15 einfache Tipps zum Sichern eines cPanel-Servers

Veröffentlicht: 2017-06-27

15 einfache Tipps zum Sichern eines cPanel-Servers
Serversicherheit ist ein komplexes und facettenreiches Thema, dessen vollständiges Verständnis und Beherrschung Jahre dauern kann.

Die meisten Administratoren müssen sorgfältig eine Vielzahl von Sicherheitsmaßnahmen auf ihren Servern entwickeln und implementieren, um Angriffe und Sicherheitsverletzungen zu verhindern.

Die fraglichen Sicherheitsmaßnahmen können so einfach sein wie die Forderung nach sichereren Passwörtern und so komplex wie die Bereitstellung aktualisierter Verschlüsselungsprotokolle für gespeicherte Daten.

Glücklicherweise fällt die cPanel-Serversicherheit jedoch eher in Richtung des „einfachen“ Endes des Serversicherheitsspektrums.

Hier sind 15 einfache Möglichkeiten, die Sicherheit Ihres Servers in nur wenigen Minuten erheblich zu verbessern.

1. Sichern von SSH

Obwohl SSH ein verschlüsseltes Protokoll ist, ist es nicht undurchdringlich. Das bedeutet, dass Sie als Administrator bei der Konfiguration die gebotene Sorgfalt walten lassen müssen.

Hier sind drei einfache Schritte, um die Sicherheit Ihres SSH zu erhöhen.

1.SSH-Port ändern

Wenn SSH auf dem Standardport 22 bleibt, ist es anfällig für Brute-Force-Angriffe. Um diese Angriffe zu verhindern, sollten Sie einen zufälligen Port für SSH auswählen, um potenziellen Angreifern das Erkennen seines Standorts zu erschweren.

Hier sind die Schritte zum Ändern des SSH-Ports.

  1. Melden Sie sich über SSH bei Ihrem Server an.
  2. Bearbeiten Sie die SSH-Konfigurationsdatei, die sich unter /etc/ssh/sshd_config befindet , indem Sie den folgenden Befehl ausführen:
    nano /etc/ssh/sshd_config
  3. Legen Sie einen zufälligen Port für die SSH-Verbindung in der folgenden Zeile fest. Original: Port 22
    Neue Leitung: Port 2468
  4. Starten Sie nun den SSH-Dienst neu, indem Sie den folgenden Befehl ausführen:
    Dienst sshd neu starten

2. Deaktivieren Sie die Root-Anmeldung

Um eine zusätzliche Sicherheitsebene hinzuzufügen und Ihr SSH weiter zu stärken, können Sie den Root-Benutzer deaktivieren und einen separaten Benutzer für den Zugriff auf den Server erstellen.

Hier ist, wie:

  1. Melden Sie sich über SSH bei Ihrem Server an. Bevor wir die Root-Anmeldung deaktivieren, erstellen wir einen Benutzer für den Zugriff auf den Server:
    adduser neuer_benutzername_name
    passwd neuer_benutzername_name
  2. Sie werden aufgefordert, ein Passwort für diesen neuen Benutzer festzulegen. Stellen Sie sicher, dass das Passwort so stark wie möglich ist (mindestens 10 Zeichen mit mehreren Zahlen und Symbolen) und fügen Sie dann den neuen Benutzer in einer Radgruppe hinzu, die ihm Zugriff auf den Server gewährt, indem Sie die folgende Codezeile verwenden.
    # usermod -aG wheel neuer_benutzername_name
  3. Deaktivieren Sie jetzt den Root-Benutzer. Bearbeiten Sie die SSH-Konfigurationsdatei, die sich unter /etc/ssh/sshd_config befindet .
    nano /etc/ssh/sshd_config
  4. Ändere die Zeile: „PermitRootLogin yes“ zu „PermitRootLogin no“
  5. Starten Sie nun den SSH-Dienst neu, indem Sie den folgenden Befehl ausführen.
    Dienst sshd neu starten

3. Deaktivieren Sie SSH V1

Da die Einführung von SSHv2 seinen Vorgänger SSHv1 so gut wie veraltet macht, wird dringend empfohlen, dass Sie das weniger sichere und veraltete SSH deaktivieren, um die Sicherheit Ihres Servers zu verbessern.

  1. Melden Sie sich über SSH bei Ihrem Server an und bearbeiten Sie die SSH-Konfigurationsdatei, die sich unter /etc/ssh/sshd_config befindet .
  2. Entkommentieren Sie die folgende Zeile.
    Protokoll 2,1
  3. Und ändern Sie es in:
    Protokoll 2
  4. Starten Sie nun den SSH-Dienst neu, indem Sie den folgenden Befehl ausführen:
    # service sshd neustarten

2. cPHulk-Schutz aktivieren

Ein Brute-Force-Angriff ist eine Hacking-Methode, die auf einem automatisierten System beruht, um das Passwort für Ihren Webserver zu erraten.

cPHulk ist ein benutzerfreundlicher Dienst, der Ihren Server vor den meisten Brute-Force-Angriffen schützt.

Um cPHulk zu aktivieren, melden Sie sich bei WHM → Security CentercPHulk Brute Force Protection an und klicken Sie auf Aktivieren .

Sie können jetzt benutzerdefinierte Regeln basierend auf dem cPanel-Benutzernamen, der IP-Adresse und anderen Parametern festlegen.

Sobald eine festgelegte Anzahl fehlgeschlagener Anmeldeversuche erreicht ist, blockiert cPHulk alle weiteren Versuche von der verwendeten IP-Adresse.

Hinweis: Wenn Sie eine statische IP-Adresse haben, wird dringend empfohlen, diese zur Whitelist-Verwaltung hinzuzufügen, damit Sie sich nicht von Ihrem Server aussperren.

3. ConfigServer-Firewall (CSF) einrichten

CSF (ConfigServer Security and Firewall) ist eine der beliebtesten Firewalls für cPanel-Server.

Es fungiert nicht nur als Firewall, indem es verschiedene Authentifizierungsprotokolldateien scannt, sondern scannt auch regelmäßig Ihren Server und gibt Ihnen personalisierte Empfehlungen zur Verbesserung der Sicherheit Ihres Servers.

Zusätzlich zu seinen Hauptfunktionen bietet Ihnen CSF auch Zugriff auf eine Reihe nützlicher Funktionen wie „Systemprotokolle anzeigen“, IPTable-Protokolle, IFD-Statistiken und vieles mehr.

Installieren der ConfigServer-Firewall

Es ist ganz einfach, CSF mit cPanel auf Ihrem Server zu installieren. Bitte lesen Sie unsere Schritt-für-Schritt-Anleitung zum Installieren der ConfigServer-Firewall auf cPanel/WHM?

Nachdem Sie die Anweisungen in unserem oben genannten Leitfaden befolgt haben, können Sie CSF direkt von WHM aus verwalten.

Melden Sie sich dazu bei Ihrem WHM an, navigieren Sie zu Plugins → ConfigServer Security & Firewall.

Hier werden Ihnen eine Reihe von Möglichkeiten und Maßnahmen aufgezeigt, mit denen Sie Ihre Sicherheit noch weiter erhöhen können.

4. Richten Sie ClamAV Antivirus ein

Obwohl Linux-Server eine „natürlichere“ Resilienz gegenüber Viren haben als ihre Windows-basierten Gegenstücke, wird es dennoch als ratsam angesehen, eine zusätzliche Antivirenanwendung zu installieren.

ClamAV, das einfach als Plugin auf Ihrem Server installiert werden kann, ist eines der beliebtesten Open-Source-Antivirus-Plugins für cPanel-Server und ermöglicht es einzelnen Benutzern, ihr Home-Verzeichnis und ihre E-Mails nach potenziell bösartigen Dateien zu durchsuchen.

Nochmals, der Kürze halber, lesen Sie bitte unsere Schritt-für-Schritt-Anleitung How to Install ClamAV plugin from WHM .

Sobald ClamAV installiert ist, können Sie jedes bestimmte cPanel-Konto mit Zugriff auf cPanel-Benutzerebene scannen. Hier ist unsere Anleitung zum Ausführen des ClamAV-Virenscans von cPanel aus .

5. Wechseln Sie zu CloudLinux

CloudLinux, ein kostenpflichtiger Ersatz für das kostenlose CentOS, gilt als eines der sichersten Betriebssysteme für cPanel-Server.

Mit CloudLinux können Sie die Serverdichte und -stabilität erhöhen, indem Sie cPanel-Konten voneinander isoliert halten.

Dieses Kunststück wird durch die Verwendung von LVE (Lightweight Virtualized Environment) erreicht, das Serverressourcen wie Verarbeitung, Speicher und Verbindungen für jeden Benutzer begrenzt und so sicherstellt, dass ein einzelner Benutzer die Serverstabilität nicht gefährden und alle Websites verlangsamen kann.

Das Betriebssystem „sperrt“ Benutzer voneinander ein, um Sicherheitsverletzungen zu vermeiden. Instabile oder kompromittierte Skripte oder Malware können von keinem kompromittierten Konto über den Server verbreitet werden.

Im Folgenden sind die wichtigsten Sicherheitsfunktionen von CloudLinux OS aufgeführt:

  1. KäfigFS
  2. Gehärtetes PHP
  3. Sichere Links

KäfigFS

CageFS kapselt jeden Benutzer und verhindert, dass Benutzer sich gegenseitig sehen und vertrauliche Informationen lesen. Es verhindert auch eine große Anzahl von Angriffen, einschließlich der meisten Angriffe zur Rechteausweitung und Offenlegung von Informationen.

→ Mit CageFS haben Benutzer nur Zugriff auf sichere Dateien.
→ Benutzer können Serverkonfigurationsdateien wie Apache-Konfigurationsdateien nicht sehen.
→ Benutzer können andere Benutzer nicht sehen und haben keine Möglichkeit, die Anwesenheit anderer Benutzer zu erkennen.
→ Benutzer können die Prozesse anderer Benutzer nicht sehen.

Gehärtetes PHP

Die alten PHP-Versionen 5.2, 5.3, 5.4 sind zwar weit verbreitet, haben aber Schwachstellen, die nicht von der PHP.net-Community gepatcht werden.
Das HardenedPHP in CloudLinux behebt diese Schwachstellen und sichert die alten und nicht unterstützten Versionen.

→ Es stellt sicher, dass die Anwendung und der Server gesichert sind, indem alle PHP-Versionen gepatcht werden.
→ Es bietet Sicherheit und Flexibilität für alle Benutzer.
→ Es erhöht die Kundenbindung, indem es keine Upgrades auf eine neuere PHP-Version erzwingt
→ Bietet die Auswahl der PHP-Version aus mehreren Versionen, die auf demselben Webserver installiert sind, mit der PHP-Auswahloption

Sichere Links

SecureLinks ist eine Technologie auf Kernel-Ebene, die den Server stärkt, indem sie alle bekannten Angriffe auf symbolische Links (Symlinks) verhindert und gleichzeitig böswillige Benutzer daran hindert, Symlink-Dateien zu erstellen.
→ Mit SecureLinks können Sie Angriffe verhindern, indem Sie böswillige Benutzer daran hindern, Symlinks und Hardlinks zu Dateien zu erstellen, die ihnen nicht gehören.
→ Es verhindert, dass böswillige Benutzer Dateien mit symbolischen Links erstellen.
→ Erhöht das Sicherheitsniveau des Servers vor Symlink-Angriffen.

6. Ping-Anfrage deaktivieren

Ein Ping ist eine ICMP-Anfrage (Internet Control Message Protocol) und sollte deaktiviert werden, um „Ping of Death“- und „Ping Flood“-Angriffe zu vermeiden.

Ping des Todes

Ping of Death ist ein Denial-of-Service-Angriff, der von einem Angreifer verursacht wird, der absichtlich ein IP-Paket sendet, das größer ist als das IP-Protokoll erlaubt.

Infolgedessen wissen viele Betriebssysteme nicht, was zu tun ist, wenn sie übergroße Pakete erhalten, die Maschine eingefroren, abgestürzt oder neu gestartet wird.

Ping-Flut

Ping Flood ist ein einfacher Denial-of-Service-Angriff, bei dem der Angreifer das Opfer mit ICMP-Paketen überhäuft, in der Hoffnung, dass das Opfer mit gepackten ICMP-Antworten antwortet und so sowohl eingehende als auch ausgehende Bandbreite verbraucht.

Wenn der Zielcomputer langsamer ist, ist es möglich, dass seine CPU-Zyklen verbraucht werden, was zu einer spürbaren Verlangsamung der Verarbeitungsfähigkeiten des Systems führt.

Um die Ping-Antwort zu deaktivieren, führen Sie den folgenden Befehl als Root-Benutzer aus:
echo „1“ > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo „1“ > /proc/sys/net/ipv4/icmp_echo_ignore_all
Um die Ping-Antwort mit der IPtables-Firewall zu deaktivieren, führen Sie den folgenden Befehl als Root-Benutzer aus:
iptables -A INPUT -p icmp -j DROP

7. Konfigurieren Sie die Host-Zugriffssteuerung

In bestimmten Fällen möchten Sie möglicherweise bestimmte Dienste nur für eine IP zulassen. Um dieses Ziel zu erreichen, müssen Sie lediglich Ihre Host Access Control richtig konfigurieren, mit der Sie Regeln erstellen können, die den Serverzugriff basierend auf der IP-Adresse des Benutzers genehmigen oder verweigern.

Alle Verbindungen abzulehnen und nur die Verbindungen zuzulassen, die Sie fortsetzen möchten, ist die sicherste Vorgehensweise, um die Sicherheit Ihres Servers gegen Brute-Force-Angriffe über bestimmte Ports zu erhöhen.

Um eine Regel mit Host Access Control zu konfigurieren, benötigen Sie drei Dinge.

  1. Der Dienst, für den Sie eine Regel erstellen möchten
  2. Die IP-Adresse, für die Sie Berechtigungen zulassen oder verweigern möchten
  3. Und die Aktion, die Sie ausführen möchten (z. B. Erlauben oder Verweigern)

Um Regeln in Host Access Control einzurichten, melden Sie sich bei Ihrem WHM an und navigieren Sie zu Security CenterHost Access Control .

Im Folgenden finden Sie ein Beispiel für das Sperren des SSH-Dienstes:

Dämon Zugangsliste Aktion Kommentar
sshd 192.168.3.152 ermöglichen Lokalen SSH-Zugriff zulassen
sshd 1xx.6x.2xx.2xx ermöglichen SSH von meiner spezifischen IP zulassen
sshd ALLE leugnen Den Zugriff von allen anderen IPs verweigern

Hinweis: Die Regeln haben eine Rangfolge. Sie müssen „Erlauben“-Regeln vor „Verweigern“-Regeln setzen, wenn Sie sich dafür entscheiden, die Technik „Erlauben von einigen, dann Verweigern von allen“ zu verwenden.

8. Richten Sie Mod_Security ein

Im Jahr 2017 werden mehr als 70 % aller böswilligen Serverangriffe auf der Ebene von Webanwendungen ausgeführt.
Um das mit Ihrem spezifischen Server verbundene Risiko zu mindern, ist es eine bewährte Methode der Branche, eine WAF- oder Webanwendungs-Firewall bereitzustellen, um die externe Sicherheit zu erhöhen und Angriffe zu erkennen/zu verhindern, bevor sie Webanwendungen erreichen.

ModSecurity ist eine der ältesten und beliebtesten Firewalls für Webanwendungen und wurde entwickelt, um Folgendes zu verhindern:

  1. SQL-Injektion
  2. iFrame-Angriffe
  3. Webshell-/Backdoor-Erkennung
  4. Erkennung von Botnet-Angriffen
  5. HTTP-Denial-of-Service (DoS)-Angriffe

Die Installation von mod_security kann innerhalb weniger Minuten mit wenigen Änderungen an der bestehenden Infrastruktur durchgeführt werden.

Sie können es in der einfachen Apache-Konfiguration aktivieren.

Um Mod_Security-Regeln zu erstellen, gehen Sie zu ModSeurity Tools und klicken Sie auf Rules List.

In den neuen Fenstern werden alle Regeln angezeigt. Sie können auf Regel hinzufügen klicken, um neue Regeln zu erstellen. Bitte beachten Sie, dass Sie Apache neu starten müssen, um neue Regeln bereitzustellen.

Um mehr über ModSecurity Tools zu erfahren, klicken Sie hier.

9. Scannen Sie Ihr System mit RootKit Hunter

Rootkit Hunter oder rkhunter ist ein UNIX-basiertes Tool, das nach Rootkits, Backdoors und möglichen lokalen Exploits sucht.

Es vergleicht SHA-1-Hashes wichtiger Dateien mit den Dateien in Online-Datenbanken, um die Integrität der Dateien sicherzustellen.

Es sucht auch nach Standard-Rootkit-Verzeichnissen, übermäßigen Berechtigungen, versteckten Dateien, verdächtigen Zeichenfolgen in Kernel-Modulen und einer Fülle anderer Dinge, die die Sicherheit Ihres Servers gefährden könnten.

Installation von RootKit Hunter

Ändern Sie das aktuelle Arbeitsverzeichnis in das gewünschte Installationsverzeichnis.
cd /usr/local/src
Laden Sie das rkhunter-Paket mit dem Befehl wget herunter.
wget http://dfn.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.4.2.tar.gz
Entpacken Sie das heruntergeladene rkhunter-Archiv.
tar -zxvf rkhunter-1.4.2.tar.gz
Ändern Sie das aktuelle Arbeitsverzeichnis in das Verzeichnis rkhunter. Stellen Sie sicher, dass Sie den Verzeichnisnamen durch den tatsächlichen Verzeichnisnamen ersetzen. In unserem Fall ist es „rkhunter-1.4.2“, das geändert werden kann, wenn neue Updates veröffentlicht werden.
cd rkhunter-1.4.2
Installieren Sie das rkhunter-Paket, indem Sie das Installationsskript ausführen.
./installer.sh –Standardlayout –install
Dadurch wird das rkhuter-Tool auf dem Server installiert.

Rkhunter konfigurieren

Sie finden die Konfigurationsdatei von rkhunter unter dem Pfad /etc/rkhunter.conf . Durch Ändern der Parameterwerte in dieser Datei können wir die Eigenschaften von rkhunter ändern, um den Server zu sichern. Root-Login über SSH zulassen
ALLOW_SSH_ROOT_USER = ja
rkhunter-Installationsverzeichnis
INSTALLDIR=/Pfad/von/Installation/Verzeichnis
rkhunter Datenbankverzeichnis
DBDIR=/var/lib/rkhunter/db
rkhunter-Skriptverzeichnis
SCRIPTDIR=/usr/local/lib64/rkhunter/scripts
rkhunter temporäres Verzeichnis
TMPDIR=/var/lib/rkhunter/tmp

Manueller Scan mit rkhunter

Um einen manuellen Scan mit rkhunter auszuführen, führen Sie den folgenden Befehl aus.
/usr/local/bin/rkhunter -c
Standardmäßig läuft rkhunter im interaktiven Modus. rkhunter führt eine Reihe von Scans durch und nach jedem Satz von Scans müssen Sie die Eingabetaste drücken, um den Scan fortzusetzen.

Um den interaktiven Modus zu überspringen und den gesamten Satz zu scannen, verwenden Sie den folgenden Befehl. Beachten Sie, dass -c das lokale System überprüft und –sk das Drücken von Tasten überspringt.
/usr/local/bin/rkhunter -c -sk
Um das gesamte Dateisystem zu scannen, führen Sie den folgenden Befehl aus.
rkhunter – prüfen

Automatische Scans mit Rkhunter planen

Um einen geplanten automatischen Scan zu erstellen, erstellen Sie ein Skript, das rkhunter scan ausführt und die Scanergebnisse per E-Mail versendet.

Wenn Sie rkhunter scan täglich ausführen möchten, laden Sie das Skript in das Verzeichnis /etc/cron.daily und für wöchentliche Scans in /etc/cron.weekly hoch .

Öffnen Sie eine Datei in einem Editor und schreiben Sie das folgende Skript, um es täglich zu planen.
vi /etc/cron.daily/rkhunter.sh
Skript zum Planen des täglichen Scans

#!/bin/sh

(

/usr/local/bin/rkhunter --versioncheck

/usr/local/bin/rkhunter --update

/usr/local/bin/rkhunter --cronjob --report-warnings-only

) | /bin/mail -s 'rkhunter Daily Run (HostnameOfServer)' youremail@address

Hinweis: Stellen Sie sicher, dass Sie HostnameOfServer und youremail@address durch den tatsächlichen Server-Hostnamen und die E-Mail-Adresse ersetzen, an die die Benachrichtigungen im Skript gesendet werden sollen.

rkhunter Update & Optionen

Um die aktuelle Version von rkhunter zu überprüfen.
/usr/local/bin/rkhunter –Versionsüberprüfung
So aktualisieren Sie die rkhunter-Version.
/usr/local/bin/rkhunter –update
Wenn die Datenbankdateien aktualisiert werden, um die aktualisierten Werte und Eigenschaften zu überprüfen und zu speichern.
/usr/local/bin/rkhunter –propupd
rkhunter logs speichert alle durchgeführten Aktivitäten und Fehler, die von der Anwendung festgestellt wurden. So überprüfen Sie die rkhunter-Protokolle.
/var/log/rkhunter.log
Sie können die anderen rkhunter-Optionen mit verweisen.
/usr/local/bin/rkhunter –hilfe

10. Scannen Sie Ihr System mit Maldet

Maldet, auch bekannt als Linux Malware Detect (LMD), ist ein Malware-Scanner für Linux-Systeme, der entwickelt wurde, um PHP-Hintertüren, Darkmailer und eine Reihe anderer schädlicher Dateien, die auf kompromittierten Websites vorhanden sein könnten, effektiv zu erkennen.

Maldet installieren

  1. SSH zum Server und laden Sie die tar-Datei herunter.
    wget href=“http://www.rfxn.com/downloads/maldetect-current.tar.gz“>
  2. Extrahieren Sie die Datei.
    tar -xzf maldetect-current.tar.gz
  3. Gehen Sie zum Maldet-Ordner.
    CD-Fehlererkennung-*
  4. Führen Sie den folgenden Befehl aus, um Maldet zu installieren.
    sh./install.sh

Verwenden Sie Maldet in Linux Server

Sie sollten immer eine neue Bildschirmsitzung öffnen und den Scan ausführen, da der Scan je nach Speicherplatznutzung Ihres Systems Stunden dauern kann. Um einen Scan auszuführen, verwenden Sie den folgenden Befehl.
maldet -a /path/to/scan ODER

maldet –scan-all /path/to/scan
Sie können auch einfach den folgenden Befehl ausführen, um das gesamte System zu scannen
maldet -a /
Sobald der Scan des Servers abgeschlossen ist, erhalten Sie am Ende die SCAN-ID. Verwenden Sie den folgenden Befehl, um den gescannten Bericht anzuzeigen. Beachten Sie, dass Sie SCAN ID durch die tatsächliche ID ersetzen müssen.
maldet – SCAN-ID melden
Beispiel: Maldet – Bericht 062617-2220.1771

Führen Sie den folgenden Befehl aus, um alle Malware-Ergebnisse eines vorherigen Scans unter Quarantäne zu stellen.
maldet -q SCAN-ID
Ex. Maldet -Quarantäne 062617-2220.1771

Maldet automatisieren

Sie können die Maldet-Konfigurationsdatei conf.maldet bearbeiten, um die Prozesse zu automatisieren, wie z.

  1. Setzen Sie email_alert auf 1 , um Berichte an das konfigurierte E-Mail-Konto zu senden.
  2. Legen Sie in email_addr das E-Mail-Konto fest, für das Sie Scanberichte erhalten möchten.
  3. Ändern Sie quar_hits auf 1 , damit jede gefundene Malware in das Verzeichnis „ /usr/local/maldetect/quarantine “ verschoben wird und Sie eine Benachrichtigung an die konfigurierte E-Mail-Adresse erhalten.
  4. Ändern Sie quar_susp auf 1 . Dies aktiviert die Kontosperrung von cPanel-Benutzern oder setzt den Shell-Zugriff auf ' /bin/false ' für Nicht-cPanel-Benutzer.

11. Richten Sie den Cron-Job ein, um ClamAV täglich auszuführen

Da Aktionen zum Hinzufügen, Aktualisieren und Löschen von Dateien, die sich auf Ihrem Server befinden, schnell ausgeführt werden, ist es von größter Bedeutung sicherzustellen, dass alle neuen Änderungen sicher sind und ordnungsgemäß mit einer Antivirenanwendung gescannt werden.

Sie können den Cron-Job des ClamAV-Scanners verwenden, um wöchentliche Scans auszuführen, die automatisch außerhalb der Geschäftszeiten gestartet werden.

Verwenden Sie den folgenden Befehl, um diesen Cron auszuführen.
für i in awk '!/nobody/{print $2 | "sort | uniq" }' /etc/userdomains | sort | uniq awk '!/nobody/{print $2 | "sort | uniq" }' /etc/userdomains | sort | uniq awk '!/nobody/{print $2 | "sort | uniq" }' /etc/userdomains | sort | uniq ; do /usr/local/cpanel/3rdparty/bin/clamscan -i -r /home/$i 2>>/dev/null; fertig >> /root/infections&
Dieser Befehl durchsucht das Home-Verzeichnis rekursiv nach Spam und infizierten Dateien.

12. Deaktivieren Sie die Apache-Header-Informationen

Da Ihre Serversignatur Informationen wie Apache- und Betriebssystemversionen enthält, ist es wichtig, dass Sie diese Informationen mit WHM Login vor neugierigen Blicken der Öffentlichkeit verbergen.

  1. Sobald Sie sich bei WHM angemeldet haben. Navigieren Sie zu DienstkonfigurationApache-KonfigurationGlobale Konfiguration .
  2. Stellen Sie die folgenden Werte ein.
    Serversignatur = Aus
     Server-Token = Nur Produkt

13. PHP-Versionsinformationen ausblenden

Wie bei Apache-Headern sollten Sie auch keine PHP-Versionsinformationen offenlegen. Hier sind die Schritte zum Ausblenden dieser Informationen.

  1. Sobald Sie sich bei WHM angemeldet haben. Navigieren Sie zu DienstkonfigurationPHP-Konfigurationseditor .
  2. Stellen Sie die folgenden Werte ein.
    expon_php= „aus“

14. Deaktivieren Sie FTP und verwenden Sie stattdessen SFTP

Obwohl Sie es aus ihren Namen nicht erahnen würden, könnten die Protokolle FTP und SFTP nicht unterschiedlicher sein.

Bei Standard-FTP werden alle Daten zwischen Client und Server im Klartext übertragen. Dies ermöglicht es einem Lauscher, Ihre vertraulichen Informationen einschließlich Anmeldeinformationen und anderweitig „private“ Nachrichten abzurufen.

Im Gegensatz zu Standard-FTP verschlüsselt SFTP (SSH File Transfer Protocol) sowohl Befehle als auch Daten und verhindert, dass Passwörter und vertrauliche Informationen im Klartext über das Netzwerk übertragen werden.

Klicken Sie hier, um die Schritte zum Generieren des SSH-Schlüssels und zum Herstellen einer Verbindung zum Server über den SFTP-Client anzuzeigen.

Wenn Sie nur die SFTP-Verbindung zulassen und den FTP-Plan deaktivieren möchten, führen Sie die folgenden Schritte in WHM/cPanel aus.

  1. Melden Sie sich als Root-Benutzer bei Ihrem WHM/cPanel an.
  2. Navigieren Sie zu FTP-Serverkonfiguration . Ändern Sie es in der TLS-Verschlüsselungsunterstützung in Erforderlich (Befehl) und klicken Sie auf die Schaltfläche Speichern .

15. Sichern des cPanel- und WHM-Zugriffs

HTTPS-URL für den Zugriff auf cPanel/WHM erzwingen

Um Ihr cPanel- oder WHM-Login mit einer SSL-basierten Verschlüsselung zu schützen, folgen Sie diesen zwei einfachen Schritten.

  1. Melden Sie sich bei WHM an und navigieren Sie zu HomeServer ConfigurationTweak Settings .
  2. Scrollen Sie nach rechts zur Registerkarte „ Weiterleitung “ und verwenden Sie die im folgenden Bild gezeigten Einstellungen.

cPanel-ID-Anmeldung deaktivieren

Ein cPanel-Server erlaubt zwei Arten von Anmeldungen.

Der erste ist der Standard-/Standard-Benutzername und das Passwort-Login und der zweite ist die Anmeldung beim Server mit einer cPanel-ID.

Eine cPanel-ID ermöglicht es Benutzern, einen einzigen Benutzernamen und ein einziges Passwort bereitzustellen, um Zugriff auf eine Vielzahl von cPanel-Diensten zu erhalten.

Diese Methode ist zwar mehr als geeignet für Organisationen, die ein großes Rechenzentrum verwalten und häufig neue Techniker einstellen, aber wenn Sie nur einen einzigen Server haben, sollten Sie ihn mit den folgenden Schritten deaktivieren.

  1. Melden Sie sich bei WHM an und navigieren Sie zu HomeSecurity Center → Manage External Authentication .
  2. Ändern Sie die cPanel-ID-Anmeldung, um sie zu deaktivieren, wie im folgenden Bild gezeigt.

Fazit

Indem Sie diese 15 einfachen Tipps für Ihren VPS oder dedizierten Server implementieren, reduzieren Sie sofort Ihre Anfälligkeit für interne und externe Angriffe und erhöhen die Sicherheit Ihres Systems innerhalb weniger Stunden.

Und obwohl diese Tipps die Anzahl der Bedrohungen für Ihren Server verringern, sind sie kein Allheilmittel.

Um die Sicherheit Ihres Systems zu optimieren, müssen Sie Ihrer Sorgfaltspflicht nachkommen und sich regelmäßig über die neuesten Ereignisse in der Welt der Serversicherheit auf dem Laufenden halten.

Mit nur wenigen Stunden Recherche pro Monat können Sie jedoch auf dem neuesten Stand der cPanel-Sicherheit bleiben und sicherstellen, dass Sie und Ihr Unternehmen für die kommenden Jahre sicher bleiben.

Haben Sie Fragen zu den 15 oben aufgeführten Tipps? Haben Sie neue Sicherheitsfunktionen von cPanel-Servern gefunden, die Sie teilen möchten? Lassen Sie es uns in den Kommentaren unten wissen.