Pereiti prie pagrindinio turinio

Kaip padidinti cPanel/WHM VPS saugumą

Šioje pamokoje paaiškinsime, kaip padidinti cPanel/WHM serverio saugumą ir sumažinti dažniausiai pasitaikančias rizikas.

1. Naudokite saugius slaptažodžius

Nesaugūs slaptažodžiai yra viena dažniausių serverių saugumo spragų. Jeigu paskyros slaptažodis yra silpnas ir patenka į trečiųjų šalių rankas, kliento svetainės gali būti sugadintos, užkrėstos arba panaudotos virusams ir kenkėjiškai programinei įrangai platinti.

Saugūs slaptažodžiai yra vienas svarbiausių serverio apsaugos elementų. Sistemoje slaptažodžių parametrus galite konfigūruoti faile:

/etc/login.defs

Šis failas yra gerai dokumentuotas ir leidžia nustatyti įvairias slaptažodžių taisykles.

Rekomenduojama naudoti bent 8 simbolių slaptažodį, kuriame būtų raidžių, skaičių ir specialiųjų simbolių. Nenaudokite slaptažodžių, sudarytų iš žodyno žodžių, vardų, gimimo datų ar kitų lengvai atspėjamų reikšmių.

2. Apsaugokite SSH prieigą

SSH prieiga yra vienas svarbiausių serverio administravimo kanalų, todėl ją būtina tinkamai apsaugoti.

Rekomenduojama:

  • įjungti SSH prisijungimą naudojant viešojo rakto autentifikaciją;

  • išjungti prisijungimą slaptažodžiu;

  • pakeisti numatytąjį SSH prievadą.

Pagal numatytuosius nustatymus SSH dažniausiai veikia per 22 prievadą. Būtent šio prievado dažniausiai ieško automatizuoti bandymai prisijungti prie serverių. Pakeitus SSH prievadą į kitą, sumažinama paprastų automatizuotų atakų tikimybė.

3. Apsaugokite Apache

Svarbu imtis papildomų veiksmų Apache apsaugai sustiprinti. Vienas iš geriausių įrankių, padedančių apsisaugoti nuo kenkėjiško Apache naudojimo, yra mod_security.

mod_security galima įdiegti per WHM esančią cPanel papildomų modulių skiltį. Daugiau informacijos apie mod_security galite rasti cPanel dokumentacijoje.

Kompiliuojant Apache taip pat rekomenduojama įtraukti suexec. Šis modulis užtikrina, kad CGI programos ir skriptai būtų vykdomi to naudotojo teisėmis, kuriam jie priklauso arba kuris juos paleidžia. Tai padeda lengviau nustatyti, kur yra kenkėjiški skriptai ir kas juos vykdo. Taip pat sustiprinama leidimų ir aplinkos kontrolė.

Rekomenduojama papildomai įjungti PHP open_basedir apsaugą. Ji neleidžia naudotojams per PHP atidaryti failų, esančių už jų namų katalogo ribų.

Šią apsaugą galite įjungti WHM skiltyje:

Tweak Security

4. Apsaugokite /tmp skaidinį

Rekomenduojama naudoti atskirą /tmp skaidinį ir prijungti jį su nosetuid parametru. nosetuid užtikrina, kad procesas būtų vykdomas su jį paleidusio naudotojo teisėmis.

Įdiegus cPanel taip pat galite prijungti /tmp su noexec parametru. Tai padeda užkirsti kelią vykdomųjų failų paleidimui iš /tmp katalogo.

Papildomam saugumui galite paleisti:

/scripts/securetmp

Šis skriptas prijungs /tmp skaidinį prie laikino failo ir taip suteiks papildomą apsaugos sluoksnį.

5. Apribokite sistemos kompiliatorių naudojimą

Daugumai naudotojų C ir C++ kompiliatoriai serveryje nėra reikalingi. WHM skiltyje Tweak Security galite naudoti Compilers Tweak funkciją ir išjungti kompiliatorių naudojimą visiems neprivilegijuotiems naudotojams arba tik konkretiems naudotojams.

Daugelis paruoštų išnaudojimo įrankių reikalauja veikiančių kompiliatorių. Todėl jų išjungimas padeda apsisaugoti nuo dalies galimų atakų.

6. Išjunkite nenaudojamas paslaugas ir procesus

Bet kuri paslauga ar procesas, leidžiantis prisijungti prie serverio, gali tapti papildomu keliu įsilaužimui. Norėdami sumažinti saugumo riziką, išjunkite visas paslaugas ir procesus, kurių nenaudojate.

6.1 Linux procesai

Patikrinkite failą:

/etc/xinetd.conf

Išjunkite paslaugas, kurių nenaudojate.

6.2 WHM paslaugos

WHM aplinkoje eikite į:

WHM » Service Configuration » Service Manager

Išjunkite visas nereikalingas paslaugas.

7. Stebėkite sistemą

Svarbu nuolat žinoti, kas vyksta jūsų serveryje: kada sukuriamos paskyros, kokia programinė įranga diegiama, kada reikalingi atnaujinimai ir ar sistema veikia taip, kaip tikimasi.

Reguliariai tikrinkite sistemą naudodami šias komandas ir įrankius.

7.1 Patikrinkite atidarytus prievadus

netstat -anp

Ieškokite programų, kurios naudoja prievadus, bet nebuvo jūsų įdiegtos ar patvirtintos.

7.2 Raskite visiems naudotojams rašomus failus ir katalogus

find / \( -perm -a+w \) ! -type l >> world_writable.txt

Peržiūrėkite failą:

world_writable.txt

Jame matysite visus failus ir katalogus, į kuriuos gali rašyti visi naudotojai. Tokios vietos gali būti panaudotos kenkėjiškiems failams įkelti.

Pastaba: keičiant leidimus kai kuriems netinkamai parašytiems PHP ar CGI skriptams, jie gali nustoti veikti.

7.3 Raskite failus be savininko arba grupės

find / -nouser -o -nogroup >> no_owner.txt

Peržiūrėkite failą:

no_owner.txt

Jame matysite failus, kurie neturi priskirto naudotojo arba grupės. Visi failai turėtų priklausyti konkrečiam naudotojui arba grupei, kad prieiga prie jų būtų tinkamai apribota.

7.4 Tikrinkite sistemos žurnalus

ls /var/log/

Sistemoje yra daug žurnalų, kurie gali suteikti vertingos informacijos. Reguliariai tikrinkite sistemos, Apache, pašto ir kitus žurnalus, kad įsitikintumėte, jog serveris veikia tinkamai.

7.5 Naudokite saugumo stebėjimo įrankius

Yra daug įrankių, kurie padeda stebėti sistemą, aptikti rootkit tipo kenkėjiškas programas, galines duris ir kitus pavojus.

Dažniausiai naudojami įrankiai:

  • Tripwire: stebi failų kontrolines sumas ir praneša apie pakeitimus;

  • Chkrootkit: tikrina sistemą dėl dažniausiai pasitaikančių rootkit ir galinių durų;

  • Rkhunter: tikrina sistemą dėl rootkit, galinių durų ir kitų grėsmių;

  • Logwatch: stebi ir pateikia kasdienės sistemos veiklos ataskaitas.

8. Nuolat atnaujinkite sistemą

Svarbu naudoti naujausias stabilias programinės įrangos versijas. Taip užtikrinama, kad būtų įdiegti saugumo pataisymai ir pašalintos ankstesnių versijų spragos.

Reguliariai atnaujinkite:

  • cPanel ir WHM;

  • naudotojų programas, pvz., forumus, TVS, tinklaraščių sistemas ir kitus įrankius;

  • sisteminę programinę įrangą.

cPanel/WHM ir dalis sistemos programinės įrangos gali būti atnaujinama automatiškai, tačiau vis tiek rekomenduojama reguliariai tikrinti atnaujinimų būseną.

9. Įdiekite ClamAV antivirusinę programą ir kasdienį skenavimą

ClamAV yra atvirojo kodo antivirusinė programa, skirta aptikti Trojos arklius, virusus, kenkėjišką programinę įrangą ir kitas grėsmes Linux sistemose.

ClamAV galima įdiegti rankiniu būdu serveryje arba aktyvuoti per WHM.

Rekomenduojama sukonfigūruoti reguliarų kasdienį skenavimą, kad galimos grėsmės būtų aptiktos kuo anksčiau.

10. Įjunkite dviejų veiksnių autentifikaciją WHM aplinkoje

Dviejų veiksnių autentifikacija padeda apsaugoti WHM ir cPanel prieigą net tada, kai slaptažodis tampa žinomas tretiesiems asmenims. Tokiu atveju prisijungimui vis tiek reikės papildomo patvirtinimo kodo.

Norėdami įjungti 2FA WHM administratoriaus paskyrai:

  1. Prisijunkite prie WHM kaip root naudotojas.

  2. Eikite į: WHM » Security Center » Two-Factor Authentication

  3. Spustelėkite Manage My Account, kad sukonfigūruotumėte administratoriaus paskyrą.

  4. Nuskenuokite sugeneruotą QR kodą naudodami autentifikavimo programėlę, pvz., Google Authenticator, Authy arba panašią.

  5. Įveskite 6 skaitmenų kodą iš programėlės ir patvirtinkite.

  6. Jeigu norite, kad naudotojai taip pat privalėtų naudoti 2FA, įjunkite atitinkamą politiką skiltyje Manage Settings.

11. Įjunkite dviejų veiksnių autentifikaciją cPanel paskyroms

Taip pat rekomenduojama įjungti dviejų veiksnių autentifikaciją kiekvienai cPanel naudotojo paskyrai.

Norėdami tai padaryti:

  1. Prisijunkite prie cPanel.

  2. Eikite į: cPanel » Security » Two-Factor Authentication

  3. Spustelėkite Set Up Two-Factor Authentication.

  4. Mobiliajame įrenginyje atidarykite autentifikavimo programėlę, pvz., Google Authenticator, Authy, Microsoft Authenticator arba kitą panašią programėlę.

  5. Nuskenuokite cPanel rodomą QR kodą.

  6. Įveskite 6 skaitmenų kodą iš programėlės į cPanel ir patvirtinkite.

  7. Patvirtinus, prisijungiant prie šios paskyros 2FA bus privaloma.

12. Sukonfigūruokite atsargines kopijas

Atsarginės kopijos apsaugo nuo duomenų praradimo, sugadinimo ar serverio kompromitavimo pasekmių.

Norėdami sukonfigūruoti atsargines kopijas:

  1. Prisijunkite prie WHM.

  2. Eikite į: WHM » Backup » Backup Configuration

  3. Įjunkite Backup Status.

  4. Pasirinkite atsarginių kopijų tipą:

    • Compressed: taupo vietą, bet naudoja daugiau CPU resursų;

    • Uncompressed: veikia greičiau, bet naudoja daugiau vietos;

    • Incremental: saugo tik pakeitimus ir yra efektyvus sprendimas.

  5. Nurodykite atsarginių kopijų katalogą. Numatytasis katalogas: /backup

  6. Sukonfigūruokite saugojimo laikotarpį, t. y. kiek atsarginių kopijų laikyti.

  7. Pridėkite nutolusias saugyklas, pvz., SFTP, Amazon S3 ar Google Drive, kad atsarginės kopijos būtų saugomos už serverio ribų.

  8. Išsaugokite konfigūraciją ir paleiskite bandomąją atsarginę kopiją.

13. Įjunkite ir sukonfigūruokite cPHulk Brute Force Protection

cPHulk padeda apsisaugoti nuo brute force tipo prisijungimo bandymų prie cPanel, WHM, SSH ir el. pašto paslaugų.

Norėdami įjungti cPHulk:

  1. Prisijunkite prie WHM.

  2. Eikite į: WHM » Securlity Center » cPHulk Brute Force Protection

  3. Įjunkite cPHulk Protection.

  4. Skiltyje Configuration Settings nustatykite:

    • maksimalų nesėkmingų bandymų skaičių iš vieno IP adreso prieš blokavimą;

    • maksimalų nesėkmingų bandymų skaičių vienai paskyrai prieš blokavimą;

    • brute force apsaugos laikotarpį, pvz., 15 minučių.

  5. Skiltyje Whitelist Management pridėkite patikimus IP adresus, kurie neturėtų būti blokuojami.

  6. Skiltyje Blacklist Management galite pridėti žinomus kenkėjiškus IP adresus.

  7. Įjunkite pranešimus, kad būtumėte informuoti apie brute force bandymus.

Atlikus šiuos veiksmus, cPanel/WHM VPS serverio saugumas bus ženkliai sustiprintas. Vis dėlto serverio saugumas nėra vienkartinis veiksmas. Reguliariai tikrinkite sistemą, atnaujinkite programinę įrangą, stebėkite žurnalus ir peržiūrėkite naudotojų veiklą.

Susiję straipsniai
cPanel & WHM valdymo pultas
cPanel diegimas VPS serveryje
Dažniausios VPS serverio saugumo klaidos
[cPanel & WHM] LiteSpeed Cache (LSCWP) naudojimas jūsų svetainėms
[cPanel & WHM] Darbas su cPHulk
Ar gavote atsakymą į savo klausimą?