Plesk pakub võimalust veebirakenduste tulemüüri (plesk modsecurity) seadistamiseks administreerimise menüüs.
Mis on modsecurity?
Plesk Modsecurity on veebirakendus Tulemüür, st tulemüür, mis blokeerib juurdepääsu veebirakendustele, nagu näiteks sisuhaldussüsteemid (wordpress, joomlajne) või muud rakendused ja takistab teadaolevaid rünnakuid.
Modsecurity eelis on võimalus analüüsida kõigepealt juurdepääsu ja vastavalt sellele määratleda, millised juurdepääsud on seaduslikud ja millised tuleb otseselt tagasi lükata.
Loomulikult on võimatu kõike ise seadistada, kuid on teenusepakkujaid, kes pakuvad valmis reegleid, millest osa on reaalajas, ja saavad seega otseselt reageerida jooksvatele ohtudele.
Näiteks kui mingi konkreetse sisuhaldussüsteemi vastu on toimunud uus rünnak, siis uuendavad need teenusepakkujad oma reegleid ja modsecurity saab seejärel need ligipääsud enne nakatumist blokeerida.
Pleski kasutajate jaoks on see hea programm, mida kasutada, et peatada enamik teadaolevaid rünnakuid teie rakenduse vastu.
Koos tulemüüriga, mis seejärel filtreerib ja blokeerib IP-aadressid, saate siin oma serveri hästi turvata.
Välislahendused
Väline tulemüür, näiteks Cloudflare WAF töötab sarnaselt osaliselt samade reeglitega, kuid pakub võimalust tõrjuda rünnakuid enne nende jõudmist serverisse. Optimaalne kaitse oleks seega Cloudflare'i veebirakenduse tulemüür või Imperva/Incapsula ja seejärel kasutage serveris ainult spetsiaalseid reegleid. See säästab töötlemisvõimsust ja kiirendab seeläbi oluliselt lehte.
Te võite muidugi ka modsecurity't seadistada pöördproxy'ks ja seega kasutada kõiki teisi veebiservereid peale Apache'i.
Kuidas paigaldada Plesk modsecurity?
Administraatorina klõpsake lihtsalt seadistustel ja valige seal veebirakenduste tulemüür (modsecurity).
Pleski menüüs saate valida teenusepakkuja, mille reegleid soovite kasutada. OWASP või Atomic Basic reeglid on tasuta. Nende puuduseks on aga see, et neid uuendatakse harva, või OWASPi puhul on reeglid liiga tugevad, nii et näiteks wordpressiga on probleeme, mida siis tuleb kõigepealt välja võtta.
Siin on veel odav comodo reeglid pakuvad head kaitset kõigi ohtude vastu. Siiski tuleb ka litsentsi alati ajakohastada.
Kes on liiga laisk, võib seetõttu ka lihtsalt kasutada Atomic tellimus reeglid, mis pakuvad live kaitse. Siinkohal tuleb siiski märkida, et ka see ei ole päris tõsi, sest veebiserver tuleb uuesti laadida ja siis tekib taas 502 bad gateway probleem.
Praktiline on Atomic Professional kaitse, mis on saadaval koos Cloudflare paketiga. Siin saate hõlpsasti võtta veebirakenduste tulemüüri Pleskist ja lülitada kõik oma domeenid Cloudflare'ile kui täiendavale kaitsemehhanismile.
Probleem on selles, et saate kaitsta ainult alamdomeene, seega peaks teie sait olema kättesaadav ainult aadressil www.ihrefirma.de, mitte aga aadressil yourcompany.com. Alternatiivina saate Cloudflare'i partnerina kasutada ka Cloudflare'i nimeservereid ja seega pakkuda täielikku kaitset.
Kuna Pleski ja lisade litsentsihindu tõstetakse ikka ja jälle mõõtmatult, tuleks teenusepakkujana mõelda ehk ka välise litsentseerimise peale.
On huvitavaid lahendusi otse atomicorpist või teine võimalus lubada mod_security serveris või isegi kasutada otse välist kaitset nagu Cloudflare.
Hea asendus Pleskile, sest kõigi pluginate ebaselge privaatsusprobleemide tõttu oleks saksa tootja populaarne admin-paneel "Liveconfig".
ModSecurity toega Plesk laiendused
Pleskile on olemas mõned laiendused, millega saate serverit turvata. Need sisaldavad ka modsecurity reegleid, et kaitsta teadaolevate rünnakumustrite eest.
Imunify360
Lisaks oma operatsioonisüsteemile pakub Cloudlinux ka turvalahendust Imunify360. See pakub väga laia valikut funktsioone kõigi serveri turvaalade jaoks. Tulemüür jälgib protokolle ja vajadusel blokeerib IP-aadressid, mis näiteks ühenduvad liiga sageli valede sisselogimisandmetega, on blokeerimisnimekirjas või soovivad juurdepääsu tuntud ründemustritega. Võib ka lihtsalt aktiveerida DoS-kaitse ja skaneerida kõik failid teadaoleva pahavara suhtes ning neid ka osaliselt puhastada. Lisaks on olemas ka nn KernelCare funktsioon, mis uuendab automaatselt Linuxi tuuma ilma süsteemi taaskäivitamiseta. Laienduse saab otse Cloudlinuxist ja see maksab rohkem kui Plesk ise.
