Pāriet uz saturu 
Es jums parādīšu, kā izmantot Hostinga vadības paneļa drošība WHM/cPanel un aizveriet tipiskus vārtejas. Galvenā uzmanība pievērsta atjauninājumiem, 2FA, SSH nostiprināšanai, ugunsmūrim, aizsardzībai pret ļaunprātīgu programmatūru, dublējumiem, TLS, protokoliem, atļaujām un PHP nostiprināšanai - izskaidrots praktiski un tieši īstenojams. Administratori.
Centrālie punkti
- Atjauninājumi Pastāvīgi importējiet un atjauniniet trešo pušu moduļus.
- 2FA ieviest un īstenot drošas paroles.
- SSH ar atslēgām, bez root pieteikšanās, ostas maiņa
- Ugunsmūris Stingri konfigurēt un izmantot žurnāla brīdinājumus
- Rezerves kopijas Automatizēt, šifrēt, testēt atgūšanu
Atjaunināt: Patch pārvaldība bez nepilnībām
Bez savlaicīgas Atjauninājumi katra WHM/cPanel instalācija joprojām ir neaizsargāta, jo zināmās ievainojamības ir atklātas. Es aktivizēju automātiskos atjauninājumus sadaļā „Servera konfigurācija > Atjaunināšanas preferences“ un katru dienu pārbaudu žurnāla ziņojumus. Trešo pušu moduļus, piemēram, PHP apstrādātājus, kešatmiņas vai dublēšanas spraudņus, es uzturu tikpat atjauninātus kā Apache, MariaDB/MySQL un PHP. Uzturēšanas logu laikā plānoju pārstartēšanu, lai kodola un pakalpojumu atjauninājumi stātos spēkā pilnībā. Tādējādi es ievērojami samazinu uzbrukuma virsmu un novēršu vecāku programmatūras versiju izmantošanu. Versijas.
Paroļu politika un 2FA, kas novērš uzbrukumus
Brute force mēģinājumi neizdodas, ja man ir spēcīga Paroles un aktivizējiet 2FA. WHM es iestatīju paroles stiprumu vismaz 80, aizliedzu atkārtotu izmantošanu un definēju maiņas intervālus no 60 līdz 90 dienām. Attiecībā uz priviliģētiem kontiem drošības centrā aktivizēju daudzfaktoru autentifikāciju un izmantoju TOTP lietotnes. Paroļu pārvaldnieki atvieglo garu, nejauši atlasītu paroļu saglabāšanu. Šādā veidā es novēršu kompromitētu piekļuves datu izmantošanu bez otrā faktora. Zādzības ar ielaušanos svina.
Droša SSH piekļuves iestatīšana
SSH joprojām ir ļoti svarīgs Ceļš sistēmā, tāpēc paroles vietā izmantoju atslēgas. Es mainīju noklusējuma 22. portu, lai samazinātu triviālu skenēšanu, un pilnībā deaktivizēju PermitRootLogin. Administratoriem tiek piešķirti individuāli konti ar sudo, lai es varētu piešķirt katru darbību. cPHulk vai Fail2Ban automātiski ierobežo atkārtotus neveiksmīgus mēģinājumus un bloķē pamanāmus IP. Turklāt es ierobežoju SSH tikai līdz noteiktiem tīkliem vai VPN, kas līdz minimumam samazina SSH. Piekļuve stingri ierobežots.
Ugunsmūra noteikumi, kas atļauj tikai minimālo.
Ar stingru Ugunsmūris Es bloķēju visu, kas nav skaidri autorizēts. CSF (ConfigServer Security & Firewall) vai iptables ļauj man atstāt atvērtus tikai nepieciešamos portus panelim, pastam un tīmeklim. Es izveidoju balto sarakstu ar administratora piekļuvi fiksētiem IP un iestatu paziņojumus par aizdomīgiem modeļiem. Ja ir nepieciešami jauni pakalpojumi, es dokumentēju katru atvērto portu un atkal to noņemu, kad tas ir novecojis. Noderīgi Ugunsmūra un ielāpu padomi attiecas uz visiem paneļiem, pat ja es šeit koncentrējos uz cPanel, un palīdz izvairīties no nepareizas konfigurācijas.
Aizsardzība pret ļaunprātīgu programmatūru vairākos līmeņos
Failu augšupielādes, apdraudēti spraudņi vai novecojuši Skripti iefiltrēt ļaunprātīgu kodu, ja neviens to nepārbauda. Es plānoju ikdienas un iknedēļas skenēšanu ar ClamAV, ImunifyAV vai Imunify360. Reāllaika atklāšana aptur daudzus uzbrukumus, pirms tie nodara kaitējumu. Sistēma nekavējoties izolē konstatējumus, un es analizēju cēloni, lai novērstu atkārtošanos. Es arī izmantoju ierobežojošus augšupielādes noteikumus un karantīnu, lai nodrošinātu, ka viens uzbrukums neizraisa atkārtošanos. Kaskādes vēlēšanās.
Rezerves kopēšanas stratēģijas testēšana un atjaunošana
Rezerves kopijām ir maza nozīme, ja es tās regulāri neizmantoju. tests. WHM es plānoju ikdienas, iknedēļas un ikmēneša dublējumu veidošanu, šifrēju arhīvus un glabāju tos ārpus vietnes. Atjaunošanas testi ar izlases kontiem parāda, vai datus, e-pastu un datubāzes var atjaunot tīri. Versiju dublējumi pasargā no nepamanītām manipulācijām, kas atklājas tikai vēlāk. Jūs varat iedziļināties dziļāk, izmantojot Automatizēti dublējumi, Tur es parādīšu tipiskus šķēršļus un saprātīgus grafikus, kas samazina dīkstāves laiku un... Izmaksas ietaupīt.
TLS/SSL ieviešana visur
Nešifrēti savienojumi ir atvērts Vārti ierakstīšanai un manipulācijām. Es aktivizēju AutoSSL, iestatīju piespiedu HTTPS novirzīšanu un pārbaudīju sertifikātu derīgumu. IMAP, SMTP un POP3 izmantoju tikai SSL portus un deaktivizēju teksta autentifikāciju. Ja iespējams, arī iekšējos pakalpojumus savienoju, izmantojot TLS. Tas ļauj ievērojami samazināt MitM riskus un aizsargāt paroles, sīkfailus un sīkfailus. Sanāksmes.
Lasiet žurnālus un izmantojiet trauksmes signālus
Žurnāli man pastāstīt, kas notika uz Serveris patiešām notiek. Es regulāri pārbaudu /usr/local/cpanel/logs/access_log, /var/log/secure un pasta žurnālus, lai konstatētu anomālijas. Tādi rīki kā Logwatch vai GoAccess ļauj ātri pārskatīt tendences un maksimumus. Atkārtotu pieteikšanās mēģinājumu, daudzu 404 kļūdu vai pēkšņu resursu maksimumu gadījumā es aktivizēju trauksmes signālus. Agrīna atklāšana ietaupa laiku, novērš lielus zaudējumus un ļauj ātrāk Pasākumi.
Tiesību piešķiršana saskaņā ar mazāko privilēģiju principu
Katrs lietotājs saņem tikai Tiesības, kas ir absolūti nepieciešami. WHM es ierobežoju tālākpārdevējus, izmantoju funkciju sarakstus, lai veiktu detalizētus apstiprinājumus, un deaktivizēju riskantus rīkus. Es konsekventi dzēšu bezsaimnieka kontus, jo neizmantotās piekļuves bieži tiek aizmirstas. Es ierobežoti iestatu failu atļaujas un sensitīvus failus glabāju ārpus webroot. Ja vēlaties padziļināti izpētīt lomu modeļus, varat atrast vairāk informācijas tēmās par Lietotāju lomas un tiesības noderīgi modeļi, ko es nododu 1:1 uz cPanel jēdzieniem un tādējādi ievērojami samazināt kļūdu skaitu. apakšējā.
PHP un tīmekļa servera nostiprināšana bez balasta
Daudzi uzbrukumi ir vērsti uz pārspīlētiem Funkcijas PHP un tīmekļa serverī. Es deaktivizēju exec(), shell_exec(), passthru() un līdzīgas funkcijas, iestatīju open_basedir un izslēdzu allow_url_fopen un allow_url_include. ModSecurity ar piemērotiem noteikumiem filtrē aizdomīgus pieprasījumus, pirms tie sasniedz lietojumprogrammas. Es izmantoju MultiPHP INI redaktoru, lai kontrolētu vērtības katram vHost, lai tīri iekapsulētu izņēmumus. Jo mazāka uzbrukuma virsma ir aktīva, jo grūtāk ir Izmantošana.
Kārtība: izņemiet nevajadzīgos priekšmetus
Neizmantotie spraudņi, tēmas un Moduļi paver iespējas uzbrucējiem. Es regulāri pārbaudu, kas ir instalēts, un dzēšu visu, kas neatbilst skaidram mērķim. Es arī atinstalēju vecās PHP versijas un rīkus, kas vairs nav vajadzīgi. Katrs samazinājums ietaupa uzturēšanu, samazina riskus un atvieglo revīziju veikšanu. Tādējādi sistēma ir vienkāršāka un labāka. kontrolējams.
Administratoru un lietotāju apmācība un informētība
Tehnoloģija aizsargā tikai tad, ja cilvēki velciet līdzi. Izglītoju lietotājus par pikšķerēšanu, izskaidroju 2FA un parādīju drošas paroles noteikumus. Apmācu administratoru komandas par SSH politikām, žurnālu paraugiem un ārkārtas procedūrām. Atkārtotas īsas apmācības sesijas darbojas labāk nekā retas maratona sesijas. Skaidri norādījumi, kontrolsaraksti un piemēri no ikdienas dzīves palielina pieņemšanu un samazina Kļūda.
Nodrošinātāju salīdzinājums: drošības funkcijas
Ikvienam, kas pērk hostingu, vajadzētu Kritēriji piemēram, paneļu nostiprināšana, dublēšanas pakalpojumi un atbalsta laiks. Turpmākajā tabulā sniegts apkopots izplatītāko pakalpojumu sniedzēju novērtējums. Es novērtēju paneļa aizsardzību, ugunsmūri un dublējumu piedāvājumu, kā arī atbalsta kvalitāti. Šie faktori nosaka, cik ātri tiek novērsts uzbrukums un atjaunota sistēma. Laba izvēle samazina darba slodzi un palielina datu drošību. Pieejamība.
| Izvietošana | Nodrošinātājs | Paneļu aizsardzība | Ugunsmūris / dublēšana | Lietotāju atbalsts |
|---|---|---|---|---|
| 1 | webhoster.de | Izcils | Ļoti labi | Lielisks |
| 2 | Contabo | Labi | Labi | Labi |
| 3 | Bluehost | Labi | Labi | Labi |
Izolācija un resursu ierobežojumi: kaitējuma ierobežošana
Daudzi incidenti saasinās, jo viens kompromitēts konts ietekmē visu sistēmu. Es konsekventi izolēju kontus: PHP-FPM katram lietotājam, atsevišķi lietotāji un grupas, suEXEC/FCGI globālo tulku vietā. Izmantojot LVE/CageFS (ko atbalsta parastie cPanel stacks), es bloķēju lietotājus viņu pašu vidē un nosaku ierobežojumus CPU, RAM, IO un procesiem. Šādā veidā ierobežošana neļauj vienam kontam izraisīt DoS pret kaimiņiem. Es arī aktivizēju katra MPM/darbinieka regulēšanu un ierobežoju vienlaicīgus savienojumus, lai maksimālās slodzes paliktu kontrolējamas.
Sistēmas un failu sistēmas nostiprināšana
Es pievienoju pagaidu direktorijus, piemēram, /tmp, /var/tmp un /dev/shm, izmantojot noexec,nodev,nosuid, lai novērstu bināro failu izpildi. Es sasaistīju /var/tmp ar /tmp, lai noteikumi tiktu piemēroti konsekventi. Pasaulē rakstāmiem direktorijiem tiek piešķirts lipīgs bits. Es globāli neinstalēju kompilatorus un kompilēšanas rīkus un nenoliedzu lietotājiem piekļuvi. Turklāt es pastiprinu kodolu ar sysctl parametriem (piemēram, IP pārsūtīšana izslēgta, ICMP pāradresācijas izslēgtas, SYN sīkfaili ieslēgti) un pastāvīgi deaktivizēju nevajadzīgus pakalpojumus, izmantojot systemctl. Tīrs bāzes scenārijs novērš triviālu ekspluatāciju.
TLS un protokola precizēšana
Es ierobežoju protokolus līdz TLS 1.2/1.3, atspējos nedrošus šifrus un iespējoju OCSP saspraušanu. HSTS ievieš HTTPS visā pārlūkprogrammā, kas apgrūtina pazemināšanas uzbrukumus. Exim, Dovecot un cPanel pakalpojumiem iestatīju identiskas šifrēšanas politikas, lai nebūtu vāju noviržu. WHM > Tweak Settings es ieviešu „Require SSL“ (pieprasīt SSL) visiem pieteikumiem un, ja iespējams, deaktivizēju nešifrētos portus. Tādējādi transporta līmenis tiek uzturēts nemainīgi spēcīgs.
Drošības galvene un lietotņu aizsardzība
Papildus ModSecurity es izmantoju tādas drošības galvenes kā Content-Security-Policy (CSP), X-Frame-Options, X-Content-Type-Options un Referrer-Policy. Es globāli saglabāju noklusējuma iestatījumus un pārrakstu tos tikai pārbaudīto izņēmumu gadījumā katram vHost. Ātruma ierobežošana (piemēram, mod_evasive vai NGINX ekvivalenti reversā starpniekservera iestatījumos) palēnina akreditācijas datu iepakošanu un nolasīšanu. Svarīgi: regulāri testējiet WAF noteikumus un samaziniet viltus trauksmes gadījumu skaitu, pretējā gadījumā komandas apiet aizsardzības mehānismus. Aizsardzība ir efektīva tikai tad, ja tā ir pieņemta un stabila.
E-pasta drošība: SPF, DKIM, DMARC un izejošās kontroles
Ļaunprātīga izmantošana, izmantojot izejošos e-pastus, kaitē reputācijai un IP sarakstiem. Es parakstu e-pasta vēstules ar DKIM, publicēju precīzus SPF ierakstus un iestatīju DMARC politiku, kas pakāpeniski mainās no "nav" līdz "karantīnai/noraidīšanai". Exim programmā es ierobežoju saņēmējus stundā un ziņojumus laika logā katrā domēnā, aktivizēju autentificēšanas ātruma ierobežojumus un bloķēju kontus par surogātpasta uzvedību. RBL pārbaudes un HELO/atgriezeniskā DNS konsekvence neļauj serverim pašam kļūt par surogātpasta lamatām. Tas nodrošina piegādes un sūtītāja reputācijas stabilitāti.
Drošas datubāzes
Es nostiprināju MariaDB/MySQL, likvidējot anonīmus lietotājus un testa datubāzes, aizliedzot attālo root un ierobežojot root autentifikāciju tikai ar ligzdu. Katrai lietojumprogrammai un videi iestatīju detalizētākus lietojumprogrammu lietotāju autorizētos kontus (tikai nepieciešamās CRUD operācijas). Savienojumi no ārējiem hostiem vajadzības gadījumā notiek, izmantojot TLS, sertifikāti tiek mainīti. Regulāri ANALYZE/OPTIMIZE uzdevumi un žurnālu uzraudzība (lēno pieprasījumu žurnāls) palīdz atšķirt veiktspējas svārstības no uzbrukumiem.
API, žetonu un attālās piekļuves politikas
cPanel/WHM piedāvā API žetonus ar autorizācijas profiliem. Es piešķiru žetonus tikai ar minimālu darbības jomu, nosaku īsus darbības termiņus, regulāri tos mainu un reģistrēju katru to izmantošanu. Ārējā automatizācija (piemēram, nodrošināšana) notiek, izmantojot īpašus pakalpojumu kontus, nevis administratoru lietotājus. Tweak iestatījumos aktivizēju IP validāciju sesijām, iestatu īsus sesijas laika ierobežojumus un ieviešu drošus sīkfailus. Ārējai piekļuvei: vispirms VPN, pēc tam panelis.
Uzraudzība, metrikas un anomāliju atklāšana
Papildus žurnāliem es aplūkoju metriku: CPU zādzību, IO gaidīšanu, konteksta pārslēgumus, TCP stāvokļus, savienojumu ātrumu, pasta rindas, 5xx akcijas un WAF trāpījumus. Es definēju robežvērtības katram diennakts laikam, lai nakts dublējumi neradītu viltus trauksmes signālus. Es nepārtraukti mēra RPO/RTO, reģistrējot atjaunošanas ilgumu un datu statusu. Uzraugu izejošo datplūsmu (pasts, HTTP), lai konstatētu lēcienus, kas bieži vien ir pirmā kompromitētu skriptu pazīme. Labas metrikas padara drošību redzamu un plānojamu.
Integritātes pārbaudes un revīzija
Es izmantoju AIDE vai līdzīgus rīkus, lai ierakstītu tīru bāzes līniju un regulāri pārbaudītu sistēmas failus, bināros failus un kritiskās konfigurācijas, lai konstatētu izmaiņas. auditd regulē, kurus syscalls es sekoju (piemēram, setuid/setgid, piekļuve ēnai, sudoers izmaiņas). Kombinācijā ar žurnālu nosūtīšanu, ja kaut kas notiek, es iegūstu uzticamu kriminālistikas izsekojumu. Mērķis nav reģistrēt visu, bet gan atpazīt attiecīgos drošībai būtiskos notikumus un arhivēt tos auditējamā veidā.
Konfigurācijas pārvaldība un noviržu kontrole
Visbiežākais kļūdu avots ir manuālas izmaiņas. Es ierakstu sistēmas un paneļa iestatījumus kā kodu un piemēroju tos reproducējami. Zelta attēli jauniem mezgliem, skaidras atskaņošanas grāmatas atjauninājumiem un dubultas kontroles princips kritiskām izmaiņām novērš novirzes. Es dokumentēju izmaiņas ar izmaiņu biļetēm, tostarp atgriešanas ceļu. Ja strādājat reproducējami, varat aprēķināt riskus un ātrāk reaģēt ārkārtas situācijās.
Cron un uzdevumu higiēna
Es pārbaudu cronjobs centralizēti: Tikai nepieciešamie uzdevumi, pēc iespējas īsāks izpildes laiks, tīri žurnāli. cron.allow/deny ierobežo to, kas var izveidot cron uzdevumus. Es rūpīgi pārbaudu jaunus cron uzdevumus no klientu dublējumiem. Es interpretēju negaidītas vai neskaidras komandas kā trauksmes signālu. Arī šajā gadījumā ir labāk, ja ir dažas labi dokumentētas darbvietas, nevis juceklīgs sajaukums.
Ārkārtas situāciju plāns, mācības un atkārtota palaišana
Avārijas gadījumā, ja ir izstrādāts incidentu ceļvedis ar skaidriem soļiem, var ietaupīt minūtes, kas var būt atšķirība starp neveiksmi un pieejamību. Es definēju ziņošanas ceļus, izolācijas soļus (tīkls, konti, pakalpojumi), saziņas kanālu prioritātes un lēmumu pieņemšanas pilnvaras. Restartēšanas testi (galda un reālas atjaunošanas mācības) parāda, vai RTO/RPO ir reālistiski. Pēc katra incidenta tiek veikta tīra pēcnāves analīze ar pasākumu sarakstu, ko es konsekventi veicu.
Īsa bilance
Ar konsekventu Soļi Es esmu izmērāmi paplašinot WHM/cPanel drošību: Atjauninājumi, 2FA, SSH nostiprināšana, stingras ugunsmūri, ļaunprātīgas programmatūras kontrole, pārbaudītas rezerves kopijas, TLS, žurnālu analīze, minimālas atļaujas un vienkāršota PHP. Katrs pasākums samazina riskus un padara incidentus pārvaldāmus. Īsteno šos punktus nelielos posmos, dokumentē izmaiņas un uztur pastāvīgu uzturēšanas kārtību. Tas nodrošinās jūsu paneļa elastību un ļaus jums strukturēti reaģēt ārkārtas situācijās. Sekojot līdzi situācijām, samazināsiet dīkstāves laiku, aizsargāsiet datus un izvairīsieties no dārgiem dīkstāves laikiem. Sekas.
