessió iniciada a WHM, tanqueu la sessió i torneu-la per actualitzar la interfície. Cerqueu la secció “Plugins” de WHM i feu clic a “ConfigServer Security”&Tallafocs ”. A la pàgina que apareix, feu clic a “Comprova la seguretat del servidor”. CSF mostrarà una llista de diversos paràmetres que podeu modificar per millorar la seguretat del vostre servidor.

Consell 10: instal·leu ClamAV

ClamAV és un programari antivirus que detecta amenaces en els correus electrònics. Per instal·lar ClamAV, busqueu la secció “cPanel” a WHM i feu clic a “Gestiona els complements”. Cerqueu el connector “clamavconnector” i comproveu “Instal·leu-lo i mantingueu-vos al dia”. Feu clic a Desa. Ara cerqueu la secció “Plugins” a WHM i feu clic a “Connector ClamAV”. Comproveu l’opció “Escanejar correu” i deseu-la.

Consell 11: darrer però no mínim: assessor de seguretat

El “assessor de seguretat” de WHM genera una llista de vulnerabilitats del servidor potencials, així com informació sobre com resoldre aquests problemes. Podeu trobar el conseller de seguretat a la secció “Centre de seguretat” de WHM. Hauríeu de realitzar aquest pas per última vegada, ja que les tasques anteriors eliminaran alguns dels avisos.

Com instal·lar cPanel Security Advisor

Conclusió

Mantenir el vostre servidor segur i protegit dels pirates informàtics és un pas important per protegir la reputació del vostre negoci. Els clients dels venedors estaran satisfets en saber que la seguretat del servidor del seu lloc web està sent prenent seriosament. Mitjançant l’ús de la senzilla interfície d’usuari i de les eines que WHM ofereix per millorar la seguretat, el vostre servidor es mantindrà molt més lluny per mantenir-se segur i protegit dels hacks..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map