15 prostych wskazówek dotyczących zabezpieczania serwera cPanel

Opublikowany: 2017-06-27

15 prostych wskazówek dotyczących zabezpieczania serwera cPanel
Bezpieczeństwo serwerów to złożony i wieloaspektowy temat, którego pełne zrozumienie i opanowanie może zająć lata.

Większość administratorów musi starannie opracować i wdrożyć na swoich serwerach szeroki wachlarz środków bezpieczeństwa, aby zapobiegać atakom i naruszeniom.

Omawiane środki bezpieczeństwa mogą być tak proste, jak wymaganie bezpieczniejszych haseł, i tak złożone, jak wdrożenie zaktualizowanych protokołów szyfrowania przechowywanych danych.

Na szczęście jednak bezpieczeństwo serwera cPanel spada bardziej w kierunku „prostego” końca spektrum bezpieczeństwa serwerów.

Oto 15 prostych sposobów na znaczne zwiększenie bezpieczeństwa serwera w ciągu zaledwie kilku minut.

1. Zabezpieczenie SSH

Chociaż SSH jest protokołem szyfrowanym, nie jest nieprzepuszczalny. Oznacza to, że jako administrator musisz dochować należytej staranności podczas konfiguracji.

Oto trzy proste kroki, aby zwiększyć bezpieczeństwo Twojego SSH.

1. Zmień port SSH

Utrzymywanie SSH na domyślnym porcie 22 sprawia, że ​​jest on podatny na ataki typu brute force. Aby zapobiec tym atakom, powinieneś wybrać losowy port dla SSH, aby utrudnić potencjalnym atakującym rozpoznanie jego lokalizacji.

Oto kroki, aby zmienić port SSH.

  1. Zaloguj się na swój serwer przez SSH.
  2. Edytuj plik konfiguracyjny SSH, który znajduje się w /etc/ssh/sshd_config , wydając następujące polecenie:
    nano /etc/ssh/sshd_config
  3. Ustaw losowy port dla połączenia SSH w następującej linii.Oryginał: Port 22
    Nowa linia: Port 2468
  4. Teraz uruchom ponownie usługę SSH, wykonując następujące polecenie:
    restart usługi sshd

2. Wyłącz logowanie roota

Aby dodać dodatkową warstwę zabezpieczeń i jeszcze bardziej wzmocnić SSH, możesz wyłączyć użytkownika root i utworzyć oddzielnego użytkownika, aby uzyskać dostęp do serwera.

Oto jak:

  1. Zaloguj się na swój serwer przez SSH. Przed wyłączeniem logowania root, utworzymy użytkownika, który będzie miał dostęp do serwera:
    adduser nowa_nazwa_użytkownika
    passwd nowa_nazwa_użytkownika
  2. Zostaniesz poproszony o ustawienie hasła dla tego nowego użytkownika. Upewnij się, że hasło jest tak silne, jak to możliwe (co najmniej 10 znaków z kilkoma cyframi i symbolami), a następnie dodaj nowego użytkownika w grupie wheel, przyznając mu dostęp do serwera, używając poniższego wiersza kodu.
    # usermod -aG koło nowa_nazwa_użytkownika
  3. Teraz wyłącz użytkownika root. Edytuj plik konfiguracyjny SSH, który znajduje się w /etc/ssh/sshd_config .
    nano /etc/ssh/sshd_config
  4. Zmień linię: „PermitRootLogin tak” na „PermitRootLogin nie”
  5. Teraz uruchom ponownie usługę SSH, wykonując następujące polecenie.
    restart usługi sshd

3. Wyłącz SSH V1

Ponieważ SSHv2 sprawił, że jego poprzednik SSHv1 stał się przestarzały, zdecydowanie zaleca się wyłączenie mniej bezpiecznego i przestarzałego SSH, aby poprawić bezpieczeństwo serwera.

  1. Zaloguj się do serwera przez SSH i edytuj plik konfiguracyjny SSH, który znajduje się w /etc/ssh/sshd_config .
  2. Odkomentuj następującą linię.
    Protokół 2,1
  3. I zmień go na:
    Protokół 2
  4. Teraz uruchom ponownie usługę SSH, wykonując następujące polecenie:
    # restart usługi sshd

2. Włączanie ochrony cPHulk

Atak brute force to metoda hakerska, która polega na automatycznym systemie odgadywania hasła do serwera WWW.

cPHulk to łatwa w użyciu usługa, która ochroni Twój serwer przed większością ataków typu brute force.

Aby włączyć cPHulk, zaloguj się do WHM → Security CentercPHulk Brute Force Protection i kliknij Enable .

Możesz teraz ustawić niestandardowe reguły na podstawie nazwy użytkownika cPanel, adresu IP i innych parametrów.

Po osiągnięciu określonej liczby nieudanych prób logowania, cPHulk zablokuje wszelkie dalsze próby z używanego adresu IP.

Uwaga: Jeśli masz statyczny adres IP, zdecydowanie zaleca się dodanie go do zarządzania białą listą , aby nie blokować się na swoim serwerze.

3. Skonfiguruj zaporę ConfigServer Firewall (CSF)

CSF (ConfigServer Security and Firewall) to jedna z najpopularniejszych zapór dla serwerów cPanel.

Nie tylko działa jako zapora sieciowa, skanując różne pliki dziennika uwierzytelniania, ale także regularnie skanuje serwer i zapewnia spersonalizowane zalecenia dotyczące poprawy bezpieczeństwa serwera.

Oprócz swoich podstawowych funkcji, CSF zapewnia również dostęp do wielu przydatnych funkcji, takich jak „Wyświetl dzienniki systemowe”, dzienniki IPTable, statystyki IFD i wiele innych.

Instalowanie zapory ConfigServer

Zainstalowanie CSF na serwerze za pomocą cPanel jest dość łatwe. Zapoznaj się z naszym przewodnikiem krok po kroku Jak zainstalować zaporę ConfigServer Firewall na cPanel/WHM?

Po wykonaniu wskazówek zawartych w naszym wyżej wymienionym przewodniku możesz zarządzać CSF bezpośrednio z WHM.

Aby to zrobić, zaloguj się do swojego WHM, przejdź do Wtyczki → ConfigServer Security & Firewall.

Tutaj zobaczysz szereg opcji i środków, których możesz użyć, aby jeszcze bardziej zwiększyć swoje bezpieczeństwo.

4. Skonfiguruj program antywirusowy ClamAV

Chociaż serwery z systemem Linux mają bardziej „naturalną” odporność na wirusy niż ich odpowiedniki z systemem Windows, nadal uważa się za rozsądne zainstalowanie dodatkowej aplikacji antywirusowej.

ClamAV, który można łatwo zainstalować jako wtyczkę na serwerze, jest jedną z najpopularniejszych wtyczek antywirusowych typu open source dla serwerów cPanel i umożliwia indywidualnym użytkownikom skanowanie ich katalogu domowego i wiadomości e-mail w poszukiwaniu potencjalnie złośliwych plików.

Ponownie, dla zwięzłości, zapoznaj się z naszym przewodnikiem krok po kroku Jak zainstalować wtyczkę ClamAV z WHM .

Po zainstalowaniu ClamAV możesz skanować dowolne konto cPanel z dostępem na poziomie użytkownika cPanel. Oto nasz przewodnik po tym , jak uruchomić skanowanie antywirusowe ClamAV z cPanel .

5. Przełącz się na CloudLinux

CloudLinux, płatny zamiennik darmowego CentOS, jest uważany za jeden z najbezpieczniejszych systemów operacyjnych dla serwerów cPanel.

Dzięki CloudLinux możesz zwiększyć gęstość i stabilność serwerów, utrzymując konta cPanel odizolowane od siebie.

Osiąga to za pomocą LVE (Lightweight Virtualized Environment), które ogranicza zasoby serwera, takie jak przetwarzanie, pamięć i połączenia dla każdego użytkownika, zapewniając w ten sposób, że pojedynczy użytkownik nie może zagrozić stabilności serwera i spowodować spowolnienie wszystkich witryn.

System operacyjny „odcina” użytkowników od siebie, aby uniknąć naruszeń bezpieczeństwa. Żaden niestabilny lub zhakowany skrypt lub złośliwe oprogramowanie nie może być rozpowszechniane na serwerze przez żadne zhakowane konto.

Oto główne funkcje bezpieczeństwa CloudLinux OS:

  1. KlatkaFS
  2. UtwardzonyPHP
  3. Bezpieczne łącza

KlatkaFS

CageFS hermetyzuje każdego użytkownika, uniemożliwiając użytkownikom wzajemne widzenie się i odczytywanie poufnych informacji. Zapobiega również dużej liczbie ataków, w tym większości ataków polegających na eskalacji uprawnień i ujawnianiu informacji.

→ Dzięki CageFS użytkownicy będą mieli dostęp tylko do bezpiecznych plików.
→ Użytkownicy nie widzą plików konfiguracyjnych serwera, takich jak pliki konfiguracyjne Apache.
→ Użytkownicy nie mogą przeglądać innych użytkowników i nie mają możliwości wykrycia obecności innych użytkowników.
→ Użytkownicy nie widzą procesów innych użytkowników.

UtwardzonyPHP

Stare PHP w wersji 5.2, 5.3, 5.4, chociaż powszechnie używane, mają luki, które nie są łatane przez społeczność PHP.net.
HardenedPHP w CloudLinux naprawia te luki i zabezpiecza stare i nieobsługiwane wersje.

→ Zapewnia bezpieczeństwo aplikacji i serwera poprzez łatanie wszystkich wersji PHP.
→ Zapewnia bezpieczeństwo i elastyczność wszystkim użytkownikom.
→ Zwiększa retencję klientów, nie wymuszając aktualizacji do nowszej wersji PHP
→ Oferuje wybór wersji PHP z wielu wersji zainstalowanych na tym samym serwerze WWW z opcją wyboru PHP

Bezpieczne łącza

SecureLinks to technologia na poziomie jądra, która wzmacnia serwer, zapobiegając wszelkim znanym atakom na dowiązania symboliczne (symboliczne), jednocześnie uniemożliwiając złośliwym użytkownikom tworzenie plików dowiązań symbolicznych.
→ Dzięki SecureLinks możesz zapobiegać atakom, uniemożliwiając złośliwym użytkownikom tworzenie dowiązań symbolicznych i twardych do plików, których nie są właścicielami.
→ Uniemożliwia złośliwym użytkownikom tworzenie plików dowiązań symbolicznych.
→ Zwiększa poziom bezpieczeństwa serwera przed atakami dowiązania symbolicznego.

6. Wyłącz żądanie ping

Ping to żądanie ICMP (Internet Control Message Protocol) i powinno być wyłączone, aby uniknąć ataków „Ping of Death” i „Ping Flood”.

Ping śmierci

Ping of Death to atak typu „odmowa usługi” spowodowany przez atakującego celowo wysyłającego pakiet IP większy niż dozwolony przez protokół IP.

W rezultacie wiele systemów operacyjnych nie wie, co zrobić, gdy otrzyma zbyt duże pakiety, maszyna zostanie zamrożona, zawieszona lub ponownie uruchomiona.

Ping Flood

Ping Flood jest prostym atakiem typu „odmowa usługi”, w którym atakujący przytłacza ofiarę pakietami ICMP w nadziei, że ofiara odpowie pakietem odpowiedzi ICMP, zużywając w ten sposób zarówno przychodzące, jak i wychodzące pasmo.

Jeśli maszyna docelowa jest wolniejsza, możliwe jest zużycie jej cykli procesora, powodując zauważalne spowolnienie możliwości przetwarzania systemu.

Aby wyłączyć odpowiedź na ping, uruchom następujące polecenie jako użytkownik root:
echo „1” > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo „1” > /proc/sys/net/ipv4/icmp_echo_ignore_all
Aby wyłączyć odpowiedź na polecenie ping za pomocą zapory IPtables, uruchom następujące polecenie jako użytkownik root:
iptables -A WEJŚCIE -p icmp -j DROP

7. Skonfiguruj kontrolę dostępu hosta

W niektórych przypadkach możesz chcieć zezwolić na określone usługi tylko w jednym adresie IP. Aby osiągnąć ten cel, wystarczy odpowiednio skonfigurować Kontrolę dostępu do hosta, która umożliwia tworzenie reguł zatwierdzających lub odmawiających dostępu do serwera na podstawie adresu IP użytkownika.

Odrzucanie wszystkich połączeń i zezwalanie tylko na te połączenia, które chcesz kontynuować, jest najbezpieczniejszą praktyką zwiększania bezpieczeństwa serwera przed atakami typu brute force na określone porty.

Aby skonfigurować regułę z kontrolą dostępu do hosta, będziesz potrzebować trzech rzeczy.

  1. Usługa, dla której chcesz utworzyć regułę
  2. Adres IP, któremu chcesz przyznać lub odmówić uprawnień
  3. I działanie, które chcesz wykonać (np. Zezwól lub Odrzuć)

Aby skonfigurować reguły w Kontroli dostępu do hosta, zaloguj się do swojego WHM, przejdź do Centrum bezpieczeństwaKontrola dostępu do hosta .

Oto przykład blokowania usługi SSH:

Demon Lista dostępu Akcja Komentarz
sshd 192.168.3.152 umożliwić Zezwól na lokalny dostęp SSH
sshd 1xx.6x.2xx.2xx umożliwić Zezwól na SSH z mojego konkretnego adresu IP
sshd WSZYSTKO zaprzeczyć Odmów dostępu ze wszystkich innych adresów IP

Uwaga: Zasady mają porządek pierwszeństwa. Będziesz musiał umieścić reguły „zezwól” przed regułami „odrzuć”, jeśli zdecydujesz się na użycie zezwolenia kilku, a następnie odrzuć wszystkie techniki.

8. Skonfiguruj Mod_Security

W 2017 r. ponad 70% wszystkich złośliwych ataków na serwer jest wykonywanych na poziomie aplikacji internetowych.
Aby zmniejszyć ryzyko związane z konkretnym serwerem, najlepszą praktyką w branży jest wdrożenie zapory WAF lub zapory aplikacji internetowych w celu zwiększenia bezpieczeństwa zewnętrznego i wykrywania/zapobiegania atakom, zanim dotrą one do aplikacji internetowych.

ModSecurity jest jedną z najstarszych i najpopularniejszych zapór sieciowych dla aplikacji internetowych i ma na celu zapobieganie:

  1. Wstrzyknięcie SQL
  2. Ataki iFrame
  3. Wykrywanie powłoki internetowej/tylnych drzwi
  4. Wykrywanie ataku botnetowego
  5. Ataki typu odmowa usługi HTTP (DoS)

Instalację mod_security można wykonać w ciągu kilku minut z kilkoma zmianami w istniejącej infrastrukturze.

Możesz go włączyć z konfiguracji Easy Apache.

Aby utworzyć reguły Mod_Security, przejdź do Narzędzia ModSeurity i kliknij Lista reguł.

W nowych oknach wyświetli wszystkie reguły. Możesz kliknąć Dodaj regułę , aby utworzyć nowe reguły. Pamiętaj, że będziesz musiał ponownie uruchomić Apache, aby wdrożyć nowe reguły.

Aby dowiedzieć się więcej o ModSecurity Tools kliknij tutaj.

9. Przeskanuj swój system za pomocą RootKit Hunter

Rootkit Hunter lub rkhunter to narzędzie oparte na systemie UNIX, które skanuje w poszukiwaniu rootkitów, backdoorów i możliwych lokalnych exploitów.

Porównuje skróty SHA-1 ważnych plików z plikami znajdującymi się w internetowych bazach danych, aby zapewnić integralność plików.

Przeszukuje również domyślne katalogi rootkitów, nadmierne uprawnienia, ukryte pliki, podejrzane ciągi w modułach jądra i mnóstwo innych rzeczy, które mogą potencjalnie zagrozić bezpieczeństwu serwera.

Instalowanie RootKit Hunter

Zmień bieżący katalog roboczy na żądany katalog instalacyjny.
cd /usr/local/src
Pobierz pakiet rkhunter za pomocą polecenia wget.
wget http://dfn.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.4.2.tar.gz
Rozpakuj pobrane archiwum rkhunter.
tar -zxvf rkhunter-1.4.2.tar.gz
Zmień bieżący katalog roboczy na katalog rkhunter. Upewnij się, że zastąpiłeś nazwę katalogu rzeczywistą nazwą katalogu. W naszym przypadku jest to „rkhunter-1.4.2”, który można zmienić po wydaniu nowych aktualizacji.
cd rkhunter-1.4.2
Zainstaluj pakiet rkhunter, wykonując skrypt instalacyjny.
./installer.sh –układ domyślny –install
Spowoduje to zainstalowanie narzędzia rkhuter na serwerze.

Konfiguracja rkhuntera

Plik konfiguracyjny rkhuntera można znaleźć w ścieżce /etc/rkhunter.conf . Zmieniając wartości parametrów w tym pliku, możemy zmodyfikować właściwości rkhunter, aby zabezpieczyć serwer. Aby zezwolić na logowanie root przez SSH
ALLOW_SSH_ROOT_USER = tak
katalog instalacyjny rkhunter
INSTALLDIR=/ścieżka/instalacji/katalogu
Katalog bazy danych rkhunter
DBDIR=/var/lib/rkhunter/db
katalog skryptów rkhunter
SCRIPTDIR=/usr/local/lib64/rkhunter/scripts
katalog tymczasowy rkhunter
TMPDIR=/var/lib/rkhunter/tmp

Skanowanie ręczne za pomocą rkhunter

Aby uruchomić ręczne skanowanie za pomocą rkhunter, uruchom poniższe polecenie.
/usr/local/bin/rkhunter -c
Domyślnie rkhunter działa w trybie interaktywnym. rkhunter wykonuje serię skanów i po każdej serii skanów musisz nacisnąć Enter, aby kontynuować skanowanie.

Aby pominąć tryb interaktywny, uruchom i przeskanuj cały zestaw użyj poniższego polecenia. Zauważ, że -c służy do sprawdzania systemu lokalnego, a -sk do pomijania naciśnięcia klawisza.
/usr/local/bin/rkhunter -c -sk
Aby przeskanować cały system plików, uruchom poniższe polecenie.
rkhunter – sprawdź

Planowanie automatycznych skanów za pomocą Rkhunter

Aby utworzyć zaplanowane skanowanie automatyczne, utwórz skrypt, który wykona skanowanie rkhunter i wyśle ​​wyniki skanowania pocztą elektroniczną.

Jeśli chcesz uruchamiać rkhunter codziennie, prześlij skrypt do katalogu /etc/cron.daily i do /etc/cron.weekly dla cotygodniowych skanów.

Otwórz plik w edytorze i napisz poniższy skrypt, aby zaplanować to codziennie.
vi /etc/cron.daily/rkhunter.sh
Skrypt do planowania codziennego skanowania

#!/bin/sh

(

/usr/local/bin/rkhunter --versioncheck

/usr/local/bin/rkhunter --update

/usr/local/bin/rkhunter --cronjob --report-warnings-only

) | /bin/mail -s 'rkhunter Daily Run (HostnameOfServer)' youremail@address

Uwaga: Upewnij się, że zmieniłeś HostnameOfServer i youremail@address na rzeczywistą nazwę hosta serwera i adres e-mail, na który powiadomienia mają być wysyłane w skrypcie.

Aktualizacja i opcje rkhuntera

Aby sprawdzić aktualną wersję rkhuntera.
/usr/local/bin/rkhunter –versioncheck
Aby zaktualizować wersję rkhunter.
/usr/local/bin/rkhunter –aktualizacja
Jeśli pliki bazy danych są aktualizowane, aby sprawdzić i zapisać zaktualizowane wartości i właściwości.
/usr/local/bin/rkhunter –propupd
Dzienniki rkhunter przechowują wszystkie wykonane czynności i błędy napotkane przez aplikację. Aby sprawdzić logi rkhuntera.
/var/log/rkhunter.log
Możesz polecić inne opcje rkhuntera.
/usr/local/bin/rkhunter –pomoc

10. Przeskanuj swój system za pomocą Maldeta

Maldet, znany również jako Linux Malware Detect (LMD) to skaner złośliwego oprogramowania dla systemów Linux, który został zaprojektowany do skutecznego wykrywania backdoorów php, darkmailerów i szeregu innych złośliwych plików, które mogą znajdować się na zaatakowanych stronach internetowych.

Instalowanie Maldeta

  1. SSH na serwer i pobierz plik tar.
    wget href=”http://www.rfxn.com/downloads/maldetect-current.tar.gz”>
  2. Wyodrębnij plik.
    tar -xzf maldetect-current.tar.gz
  3. Przejdź do folderu maldet.
    cd maldect-*
  4. Aby zainstalować maldet, uruchom poniższe polecenie.
    sh ./install.sh

Używaj Maldet na serwerze Linux

Zawsze należy otwierać nową sesję screen i uruchamiać skanowanie, ponieważ skanowanie może potrwać kilka godzin w zależności od wykorzystania miejsca na dysku przez system. Aby uruchomić skanowanie, użyj poniższego polecenia.
maldet -a /ścieżka/do/skanowania LUB

maldet –scan-all /path/to/scan
Możesz także po prostu uruchomić poniższe polecenie, aby przeskanować cały system
maldet -a /
Po zakończeniu skanowania serwera na końcu otrzymasz SCAN ID. Aby wyświetlić zeskanowany raport, użyj poniższego polecenia. Pamiętaj, że będziesz musiał zastąpić SCAN ID rzeczywistym ID.
maldet – raport SCAN ID
Np: maldet – raport 062617-2220.1771

Aby poddać kwarantannie wszystkie złośliwe wyniki z poprzedniego skanowania, uruchom poniższe polecenie.
maldet -q ID SKANOWANIA
Były. maldet - kwarantanna 062617-2220.1771

Zautomatyzuj Maldeta

Możesz edytować plik konfiguracyjny maldet conf.maldet , aby zautomatyzować procesy takie jak,

  1. Ustaw email_alert na 1 , aby wysyłać raporty na skonfigurowane konto e-mail.
  2. W email_addr ustaw konto e-mail, na które chcesz otrzymywać raporty skanowania.
  3. Zmień quar_hits na 1 , aby każde znalezione złośliwe oprogramowanie było przenoszone do katalogu „ /usr/local/maldetect/quarantine ”, a otrzymasz powiadomienie na skonfigurowany adres e-mail.
  4. zmień quar_susp na 1 , Umożliwi to zawieszenie konta użytkownikom cPanel lub ustawi dostęp do powłoki na ' /bin/false ' dla użytkowników nie korzystających z cPanel.

11. Skonfiguruj zadanie Cron, aby codziennie uruchamiać ClamAV

Ponieważ operacje dodawania, aktualizowania i usuwania są wykonywane szybko w przypadku plików znajdujących się na serwerze, niezwykle ważne jest, aby wszystkie nowe zmiany były bezpieczne i odpowiednio przeskanowane za pomocą aplikacji antywirusowej.

Możesz użyć zadania cron skanera ClamAV do uruchamiania cotygodniowych skanów, które zostaną automatycznie uruchomione w „poza godzinami pracy”.

Użyj następującego polecenia, aby uruchomić tego crona.
for i in awk '!/nobody/{print $2 | "sort | uniq" }' /etc/userdomains | sort | uniq awk '!/nobody/{print $2 | "sort | uniq" }' /etc/userdomains | sort | uniq awk '!/nobody/{print $2 | "sort | uniq" }' /etc/userdomains | sort | uniq ; wykonaj /usr/local/cpanel/3rdparty/bin/clamscan -i -r /home/$i 2>>/dev/null; gotowe >> /root/infekcje&
To polecenie rekurencyjnie przeszukuje katalog domowy w poszukiwaniu spamu i zainfekowanych plików.

12. Wyłącz informacje nagłówka Apache

Ponieważ podpis twojego serwera zawiera informacje takie jak wersje Apache i OS, ważne jest, aby ukryć te informacje przed wścibskimi oczami za pomocą logowania WHM.

  1. Po zalogowaniu się do WHM. Przejdź do Konfiguracja usługiKonfiguracja Apache → Konfiguracja globalna .
  2. Ustaw następujące wartości.
    Sygnatura serwera = Wył
     Tokeny serwera = tylko produkt

13. Ukryj informacje o wersji PHP

Podobnie jak nagłówki Apache, nie powinieneś również ujawniać informacji o wersji PHP. Oto kroki, aby ukryć te informacje.

  1. Po zalogowaniu się do WHM. Przejdź do Konfiguracja usługiEdytor konfiguracji PHP .
  2. Ustaw następujące wartości.
    expos_php= „wyłączone”

14. Wyłącz FTP i zamiast tego użyj SFTP

Chociaż nie można by tego odgadnąć po ich nazwach, protokoły FTP i SFTP nie mogłyby się bardziej różnić od siebie.

W przypadku standardowego FTP wszystkie dane przesyłane między klientem a serwerem są w postaci zwykłego tekstu. Dzięki temu podsłuchujący może uzyskać poufne informacje, w tym dane logowania i inne wiadomości „prywatne”.

W przeciwieństwie do standardowego FTP, SFTP (SSH File Transfer Protocol) szyfruje zarówno polecenia, jak i dane, zapobiegając przesyłaniu przez sieć haseł i poufnych informacji w postaci zwykłego tekstu.

Kliknij tutaj, aby zapoznać się z instrukcjami generowania klucza SSH i łączenia się z serwerem za pośrednictwem klienta SFTP.

Jeśli chcesz tylko zezwolić na połączenie SFTP i wyłączyć plan FTP, wykonaj poniższe kroki w WHM/cPanel.

  1. Zaloguj się do swojego WHM/cPanel jako użytkownik root.
  2. Przejdź do Konfiguracja serwera FTP . W TLS Encryption Support zmień go na Wymagane (polecenie) i kliknij przycisk Zapisz .

15. Zabezpieczanie cPanel i dostępu do WHM

Wymuś adres URL HTTPS, aby uzyskać dostęp do cPanel/WHM

Aby zabezpieczyć logowanie cPanel lub WHM za pomocą szyfrowania opartego na SSL, wykonaj te dwa proste kroki.

  1. Zaloguj się do WHM i przejdź do HomeServer ConfigurationTweak Settings .
  2. Przewiń w prawo do zakładki przekierowania i użyj ustawień pokazanych na poniższym obrazku.

Wyłączanie logowania cPanel-ID

Serwer cPanel umożliwia dwa rodzaje logowania.

Pierwszy to domyślna/standardowa nazwa użytkownika i login hasła, a drugi to logowanie do serwera za pomocą identyfikatora cPanel.

Identyfikator cPanel pozwala użytkownikom wdrożyć pojedynczą nazwę użytkownika i hasło, aby uzyskać dostęp do szerokiej gamy usług cPanel.

Chociaż ta metoda jest bardziej niż odpowiednia dla organizacji, które zarządzają dużym centrum danych i często zatrudniają nowych techników, jeśli masz tylko jeden serwer, należy go wyłączyć, wykonując następujące czynności.

  1. Zaloguj się do WHM i przejdź do HomeSecurity Center → Manage External Authentication .
  2. Zmień login cPanel-ID, aby wyłączyć, jak pokazano na poniższym obrazku.

Wniosek

Wdrażając te 15 prostych wskazówek na swoim serwerze VPS lub serwerze dedykowanym, natychmiast zmniejszysz podatność na ataki wewnętrzne i zewnętrzne oraz zwiększysz bezpieczeństwo systemu w ciągu kilku godzin.

I chociaż te wskazówki zmniejszą liczbę zagrożeń dla Twojego serwera, nie są lekarstwem na wszystkie.

Aby zoptymalizować bezpieczeństwo swojego systemu, musisz dołożyć należytej staranności i regularnie informować o najnowszych wydarzeniach w świecie bezpieczeństwa serwerów.

Jednak mając tylko kilka godzin badań miesięcznie, możesz pozostać na najwyższym poziomie bezpieczeństwa cPanel i zapewnić, że Ty i Twoja firma pozostaniecie bezpieczni przez wiele lat.

Czy masz jakieś pytania dotyczące 15 wskazówek wymienionych powyżej? Czy znalazłeś jakieś nowe funkcje bezpieczeństwa serwerów cPanel, które chcesz udostępnić? Daj nam znać w komentarzach poniżej.