1. Giới thiệu
Hướng dẫn này liệt kê một số mẹo giúp cài đặt cPanel & WHM của bạn an toàn hơn.
Warning!!
Exercise extreme caution when following these tips. the author or vpsserver.com takes no responsibility to individual servers or the security practices mentioned in this guide. Each server is a collection of compromises which means that any server that allows connections could be insecure.
2. Sử dụng mật khẩu an toàn
mật khẩu không an toàn là một lỗ hổng bảo mật phổ biến. Nếu mật khẩu tài khoản không an toàn và các trang web của khách hàng bị xâm phạm có thể bị xóa, bị tấn công và dữ liệu có giá trị có thể bị đánh cắp.
Luôn thay đổi mật khẩu thường xuyên nhất có thể. Dưới đây là các mẹo khác để tạo mật khẩu an toàn.
- Mật khẩu phải có chữ và số và đúng ngữ pháp.
- Mật khẩu phải có từ 10 ký tự trở lên.
- Không sử dụng cùng một mật khẩu cho các trang web khác.
- Đừng để trình duyệt của bạn lưu trữ mật khẩu của bạn.
- Không sử dụng tên của gia đình, ngày sinh hoặc số đặc biệt đối với bạn.
- Không sử dụng bất kỳ từ điển nào trong mật khẩu của bạn.
- Tạo mật khẩu ngẫu nhiên, một số trang web tạo mật khẩu bao gồm passwordgenerator.net[1]. Họ cung cấp các tùy chọn để tạo mật khẩu với các ký tự đặc biệt.
3. Sử dụng khoá SSH AN TOÀN
Thay đổi cách bạn đăng nhập vào trình bao máy chủ của mình từ mật khẩu sang khóa SSH. Khóa SSH an toàn hơn và yêu cầu sử dụng cụm mật khẩu đặc biệt. Để tạo khóa SSH, hãy đăng nhập vào WHM > Phần Security Center > Manage root SSH
Bấm vào Generate a New Key, nhập tên khóa và mật khẩu an toàn của bạn hai lần.
3. Di chuyển SSH sang một cổng khác
Cố gắng di chuyển ssh của bạn sang một cổng khác để ngăn chặn bất kỳ ai không có bất kỳ kiến thức cụ thể nào về máy chủ của bạn dễ dàng phát hiện ra cổng ssh của bạn. Hầu hết khách truy cập tìm kiếm trên cổng 22, đây là cổng ssh mặc định.
Luôn sử dụng các cổng dưới 1024 vì đây là các cổng đặc quyền và chỉ root mới có thể sử dụng chúng. Mọi thứ trên cổng 1024 đều có thể được sử dụng bởi bất kỳ ai.
Để di chuyển ssh của bạn sang một cổng khác, hãy đăng nhập vào dòng lệnh máy chủ của bạn với quyền root và mở ‘ sshd_config ‘.
nano /etc/ssh/sshd_config
Bỏ ghi chú và thay đổi:
Port 22
đến
Port 102
sau đó khởi động lại sshd:
service sshd restart
Ví dụ, chúng tôi đã thay đổi cổng ssh mặc định 22 thành cổng 102.
Lưu ý: Điều quan trọng là phải cho phép cổng mới trong tường lửa của máy chủ. Đảm bảo không đóng kết nối ssh hiện tại trong khi kiểm tra cổng mới để tránh mọi kết quả không cần thiết.
4. Kích hoạt bảo vệ CPHULK BRUTE FORCE
CPHUlk là một dịch vụ bảo vệ máy chủ của bạn khỏi các cuộc tấn công vũ phu. Tấn công brute force là một phương pháp hack sử dụng hệ thống tự động để đoán mật khẩu của máy chủ web hoặc dịch vụ của bạn.
Khi CPHulk chặn một cuộc tấn công, trang đăng nhập sẽ hiển thị thông báo ‘ đăng nhập không hợp lệ ‘. Để tránh bị khóa khỏi máy chủ của chính bạn, hãy thêm địa chỉ IP của bạn vào danh sách trắng.
Bạn có thể truy cập CPHulk thông qua phần WHM > Security Center section > cPHulk Brute Force Protection.
5. Tắt các dịch vụ và DAEMON không sử dụng
Bất kỳ dịch vụ hoặc trình nền nào cho phép kết nối với máy chủ của bạn cũng có thể cho phép tin tặc giành quyền truy cập. Để giảm rủi ro bảo mật, hãy tắt tất cả các dịch vụ và trình nền mà bạn không sử dụng.
Vô hiệu hóa bất kỳ dịch vụ nào không được sử dụng trong giao diện Trình quản lý Dịch vụ của WHM ( Trang chủ >> Cấu hình Dịch vụ >> Trình quản lý Dịch vụ ).
6. Bảo mật APACHE của bạn
Cách sẵn có nhất để truy cập máy chủ web là ứng dụng máy chủ web. Bạn phải bảo mật cài đặt Apache của mình.
Một trong những công cụ tốt nhất mà bạn có thể sử dụng để ngăn chặn việc sử dụng Apache độc hại là ModSecurityâ„¢.
Trong cPanel & WHM phiên bản 11.46 trở lên, bạn có thể sử dụng các giao diện sau để quản lý ModSecurity:
- WHM’s ModSecurity⢠Tools interface (Home >> Security Center >> ModSecurity⢠Tools).
- WHM’s ModSecurity⢠Configuration interface (Home >> Security Center >> ModSecurity⢠Configuration).
7. Cài đặt CSF
Một khi tường lửa như vậy bạn có thể cài đặt cho WHM/cPanel là CSF (ConfigServe Firewall) . CSF định cấu hình tường lửa của máy chủ của bạn để khóa quyền truy cập công cộng vào các dịch vụ và chỉ cho phép một số kết nối nhất định, chẳng hạn như đăng nhập vào FTP, kiểm tra email hoặc tải trang web của bạn. Tường lửa ConfigServe cũng đi kèm với một dịch vụ có tên là Daemon Lỗi Đăng nhập, hay LFD.
Để cài đặt CSF, hãy làm theo các lệnh bên dưới:
cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
Tiếp theo, hãy kiểm tra xem bạn có các mô-đun iptables cần thiết hay không:
perl /usr/local/csf/bin/csftest.pl
Đăng nhập vào WHM của bạn và bây giờ bạn sẽ thấy trang cấu hình CSF trong phần Plugins . Để định cấu hình CSF, bạn có thể làm theo các bước trong hướng dẫn Cài đặt và Định cấu hình CSF trên CentOS 7.
8. Phân vùng /TMP của bạn
Chúng tôi khuyên bạn nên sử dụng phân vùng /tmp riêng biệt mà bạn gắn kết với tùy chọn nosuid. Tùy chọn này buộc một quy trình chạy với các đặc quyền của người thực thi nó. Bạn cũng có thể muốn gắn thư mục /tmp với noexec sau khi cài đặt cPanel & WHM.
Để gắn phân vùng /tmp của bạn vào một tệp tạm thời để tăng cường bảo mật, bạn sẽ phải chạy:
/scripts/securetmp
Lưu ý: đảm bảo rằng dung lượng đĩa đủ cho các phân vùng. Tối thiểu 8GB cho /usr và 16GB cho /var được khuyến nghị. Bất kỳ dung lượng đĩa nào được khuyến nghị sẽ dẫn đến một số vấn đề sau này. Bạn có thể đọc Hướng dẫn phân vùng nâng cao cPanel[3] để biết thêm thông tin.
9. Vô hiệu hoá trình biên dịch hệ thống
Hầu hết người dùng không yêu cầu sử dụng trình biên dịch C và C++. Chúng tôi thực sự khuyên bạn nên tắt trình biên dịch cho tất cả người dùng không thuộc nhóm trình biên dịch trong tệp /etc/group. Nhiều khai thác được đóng gói sẵn yêu cầu trình biên dịch chức năng.
Để tắt trình biên dịch từ giao diện WHM, hãy sử dụng giao diện Truy cập trình biên dịch của WHM (Trang chủ >> Trung tâm bảo mật >> Truy cập trình biên dịch).
>>> Hướng dẫn thêm xác thực hai bước khi truy cập vào cPanel của hosting