Bảo mật cPanel & WHM

Tác giả Network Engineer, T.Một 13, 2020, 12:21:39 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Bảo mật cPanel & WHM


Sử dụng các mẹo bảo mật cPanel này để đóng chặt cửa sau backdoor của trang máy chủ của bạn. Điều quan trọng là phải thắt chặt bảo mật của cPanel của trang web WordPress để ngăn chặn bất kỳ loại hack nào. Dưới đây, một danh sách gồm 7 lời khuyên hữu ích để đảm bảo bạn không thỏa hiệp với bảo mật cPanel của mình.


1. Cập nhật cPanel

Nếu bạn không nâng cấp cPanel của bạn lên phiên bản mới nhất, các lỗ hổng sẽ tăng lên. Do đó, hãy chắc chắn rằng bạn có phiên bản mới nhất.

Cập nhật cPanel: WHM > cPanel > Upgrade to Latest Version.


Bạn cũng có thể cập nhật bằng dòng lệnh này: #/scripts/upcp –force
Để không phải cập nhật bằng tay hay thủ công, bạn chỉ cần bật cập nhật tự động.
Chuyển đến WHM > Server Configuration > Update Preferences.

2. Mật khẩu an toàn

Mật khẩu mạnh là một cái gì đó mọi người đều biết ngày hôm nay, nhưng mọi người vẫn phớt lờ nó.
Mật khẩu yếu> Bị tấn công dễ dàng> Lây nhiễm các trang web của khách hàng hoặc lây lan vi-rút

Nhưng làm thế nào bạn có thể chắc chắn rằng mật khẩu của bạn được an toàn?

Chỉnh sửa tập tin /etc/login.defs để cấu hình các tùy chọn mật khẩu trên hệ thống của bạn.

  • Sử dụng ít nhất 8 ký tự bao gồm cả ký hiệu,chữ và số.
  • Tránh sử dụng ngày và từ điển quan trọng.
  • Nếu bạn gặp sự cố, bạn có thể tận dụng công cụ Password Generator tool để có ý tưởng.
  • Chuyển đến Tweak Settings trong Server Configuration và kích hoạt SSL để tránh mọi rò rỉ.
  • Vẫn không chắc chắn về bảo mật mật khẩu? Kiểm tra nó thông qua JTR cracker hoặc kiểm tra độ mạnh của mật khẩu bằng pam_passwdqc.

3. Bảo mật SSH

SSH hoặc Secure Shell là một công cụ kết nối từ xa trong Linux, giúp người dùng đăng nhập vào một máy từ xa và thực hiện các lệnh. Do đó, nếu bạn không bảo mật SSH, có thể có các cuộc tấn công.

Làm thế nào bạn có thể bảo mật SSH?

Cập nhật các gói SSH lên phiên bản ổn định mới nhất.

A. Thiết lập người dùng trong nhóm Wheel

Khi bạn đăng nhập vào người dùng root, tạo một người dùng mới, sau đó bạn sẽ được hỏi một vài câu hỏi.

Mã nguồn [Chọn]
adduser <wheel_user_name>
Nhấn vào Enter khi bạn đã hoàn tất việc đặt mật khẩu.

Thêm người dùng đó vào nhóm người dùng Wheel. Nếu bạn muốn người dùng hiện tại là người dùng Wheel, bạn chỉ cần truy cập WHM > Security Center > Manage Wheel Group Users > Chọn người dùng và nhấp vào Add to Group.

Bây giờ vô hiệu hóa tài khoản root:

Mở tập tin cấu hình SSH> Thiết lập PermitRootLogin thành No> Khởi động lại SSH

Khi bạn đã kết thúc phiên, bạn có thể đăng nhập với tư cách người dùng Root. Để đăng nhập, hãy sử dụng người dùng mới mà bạn vừa tạo hoặc người dùng hiện có.

B. Cài đặt khóa dựa trên không đăng nhập bằng mật khẩu

Vô hiệu hóa xác thực mật khẩu và chỉ cho phép truy cập SSH bằng xác thực dựa trên khóa.

Mở tập tin cấu hình SSH (vi /etc/ssh/sshd_config)> Chỉnh sửa Password Authentication thành No

Xác thực mật khẩu trong máy chủ bị vô hiệu hóa ngay bây giờ. Tạo khóa SSH trong máy chủ> ssh-keygen

Nếu bạn nhấn 'Enter, thì khóa sẽ được đặt trong' /home/user/.ssh/id_rsa, theo mặc định.

4. Bảo mật Apache và PHP

Kích hoạt tính năng bảo mật ModSecurity

Trong WHM, bạn nên kích hoạt ModSecurity để bảo mật Apache khỏi các cuộc tấn công như tiêm mã độc injection. Các quy tắc cụ thể được xác định trong ModSecurity giúp chặn kết nối không khớp với quy tắc.

Cài đặt ModSecurity

WHM > Plugins > ModSecurity

  • Cấu hình suEXEC để thực thi các tập lệnh CGI và suPHP làm PHP handle. Kích hoạt suEXEC và suPHP bằng cách duyệt đến WHM > Service Configuration > suEXEC.
  • Thay đổi PHP handler thành suPHP, biến Apache suEXEC thành 'On và' Lưu cấu hình mới.
  • Kích hoạt bảo vệ PHP open_basedir: Nó ngăn các tập lệnh PHP từ các tập tin bên ngoài thư mục home của nó.
  • WHM > Security Center > PHP open_basedir Tweak > Enable PHP open_basedir Protection > Save.

Vô hiệu hóa một PHP functions:

  • WHM > Service Configuration > PHP Configuration Editor > Select Advanced mode > register_globals: Off
  • Cài đặt register_globals kiểm soát cách bạn truy cập máy chủ, biểu mẫu và môi trường. Nếu được bật, mọi thứ được chuyển qua GET hoặc POST hoặc COOKIE tự động dường như là biến toàn cục trong mã, điều này có thể có hậu quả bảo mật.
  • Vô hiệu hóa: allow_url_fopen, Proc_open, popen, phpinfo, exec, passthru, shell_exec, system, show_source.

Lưu lại các cài đặt và khởi động lại Apache.

Quan trọng: Đừng quên cập nhật các phiên bản mới nhất để bảo mật thích hợp.

5. Kích hoạt bảo vệ Brute-Force

Brute-Force: Lặp đi lặp lại nhiều lần thử  để truy cập vào máy chủ.

Khi bạn đặt giá trị bảo vệ Brute-Force, nó đảm bảo rằng các lần thử không thành công để truy cập máy chủ từ một địa chỉ IP nhất định sẽ khiến IP đó bị chặn.

Để kích hoạt tính năng này: CPHulk Brute-Force Protection > Security Center > Enable"

Trong tùy chọn IP Deny Manager, bạn cũng có thể chặn một địa chỉ IP, tên miền hoặc phạm vi địa chỉ IP cụ thể truy cập vào một trang web được quản lý bởi cPanel.

6. Kích hoạt tường lửa

Phần quan trọng nhất của bảo mật cPanel là giữ cho Tường lửa được bật vì nó từ chối tất cả các kết nối không mong muốn với máy chủ.

CSF thường được sử dụng làm tường lửa cho cPanel và có thể dễ dàng quản lý thông qua giao diện WHM.

Tải xuống gói CSF

Mã nguồn [Chọn]
wget httpss://doad.configserver.com/csf.tgz
Giải nén tập tin tar

Mã nguồn [Chọn]
tar zxvf csf.tgz
Thay đổi thư mục thành thư mục cài đặt CSF

Mã nguồn [Chọn]
cd csf
Thực thi tập lệnh cài đặt cho cPanel

Mã nguồn [Chọn]
./install.cpanel.sh
Khởi động dịch vụ CSF

Mã nguồn [Chọn]
/etc/init.d/csf
Kiểm tra cấu hình cài đặt

Mã nguồn [Chọn]
perl /usr/local/csf/bin/csftest.pl
Vô hiệu hóa chế độ test trong cấu hình CSF sau khi thực hiện kiểm tra

Mã nguồn [Chọn]
vi /etc/csf/csf.conf
Khởi động lại CSF

Mã nguồn [Chọn]
/etc/init.d/csf restart
Bây giờ, truy cập CSF qua WHM> Plugins> ConfigServer Security & Firewall

Thay đổi các tham số sau:

  • Chặn mọi IP có kết nối quá mức [CT_LIMIT = Số đặt tại đây]
  • Chặn các IP đó vĩnh viễn [CT_PERMANENT = 1]
  • Đặt giới hạn thời gian IP thành 1800 giây [CT_BLOCK_TIME = 1800]
  • Đặt khoảng thời gian theo dõi kết nối thành 60 giây [CT_INTERVAL = 60]

7. Các Plugin cho bảo mật cPanel Security

A. RKHunter

Rootkit là một loại phần mềm độc hại phổ biến được cài đặt bí mật trên máy chủ của bạn bởi những kẻ xâm nhập và cho phép truy cập root của bên thứ 3. Nó cung cấp toàn quyền kiểm soát thông tin trên máy của bạn hoặc thậm chí truyền qua nó. Cài đặt RKHunter giúp bảo vệ chống lại phần mềm độc hại này. Plugin này cào máy chủ của bạn và khớp với cơ sở dữ liệu của các rootkit đã biết.


B. ConfigServer eXploit Scanner (cxs)

Bạn có thể dùng thử ConfigServer eXploit Scanner, một công cụ chủ động quét các tập tin khi chúng được tải lên máy chủ. Điều này có thể giúp ngăn chặn việc khai thác tài khoản bằng phần mềm độc hại bằng cách di chuyển các tập tin đáng ngờ để cách ly trước khi chúng hoạt động hoặc xóa chúng. Cxs sẽ ngăn chặn các tập tin được tải lên với các tập lệnh shell, Gumblar Virus, PHP và Perl.


Kết luận

Bảo mật cPanel là điều cần thiết vì cPanel cung cấp một lối đi dễ dàng cho công việc của bạn. Mọi người thường làm cho front-end an toàn nhưng không thực hiện các biện pháp mạnh mẽ cho back-end.

Cùng với các mẹo này, đừng bỏ lỡ các mẹo sau để cải thiện tính bảo mật của cPanel.

Lưu ý mọi sửa đổi bạn đã thực hiện sẽ giúp bạn theo dõi vì có nhiều người dùng truy cập cPanel.

Sao lưu: Tôi không bao giờ có thể đánh giá thấp các bản sao lưu. Giữ một bản sao lưu trên một máy chủ khác để nếu có bất kỳ cơ hội nào, bảo mật cPanel của bạn bị xâm phạm, bạn có thể khôi phục các tập tin quan trọng.

Cloud Linux: Nếu có nhiều trang web được điều hành bởi nhiều chủ sở hữu, hãy sử dụng Cloud Linux. Ví dụ: nếu bạn đang hosting web lên các máy chủ web shared hosting, hãy đảm bảo bạn hỏi nhà cung cấp dịch vụ lưu trữ của mình về việc này. Hoặc nếu bạn đã chạy trên máy chủ của mình, hãy hỏi quản trị viên hệ thống của bạn để biết thêm về cloud Linux.

Các kịch bản mã nguồn mở nên được duy trì.

Cấu hình SSL.

Giám sát nên được cấu hình và theo dõi.

Hosting chất lượng cao thực hiện các biện pháp mạnh mẽ để bảo vệ các trang web của khách hàng.