Eiti prie turinio 
Parodysiu, kaip naudoti Prieglobos valdymo skydo saugumas WHM/cPanel ir uždaryti tipinius vartus. Daugiausia dėmesio skiriama atnaujinimams, 2FA, SSH sustiprinimui, ugniasienei, apsaugai nuo kenkėjiškų programų, atsarginėms kopijoms, TLS, protokolams, leidimams ir PHP sustiprinimui. Administratoriai.
Centriniai taškai
- Atnaujinimai Nuolat importuokite ir atnaujinkite trečiųjų šalių modulius
- 2FA užtikrinti ir taikyti stiprius slaptažodžius.
- SSH su raktais, be root prisijungimo, prievado keitimas
- Ugniasienė Griežtai sukonfigūruokite ir naudokite žurnalo perspėjimus
- Atsarginės kopijos Automatizuoti, užšifruoti, išbandyti atkūrimą
Atnaujinti: Pataisų valdymas be spragų
Laiku nepateikus Atnaujinimai kiekvienas WHM/cPanel įrenginys išlieka pažeidžiamas, nes žinomi pažeidžiamumai yra atviri. „Serverio konfigūracija > Atnaujinimo nuostatos“ aktyvuoju automatinius atnaujinimus ir kasdien tikrinu žurnalo pranešimus. Trečiųjų šalių modulius, tokius kaip PHP tvarkyklės, talpyklos ar atsarginių kopijų kūrimo įskiepiai, atnaujinu taip pat, kaip ir "Apache", "MariaDB/MySQL" ir PHP. Per techninės priežiūros langus planuoju perkrauti kompiuterį, kad branduolio ir paslaugų atnaujinimai įsigaliotų visiškai. Taip pastebimai sumažinu atakų plotą ir užkertu kelią senesnių programų panaudojimui. Versijos.
Slaptažodžių politika ir 2FA, stabdanti atakas
Bandymai brutalia jėga nepavyksta, jei turiu stiprią Slaptažodžiai ir suaktyvinkite 2FA. WHM programoje nustatau ne mažesnį kaip 80 slaptažodžių stiprumą, uždraudžiu pakartotinai naudoti slaptažodį ir nustatau 60-90 dienų keitimo intervalus. Privilegijuotoms paskyroms saugumo centre aktyvuoju daugiafaktorinį autentifikavimą ir naudoju TOTP programas. Slaptažodžių tvarkyklės palengvina ilgų, atsitiktinių slaptažodžių saugojimą. Taip užkertu kelią pažeistų prieigos duomenų naudojimui be antrojo veiksnio. Įsilaužimas švino.
Saugiai nustatykite SSH prieigą
SSH išlieka labai svarbus Kelias į sistemą, todėl vietoj slaptažodžių naudoju raktus. Pakeičiu numatytąjį 22 prievadą, kad sumažėtų trivialių nuskaitymų, ir visiškai išjungiu "PermitRootLogin". Administratoriai gauna individualias paskyras su sudo, kad galėčiau priskirti kiekvieną veiksmą. "cPHulk" arba "Fail2Ban" automatiškai apriboja pasikartojančius nesėkmingus bandymus ir blokuoja į akis krentančius IP. Be to, SSH apriboju iki tam tikrų tinklų arba VPN, taip sumažindamas Prieiga griežtai ribojamas.
Ugniasienės taisyklės, leidžiančios praleisti tik būtiniausius dalykus
Su griežtu Ugniasienė Blokuoju viską, kas nėra aiškiai autorizuota. CSF (ConfigServer Security & Firewall) arba iptables leidžia man palikti tik būtinus prievadus skydeliui, paštui ir žiniatinkliui. Į baltąjį sąrašą įtraukiu administratoriaus prieigą prie fiksuotų IP adresų ir nustatau pranešimus apie įtartinus modelius. Jei reikalingos naujos paslaugos, kiekvieną atveriamą prievadą užfiksuoju ir vėl pašalinu, kai jis tampa nebereikalingas. Naudinga Ugniasienės ir pataisų patarimai taikomos visoms panelėms, nors čia daugiausia dėmesio skiriu "cPanel", ir padeda išvengti neteisingų konfigūracijų.
Apsauga nuo kenkėjiškų programų keliais lygmenimis
Failų įkėlimai, pažeisti įskiepiai arba pasenę Skriptai infiltruoti kenkėjišką kodą, jei niekas netikrina. Kasdien ir kas savaitę planuoju patikrinimus su ClamAV, ImunifyAV arba Imunify360. Aptikimas realiuoju laiku sustabdo daugelį atakų prieš joms padarant žalą. Sistema iš karto izoliuoja radinius, o aš analizuoju priežastį, kad užkirsčiau kelią pasikartojimui. Taip pat naudoju ribojamąsias įkėlimo taisykles ir karantiną, kad būtų užtikrinta, jog dėl vieno smūgio nepasikartotų. Kaskados valią.
Atsarginių kopijų kūrimo ir atkūrimo strategijos testavimas
Atsarginės kopijos mažai naudingos, jei jų reguliariai nenaudoju. testas. WHM programoje suplanuoju kasdienes, savaitines ir mėnesines atsargines kopijas, užšifruoju archyvus ir saugau juos kitoje vietoje. Atkūrimo bandymai su atsitiktinėmis paskyromis rodo, ar duomenis, laiškus ir duomenų bazes galima atkurti švariai. Versijuotos atsarginės kopijos apsaugo nuo nepastebėtų manipuliacijų, kurios paaiškėja tik vėliau. Galite gilintis per Automatinės atsarginės kopijos, Ten pateikiu tipinius kliuvinius ir racionalius tvarkaraščius, kurie sumažina prastovas ir Išlaidos išsaugoti.
Visur įveskite TLS/SSL
Nešifruoti ryšiai yra atviras Tikslas įrašymui ir manipuliavimui. Įjungiu "AutoSSL", nustatau priverstinius HTTPS nukreipimus ir patikrinu sertifikatų galiojimą. IMAP, SMTP ir POP3 atveju naudoju tik SSL prievadus ir išjungiu paprastojo teksto autentifikavimą. Jei įmanoma, vidines paslaugas taip pat jungiu per TLS. Taip galiu gerokai sumažinti MitM riziką ir apsaugoti slaptažodžius, slapukus ir Susitikimai.
Skaitykite žurnalus ir naudokite signalus
Žurnalai pasakoja, kas nutiko Serveris iš tikrųjų vyksta. Reguliariai tikrinu /usr/local/cpanel/logs/access_log, /var/log/secure ir pašto žurnalus, ar juose nėra anomalijų. Tokie įrankiai kaip "Logwatch" ar "GoAccess" leidžia greitai apžvelgti tendencijas ir pikus. Jei pasikartoja bandymai prisijungti, daug 404 klaidų arba staiga padidėja išteklių kiekis, įjungiu pavojaus signalus. Ankstyvas aptikimas sutaupo laiko, užkerta kelią didesniems nuostoliams ir padeda greičiau Priemonės.
Teisių paskirstymas pagal mažiausią privilegiją
Kiekvienas naudotojas gauna tik Teisės, kurie yra būtinai reikalingi. WHM sistemoje apriboju perpardavėjus, naudoju funkcijų sąrašus, kad galėčiau atlikti detalius patvirtinimus, ir deaktyvuoju rizikingus įrankius. Nuolat šalinu našlaičių paskyras, nes nenaudojamos prieigos dažnai pamirštamos. Nustatau ribotas failų teises ir neskelbtinus failus laikau už žiniatinklio šaknies ribų. Jei norite gilintis į vaidmenų modelius, daugiau informacijos galite rasti temose Naudotojo vaidmenys ir teisės naudingi modeliai, kuriuos perkeliu 1:1 į "cPanel" sąvokas ir taip žymiai sumažinu klaidų skaičių. mažesnis.
PHP ir žiniatinklio serverio stiprinimas be balasto
Daugelis išpuolių yra nukreipti į perdėtą Funkcijos PHP ir žiniatinklio serveryje. Išjungiu exec(), shell_exec(), passthru() ir panašias funkcijas, nustatau open_basedir ir išjungiu allow_url_fopen ir allow_url_include. ModSecurity su atitinkamomis taisyklėmis filtruoja įtartinas užklausas prieš joms pasiekiant programas. Naudoju "MultiPHP INI Editor", kad galėčiau kontroliuoti kiekvieno vHost reikšmes ir švariai uždaryti išimtis. Kuo mažesnis atakos paviršius yra aktyvus, tuo sunkiau Panaudojimas.
Tvarkymasis: pašalinkite nereikalingus daiktus
Nenaudojami įskiepiai, temos ir Moduliai atverti galimybes užpuolikams. Reguliariai tikrinu, kas įdiegta, ir pašalinu viską, kas neatlieka aiškios paskirties. Taip pat pašalinu senas PHP versijas ir įrankius, kurių nebereikia. Kiekvienas sumažinimas padeda sutaupyti techninės priežiūros lėšų, mažina riziką ir palengvina auditą. Taip sistema išlieka taupi ir geresnė valdomas.
Administratorių ir naudotojų mokymas ir informavimas
Technologijos apsaugo tik tada, kai žmonės traukti kartu. Informuoju naudotojus apie sukčiavimą, paaiškinu 2FA ir rodau saugaus slaptažodžio taisykles. Mokau administratorių komandas SSH politikos, prisijungimo modelių ir avarinių procedūrų. Pasikartojantys trumpi mokymai veikia geriau nei reti maratoniniai užsiėmimai. Aiškios instrukcijos, kontroliniai sąrašai ir pavyzdžiai iš kasdienio gyvenimo didina pritarimą ir mažina Klaida.
Teikėjo palyginimas: saugumo funkcijos
Kiekvienas, kuris perka prieglobą, turėtų Kriterijai pvz., skydelio sutvirtinimas, atsarginių kopijų kūrimo paslaugos ir palaikymo laikas. Toliau pateiktoje lentelėje pateikiamas apibendrintas įprastų paslaugų teikėjų vertinimas. Vertinu skydo apsaugą, ugniasienę ir atsarginių kopijų darymo pasiūlymus, taip pat palaikymo kokybę. Nuo šių veiksnių priklauso, kaip greitai bus atremta ataka ir atkurta sistema. Geras pasirinkimas sumažina darbo krūvį ir padidina Prieinamumas.
| Vieta | Teikėjas | Skydo apsauga | Ugniasienė / atsarginė kopija | Naudotojo palaikymas |
|---|---|---|---|---|
| 1 | webhoster.de | Išskirtinis | Labai gerai | Puikus |
| 2 | Contabo | Geras | Geras | Geras |
| 3 | "Bluehost" | Geras | Geras | Geras |
Izoliacija ir išteklių apribojimai: žalos ribojimas
Daugelis incidentų padažnėja, nes viena pažeista paskyra paveikia visą sistemą. Nuosekliai atskiriu paskyras: PHP-FPM kiekvienam naudotojui, atskiri naudotojai ir grupės, suEXEC/FCGI, o ne globalūs interpretatoriai. Naudodamas LVE/CageFS (palaikomą įprastų "cPanel" stekų), užrakinu naudotojus jų pačių aplinkoje ir nustatau CPU, RAM, IO ir procesų ribas. Tokiu būdu ribojimas neleidžia vienai paskyrai sukelti DoS prieš kaimynus. Taip pat įjungiu kiekvieno MPM/darbuotojo derinimą ir apriboju vienu metu vykstančius prisijungimus, kad būtų galima kontroliuoti pikus.
Sistemos ir failų sistemos sustiprinimas
Laikinuosius katalogus, tokius kaip /tmp, /var/tmp ir /dev/shm, prijungiu naudodamas noexec,nodev,nosuid, neleisti vykdyti dvejetainių failų. Kad taisyklės būtų taikomos nuosekliai, /var/tmp susieju su /tmp. Pasaulyje rašomiems katalogams suteikiamas "sticky bit". Neįdiegiu kompiliatorių ir kūrimo įrankių globaliai ir neuždraudžiu naudotojams prieigos. Be to, branduoliui suteikiu griežtesnius sysctl parametrus (pvz., IP persiuntimas išjungtas, ICMP nukreipimai išjungti, SYN slapukai įjungti) ir nuolat išjungiu nereikalingas paslaugas per systemctl. Švarus bazinis scenarijus neleidžia pasireikšti trivialiems išnaudojimams.
TLS ir protokolo derinimas
Apriboju protokolus iki TLS 1.2/1.3, išjungiu nesaugius šifrus ir įjungiu OCSP susegimą. HSTS primeta HTTPS visoje naršyklėje, todėl sunkiau vykdyti žemesnio lygio atakas. Nustatau identišką šifravimo politiką „Exim“, "Dovecot" ir "cPanel" paslaugoms, kad nebūtų silpnų nukrypimų. Lange WHM > Tweak Settings visiems prisijungimams užtikrinu "Require SSL" (reikalauti SSL) ir, kur įmanoma, išjungiu nešifruotus prievadus. Taip palaikomas nuosekliai stiprus transporto lygis.
Saugumo antraštė ir programėlių apsauga
Be "ModSecurity", naudoju tokias saugumo antraštes kaip "Content-Security-Policy" (CSP), "X-Frame-Options", "X-Content-Type-Options" ir "Referrer-Policy". Numatytuosius nustatymus saugau visuotinai ir juos perrašau tik patikrintoms išimtims kiekviename vHost'e. Greičio ribojimas (pvz., mod_evasive arba NGINX atitikmenys atvirkštinio tarpinio serverio konfigūracijose) sulėtina duomenų iškraipymą ir nuskaitymą. Svarbu: reguliariai testuokite WAF taisykles ir mažinkite klaidingų pavojaus signalų skaičių, kitaip komandos apeis apsaugos mechanizmus. Apsauga veiksminga tik tada, kai ji yra priimtina ir stabili.
El. pašto saugumas: SPF, DKIM, DMARC ir išeinančių laiškų kontrolė
Piktnaudžiavimas siunčiamaisiais laiškais kenkia reputacijai ir IP adresų sąrašams. Laiškus pasirašau DKIM, skelbiu tikslius SPF įrašus ir nustatau DMARC politiką, kuri palaipsniui keičiasi nuo jokios iki karantino ir (arba) atmetimo. "Exim" programoje riboju gavėjų skaičių per valandą ir pranešimų skaičių per laiko langą viename domene, įjungiu autorizavimo greičio apribojimus ir blokuoju paskyras dėl nepageidaujamo elgesio. RBL patikrinimai ir HELO/atvirkštinio DNS nuoseklumas neleidžia pačiam serveriui tapti nepageidaujamų laiškų gaudykle. Taip išlaikoma stabili pristatymo ir siuntėjo reputacija.
Saugios duomenų bazės
"MariaDB/MySQL" sustiprinu pašalindamas anoniminius naudotojus ir bandomąsias duomenų bazes, uždrausdamas nuotolinį "root" ir apribodamas "root" autentifikavimą lizdu. Nustatau smulkesnes autorizuotas taikomųjų programų naudotojų paskyras kiekvienai programai ir aplinkai (tik būtinos CRUD operacijos). Jei reikia, prisijungimai iš išorinių kompiuterių vykdomi per TLS, sertifikatai keičiami. Reguliarios ANALYZE/OPTIMIZE užduotys ir žurnalo stebėjimas (lėtų užklausų žurnalas) padeda atskirti našumo svyravimus nuo atakų.
API, žetonų ir nuotolinės prieigos politika
"cPanel/WHM" siūlo API žetonus su autorizacijos profiliais. Aš priskiriu tik minimalios apimties žetonus, nustatau trumpą jų galiojimo laiką, reguliariai juos keičiu ir registruoju kiekvieną naudojimą. Išorinis automatizavimas (pvz., aprūpinimas) vykdomas per specialias paslaugų paskyras, o ne per administratoriaus naudotojus. Programoje "Tweak Settings" įjungiu IP patvirtinimą sesijoms, nustatau trumpą sesijos laiką ir užtikrinu saugių slapukų naudojimą. Išorinei prieigai: pirmiausia VPN, paskui skydelis.
Stebėsena, metrika ir anomalijų aptikimas
Be žurnalų, žiūriu į metrikas: CPU vagystę, IO laukimą, konteksto perjungimus, TCP būsenas, prisijungimų dažnį, pašto eiles, 5xx akcijas ir WAF paspaudimus. Nustatau ribines vertes kiekvienam paros laikui, kad naktinės atsarginės kopijos nesukeltų klaidingų pavojaus signalų. Nuolat matuoju RPO/RTO, registruodamas atkūrimo trukmę ir duomenų būseną. Stebiu išeinančio srauto (pašto, HTTP) šuolius - dažnai tai būna pirmasis pažeistų scenarijų požymis. Dėl gerų rodiklių saugumas tampa matomas ir planuojamas.
vientisumo patikros ir auditas
Naudoju AIDE ar panašias priemones, kad įrašyčiau švarų bazinį scenarijų ir reguliariai tikrintų sistemos failus, dvejetainius failus ir kritines konfigūracijas, kad būtų atlikti pakeitimai. auditd reguliuoja, kuriuos syscalls sekti (pvz., setuid/setgid, prieiga prie šešėlio, sudoers pakeitimai). Kartu su žurnalų siuntimu gaunu patikimą kriminalistinį pėdsaką, jei kas nors atsitinka. Tikslas - ne registruoti viską, bet atpažinti svarbius saugumui svarbius įvykius ir juos archyvuoti patikimu auditui būdu.
Konfigūracijos valdymas ir nuokrypių kontrolė
Rankiniai pakeitimai yra dažniausias klaidų šaltinis. Sistemos ir skydelio nustatymus įrašau kaip kodą ir taikau juos pakartotinai. Naujų mazgų auksiniai atvaizdai, aiškūs atnaujinimų grojaraščiai ir dvejopas kritinių pakeitimų kontrolės principas užkerta kelią nukrypimams. Pakeitimus dokumentuosiu pakeitimų bilietais, įskaitant atšaukimo kelią. Jei dirbate atkuriamai, galite apskaičiuoti riziką ir greičiau reaguoti avariniu atveju.
"Cron" ir užduočių higiena
Centralizuotai tikrinu cronjobs: Tik būtinos užduotys, kuo trumpesnis vykdymo laikas, švarūs žurnalai. cron.allow/deny riboja, kas gali kurti cron užduotis. Atidžiai stebiu naujas cron užduotis iš klientų atsarginių kopijų. Netikėtas arba užšifruotas komandas interpretuoju kaip pavojaus ženklą. Šiuo atveju taip pat geriau turėti keletą gerai dokumentuotų užduočių, o ne painią mišrainę.
Avarijų planas, pratybos ir pakartotinis paleidimas
Incidentų valdymo instrukcija su aiškiais veiksmais leidžia sutaupyti kelias minutes, o tai gali būti skirtumas tarp nesėkmės ir prieinamumo. Apibrėžiu ataskaitų teikimo būdus, izoliavimo etapus (tinklas, paskyros, paslaugos), ryšių kanalų prioritetus ir sprendimų priėmimo įgaliojimus. Paleidimo testai (stalo ir realaus atkūrimo pratybos) parodo, ar RTO/RPO yra realūs. Po kiekvieno incidento atliekama švari pomirtinė analizė su priemonių sąrašu, kurį nuosekliai tobulinu.
Trumpas balansas
Nuosekliai Žingsniai Aš pastebimai plečiu WHM/cPanel saugumą: Atnaujinimai, 2FA, SSH sustiprinimas, griežtos ugniasienės, kenkėjiškų programų kontrolė, išbandytos atsarginės kopijos, TLS, žurnalų analizė, minimalūs leidimai ir taupi PHP. Kiekviena priemonė mažina riziką ir leidžia valdyti incidentus. Įgyvendinkite punktus nedideliais etapais, dokumentuokite pakeitimus ir palaikykite fiksuotą priežiūros tvarką. Tai užtikrins jūsų skydo atsparumą ir leis jums struktūriškai reaguoti kilus kritinei situacijai. Laikydamiesi nuolatinės priežiūros sumažinsite prastovų laiką, apsaugosite duomenis ir išvengsite brangiai kainuojančių prastovų. Pasekmės.
