امنیت cPanel

امن سازی سرور Cpanel – WHM

WHM یا Web Host Manager یک برنامه قدرتمند است که اجازه دسترسی به cPanel backend را می دهد. MWH  دارای قابلیت انعطاف پذیری زیاد و کنترل آسان در مدیریت وب سایت ها می باشد.

WHM نه تنها کاربر را قادر می سازد تا بتواند  سرویس های میزبانی وب را ارائه دهد بلکه امکان ایجاد و مدیریت چند حساب cPanel با گزینه های مختلف را فراهم می کند. 

در این مقاله ما ۹ راه پیشنهادی برای ایمن سازی WHM را ارائه می دهیم تا بتوانید امنیت کلی خود را برای همه دامنه های میزبان بهبود ببخشید

۱   غیر فعال کردن ورودی cpanel-ID

اساسا، سرور Cpanel با ۲ متد به شما اجازه ورود به سیستم  را می دهد

اول نام کاربری و رمز عبور پیش فرض است و روش دوم برای وارد شدن به سرور، یک Cpanel-ID است که به کاربران اجازه می دهد تا یک نام کاربری و رمز عبور را برای دسترسی به طیف وسیعی از سرویس ها که برای اهداف امنیتی غیرفعال شده است را بکار ببرند.

برای غیرفعال کردن ورودی cpanel-ID، به WHM خود وارد شوید و به صفحه اصلی بروید 

Home -> Security Center -> Manage External Authentication

برای غیرفعال کردن ورود به سیستم Cpanel-ID می توانید همانند تصویر زیر عمل کنید

امنیت whm

۲   اعمال HTTPS URL برای دسترسی به cpanel / WHM
همه ما می دانیم که HTTPS یک لایه امنیتی در لایه حمل و نقل را فراهم می کند تا اطلاعات شما را در هنگام انتقال از یک منبع به یک منبع دیگر رمزگذاری کند، بنابراین  اگر شما در صفحات ورود به سیستم  از طریق پروتکل HTTPS اقدام کنید، ایمنی بالاتری خواهد داشت.

برای اعمال HTTPS

به WHM خود وارد شوید و به مسیر زیر بروید

 Home -> Server Configuration -> Tweak Settings

سپس به تب Redirection بروید و از تنظیمات زیر استفاده کنید همانطور که در تصویر زیر نشان داده شده است.

امن سازی سرور

۳   از FTPs برای انتقال فایل استفاده کنید
 FTPs (پروتکل  انتقال امن)  داده ها را رمزگذاری می کند تا از عبور پسورد ها و دیگر اطلاعات حساس در clear text در شبکه جلوگیری  کند.

در پروتکل FTP ساده، انتقال همیشه در روش متن ساده انجام می شود که در داخل یک شبکه بسیار خطرناک است.

برای اجازه اتصال FTPs و غیر فعال کردن FTP ساده، به WHM خود وارد شوید و به مسیر زیر بروید

Home -> Service Configuration -> FTP Server Configuration

در پشتیبانی از رمزگذاری TLS، آن را به گزینه “(Required (Command” تغییر دهید، همانطور که در تصویر زیر نشان داده شده است.

امن سازی cpanel

۴   مخفی کردن اطلاعات نسخه PHP
پیکربندی PHP به طور پیش فرض اجازه می دهد تا هدر پاسخ HTTP سرور “X-Powered-By”  نسخه PHP که بر روی سرور نصب شده است را نمایش دهد. به دلایل امنیتی سرور توصیه می شود این اطلاعات را از دید کاربران غیرفعال یا پنهان کنید . مهاجمان ممکن است سرور را هدف قرار داده  و مایل باشند بدانند آیا شما PHP را اجرا می کنید یا خیر.

این تنظیمات را می توان با ویرایش یک خط در فایل PHP.INI که در etc/php.ini/ قرار دارد انجام داد یا می توانید به طور مستقیم از طریق پنل WHM نیز تغییر دهید

به WHM خود وارد شوید و به مسیر زیر بروید

Home -> Software -> MultiPHP INI Editor

روی مد ویرایشگر بروید و نسخه فعلی PHP خود را از لیست کشویی انتخاب کرده و گزینه “expose_php” را پیدا کنید، آن را به “OFF” تغییر دهید همانطور که در تصویر زیر نشان داده شده است.

ورژن PHP

۵   اطلاعات هدر Apache را غیرفعال کنید
هنگامی که درخواست های راه دور به وب سرور  آپاچی ارسال می شود، به طور پیش فرض برخی از اطلاعات ارزشمند مانند شماره نسخه وب سرور، جزئیات سیستم عامل سرور، نصب ماژول های آپاچی و … در اسناد سرور ایجاد شده به مشتری ارسال می شود.

این اطلاعات برای مهاجمان بسیار مهم است مثلا می توانند از نسخه آپاچی بهره ببرند و دسترسی به وب سرور را به دست آورند. برای غیرفعال کردن اطلاعات هدر apache  باید دو پیکربندی را تغییر دهید،

یعنی ServerSignature و ServerTokens

به WHM خود وارد شوید و به مسیر زیر بروید

Home -> Service Configuration -> Apache Configuration

به پیکربندی Global بروید و مقادیر زیر را همانطور که در تصویر زیر نشان داده شده تنظیم کنید:

Server Signature = OFF
Server Tokens = Products Only

آپاچی سرور

۶   غیر فعال کردن درخواست پینگ – ping
ping یک درخواست ICMP است و باید برای جلوگیری از حملات نوع Ping باید Death و Flood غیر فعال شود.

برای غیرفعال کردن پاسخ ping، دستور زیر را به عنوان یک کاربر ریشه Root اجرا کنید.

echo “۱” > /proc/sys/net/ipv4/icmp_echo_ignore_all

همچنین می توانید با تایپ کردن دستور زیر از ترمینال خود پاسخ Ping را با استفاده از Iptables نیز غیرفعال کنید .

iptables -A INPUT -p icmp -j DROP

امن سازی سرور

 

۷   فعال کردن حفاظت CPHulk
با فعال کردن حفاظت CPHulk، در واقع سرور خود را در مقابل حملات brute force محافظت می کنید.

برای فعال کردن CPHulk Protection، به WHM خود وارد شوید و به مسیر زیر بروید

Home -> Security Center -> CPHulk Brute Force Protection

روی گزینه Enable کلیک کنید همانطور که در تصویر زیر نشان داده شده است.

حفاظت CPHulk

۸   راه اندازی آنتی ویروس ClamAV 
سرورهای لینوکس از سرورهای ویندوز خیلی امن تر هستند اما باز هم لازم است یک نوع آنتی ویروس بر روی آن نصب کنید تا سرور لینوکسی را از روت کیت ها، Malwares ها، پوسته های غیر مجاز و غیره محافظت کند.

ClamAV یک آنتی ویروس منبع باز برای سرورهای Cpanel است و به کاربران اجازه می دهد تا پوشه های خانگی و ایمیل های خود را برای فایل های مخرب بالقوه اسکن کنند.

برای نصب ClamAV، به WHM وارد شوید و به مسیر زیر بروید

Home -> Cpanel -> Manage Plugins

ClamAV را در Cpanel فعال کنید همانطور که در تصویر زیر نشان داده شده است

آنتی ویروس ClamAV

علاوه بر این، می توانید آنتی ویروس ClamAV خود را با تنظیمات زیر پیکربندی کنید.

Home -> Plugins -> Configure ClamAV Scanner

و گزینه هایی  را همانطور که در تصویر زیر نشان داده شده تنظیم کنید.

آنتی ویروس ClamAV

همچنین می توانید آنتی ویروس ClamAV را برای اجرای روزانه CronJob (سیستم پشتیبان گیری)  با تایپ کردن دستور زیر در ترمینال خود از طریق ریشه Root تنظیم کنید.

Command: 

for i in `awk ‘!/nobody/{print $2 | “sort | uniq” }’ /etc/userdomains | sort | uniq`; do /usr/local/cpanel/3rdparty/bin/clamscan -i -r /home/$i 2>>/dev/null; done >> /root/infections&

CronJobاین فرمان به طور مرتب دایرکتوری های خانگی را برای هرزنامه ها و فایل های آلوده جستجو می کند.

۹   پیکربندی کنترل دسترسی میزبان (Host )
در برخی موارد ممکن است بخواهید به برخی از IP های خاص در برخی از سرویس های خاص دسترسی های متفاوتی را اعطاء کنید. برای رسیدن به این هدف،  کنترل دسترسی میزبان باید به درستی تنظیم شود تا به شما کمک کند قوانینی را بر اساس پالیسی های متفاوت اعمال (اجازه / رد) کنید.

برای انجام این کار، به WHM خود وارد شوید و به مسیر زیر بروید

Home -> Security Center -> Host Access Control

در اینجا اگر می خواهید یک قانون برای سرویس SSH پیکربندی کنید نیاز به سه فرآیند دارید که در تصویر زیر نشان داده شده است. مثال زیر غیر فعال کردن سرویس SSH را نمایش می دهد:

CommentActionAccess ListDaemon
Allow local SSHallow۱۹۲٫۱۶۸٫۱٫۳sshd
Allow SSH from my IPallow۱۲۲٫xxx.xxx.xxxsshd
Deny all othersdenyALLsshd

کنترل دسترسی سرور

موارد دیگری که می توانید در زمینه امنیت سرور انجام دهید عبارتند از:

  • امن سازیSSH  (تغییر پورت SSH، غیرفعال کردن Root Login و غیر فعال کردن پروتکل SSHv1)

  • راه اندازی CSF (پیکربندی فایروال سرور)

  • راه اندازی فایروال Mod_Security 

  • نصب Rootkit Hunter

  • نصب اسکنر لینوکسی شناسایی بدافزار (Maldet) 

گردآورنده : سید محمد اسماعیلی

 

 

نوشته های مرتبط

۱۳

خرداد
همه موضوعات

ارزیابی و تست نفوذ MySQL با چارچوب Metasploit

اگر شما به عنوان یک متخصص فناوری اطلاعات بیش از چند ماه در این حوزه درگیر بوده باشید حداقل نامی از پایگاه داده MySQL  یا MySQL Database باید شنیده باشید. دیتابیس MySQL  دارای قابلیت ارائه یک سرور قابل اعتماد و با کارایی بالا است که برای راه اندازی و استفاده آسان از آن استفاد ه می شود. MySQL Database […]

تست نفوذ

۰۲

خرداد
همه موضوعات

مراحل اجرایی تست نفوذ وب اپلیکیشن ها – Web Application Penetration Testing

آزمایش نفوذ یا تست نفوذ Penetration Testing چیست؟ تست نفوذ یا Penetration Testing یک فرایند ارزیابی امنیتی است که جهت بررسی آسیب پذیری های برنامه های وب توسط کارشناسان امنیتی آموزش دیده (مانند آزمون های نفوذ یا هکرهای اخلاقی) مورد استفاده قرار می گیرد . هدف از این آزمایش تقویت آسیب پذیری های امنیتی است که اپلیکیشن مورد نظر[…]