WHMi turvanõuanded turvalisema serveri jaoks

Siit saate teada, kuidas WHM-i konfigureerida serveri turvamiseks ja oma veebisaidi kaitsmiseks haavatavuste eest. Näpunäited WHM-i turvalisuse parandamiseks.


WHM-i turvanõuanded

WHM on üks populaarsemaid serveri- ja kasutajahaldusplatvorme, mida tänapäeval kasutatakse. Lugematu arv veebimeistrid ja edasimüüjad usaldavad seda serverite seadistamise ja kasutajakontode haldamise lihtsustamiseks. Kasutajatele, kellel on VPS või spetsiaalsed hostikontod, on teil tõenäoliselt juurdepääs WHM-ile. Serveri turvamine aitab hoida häkkimise all teie ettevõtte mainet. WHM sisaldab mitmeid tööriistu, mis aitavad kaitsta teie serverit haavatavuste häkkimise eest.

1. nõuanne. Kasutage tugevaid, sageli värskendatud paroole

See kõlab nagu terve mõistus, kuid ei saa piisavalt rõhutada oma serverisse sisselogimiseks tugeva parooli olulisust. Looge parool, mis sisaldab mitmesuguseid tähemärke, sealhulgas tähti, numbreid ja sümboleid. Mida pikem on teie parool, seda parem. Juurparooli värskendamiseks leidke WHM-i vasakust külgribast jaotis „Serveri konfiguratsioon” ja klõpsake nuppu „Muuda juurparooli”. Kasutage parooli, mida WHM peab väga tugevaks.

Kuidas muuta juurparooli WHM-is?

Serveri turvalisuse tagamiseks on soovitatav paroolide sagedane värskendamine. Peaksite oma paroole värskendama iga paari kuu tagant või isegi sagedamini. Samuti pidage meeles, et kasutate ülejäänud kontode jaoks alati erinevaid paroole, näiteks veebimajutuse kontot, ftp-kontosid või isegi veebisaidi sisselogimisi..

Kui teie hostimisega oli installitud andmebaas, peaksite viivitamatult värskendama andmebaasi juurkasutaja parooli turvaliseks väärtuseks. MySQL juurparooli värskendamiseks leidke WHM-is jaotis „MySQL teenused” ja klõpsake nuppu „MySQL juurparool”. Sisestage parool, mida WHM peab väga tugevaks.

2. nõuanne. Hoidke WHM ja muu tarkvara ajakohasena

WHM sisaldab mitmeid sektsioone, mis võimaldavad teil oma serveri erinevaid tarkvarakomponente ajakohasena hoida.

  1. Serveri konfiguratsioon → Värskenduseelistused. See jaotis sisaldab eelistusi cPaneli seotud teenuste, OS-i pakettide ja SpamAssassini värskendamiseks. Soovitav on seada „Vabastamise tasand” väärtusele „RELEASE”. See tagab tarkvara stabiilsete versioonide installimise. Samuti on soovitatav seada kõik järgmised sätted väärtusele “Automaatne”.
  • Igapäevased värskendused
  • Operatsioonisüsteemi paketi värskendused
  • Apache SpamAssassin ™ reeglite värskendused ”

Nende teenuste automaatne värskendamine tagab tarkvara igapäevase ajakohastamise.

Kuidas WHM tarkvara värskendada?

  1. Tarkvara → EasyApache (Apache värskendus) – see jaotis sisaldab eelistusi Apache, PHP ja seotud komponentide värskendamiseks. Turvaprobleemid lahendatakse tarkvara abil sageli, nii et värskendage võimaluse korral. WHM ei paku võimalust nende teenuste automaatseks värskendamiseks, kuna see võib rikkuda konkreetse PHP versiooni jaoks loodud rakenduse jne. Soovitatav on vajadusel uuendada loetletud tarkvara.
  1. Tarkvara → MySQL / MariaDB Upgrade – selles jaotises saate värskendada oma andmebaasi versiooni. Nagu EasyApache värskenduste puhul, pole ka andmebaasi värskendused automaatsed.

3. nõuanne: lubage suPHP ja suEXEC

PHP töötab serveris määratud käitleja abil. Käitleja on vahend, mida Apache kasutab PHP-ga suhtlemiseks. SuPHP-käitleja sisaldab mitmeid turberakendusi, mis aitavad teie rakendust turvalisena hoida. SuPHP lubamiseks leidke WHM-i jaotis „Teenuse konfiguratsioon” ja klõpsake nuppu „PHP ja suEXECi seadistamine”. SuPHP kasutamisel lubage ka suEXEC. See tagab kõigi CGI programmide (sealhulgas suPHP-d kasutava PHP) käitamise kindla kasutajana.

Kuidas suPHP ja suEXEC sisse lülitada

SuPHP-käitleja lubamisega teostatakse PHP-skripte kindla kasutaja nime all, mitte „mitte kellegi” kasutaja all. See tähendab, et kui PHP-skripti kunagi kasutati, pääseb skript juurde ainult sellele kasutajale kuuluvatele failidele.

4. nõuanne. Krüpteerige üleslaaditud andmed ja keelake anonüümne FTP

Kuidas saavad kasutajad faile turvaliselt veebiserverisse edastada? FTP ilma SSL-iga ei krüpteeri teie sisselogimisandmeid ega edastatavaid faile. See tähendab, et häkker võib neid pealtkuulata ja faile isegi muuta. SFTP (FTP üle SSH) ja FTPS (FTP üle SSL) on turvalised edastusmeetodid, kuna need krüpteerivad serverisse saadetavaid andmeid.

Kui cPaneli kasutajad laadivad faile üles oma konto nime all (FTP kontosid loomata), saab SFTP-d kasutada turvaliseks üleslaadimiseks. CPaneli konto loomisel on SFTP vaikimisi lubatud. SFTP kaudu ühenduse loomiseks peavad kasutajad teadma teie serveri SSH-pordi numbrit. Vaikimisi on see port 22.

Kui cPaneli kasutajad loovad failide üleslaadimiseks FTP-kontosid, saab FTPS-i kasutada üleslaadimise tagamiseks. Kuna FTPS kasutab serverisse edastatud andmete turvaliseks SSL-i, peate FTPS-i kasutamiseks lisama FTP-le SSL-sertifikaadi. FTPS-i lubamiseks WHM-is toimige järgmiselt.

  1. Klõpsake WHM-i jaotises Teenuse konfiguratsioon valikul „Halda teenuse SSL-sertifikaate”. Kerige alla jaotiseni „Uue sertifikaadi installimine”.Kuidas lisada FTP-le SSL-sertifikaati
  2. Märkige ruut pealkirjaga „FTP server”.
  1. Kleepige oma SSL-sertifikaat ja privaatvõtme sisu vastavatesse sisendkastidesse. Kui ostsite SSL-sertifikaadi kolmandalt isikult, edastab ettevõte selle teabe. Või kui soovite kulusid kokku hoida, võite luua ise allkirjastatud sertifikaadi. Lisateabe saamiseks minge WHM-i jaotises „SSL / TLS” asuvasse liidesesse „Genereeri SSL-i sertifikaat ja allkirjastamistaotlus”. Enda allkirjastatud sertifikaatide jaoks peate täitma ka jaotise “Sertifikaatide volituse pakett”.
  1. Nüüd, kui SSL-sertifikaat on FTP-le installitud, veenduge, et FTPS oleks serveris lubatud. Leidke WHM-is jaotis “Teenuse konfiguratsioon” ja klõpsake “FTP-serveri konfiguratsioon”. Veenduge, et volituste andmete krüptimiseks oleks TLS-i krüptimise tugi seadeks kas „Valikuline”, „Nõutav (käsk)” või soovitatavalt mandaadi ja edastatud failide krüptimiseks „Kohustuslik (käsk / andmed)”..
  2. Valige „Luba anonüümseid sisselogimisi” ja „Luba anonüümseid üleslaadimisi” olekule „Ei”. Anonüümne FTP võimaldab FTP-le juurdepääsu paroolita. Turvalisuse huvides keelake see.

Nüüd saate FTPS-iga failide üleslaadimiseks kasutada oma eelistatud FTP-klienti, kui seda toetatakse. Valige lihtsalt FTP TLS / SSL-edastusmeetodil FTP-kliendis.

Vihje 5: vaadake üle turvakeskuse sätted

WHM-i jaotis „Turvakeskus” pakub erinevaid sätteid, mis tuleks teie serveri turvalisuse parandamiseks üle vaadata.

  1. Koostaja juurdepääs. Keelake privilegeerimata kasutajate jaoks kompilaatorid, et kompilaatorite haavatavuse kaudu rünnakuid takistada.Kuidas keelata kompilaatori juurdepääs WHM-is
  2. cPHulk Brute Force Detection. Julma jõu rünnak on see, kui häkker proovib serverisse sisse logida, sisestades järjestikku erinevaid paroolikombinatsioone. Luba cPHulk nende rünnakute eest kaitsmiseks. cPHulk blokeerib häkkeri IP-aadressi, kui avastatakse julma jõu rünnak. Kui lubate ka cPHulk-sätte pealkirjaga „Saadan teatise juurversiooni edukaks sisselogimiseks, kui IP-aadressi pole valges nimekirjas”, saate teid e-posti teel teavitada, kui volitamata kasutaja logib teie kontole.CPHulk julma jõu kaitse lubamine
  3. Rattagrupi kasutajate haldamine. Rattarühma kasutajatel on võimalus hankida superkasutaja serverile juurdepääs, mis on suur turvalisuse oht. Tagamaks, et ühelgi kasutajal pole superkasutaja juurdepääsu, eemaldage lihtsalt kõik kasutajad jaotisest „Kasutaja eemaldamine rattagrupist” loendist..
  4. Koorikahvli pommikaitse. Lubage see säte, et terminaliühendused ei saaks kasutada piiramatuid ressursse. See vähendab serveri krahhi ohtu.
  5. SMTP piirangud. Lubage see säte, et lubada ainult usaldusväärsetel allikatel SMTP-serveriga ühenduda. See aitab vähendada teie e-posti aadressidelt rämpsposti saatmise ohtu.
  6. Traceroute Luba / Keela. Keelake see seade serverivõrgu topoloogia peitmiseks. Selle võrguteabe avalikustamine võib aidata häkkimist.

6. nõuanne: keelake juurdepääs kasutaja kestale

Kui teie serveri cPaneli kontod ei vaja SSH-juurdepääsu, peaksite turvalisuse huvides juurdepääsu keelama. Pange tähele, et kasutajad saavad endiselt faile üles laadida SFTP-ga isegi siis, kui juurdepääs koorega on keelatud. Kõigi praeguste kasutajate SSH keelamiseks leidke WHM-is jaotis „Kontofunktsioonid” ja klõpsake nuppu „Halda kesta juurdepääsu”. Klõpsake jaotises „Keelatud kest” nuppu „Rakenda kõigile”.

Kuidas keelata kasutaja Shell Access

7. nõuanne: kohandage serveri sätteid

Turvalisuse parandamiseks tuleks liidese “Näpunäidete seadistamine” mitu valikut korralikult seada. Leidke jaotis “Serveri konfiguratsioon” ja klõpsake nuppu “Näpunäited”. Värskendage järgmisi sätteid.

Kuidas kohandada serveri turvaseadeid

  1. E-post → Maksimaalne e-posti aadresside arv tunni kohta. Võiksite kaaluda maksimaalse lubatud väljuvate meilide arvu tunnis seadmist. See aitab vältida teie süsteemi potentsiaalset kasutamist massilise rämpsposti saatmiseks häkkimise korral. Veenduge, et väärtus on piisavalt suur, et teie server saaks endiselt katkematult õigustatud e-kirju saata.
  1. Post → Takista “kedagi” meilide saatmisest → Väljas. Kui olete PHP seadistanud suPHP-käitleja kasutamiseks, lülitage see välja. See tagab, et ainult neid protsesse, mis töötavad konkreetse kasutajana, saab e-kirju saata. See aitab rämpsposti ära hoida.
  1. Suunamine → suunatakse alati tagasi SSL-i → sisse. Kaitske serveri mandaati, võimaldades juurdepääsu cPaneliga seotud teenustele ainult turvalise ühenduse kaudu.
  1. Turvalisus → Tühja viitaja ohutuskontroll → Sees ja Turvalisus → Viitaja ohutuse kontroll → Sisse lülitatud. Nende sätete lubamisega antakse juurdepääs cPaneliga seotud teenustele ainult siis, kui brauser saadab kehtiva viiteväärtuse. See aitab vältida häkkimist, mida nimetatakse CSRF-i rünnakuks.

Vihje 8: ModSecurity installimine ja konfigureerimine

ModSecurity on veebirakenduste tulemüür, mis filtreerib HTTP-päringuid, logisündmusi, plaasterrakendusi (halvasti kirjutatud koodi kaudu häkkimise vältimiseks) ja palju muud. ModSecurity saab oma profiili EasyApache’i abil üles ehitada (WHM → Tarkvara → EasyApache). Pärast installimist konfigureerige ModSecurity reegliga, mis aitab kaitsta häkkimise eest. OWASP Foundation pakub kaitsereeglite komplekti, mida saab tasuta kasutada. Selle lisamiseks leidke WHM-ist jaotis “Turvalisus” ja klõpsake nuppu “ModSecurity ™ tarnijad”. Seejärel installige “OWASP ModSecurity põhireeglite komplekt”. Lõpuks klõpsake nuppu “Installige ja taaskäivitage Apache”..

Vihje 9: Installige CSF

ConfigServeri turve & Tulemüür (CSF) töötab kohandatava serveri tulemüürina ning seda kasutatakse ka sissetungimise tuvastamiseks, sisselogimisteatiste ja muude turbefunktsioonide jaoks. Veel üks CSF-i kasulik funktsioon on selle turvakontroll, mis loetleb soovitatud turvamoodifikatsioonid teie serveri praeguse konfiguratsiooni põhjal. Serveri turvalisuse parandamiseks on soovitatav installida CSF.

CSF-i installimiseks peate serveriga ühenduma käsurida. Alustage SSH-kliendi avamisega (näiteks Windowsi jaoks “PuTTY” või Maci jaoks “Terminal”). Seejärel tippige järgmine käsk, asendades “servername.domain.com” oma serveri nimega: “ssh [email protected]”. Ühenduse loomiseks vajutage klaviatuuri sisestusklahvi. Kui seda küsitakse, minge edasi sõnumist, kus öeldakse, et masina autentsust ei saa kindlaks teha. Seejärel palutakse teil sisestada oma parool; kasutage oma WHM-i parooli ja vajutage sisestusklahvi.

Nüüd käivitage CSF-i allalaadimiseks ja installimiseks järgmised käsud. Sisestage käsureale iga rida ükshaaval ja pärast iga rea ​​sisestamist vajutage sisestusklahvi:

rm -fv csf.tgz
vidin http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
CD csf
sh install.sh
Valige kood

See on nii lihtne! Kui olete praegu WHM-i sisse logitud, logige liidese värskendamiseks välja ja tagasi sisse. Leidke WHM-i jaotis “Pluginad” ja klõpsake nuppu “ConfigServer Security”&Tulemüür ”. Klõpsake ilmuval lehel nuppu „Kontrolli serveri turvalisust“. Seejärel loetleb CSF mitu seadet, mida saate oma serveri turvalisuse parandamiseks muuta.

Vihje 10: Installige ClamAV

ClamAV on viirusetõrjetarkvara, mis tuvastab e-kirjades esinevad ohud. ClamAVi installimiseks leidke WHM-is jaotis “cPanel” ja klõpsake “Halda pistikprogramme”. Leidke pistikprogramm “clamavconnector” ja kontrollige jaotist “Installi ja värskendage”. Klõpsake nuppu Salvesta. Nüüd leidke WHM-is jaotis “Pluginad” ja klõpsake “ClamAV-pistik”. Kontrollige suvandit „Skanni post” ja salvestage.

Vihje 11: Viimane, kuid mitte vähem: turvanõunik

WHMi turvanõustaja loob potentsiaalsete serveri haavatavuste loendi ja teabe nende probleemide lahendamise kohta. „Turvanõustaja” leiate WHM-i jaotisest „Turbekeskus”. Peaksite selle sammu viimati läbi viima, kuna eelnevad toimingud eemaldavad paljud nõuanded.

CPaneli turvanõustaja installimine

Järeldus

Oma serveri turvaliseks hoidmine häkkerite eest on oluline samm oma ettevõtte maine kaitsmisel. Edasimüüjate kliendid on rahul, teades, et nende veebisaidi serveri turvalisust võetakse tõsiselt. Kasutades lihtsat kasutajaliidest ja WHM-i pakutavaid tööriistu turvalisuse suurendamiseks, on teie server palju turvalisem ja häkkimiste eest kaitstud..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map