15 نصيحة سهلة لتأمين خادم cPanel

يعد أمان الخادم موضوعًا معقدًا ومتعدد الأوجه قد يستغرق سنوات لفهمه وإتقانه بشكل كامل.

يجب على معظم المسؤولين تطوير ونشر مجموعة واسعة من الإجراءات الأمنية على خوادمهم من أجل منع الهجمات والاختراقات.

يمكن أن تكون إجراءات الأمان المعنية بسيطة مثل طلب كلمات مرور أكثر أمانًا ومعقدة مثل نشر بروتوكولات التشفير المحدثة للبيانات المخزنة.

لحسن الحظ ، ومع ذلك ، فإن أمان خادم cPanel يقع بشكل أكبر في النهاية "البسيطة" من طيف أمان الخادم.

فيما يلي 15 طريقة سهلة لتحسين أمان الخادم بشكل ملحوظ في غضون دقائق معدودة.

1. تأمين SSH

على الرغم من أن SSH هو بروتوكول مشفر ، إلا أنه ليس منيعًا. بمعنى أنه ، بصفتك المسؤول ، يجب عليك ممارسة العناية الواجبة أثناء التكوين.

فيما يلي ثلاث خطوات بسيطة لزيادة أمان SSH الخاص بك.

1- تغيير منفذ SSH

يؤدي الاحتفاظ بـ SSH على المنفذ الافتراضي 22 إلى جعله عرضة لهجمات القوة الغاشمة. من أجل منع هذه الهجمات ، يجب عليك تحديد منفذ عشوائي لـ SSH لجعل الأمر أكثر صعوبة على المهاجمين المحتملين لتمييز موقعه.

فيما يلي خطوات تغيير منفذ SSH.

1. قم بتسجيل الدخول إلى الخادم الخاص بك عبر SSH.
2. قم بتحرير ملف تكوين SSH الموجود في / etc / ssh / sshd_config بإصدار الأمر التالي:
   nano / etc / ssh / sshd_config
3. قم بتعيين منفذ عشوائي لاتصال SSH على السطر التالي. الأصل: المنفذ 22
   الخط الجديد: المنفذ 2468
4. الآن ، أعد تشغيل خدمة SSH بتنفيذ الأمر التالي:
   إعادة تشغيل خدمة sshd

2. تعطيل تسجيل الدخول إلى الجذر

لإضافة طبقة أمان إضافية وتقوية SSH بشكل أكبر ، يمكنك تعطيل المستخدم الجذر وإنشاء مستخدم منفصل للوصول إلى الخادم.

هنا هو كيف:

1. قم بتسجيل الدخول إلى الخادم الخاص بك عبر SSH. قبل تعطيل تسجيل الدخول إلى الجذر ، سننشئ مستخدمًا للوصول إلى الخادم:
   adduser new_username_name
   passwd new_username_name
2. سيُطلب منك تعيين كلمة مرور لهذا المستخدم الجديد. تأكد من أن كلمة المرور قوية قدر الإمكان (10 أحرف على الأقل مع عدة أرقام ورموز) ثم أضف المستخدم الجديد في مجموعة عجلات لمنحه حق الوصول إلى الخادم باستخدام السطر التالي من التعليمات البرمجية.
   # usermod -aG wheel new_username_name
3. الآن ، قم بتعطيل المستخدم الجذر. قم بتحرير ملف تكوين SSH الموجود في / etc / ssh / sshd_config .
   nano / etc / ssh / sshd_config
4. غيّر السطر: "PermitRootLogin yes" إلى "PermitRootLogin no"
5. الآن ، أعد تشغيل خدمة SSH عن طريق تنفيذ الأمر التالي.
   إعادة تشغيل خدمة sshd

3.تعطيل SSH V1

مع بداية SSHv2 مما جعل سلفه SSHv1 عفا عليه الزمن ، يوصى بشدة بتعطيل SSH الأقل أمانًا والقديم لتحسين أمان الخادم الخاص بك.

1. قم بتسجيل الدخول إلى الخادم الخاص بك عبر SSH وقم بتحرير ملف تكوين SSH الموجود في / etc / ssh / sshd_config .
2. ازل التعليق عن السطر التالي.
   البروتوكول 2،1
3. وقم بتغييرها إلى:
   البروتوكول 2
4. الآن ، أعد تشغيل خدمة SSH بتنفيذ الأمر التالي:
   # إعادة تشغيل sshd الخدمة

2. تمكين حماية cPHulk

هجوم القوة الغاشمة هو طريقة قرصنة تعتمد على نظام آلي لتخمين كلمة المرور لخادم الويب الخاص بك.

cPHulk هي خدمة سهلة الاستخدام ستحمي خادمك من معظم هجمات القوة الغاشمة.

لتمكين cPHulk ، قم بتسجيل الدخول إلى WHM → Security Center → cPHulk Brute Force Protection وانقر على تمكين .

يمكنك الآن تعيين قواعد مخصصة بناءً على اسم مستخدم cPanel وعنوان IP والمعلمات الأخرى.

بمجرد الوصول إلى عدد محدد من محاولات تسجيل الدخول الفاشلة ، سيحظر cPHulk أي محاولات أخرى من عنوان IP المستخدم.

ملاحظة: إذا كان لديك عنوان IP ثابت ، فمن المستحسن بشدة أن تضيفه إلى إدارة القائمة البيضاء حتى لا تغلق نفسك بالخادم.

3. إعداد ConfigServer Firewall (CSF)

يعد CSF (ConfigServer Security and Firewall) أحد أكثر جدران الحماية شيوعًا لخوادم cPanel.

فهو لا يعمل فقط كجدار حماية من خلال فحص ملفات سجل المصادقة المختلفة ولكنه يقوم أيضًا بمسح الخادم الخاص بك بشكل منتظم ويقدم لك توصيات مخصصة لتحسين أمان الخادم الخاص بك.

بالإضافة إلى ميزاته الأساسية ، يتيح لك CSF أيضًا الوصول إلى عدد من الميزات المفيدة مثل "عرض سجلات النظام" وسجلات IPTable وإحصائيات IFD والمزيد.

تثبيت ConfigServer جدار الحماية

من السهل جدًا تثبيت CSF في خادمك باستخدام cPanel. يرجى الرجوع إلى دليلنا خطوة بخطوة حول كيفية تثبيت ConfigServer Firewall على cPanel / WHM؟

بمجرد اتباع الإرشادات الواردة في دليلنا المذكور أعلاه ، يمكنك إدارة CSF مباشرة من WHM.

للقيام بذلك ، قم بتسجيل الدخول إلى WHM الخاص بك ، وانتقل إلى Plugins → ConfigServer Security & Firewall.

هنا سيتم تقديمك مع عدد من الخيارات والتدابير التي يمكنك استخدامها لتشديد أمنك بشكل أكبر.

4. إعداد ClamAV Antivirus

بينما تتمتع خوادم Linux بمرونة "طبيعية" ضد الفيروسات أكثر من نظيراتها التي تعمل بنظام Windows ، إلا أنه لا يزال من الحكمة تثبيت تطبيق إضافي لمكافحة الفيروسات.

يعد ClamAV ، الذي يسهل تثبيته كمكوِّن إضافي على خادمك ، أحد أكثر المكونات الإضافية لمكافحة الفيروسات مفتوحة المصدر شيوعًا لخوادم cPanel ويسمح للمستخدمين الفرديين بفحص دليل المنزل ورسائل البريد الإلكتروني الخاصة بهم بحثًا عن الملفات التي يحتمل أن تكون ضارة.

مرة أخرى ، من أجل الإيجاز ، يرجى الرجوع إلى دليلنا خطوة بخطوة كيفية تثبيت المكون الإضافي ClamAV من WHM .

بمجرد تثبيت ClamAV ، يمكنك فحص أي حساب cPanel معين مع وصول مستوى مستخدم cPanel. فيما يلي دليلنا حول كيفية تشغيل فحص فيروسات ClamAV من cPanel .

5. قم بالتبديل إلى CloudLinux

يعتبر CloudLinux ، البديل المدفوع لـ CentOS المجاني ، أحد أكثر أنظمة التشغيل أمانًا لخوادم cPanel.

باستخدام CloudLinux ، يمكنك زيادة كثافة الخادم واستقراره عن طريق إبقاء حسابات cPanel معزولة عن بعضها البعض.

إنه يحقق هذا العمل الفذ باستخدام LVE (بيئة افتراضية خفيفة الوزن) التي تحد من موارد الخادم مثل المعالجة والذاكرة والاتصالات لكل مستخدم ، وبالتالي ضمان عدم تمكن مستخدم واحد من تعريض استقرار الخادم للخطر والتسبب في إبطاء جميع المواقع.

نظام التشغيل "أقفاص" المستخدمين من بعضهم البعض لتجنب أي انتهاكات أمنية. لا يمكن نشر أي برنامج نصي أو برنامج ضار غير مستقر أو تم اختراقه عبر الخادم عن طريق أي حساب تم اختراقه.

فيما يلي ميزات الأمان الرئيسية لنظام التشغيل CloudLinux:

1. CageFS
2. تصلب PHP
3. SecureLinks

CageFS

يقوم CageFS بتغليف كل مستخدم ، مما يمنع المستخدمين من رؤية بعضهم البعض وقراءة المعلومات الحساسة. كما أنه يمنع عددًا كبيرًا من الهجمات بما في ذلك معظم هجمات تصعيد الامتياز وكشف المعلومات.

→ باستخدام CageFS ، سيتمكن المستخدمون من الوصول إلى الملفات الآمنة فقط.
← لا يمكن للمستخدمين رؤية ملفات تكوين الخادم مثل ملفات تكوين Apache.
→ لا يمكن للمستخدمين مشاهدة المستخدمين الآخرين وليس لديهم طريقة للكشف عن وجود مستخدمين آخرين.
→ لا يمكن للمستخدمين رؤية عمليات المستخدمين الآخرين.

تصلب PHP

بينما تستخدم PHP القديمة الإصدار 5.2 و 5.3 و 5.4 على نطاق واسع ، إلا أنها تحتوي على ثغرات لم يتم تصحيحها بواسطة مجتمع PHP.net.
تعمل HardenedPHP في CloudLinux على إصلاح هذه الثغرات الأمنية وتأمين الإصدارات القديمة وغير المدعومة.

→ يضمن تأمين التطبيق والخادم عن طريق تصحيح جميع إصدارات PHP.
→ يوفر الأمان والمرونة لجميع المستخدمين.
→ يزيد من الاحتفاظ بالعملاء من خلال عدم فرض ترقيات إلى إصدار PHP أحدث
→ يقدم مجموعة مختارة من إصدار PHP من إصدارات متعددة مثبتة على نفس خادم الويب مع خيار PHP selector

SecureLinks

SecureLinks هي تقنية على مستوى kernel تعمل على تقوية الخادم عن طريق منع جميع هجمات الارتباط الرمزي المعروفة (symlink) مع منع المستخدمين الضارين في نفس الوقت من إنشاء ملفات الارتباط الرمزي.
→ باستخدام SecureLinks ، يمكنك منع الهجمات عن طريق منع المستخدمين المؤذيين من إنشاء روابط رمزية وروابط صلبة لملفات لا يمتلكونها.
→ يمنع المستخدمين الخبثاء من إنشاء ملفات ارتباط رمزية.
→ يعزز مستوى أمان الخادم من هجمات الارتباط الرمزي.

6. تعطيل طلب بينج

يعد ping أحد طلبات بروتوكول رسائل التحكم في الإنترنت (ICMP) ، ويجب تعطيله لتجنب هجمات "Ping of Death" و "Ping Flood".

بينغ الموت

Ping of Death هو هجوم رفض للخدمة ناتج عن مهاجم يرسل عمدًا حزمة IP أكبر مما يسمح به بروتوكول IP.

نتيجة لذلك ، لا تعرف العديد من أنظمة التشغيل ما يجب فعله عندما تتلقى حزمًا كبيرة الحجم ، فسيتم تجميد الجهاز أو تعطله أو إعادة تشغيله.

بينغ فلود

Ping Flood هو هجوم بسيط لرفض الخدمة حيث يغمر المهاجم الضحية بحزم ICMP على أمل أن تستجيب الضحية برد ICMP معبأ وبالتالي يستهلك كل من النطاق الترددي الوارد والصادر.

إذا كان الجهاز المستهدف أبطأ ، فمن الممكن أن تستهلك دورات وحدة المعالجة المركزية الخاصة بها مما يؤدي إلى تباطؤ ملحوظ في قدرات معالجة النظام.

لتعطيل استجابة ping ، قم بتشغيل الأمر التالي كمستخدم أساسي:
صدى "1"> / proc / sys / net / ipv4 / icmp_echo_ignore_all
صدى "1"> / proc / sys / net / ipv4 / icmp_echo_ignore_all
لتعطيل استجابة ping باستخدام جدار حماية IPtables ، قم بتشغيل الأمر التالي كمستخدم أساسي:
iptables -A المدخلات -p icmp -j DROP

7. تكوين التحكم في الوصول إلى المضيف

في بعض الحالات ، قد ترغب في السماح لخدمات محددة لعنوان IP واحد فقط. لتحقيق هذا الهدف ، كل ما عليك القيام به هو تكوين التحكم في الوصول إلى المضيف بشكل صحيح ، والذي يسمح لك بإنشاء قواعد للموافقة على وصول الخادم أو رفضه بناءً على عنوان IP الخاص بالمستخدم.

يعد رفض جميع الاتصالات والسماح بالاتصالات التي ترغب في متابعتها فقط أكثر الممارسات أمانًا لزيادة أمان الخادم الخاص بك ضد هجمات القوة الغاشمة على منافذ محددة.

من أجل تكوين قاعدة مع Host Access Control ، ستحتاج إلى ثلاثة أشياء.

1. الخدمة التي تريد إنشاء قاعدة لها
2. عنوان IP الذي تريد السماح بامتيازاته أو رفضها
3. والإجراء الذي تريد اتخاذه (مثل السماح أو الرفض)

لإعداد القواعد في Host Access Control ، قم بتسجيل الدخول إلى WHM الخاص بك ، وانتقل إلى Security Center → Host Access Control .

فيما يلي مثال على قفل خدمة SSH:

ملاحظة: القواعد لها ترتيب الأسبقية. سيتعين عليك وضع قواعد "السماح" قبل قواعد "الرفض" إذا اخترت استخدام السماح من عدد قليل ، ثم الرفض من جميع الأساليب.

8. إعداد Mod_Security

في عام 2017 ، تم تنفيذ أكثر من 70٪ من جميع هجمات الخوادم الضارة على مستوى تطبيقات الويب.
من أجل التخفيف من المخاطر المرتبطة بخادمك المحدد ، من أفضل الممارسات الصناعية نشر WAF أو جدار حماية تطبيقات الويب لزيادة الأمان الخارجي واكتشاف / منع الهجمات قبل أن تصل إلى تطبيقات الويب.

يعد ModSecurity أحد أقدم جدران حماية تطبيقات الويب وأكثرها شيوعًا ، وهو مصمم لمنع:

1. حقن SQL
2. هجمات iFrame
3. كشف Webshell / Backdoor
4. كشف هجوم بوت نت
5. هجمات رفض خدمة HTTP (DoS)

يمكن تثبيت mod_security في غضون بضع دقائق مع بعض التغييرات على البنية التحتية الحالية.

يمكنك تمكينه من تكوين Easy Apache.

لإنشاء قواعد Mod_Security ، انتقل إلى ModSeurity Tools وانقر على قائمة القواعد.

في النوافذ الجديدة ، سيتم عرض جميع القواعد. يمكنك النقر فوق إضافة قاعدة لإنشاء قواعد جديدة. يرجى ملاحظة أنك ستحتاج إلى إعادة تشغيل Apache لنشر قواعد جديدة.

لمعرفة المزيد عن أدوات ModSecurity انقر هنا.

9. فحص النظام الخاص بك مع RootKit Hunter

Rootkit Hunter أو rkhunter هي أداة قائمة على UNIX تقوم بالبحث عن الجذور الخفية والأبواب الخلفية والمآثر المحلية المحتملة.

يقارن تجزئات SHA-1 للملفات المهمة بالملفات الموجودة في قواعد البيانات عبر الإنترنت لضمان سلامة الملفات.

يبحث أيضًا عن أدلة rootkits الافتراضية ، والأذونات الزائدة ، والملفات المخفية ، والسلاسل المشبوهة في وحدات kernel ، وعدد كبير من الأشياء الأخرى التي لديها القدرة على اختراق أمان الخادم الخاص بك.

تثبيت RootKit Hunter

قم بتغيير دليل العمل الحالي إلى دليل التثبيت المطلوب.
cd / usr / local / src
قم بتنزيل حزمة rkhunter باستخدام الأمر wget.
wget http://dfn.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.4.2.tar.gz
قم بفك ضغط أرشيف rkhunter الذي تم تنزيله.
tar -zxvf rkhunter-1.4.2.tar.gz
قم بتغيير دليل العمل الحالي إلى دليل rkhunter. تأكد من استبدال اسم الدليل باسم الدليل الفعلي. في حالتنا ، "rkhunter-1.4.2" الذي يمكن تغييره عند إصدار تحديثات جديدة.
القرص المضغوط rkhunter-1.4.2
قم بتثبيت حزمة rkhunter عن طريق تنفيذ البرنامج النصي للتثبيت.
./installer.sh - مخطط افتراضي - تثبيت
سيؤدي هذا إلى تثبيت أداة rkhuter في الخادم.

تكوين rkhunter

يمكنك العثور على ملف تكوين rkhunter في المسار /etc/rkhunter.conf . من خلال تغيير قيم المعلمات في هذا الملف ، يمكننا تعديل خصائص rkhunter لتأمين الخادم. للسماح بتسجيل الدخول إلى الجذر عبر SSH
ALLOW_SSH_ROOT_USER = نعم
دليل التثبيت rkhunter
INSTALLDIR = / مسار / من / تثبيت / دليل
دليل قاعدة بيانات rkhunter
DBDIR = / var / lib / rkhunter / db
دليل البرنامج النصي rkhunter
SCRIPTDIR = / usr / local / lib64 / rkhunter / scripts
الدليل المؤقت rkhunter
TMPDIR = / var / lib / rkhunter / tmp

مسح يدوي مع rkhunter

لإجراء مسح يدوي باستخدام rkhunter ، قم بتشغيل الأمر أدناه.
/ usr / local / bin / rkhunter -c
بشكل افتراضي ، يعمل rkhunter في الوضع التفاعلي. يقوم rkhunter بإجراء سلسلة من عمليات المسح وبعد كل مجموعة من عمليات المسح ، ستحتاج إلى الضغط على Enter لمتابعة الفحص.

لتخطي الوضع التفاعلي ، قم بتشغيل ، ومسح كل مجموعة استخدم الأمر أدناه. لاحظ أن -c هو للتحقق من النظام المحلي و-sk لتخطي الضغط على المفتاح.
/ usr / local / bin / rkhunter -c -sk
لفحص نظام الملفات بأكمله ، قم بتشغيل الأمر أدناه.
rkhunter –check

جدولة عمليات الفحص التلقائي باستخدام Rkhunter

لإنشاء مسح تلقائي مجدول ، قم بإنشاء برنامج نصي يقوم بتنفيذ مسح rkhunter وإرسال نتائج المسح عبر البريد الإلكتروني.

إذا كنت تريد تشغيل فحص rkhunter يوميًا ، فقم بتحميل البرنامج النصي إلى الدليل /etc/cron.daily وإلى /etc/cron.weekly لإجراء عمليات المسح الأسبوعية.

افتح ملفًا في محرر واكتب البرنامج النصي أدناه لجدولته يوميًا.
vi /etc/cron.daily/rkhunter.sh
برنامج نصي لجدولة الفحص اليومي

#!/bin/sh

(

/usr/local/bin/rkhunter --versioncheck

/usr/local/bin/rkhunter --update

/usr/local/bin/rkhunter --cronjob --report-warnings-only

) | /bin/mail -s 'rkhunter Daily Run (HostnameOfServer)' youremail@address

ملاحظة: تأكد من تغيير HostnameOfServer وعنوان البريد الإلكتروني @ الخاص بك باستخدام اسم مضيف الخادم الفعلي وعنوان البريد الإلكتروني الذي سيتم إرسال الإشعارات إليه في البرنامج النصي.

تحديث rkhunter والخيارات

للتحقق من الإصدار الحالي rkhunter.
/ usr / local / bin / rkhunter –versioncheck
لتحديث نسخة rkhunter.
/ usr / local / bin / rkhunter –update
إذا تم تحديث ملفات قاعدة البيانات ، لفحص القيم والخصائص المحدثة وحفظها.
/ usr / local / bin / rkhunter –propupd
تقوم سجلات rkhunter بتخزين جميع الأنشطة التي تم القيام بها والخطأ الذي واجهه التطبيق. للتحقق من سجلات rkhunter.
/var/log/rkhunter.log
يمكنك الرجوع إلى خيارات rkhunter الأخرى باستخدام.
/ usr / local / bin / rkhunter –help

10. فحص النظام الخاص بك مع Maldet

Maldet ، المعروف أيضًا باسم Linux Malware Detect (LMD) هو ماسح ضوئي للبرامج الضارة لأنظمة Linux تم تصميمه للكشف الفعال عن php backdoors و darkmailers وعدد من الملفات الضارة الأخرى التي قد تكون موجودة على مواقع الويب المخترقة.

تثبيت Maldet

1. SSH على الخادم وتحميل ملف tar.
   wget href = ”http://www.rfxn.com/downloads/maldetect-current.tar.gz”>
2. استخرج الملف.
   القطران -xzf maldetect-current.tar.gz
3. انتقل إلى مجلد maldet.
   القرص المضغوط maldetect- *
4. لتثبيت maldet ، قم بتشغيل الأمر أدناه.
   sh ./install.sh

استخدم Maldet في Linux Server

يجب عليك دائمًا فتح جلسة شاشة جديدة وتشغيل الفحص حيث قد يستغرق المسح ساعات اعتمادًا على استخدام مساحة القرص في نظامك. لإجراء فحص ، استخدم الأمر أدناه.
maldet -a / المسار / إلى / مسح أو

maldet –scan-all / مسار / إلى / مسح
يمكنك أيضًا ببساطة تشغيل الأمر أدناه لفحص النظام بأكمله
مالديت -أ /
بمجرد اكتمال فحص الخادم ، ستحصل على معرف المسح الضوئي في النهاية. لعرض التقرير الممسوح ضوئيًا ، استخدم الأمر أدناه. لاحظ أنك ستحتاج إلى استبدال معرف SCAN بالمعرف الفعلي.
مالديت - تقرير معرف المسح الضوئي
مثال: maldet – report 062617-2220.1771

لعزل جميع نتائج البرامج الضارة من فحص سابق ، قم بتشغيل الأمر أدناه.
maldet -q معرف المسح الضوئي
السابق. مالديت - الحجر الصحي 062617-2220.1771

أتمتة Maldet

يمكنك تحرير ملف تكوين maldet conf.maldet لأتمتة العمليات مثل ،

1. اضبط email_alert على 1 لإرسال التقارير إلى حساب البريد الإلكتروني الذي تم تكوينه.
2. في email_addr ، قم بتعيين حساب البريد الإلكتروني الذي تريد تلقي تقارير الفحص عليه.
3. قم بتغيير quar_hits إلى 1 بحيث يتم نقل أي برامج ضارة تم العثور عليها إلى الدليل " / usr / local / maldetect / quarantine " وستتلقى إشعارًا على عنوان البريد الإلكتروني الذي تم تكوينه.
4. قم بتغيير quar_susp إلى 1 ، سيؤدي ذلك إلى تمكين تعليق حساب مستخدمي cPanel أو تعيين وصول shell إلى " / bin / false " للمستخدمين الذين لا يستخدمون cPanel.

11. إعداد Cron Job لتشغيل ClamAV يوميًا

نظرًا لأن إجراءات الإضافة والتحديث والحذف تحدث بسرعة مع الملفات الموجودة على الخادم الخاص بك ، فمن الأهمية بمكان التأكد من أن جميع التغييرات الجديدة آمنة ويتم فحصها بشكل صحيح باستخدام تطبيق مكافحة الفيروسات.

يمكنك استخدام وظيفة الماسح الضوئي ClamAV لتشغيل عمليات المسح الأسبوعية التي ستبدأ تلقائيًا خلال "ساعات التوقف".

استخدم الأمر التالي لتشغيل هذا cron.
لأني في awk '!/nobody/{print $2 | "sort | uniq" }' /etc/userdomains | sort | uniq awk '!/nobody/{print $2 | "sort | uniq" }' /etc/userdomains | sort | uniq awk '!/nobody/{print $2 | "sort | uniq" }' /etc/userdomains | sort | uniq . do / usr / local / cpanel / 3rdparty / bin / clamscan -i -r / home / $ i 2 >> / dev / null؛ فعلت >> / الجذر / التهابات و
يبحث هذا الأمر بشكل متكرر في الدليل الرئيسي عن البريد العشوائي والملفات المصابة.

12. تعطيل معلومات رأس Apache

نظرًا لأن توقيع الخادم الخاص بك يحتوي على معلومات مثل إصدارات Apache و OS ، فمن المهم أن تخفي هذه المعلومات عن أعين المتطفلين باستخدام WHM Login.

1. بمجرد تسجيل الدخول إلى WHM. انتقل إلى تكوين الخدمة → تكوين Apache → التكوين العام .
2. قم بتعيين القيم التالية.
   توقيع الخادم = إيقاف التشغيل
   رموز الخادم = المنتج فقط

13. إخفاء معلومات إصدار PHP

مثل رؤوس Apache ، لا يجب عليك أيضًا كشف معلومات إصدار PHP. فيما يلي خطوات إخفاء هذه المعلومات.

1. بمجرد تسجيل الدخول إلى WHM. انتقل إلى Service Configuration → PHP Configuration Editor .
2. قم بتعيين القيم التالية.
   expose_php = "إيقاف"

14. قم بتعطيل FTP واستخدم SFTP بدلاً منه

على الرغم من أنك لن تخمنه من أسمائهم ، إلا أن بروتوكولي FTP و SFTP لا يمكن أن يكونا أكثر اختلافًا عن بعضهما البعض.

باستخدام FTP القياسي ، تكون جميع البيانات المنقولة بين العميل والخادم بنص عادي. وهذا يجعل من الممكن للمتنصت استرداد معلوماتك السرية بما في ذلك بيانات اعتماد تسجيل الدخول والرسائل "الخاصة" بخلاف ذلك.

بخلاف FTP القياسي ، يقوم SFTP (بروتوكول نقل الملفات SSH) بتشفير كل من الأوامر والبيانات ، مما يمنع نقل كلمات المرور والمعلومات الحساسة في نص عادي عبر الشبكة.

انقر هنا للحصول على خطوات إنشاء مفتاح SSH والاتصال بالخادم عبر عميل SFTP.

إذا كنت تريد فقط السماح باتصال SFTP وتعطيل خطة FTP ، فاتبع الخطوات التالية في WHM / cPanel.

1. قم بتسجيل الدخول إلى WHM / cPanel كمستخدم أساسي.
2. انتقل إلى تكوين خادم FTP . في دعم تشفير TLS ، قم بتغييره إلى مطلوب (أمر) وانقر على زر حفظ .

15. تأمين وصول cPanel و WHM

فرض عنوان HTTPS URL للوصول إلى cPanel / WHM

لحماية تسجيل الدخول إلى cPanel أو WHM باستخدام تشفير قائم على SSL ، اتبع هاتين الخطوتين البسيطتين.

1. قم بتسجيل الدخول إلى WHM وانتقل إلى الصفحة الرئيسية -> تكوين الخادم - > إعدادات القرص .
2. قم بالتمرير على الجانب الأيمن إلى علامة تبويب إعادة التوجيه واستخدم الإعدادات الموضحة في الصورة أدناه.

تعطيل تسجيل الدخول إلى cPanel-ID

يسمح خادم cPanel بنوعين من عمليات تسجيل الدخول.

الأول هو اسم المستخدم الافتراضي / القياسي وكلمة المرور لتسجيل الدخول والثاني هو تسجيل الدخول إلى الخادم باستخدام معرف cPanel.

يسمح معرف cPanel للمستخدمين بنشر اسم مستخدم واحد وكلمة مرور واحدة للوصول إلى مجموعة متنوعة من خدمات cPanel.

في حين أن هذه الطريقة أكثر من مناسبة للمؤسسة التي تدير مركز بيانات كبير وتقوم بتوظيف فنيين جدد بشكل متكرر ، إذا كان لديك خادم واحد فقط ، فيجب عليك تعطيله باستخدام الخطوات التالية.

1. قم بتسجيل الدخول إلى WHM وانتقل إلى الصفحة الرئيسية ← مركز الأمان ← إدارة المصادقة الخارجية .
2. قم بتغيير تسجيل الدخول إلى cPanel-ID لتعطيله كما هو موضح في الصورة أدناه.

استنتاج

من خلال تنفيذ هذه النصائح الـ 15 السهلة على الخادم الافتراضي الخاص بك أو الخادم المخصص ، ستقلل على الفور من قابلية تعرضك للهجمات داخليًا وخارجيًا وتعزز أمان نظامك في غضون ساعات.

وعلى الرغم من أن هذه النصائح ستقلل من عدد التهديدات التي يتعرض لها خادمك ، إلا أنها ليست علاجًا كاملاً.

من أجل تحسين أمان نظامك ، تحتاج إلى بذل العناية الواجبة وتحديث نفسك بانتظام بأحدث الأحداث في عالم أمان الخادم.

ومع ذلك ، مع بضع ساعات فقط من البحث شهريًا ، يمكنك البقاء في طليعة أمان cPanel والتأكد من أنك وشركتك ستظلان بأمان لسنوات قادمة.

هل لديك أي أسئلة حول النصائح الخمسة عشر المذكورة أعلاه؟ هل وجدت أي ميزات أمان جديدة لخوادم cPanel تريد مشاركتها؟ اسمحوا لنا أن نعرف في التعليقات أدناه.