15 เคล็ดลับง่ายๆ ในการรักษาความปลอดภัยเซิร์ฟเวอร์ cPanel

เผยแพร่แล้ว: 2017-06-27

15 เคล็ดลับง่ายๆ ในการรักษาความปลอดภัยเซิร์ฟเวอร์ cPanel
ความปลอดภัยของเซิร์ฟเวอร์เป็นเรื่องที่ซับซ้อนและมีหลายแง่มุมที่อาจต้องใช้เวลาหลายปีกว่าจะเข้าใจและเชี่ยวชาญ

ผู้ดูแลระบบส่วนใหญ่ต้องพัฒนาและปรับใช้มาตรการรักษาความปลอดภัยมากมายบนเซิร์ฟเวอร์ของตนอย่างขยันขันแข็ง เพื่อป้องกันการโจมตีและการละเมิด

มาตรการรักษาความปลอดภัยที่เป็นปัญหาสามารถทำได้ง่ายพอๆ กับต้องการรหัสผ่านที่ปลอดภัยยิ่งขึ้น และซับซ้อนพอๆ กับการปรับใช้โปรโตคอลการเข้ารหัสที่อัปเดตสำหรับข้อมูลที่เก็บไว้

อย่างไรก็ตาม โชคดีที่ความปลอดภัยของเซิร์ฟเวอร์ cPanel นั้นอยู่ที่จุดสิ้นสุด "แบบง่าย" ของสเปกตรัมความปลอดภัยของเซิร์ฟเวอร์มากกว่า

ต่อไปนี้คือ 15 วิธีง่ายๆ ในการปรับปรุงความปลอดภัยเซิร์ฟเวอร์ของคุณอย่างมากในเวลาเพียงไม่กี่นาที

1. รักษาความปลอดภัย SSH

แม้ว่า SSH จะเป็นโปรโตคอลที่เข้ารหัส แต่ก็ไม่สามารถป้องกันได้ หมายความว่า ในฐานะผู้ดูแลระบบ คุณต้องใช้การตรวจสอบสถานะระหว่างการกำหนดค่า

ต่อไปนี้คือขั้นตอนง่ายๆ สามขั้นตอนในการเพิ่มความปลอดภัยให้กับ SSH ของคุณ

1.เปลี่ยนพอร์ต SSH

การรักษา SSH ไว้ที่พอร์ตเริ่มต้น 22 ทำให้เสี่ยงต่อการโจมตีด้วยกำลังเดรัจฉาน เพื่อป้องกันการโจมตีเหล่านี้ คุณควรเลือกพอร์ตสุ่มสำหรับ SSH เพื่อทำให้ผู้โจมตีสามารถระบุตำแหน่งของพอร์ตได้ยากขึ้น

นี่คือขั้นตอนในการเปลี่ยนพอร์ต SSH

  1. เข้าสู่ระบบเซิร์ฟเวอร์ของคุณผ่าน SSH
  2. แก้ไขไฟล์คอนฟิกูเรชัน SSH ซึ่งอยู่ที่ /etc/ssh/sshd_config โดยออกคำสั่งต่อไปนี้:
    นาโน /etc/ssh/sshd_config
  3. ตั้งค่าพอร์ตสุ่มสำหรับการเชื่อมต่อ SSH ที่บรรทัดต่อไปนี้ ต้นฉบับ: พอร์ต 22
    บรรทัดใหม่: พอร์ต 2468
  4. ตอนนี้ เริ่มบริการ SSH ใหม่โดยดำเนินการคำสั่งต่อไปนี้:
    บริการ sshd รีสตาร์ท

2.ปิดการใช้งานการเข้าสู่ระบบรูท

หากต้องการเพิ่มชั้นการรักษาความปลอดภัยและเสริมความแข็งแกร่งให้กับ SSH ของคุณ คุณสามารถปิดการใช้งานผู้ใช้รูทและสร้างผู้ใช้แยกต่างหากเพื่อเข้าถึงเซิร์ฟเวอร์

นี่คือวิธี:

  1. เข้าสู่ระบบเซิร์ฟเวอร์ของคุณผ่าน SSH ก่อนปิดใช้งานการเข้าสู่ระบบรูท เราจะสร้างผู้ใช้เพื่อเข้าถึงเซิร์ฟเวอร์:
    adduser new_username_name
    รหัสผ่าน new_username_name
  2. คุณจะถูกขอให้ตั้งรหัสผ่านสำหรับผู้ใช้ใหม่รายนี้ ตรวจสอบให้แน่ใจว่ารหัสผ่านมีความรัดกุมที่สุด (อย่างน้อย 10 อักขระพร้อมตัวเลขและสัญลักษณ์หลายตัว) จากนั้นเพิ่มผู้ใช้ใหม่ในกลุ่มล้อเพื่อให้สามารถเข้าถึงเซิร์ฟเวอร์โดยใช้รหัสบรรทัดต่อไปนี้
    # usermod -aG wheel new_username_name
  3. ตอนนี้ปิดการใช้งานผู้ใช้รูท แก้ไขไฟล์การกำหนดค่า SSH ซึ่งอยู่ที่ /etc/ssh/sshd_config
    นาโน /etc/ssh/sshd_config
  4. เปลี่ยนบรรทัด: "PermitRootLogin ใช่" เป็น "PermitRootLogin no"
  5. ตอนนี้ เริ่มบริการ SSH ใหม่โดยดำเนินการคำสั่งต่อไปนี้
    บริการ sshd รีสตาร์ท

3.ปิดการใช้งาน SSH V1

ด้วยการเริ่มต้นของ SSHv2 ทำให้ SSHv1 รุ่นก่อนทั้งหมดแต่ล้าสมัย ขอแนะนำเป็นอย่างยิ่งให้คุณปิดการใช้งาน SSH ที่มีความปลอดภัยน้อยกว่าและล้าสมัยเพื่อปรับปรุงความปลอดภัยของเซิร์ฟเวอร์ของคุณ

  1. เข้าสู่ระบบเซิร์ฟเวอร์ของคุณผ่าน SSH และแก้ไขไฟล์การกำหนดค่า SSH ซึ่งอยู่ที่ /etc/ssh/sshd_config
  2. Uncomment บรรทัดต่อไปนี้
    พิธีสาร 2,1
  3. และเปลี่ยนเป็น:
    พิธีสาร2
  4. ตอนนี้ เริ่มบริการ SSH ใหม่โดยดำเนินการคำสั่งต่อไปนี้:
    # บริการ sshd รีสตาร์ท

2. การเปิดใช้งานการป้องกัน cPHulk

การโจมตีด้วยกำลังเดรัจฉานเป็นวิธีการแฮ็กที่ใช้ระบบอัตโนมัติในการเดารหัสผ่านไปยังเว็บเซิร์ฟเวอร์ของคุณ

cPHulk เป็นบริการที่ใช้งานง่ายซึ่งจะปกป้องเซิร์ฟเวอร์ของคุณจากการโจมตีแบบเดรัจฉานส่วนใหญ่

หากต้องการเปิดใช้งาน cPHulk ให้เข้าสู่ระบบ WHM → Security CentercPHulk Brute Force Protection แล้วคลิก Enable

ตอนนี้คุณสามารถตั้งค่ากฎที่กำหนดเองตามชื่อผู้ใช้ cPanel ที่อยู่ IP และพารามิเตอร์อื่น ๆ

เมื่อถึงจำนวนครั้งของการพยายามเข้าสู่ระบบที่ล้มเหลว cPHulk จะบล็อกความพยายามใดๆ เพิ่มเติมจากที่อยู่ IP ที่ใช้อยู่

หมายเหตุ: หากคุณมี IP แบบคงที่ ขอแนะนำเป็นอย่างยิ่งให้คุณเพิ่มลงใน Whitelist Management เพื่อไม่ให้คุณล็อกตัวเองออกจากเซิร์ฟเวอร์ของคุณ

3. ตั้งค่าไฟร์วอลล์ ConfigServer (CSF)

CSF (ConfigServer Security and Firewall) เป็นหนึ่งในไฟร์วอลล์ที่ได้รับความนิยมมากที่สุดสำหรับเซิร์ฟเวอร์ cPanel

ไม่เพียงแค่ทำหน้าที่เป็นไฟร์วอลล์โดยการสแกนไฟล์บันทึกการรับรองความถูกต้องต่างๆ แต่ยังสแกนเซิร์ฟเวอร์ของคุณเป็นประจำ และให้คำแนะนำส่วนบุคคลสำหรับการปรับปรุงความปลอดภัยของเซิร์ฟเวอร์ของคุณ

นอกจากคุณสมบัติหลักแล้ว CSF ยังให้คุณเข้าถึงคุณสมบัติที่มีประโยชน์มากมาย เช่น “ดูบันทึกระบบ”, บันทึก IPTable, สถิติ IFD และอีกมากมาย

การติดตั้งไฟร์วอลล์ ConfigServer

การติดตั้ง CSF ในเซิร์ฟเวอร์ของคุณด้วย cPanel นั้นค่อนข้างง่าย โปรดดูคำแนะนำทีละขั้นตอนเกี่ยวกับ วิธีการติดตั้ง ConfigServer Firewall ไปยัง cPanel/WHM

เมื่อคุณทำตามคำแนะนำในคู่มือดังกล่าวแล้ว คุณสามารถจัดการ CSF ได้โดยตรงจาก WHM

โดยเข้าสู่ระบบ WHM ของคุณ ไปที่ Plugins → ConfigServer Security & Firewall

ที่นี่ คุณจะเห็นตัวเลือกและมาตรการมากมายที่คุณสามารถใช้เพื่อกระชับความปลอดภัยของคุณให้ดียิ่งขึ้น

4. ตั้งค่า ClamAV Antivirus

แม้ว่าเซิร์ฟเวอร์ Linux จะมีความยืดหยุ่น "เป็นธรรมชาติ" ต่อไวรัสมากกว่าเซิร์ฟเวอร์ที่ใช้ Windows แต่ก็ควรติดตั้งแอปพลิเคชันป้องกันไวรัสเพิ่มเติม

ClamAV ซึ่งติดตั้งง่ายเป็นปลั๊กอินบนเซิร์ฟเวอร์ของคุณ เป็นหนึ่งในปลั๊กอินแอนตี้ไวรัสโอเพ่นซอร์สที่ได้รับความนิยมมากที่สุดสำหรับเซิร์ฟเวอร์ cPanel และอนุญาตให้ผู้ใช้แต่ละรายสแกนโฮมไดเร็กทอรีและอีเมลเพื่อหาไฟล์ที่อาจเป็นอันตราย

อีกครั้ง เพื่อความกระชับ โปรดดูคำแนะนำทีละขั้นตอนของเรา วิธีการติดตั้งปลั๊กอิน ClamAV จาก WHM

เมื่อติดตั้ง ClamAV แล้ว คุณสามารถสแกนบัญชี cPanel ใดๆ ก็ได้ด้วยการเข้าถึงระดับผู้ใช้ cPanel นี่คือคำแนะนำของเราเกี่ยวกับ วิธีการเรียกใช้การสแกนไวรัส ClamAV จาก cPanel

5. เปลี่ยนไปใช้ CloudLinux

CloudLinux การแทนที่ CentOS ฟรีโดยเสียค่าใช้จ่ายถือเป็นหนึ่งในระบบปฏิบัติการที่ปลอดภัยที่สุดสำหรับเซิร์ฟเวอร์ cPanel

ด้วย CloudLinux คุณสามารถเพิ่มความหนาแน่นและความเสถียรของเซิร์ฟเวอร์โดยแยกบัญชี cPanel ออกจากกัน

มันบรรลุผลสำเร็จโดยใช้ LVE (Lightweight Virtualized Environment) ซึ่งจำกัดทรัพยากรเซิร์ฟเวอร์ เช่น การประมวลผล หน่วยความจำ และการเชื่อมต่อสำหรับผู้ใช้แต่ละราย ดังนั้นจึงมั่นใจได้ว่าผู้ใช้รายเดียวไม่สามารถทำให้เซิร์ฟเวอร์มีความเสี่ยงและทำให้ไซต์ทั้งหมดทำงานช้าลง

ระบบปฏิบัติการ "กักขัง" ผู้ใช้จากกันและกันเพื่อหลีกเลี่ยงการละเมิดความปลอดภัย สคริปต์หรือมัลแวร์ที่ไม่เสถียรหรือถูกบุกรุกไม่สามารถแพร่กระจายไปทั่วเซิร์ฟเวอร์โดยบัญชีที่ถูกบุกรุก

ต่อไปนี้เป็นคุณสมบัติด้านความปลอดภัยที่สำคัญของ CloudLinux OS:

  1. CageFS
  2. ชุบแข็งPHP
  3. SecureLinks

CageFS

CageFS สรุปผู้ใช้แต่ละราย ป้องกันไม่ให้ผู้ใช้มองเห็นกันและกันและอ่านข้อมูลที่ละเอียดอ่อน นอกจากนี้ยังป้องกันการโจมตีจำนวนมาก รวมทั้งการยกระดับสิทธิ์และการเปิดเผยข้อมูลส่วนใหญ่

→ ด้วยผู้ใช้ CageFS จะสามารถเข้าถึงไฟล์ที่ปลอดภัยเท่านั้น
→ ผู้ใช้จะไม่เห็นไฟล์การกำหนดค่าเซิร์ฟเวอร์ เช่น ไฟล์กำหนดค่า Apache
→ ผู้ใช้ไม่สามารถดูผู้ใช้รายอื่นได้ และไม่มีวิธีตรวจจับว่ามีผู้ใช้รายอื่นอยู่หรือไม่
→ ผู้ใช้ไม่สามารถเห็นกระบวนการของผู้ใช้รายอื่น

ชุบแข็งPHP

PHP เวอร์ชันเก่า 5.2, 5.3, 5.4 ในขณะที่ใช้กันอย่างแพร่หลาย แต่มีช่องโหว่ที่ชุมชน PHP.net ไม่ได้รับการแก้ไข
HardenedPHP ใน CloudLinux แก้ไขช่องโหว่เหล่านั้นและรักษาความปลอดภัยเวอร์ชันเก่าและเวอร์ชันที่ไม่สนับสนุน

→ ช่วยให้มั่นใจว่าแอปพลิเคชันและเซิร์ฟเวอร์ได้รับการรักษาความปลอดภัยโดยการแพตช์ PHP เวอร์ชันทั้งหมด
→ ให้ความปลอดภัยและความยืดหยุ่นแก่ผู้ใช้ทุกคน
→ เพิ่มการรักษาลูกค้าโดยไม่บังคับให้อัปเกรดเป็นเวอร์ชัน PHP ที่ใหม่กว่า
→ เสนอการเลือกเวอร์ชัน PHP จากหลายเวอร์ชันที่ติดตั้งบนเว็บเซิร์ฟเวอร์เดียวกันพร้อมตัวเลือกตัวเลือก PHP

SecureLinks

SecureLinks เป็นเทคโนโลยีระดับเคอร์เนลที่เสริมความแข็งแกร่งให้กับเซิร์ฟเวอร์โดยป้องกันการโจมตีด้วยลิงก์สัญลักษณ์ (symlink) ที่รู้จักทั้งหมด ในขณะเดียวกันก็ป้องกันผู้ใช้ที่ประสงค์ร้ายไม่ให้สร้างไฟล์ symlink
→ ด้วย SecureLinks คุณสามารถป้องกันการโจมตีโดยป้องกันไม่ให้ผู้ใช้ที่เป็นอันตรายสร้าง symlink และ hardlinks ไปยังไฟล์ที่พวกเขาไม่ได้เป็นเจ้าของ
→ ป้องกันผู้ใช้ที่เป็นอันตรายจากการสร้างไฟล์ลิงก์สัญลักษณ์
→ ปรับปรุงระดับความปลอดภัยของเซิร์ฟเวอร์จากการโจมตีด้วย symlink

6. ปิดการใช้งานคำขอปิง

ping เป็นคำขอ ICMP (Internet Control Message Protocol) และควรปิดใช้งานเพื่อหลีกเลี่ยงการโจมตี "Ping of Death" และ "Ping Flood"

ปิงแห่งความตาย

Ping of Death เป็นการปฏิเสธการโจมตีบริการที่เกิดจากผู้โจมตีจงใจส่งแพ็กเก็ต IP ที่ใหญ่กว่าที่โปรโตคอล IP อนุญาต

ด้วยเหตุนี้ ระบบปฏิบัติการจำนวนมากจึงไม่ทราบว่าต้องทำอย่างไรเมื่อได้รับแพ็กเก็ตขนาดใหญ่ เครื่องจะหยุดทำงาน ขัดข้อง หรือรีบูต

น้ำท่วมปิง

Ping Flood เป็นการโจมตีแบบปฏิเสธการให้บริการแบบง่ายๆ โดยที่ผู้โจมตีจะครอบงำเหยื่อด้วยแพ็กเก็ต ICMP ด้วยความหวังว่าเหยื่อจะตอบสนองด้วยการตอบกลับด้วย ICMP ซึ่งใช้แบนด์วิธทั้งขาเข้าและขาออก

หากเครื่องเป้าหมายทำงานช้าลง เป็นไปได้ที่จะใช้รอบ CPU ซึ่งทำให้ความสามารถในการประมวลผลของระบบช้าลงอย่างเห็นได้ชัด

หากต้องการปิดใช้งานการตอบสนอง ping ให้รันคำสั่งต่อไปนี้ในฐานะผู้ใช้รูท:
echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo “1” > /proc/sys/net/ipv4/icmp_echo_ignore_all
หากต้องการปิดใช้งานการตอบสนอง ping โดยใช้ไฟร์วอลล์ IPtables ให้รันคำสั่งต่อไปนี้ในฐานะผู้ใช้รูท:
iptables -A INPUT -p icmp -j DROP

7. กำหนดค่าการควบคุมการเข้าถึงโฮสต์

ในบางกรณี คุณอาจต้องการอนุญาตบริการเฉพาะสำหรับ IP เดียวเท่านั้น เพื่อให้บรรลุเป้าหมายนี้ สิ่งที่คุณต้องทำคือกำหนดค่าการควบคุมการเข้าถึงโฮสต์ของคุณอย่างเหมาะสม ซึ่งช่วยให้คุณสร้างกฎที่อนุมัติหรือปฏิเสธการเข้าถึงเซิร์ฟเวอร์ตามที่อยู่ IP ของผู้ใช้

การปฏิเสธการเชื่อมต่อทั้งหมดและอนุญาตเฉพาะการเชื่อมต่อที่คุณต้องการดำเนินการต่อเป็นวิธีปฏิบัติที่ปลอดภัยที่สุดในการเพิ่มความปลอดภัยของเซิร์ฟเวอร์ของคุณจากการโจมตีแบบเดรัจฉานในพอร์ตเฉพาะ

ในการกำหนดค่ากฎด้วย Host Access Control คุณจะต้องมีสามสิ่ง

  1. บริการที่คุณต้องการสร้างกฎ
  2. ที่อยู่ IP ที่คุณต้องการอนุญาตหรือปฏิเสธสิทธิ์
  3. และการดำเนินการที่คุณต้องการดำเนินการ (เช่น อนุญาต หรือ ปฏิเสธ)

ในการตั้งค่ากฎใน Host Access Control ให้เข้าสู่ระบบ WHM ของคุณ ไปที่ Security CenterHost Access Control

ต่อไปนี้เป็นตัวอย่างการล็อคบริการ SSH:

ภูต รายการเข้าถึง การกระทำ ความคิดเห็น
sshd 192.168.3.152 อนุญาต อนุญาตการเข้าถึง SSH ในเครื่อง
sshd 1xx.6x.2xx.2xx อนุญาต อนุญาต SSH จาก IP เฉพาะของฉัน
sshd ทั้งหมด ปฏิเสธ ปฏิเสธการเข้าถึงจาก IP อื่นทั้งหมด

หมายเหตุ: กฎมีลำดับความสำคัญ คุณจะต้องใส่กฎ 'อนุญาต' ก่อนกฎ 'ปฏิเสธ' หากคุณเลือกใช้การอนุญาตจากบางกฎ แล้วปฏิเสธจากทุกเทคนิค

8. ตั้งค่า Mod_Security

ในปี 2560 มากกว่า 70% ของการโจมตีเซิร์ฟเวอร์ที่เป็นอันตรายทั้งหมดถูกดำเนินการที่ระดับแอปพลิเคชันเว็บ
เพื่อลดความเสี่ยงที่เกี่ยวข้องกับเซิร์ฟเวอร์เฉพาะของคุณ แนวทางปฏิบัติที่ดีที่สุดในอุตสาหกรรมในการปรับใช้ WAF หรือ Web Applications Firewall เพื่อเพิ่มความปลอดภัยภายนอกและตรวจจับ/ป้องกันการโจมตีก่อนที่จะเข้าถึงเว็บแอปพลิเคชัน

ModSecurity เป็นหนึ่งใน Web Applications Firewalls ที่เก่าแก่และเป็นที่นิยมมากที่สุด และได้รับการออกแบบมาเพื่อป้องกัน:

  1. การฉีด SQL
  2. การโจมตี iFrame
  3. การตรวจจับ Webshell/Backdoor
  4. การตรวจจับการโจมตีของบ็อตเน็ต
  5. การโจมตี HTTP Denial of Service (DoS)

การติดตั้ง mod_security สามารถทำได้ภายในไม่กี่นาทีโดยมีการเปลี่ยนแปลงเล็กน้อยในโครงสร้างพื้นฐานที่มีอยู่

คุณสามารถเปิดใช้งานได้จากการกำหนดค่า Easy Apache

ในการสร้างกฎ Mod_Security ให้ไปที่ เครื่องมือ ModSeurity และคลิกที่ รายการกฎ

ในหน้าต่างใหม่จะแสดงกฎทั้งหมด คุณสามารถคลิกที่ เพิ่มกฎ เพื่อสร้างกฎใหม่ โปรดทราบว่าคุณจะต้องรีสตาร์ท Apache เพื่อปรับใช้กฎใหม่

หากต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับ ModSecurity Tools คลิกที่นี่

9. สแกนระบบของคุณด้วย RootKit Hunter

Rootkit Hunter หรือ rkhunter เป็นเครื่องมือที่ใช้ UNIX ที่สแกนหารูทคิท แบ็คดอร์ และการหาช่องโหว่ในพื้นที่ที่เป็นไปได้

มันเปรียบเทียบแฮช SHA-1 ของไฟล์สำคัญกับไฟล์ที่อยู่ในฐานข้อมูลออนไลน์เพื่อให้แน่ใจว่าไฟล์มีความสมบูรณ์

นอกจากนี้ยังค้นหาไดเร็กทอรี rootkits เริ่มต้น การอนุญาตที่มากเกินไป ไฟล์ที่ซ่อนอยู่ สตริงที่น่าสงสัยในโมดูลเคอร์เนล และสิ่งอื่น ๆ มากมายที่อาจส่งผลต่อความปลอดภัยของเซิร์ฟเวอร์ของคุณ

การติดตั้ง RootKit Hunter

เปลี่ยนไดเร็กทอรีการทำงานปัจจุบันเป็นไดเร็กทอรีการติดตั้งที่ต้องการ
cd /usr/local/src
ดาวน์โหลดแพ็คเกจ rkhunter โดยใช้คำสั่ง wget
wget http://dfn.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.4.2.tar.gz
เปิดเครื่องรูดไฟล์เก็บถาวร rkhunter ที่ดาวน์โหลดมา
tar -zxvf rkhunter-1.4.2.tar.gz
เปลี่ยนไดเร็กทอรีการทำงานปัจจุบันเป็นไดเร็กทอรี rkhunter ตรวจสอบให้แน่ใจว่าคุณได้แทนที่ชื่อไดเร็กทอรีด้วยชื่อไดเร็กทอรีจริง ในกรณีของเรา มันคือ “rkhunter-1.4.2” ซึ่งสามารถเปลี่ยนแปลงได้เมื่อมีการอัพเดทใหม่
cd rkhunter-1.4.2
ติดตั้งแพ็คเกจ rkhunter โดยเรียกใช้สคริปต์การติดตั้ง
./installer.sh –layout default –install
การดำเนินการนี้จะติดตั้งเครื่องมือ rkhuter ในเซิร์ฟเวอร์

การกำหนดค่า rkhunter

คุณสามารถค้นหาไฟล์การกำหนดค่าของ rkhunter ได้ที่ path /etc/rkhunter.conf โดยการเปลี่ยนค่าพารามิเตอร์ในไฟล์นี้ เราสามารถแก้ไขคุณสมบัติของ rkhunter เพื่อรักษาความปลอดภัยเซิร์ฟเวอร์ เพื่ออนุญาตการเข้าสู่ระบบรูทผ่าน SSH
ALLOW_SSH_ROOT_USER = ใช่
ไดเรกทอรีการติดตั้ง rkhunter
INTALLDIR=/path/of/installation/directory
rkhunter ไดเรกทอรีฐานข้อมูล
DBDIR=/var/lib/rkhunter/db
ไดเรกทอรีสคริปต์ rkhunter
SCRIPTDIR=/usr/local/lib64/rkhunter/scripts
ไดเรกทอรีชั่วคราว rkhunter
TMPDIR=/var/lib/rkhunter/tmp

สแกนด้วยตนเองด้วย rkhunter

หากต้องการเรียกใช้การสแกนด้วยตนเองด้วย rkhunter ให้เรียกใช้คำสั่งด้านล่าง
/usr/local/bin/rkhunter -c
ตามค่าเริ่มต้น rkhunter จะทำงานในโหมดโต้ตอบ rkhunter ทำการสแกนเป็นชุด และหลังจากการสแกนแต่ละชุด คุณจะต้องกด Enter เพื่อดำเนินการสแกนต่อ

หากต้องการข้ามโหมดโต้ตอบให้รันและสแกนชุดทั้งหมดให้ใช้คำสั่งด้านล่าง โปรดทราบว่า -c คือการตรวจสอบระบบโลคัลและ –sk คือข้ามการกดปุ่ม
/usr/local/bin/rkhunter -c -sk
ในการสแกนระบบไฟล์ทั้งหมดให้รันคำสั่งด้านล่าง
rkhunter – ตรวจสอบ

ตั้งเวลาสแกนอัตโนมัติด้วย Rkhunter

ในการสร้างการสแกนอัตโนมัติตามกำหนดเวลา ให้สร้างสคริปต์ที่ดำเนินการสแกน rkhunter และส่งอีเมลผลการสแกน

หากคุณต้องการเรียกใช้ rkhunter scan ทุกวัน ให้อัปโหลดสคริปต์ไปที่ ไดเร็กทอรี /etc/cron.daily และไปที่ /etc/cron.weekly สำหรับการสแกนรายสัปดาห์

เปิดไฟล์ในตัวแก้ไขและเขียนสคริปต์ด้านล่างเพื่อกำหนดเวลาไฟล์ทุกวัน
vi /etc/cron.daily/rkhunter.sh
สคริปต์เพื่อกำหนดเวลาการสแกนรายวัน

#!/bin/sh

(

/usr/local/bin/rkhunter --versioncheck

/usr/local/bin/rkhunter --update

/usr/local/bin/rkhunter --cronjob --report-warnings-only

) | /bin/mail -s 'rkhunter Daily Run (HostnameOfServer)' youremail@address

หมายเหตุ: ตรวจสอบให้แน่ใจว่าคุณเปลี่ยน HostnameOfServer และ yourremail@address ด้วยชื่อโฮสต์เซิร์ฟเวอร์จริงและที่อยู่อีเมลที่จะส่งการแจ้งเตือนในสคริปต์

rkhunter Update & ตัวเลือก

เพื่อตรวจสอบเวอร์ชั่นปัจจุบันของ rkhunter
/usr/local/bin/rkhunter –versioncheck
เพื่ออัปเดตเวอร์ชัน rkhunter
/usr/local/bin/rkhunter –update
หากไฟล์ฐานข้อมูลถูกอัพเดต ให้ตรวจสอบและบันทึกค่าและคุณสมบัติที่อัพเดต
/usr/local/bin/rkhunter –propupd
บันทึก rkhunter เก็บกิจกรรมทั้งหมดที่ทำเสร็จแล้วและข้อผิดพลาดที่แอปพลิเคชันพบ เพื่อตรวจสอบบันทึกของ rkhunter
/var/log/rkhunter.log
คุณสามารถดูตัวเลือก rkhunter อื่น ๆ ได้ด้วย
/usr/local/bin/rkhunter –help

10. สแกนระบบของคุณด้วย Maldet

Maldet หรือที่รู้จักในชื่อ Linux Malware Detect (LMD) เป็นเครื่องสแกนมัลแวร์สำหรับระบบ Linux ที่ออกแบบมาเพื่อตรวจจับแบ็คดอร์ php, darkmailers และไฟล์ที่เป็นอันตรายอื่นๆ จำนวนหนึ่งที่อาจปรากฏบนเว็บไซต์ที่ถูกบุกรุกได้อย่างมีประสิทธิภาพ

การติดตั้ง Maldet

  1. SSH ไปยังเซิร์ฟเวอร์และดาวน์โหลดไฟล์ tar
    wget href=”http://www.rfxn.com/downloads/maldetect-current.tar.gz”>
  2. แตกไฟล์.
    tar -xzf maldetect-current.tar.gz
  3. ไปที่โฟลเดอร์มัลเดต
    cd ตรวจไม่พบ-*
  4. ในการติดตั้ง maldet ให้รันคำสั่งด้านล่าง
    sh ./install.sh

ใช้ Maldet ใน Linux Server

คุณควรเปิดเซสชันหน้าจอใหม่และเรียกใช้การสแกนเสมอ เนื่องจากอาจใช้เวลาหลายชั่วโมงในการสแกน ทั้งนี้ขึ้นอยู่กับการใช้พื้นที่ดิสก์ของระบบของคุณ หากต้องการเรียกใช้การสแกน ให้ใช้คำสั่งด้านล่าง
maldet -a /path/to/scan OR

maldet –scan-all /path/to/scan
คุณยังสามารถเรียกใช้คำสั่งด้านล่างเพื่อสแกนทั้งระบบ
มอลเดต -a /
เมื่อการสแกนเซิร์ฟเวอร์เสร็จสิ้น คุณจะได้รับ SCAN ID ในตอนท้าย หากต้องการดูรายงานที่สแกนให้ใช้คำสั่งด้านล่าง โปรดทราบว่าคุณจะต้องแทนที่ SCAN ID ด้วย ID จริง
maldet –รายงาน SCAN ID
เช่น maldet –report 062617-2220.1771

หากต้องการกักกันมัลแวร์ทั้งหมดจากการสแกนครั้งก่อน ให้เรียกใช้คำสั่งด้านล่าง
maldet -q SCAN ID
อดีต. maldet -กักกัน 062617-2220.1771

อัตโนมัติ Maldet

คุณสามารถแก้ไขไฟล์คอนฟิกูเรชัน maldet conf.maldet เพื่อทำให้กระบวนการเป็นแบบอัตโนมัติได้ เช่น

  1. ตั้งค่า email_alert เป็น 1 เพื่อส่งรายงานไปยังบัญชีอีเมลที่กำหนดค่าไว้
  2. ใน email_addr ให้ตั้งค่าบัญชีอีเมลที่คุณต้องการรับรายงานการสแกน
  3. เปลี่ยน quar_hits เป็น 1 เพื่อให้มัลแวร์ที่พบถูกย้ายไปยังไดเร็กทอรี ' /usr/local/maldetect/quarantine ' และคุณจะได้รับการแจ้งเตือนเกี่ยวกับที่อยู่อีเมลที่กำหนดค่าไว้
  4. เปลี่ยน quar_susp เป็น 1 ซึ่งจะเปิดใช้งานการระงับบัญชีของผู้ใช้ cPanel หรือตั้งค่าการเข้าถึงเชลล์เป็น ' /bin/false ' สำหรับผู้ใช้ที่ไม่ใช่ cPanel

11. ตั้งค่า Cron Job เพื่อเรียกใช้ ClamAV ทุกวัน

เนื่องจากการดำเนินการเพิ่ม อัปเดต และลบเกิดขึ้นอย่างรวดเร็วกับไฟล์ที่อยู่บนเซิร์ฟเวอร์ของคุณ สิ่งสำคัญอย่างยิ่งคือต้องตรวจสอบให้แน่ใจว่าการเปลี่ยนแปลงใหม่ทั้งหมดนั้นปลอดภัยและได้รับการสแกนอย่างเหมาะสมด้วยแอปพลิเคชันป้องกันไวรัส

คุณสามารถใช้งาน cron สแกนเนอร์ ClamAV เพื่อเรียกใช้การสแกนรายสัปดาห์ที่จะเริ่มโดยอัตโนมัติในช่วง "นอกเวลาทำการ"

ใช้คำสั่งต่อไปนี้เพื่อเรียกใช้ cron นี้
สำหรับฉันใน awk '!/nobody/{print $2 | "sort | uniq" }' /etc/userdomains | sort | uniq awk '!/nobody/{print $2 | "sort | uniq" }' /etc/userdomains | sort | uniq awk '!/nobody/{print $2 | "sort | uniq" }' /etc/userdomains | sort | uniq ; ทำ /usr/local/cpanel/3rdparty/bin/clamscan -i -r /home/$i 2>>/dev/null; เสร็จสิ้น >> /root/infections&
คำสั่งนี้จะค้นหาโฮมไดเร็กทอรีซ้ำๆ เพื่อหาสแปมและไฟล์ที่ติดไวรัส

12. ปิดการใช้งานข้อมูลส่วนหัวของ Apache

เนื่องจากลายเซ็นเซิร์ฟเวอร์ของคุณมีข้อมูลเช่นเวอร์ชัน Apache และ OS สิ่งสำคัญคือคุณต้องซ่อนข้อมูลนี้จากการสอดรู้สอดเห็นของสาธารณะโดยใช้ WHM Login

  1. เมื่อคุณเข้าสู่ระบบ WHM ไปที่ Service ConfigurationApache ConfigurationGlobal Configuration
  2. ตั้งค่าต่อไปนี้
    ลายเซ็นเซิร์ฟเวอร์ = ปิด
     โทเค็นเซิร์ฟเวอร์ = สินค้าเท่านั้น

13. ซ่อนข้อมูลเวอร์ชัน PHP

เช่นเดียวกับส่วนหัวของ Apache คุณไม่ควรเปิดเผยข้อมูลเวอร์ชัน PHP ด้วย ต่อไปนี้เป็นขั้นตอนในการซ่อนข้อมูลนี้

  1. เมื่อคุณเข้าสู่ระบบ WHM ไปที่ Service ConfigurationPHP Configuration Editor
  2. ตั้งค่าต่อไปนี้
    expose_php= “ปิด”

14. ปิดการใช้งาน FTP และใช้ SFTP แทน

แม้ว่าคุณจะไม่เดาจากชื่อของพวกเขา แต่โปรโตคอล FTP และ SFTP ก็ไม่ต่างกันมากไปกว่านี้

ด้วย FTP มาตรฐาน ข้อมูลทั้งหมดที่ส่งระหว่างไคลเอนต์และเซิร์ฟเวอร์จะเป็นข้อความธรรมดา สิ่งนี้ทำให้ผู้ดักฟังสามารถดึงข้อมูลที่เป็นความลับของคุณรวมถึงข้อมูลรับรองการเข้าสู่ระบบและข้อความ "ส่วนตัว" อื่น ๆ

ต่างจาก FTP มาตรฐานตรงที่ SFTP (SSH File Transfer Protocol) เข้ารหัสทั้งคำสั่งและข้อมูล ป้องกันไม่ให้ส่งรหัสผ่านและข้อมูลสำคัญในข้อความธรรมดาผ่านเครือข่าย

คลิกที่นี่เพื่อดูขั้นตอนในการสร้างคีย์ SSH และเชื่อมต่อกับเซิร์ฟเวอร์ผ่านไคลเอ็นต์ SFTP

หากคุณต้องการอนุญาตการเชื่อมต่อ SFTP และปิดใช้งานแผน FTP ให้ทำตามขั้นตอนด้านล่างใน WHM/cPanel

  1. เข้าสู่ระบบ WHM/cPanel ของคุณในฐานะผู้ใช้รูท
  2. ไปที่การ กำหนดค่าเซิร์ฟเวอร์ FTP ใน TLS Encryption Support ให้เปลี่ยนเป็น Required (Command) และคลิกที่ ปุ่ม Save

15. การรักษาความปลอดภัย cPanel และ WHM Access

บังคับ HTTPS URL เพื่อเข้าถึง cPanel/WHM

เพื่อปกป้องการเข้าสู่ระบบ cPanel หรือ WHM ของคุณด้วยการเข้ารหัสแบบ SSL ให้ทำตามขั้นตอนง่ายๆ สองขั้นตอนเหล่านี้

  1. เข้าสู่ระบบ WHM และไปที่ หน้าแรก → การ กำหนดค่าเซิร์ฟเวอร์ปรับแต่งการตั้งค่า
  2. เลื่อนด้านขวาไปที่แท็บการ เปลี่ยนเส้นทาง และใช้การตั้งค่าที่แสดงในภาพด้านล่าง

การปิดใช้งานการเข้าสู่ระบบ cPanel-ID

เซิร์ฟเวอร์ cPanel อนุญาตการเข้าสู่ระบบสองประเภท

อันดับแรกคือการเข้าสู่ระบบชื่อผู้ใช้และรหัสผ่านเริ่มต้น/มาตรฐาน และครั้งที่สองคือการเข้าสู่ระบบเซิร์ฟเวอร์ด้วย cPanel ID

cPanel ID อนุญาตให้ผู้ใช้ปรับใช้ชื่อผู้ใช้และรหัสผ่านเดียวเพื่อเข้าถึงบริการ cPanel ที่หลากหลาย

แม้ว่าวิธีนี้จะเหมาะสมกว่าสำหรับองค์กรที่จัดการศูนย์ข้อมูลขนาดใหญ่และจ้างช่างเทคนิคใหม่บ่อยครั้ง แต่ถ้าคุณมีเซิร์ฟเวอร์เพียงเครื่องเดียว คุณควรปิดใช้งานโดยใช้ขั้นตอนต่อไปนี้

  1. เข้าสู่ระบบ WHM และไปที่ หน้าแรกศูนย์ความปลอดภัย → จัดการการตรวจสอบภายนอก
  2. เปลี่ยนการเข้าสู่ระบบ cPanel-ID เพื่อปิดใช้งานดังแสดงในภาพด้านล่าง

บทสรุป

การนำ 15 เคล็ดลับง่ายๆ เหล่านี้ไปใช้กับ VPS หรือเซิร์ฟเวอร์เฉพาะของคุณ จะช่วยลดความเสี่ยงในการโจมตีทั้งภายในและภายนอกในทันที และเพิ่มความปลอดภัยให้กับระบบของคุณภายในเวลาไม่กี่ชั่วโมง

และแม้ว่าเคล็ดลับเหล่านี้จะลดจำนวนภัยคุกคามต่อเซิร์ฟเวอร์ของคุณ แต่ก็ไม่ใช่วิธีรักษาทั้งหมด

ในการเพิ่มประสิทธิภาพการรักษาความปลอดภัยระบบของคุณ คุณต้องทำการตรวจสอบสถานะและอัปเดตตัวเองเป็นประจำเกี่ยวกับเหตุการณ์ล่าสุดในโลกของการรักษาความปลอดภัยเซิร์ฟเวอร์

อย่างไรก็ตาม ด้วยการค้นคว้าเพียงไม่กี่ชั่วโมงต่อเดือน คุณจะสามารถรักษาความปลอดภัยของ cPanel ที่ทันสมัยและมั่นใจได้ว่าคุณและบริษัทของคุณจะปลอดภัยต่อไปอีกหลายปี

คุณมีคำถามใด ๆ เกี่ยวกับ 15 เคล็ดลับที่ระบุไว้ข้างต้นหรือไม่? คุณพบคุณลักษณะด้านความปลอดภัยใหม่ของเซิร์ฟเวอร์ cPanel ที่คุณต้องการแชร์หรือไม่? แจ้งให้เราทราบในความคิดเห็นด้านล่าง