امنیت سی پنل: 7 گام ایمن سازی سی پنل
سرفصل مطالب:
امنیت سی پنل به خصوص برای ارائه دهندگان خدمات میزبانی وب بسیار حیاتی است. با این گامها شما میتوانید در برابر حملات ممکن محافظت شوید.
امنیت سی پنل: 7 گام ایمن سازی سی پنل
سی پنل با اختلاف محبوبترین پنل میزبانی وب در جهان است. بیشتر ارائه دهندگان خدمات میزبانی وب بر سی پنل اتکا دارند و از آن برای سرویس دهی به مشتریانشان استفاده میکنند. سی پنل یکی از امنترین پنلهای میزبانی وب موجود در بازار است؛ اما بدون رعایت اصول ایمنی و لحاظ کردن تنظیمات مخصوص، این پنل نیز در برابر حملات آسیب پذیر خواهد بود. بنابراین نگاهی دقیقتر به کارهایی که میتوانید برای بالابردن امنیت پنلتان انجام دهید، می اندازیم.
استفاده از SSH و ایمن سازی سیستم عامل
Secure Shell یا به اختصار SSH یک پروتکل مدیریت از راه دور است. این پروتکل به کاربران اجازه میدهد تا سرورهایشان را از راه دور کنترل کنند. به بیان دیگر، هر کسی که دسترسی SSH داشته باشد، اجازهی مدیریت سیستم را دارد. بنابراین دسترسی SSH تنها باید به کسانی که به صورت حرفهای در این زمینه تعلیم دیدهاند و مدیران شبکه هستند داده شود. در بعضی موارد بهتر است که SSH را به طور کامل خاموش کنید تا از سیستم محافظت کنید.
شما میتوانید کلیدهای SSH ویژهی کاربران اصلی بسازید و از طریق منوی WHM Password Authorization Tweak، احراز هویت بر مبنای رمز عبور را برای SSH غیرفعال کنید.
همچنین میتوانید directory listing را نیز غیرفعال نمایید. این کار مانع آن میشود که هکرها و حمله کنندگان سایبری بتوانند فایلهای ذخیره شدهی شما را مشاهده کنند؛ بنابراین آنها نمیتوانند فایلهای شما را تغییردهند یا به اطلاعات آنها دسترسی پیدا کنند.
همچنین میتوانید به جای استفاده از پورت استاندارد SSH که 21 می باشد از پورت جایگزین استفاده کنید.
شما باید سیستم عاملتان را به منظور محافظت از سیستم، ایمن سازی کنید. یکی از مهمترین کارها برای بالا بردن امنیت، به روز نگه داشتن سیستم عامل است. به خصوص اگر یک وصله امنیتی مشاهده شده باشد. هدف وصلههای امنیتی حذف یک آسیب پذیری از سیستم عامل است و هکرها ممکن است از این وضعیت آگاه باشند.
همچنین تنظیمات مختلفی وجود دارد که میتوانید برای امنیت بیشتر سیستم عامل خود آنها را تغییر دهید. میتوانید احراز هویت رمز عبور برای sshd و برنامههای غیر ضروری یا عملکردهای سرور را غیرفعال کنید. همچنین میتوانید پورتهای غیر ضروری را غیرفعال کنید تا احتمال نفوذ به سیستم را به حداقل برسانید. برای اینکه بتوانیم هر گونه ناهنجاری یا نفوذ احتمالی هکرها را مشخص کنیم، لاگها باید به طور منظم تجزیه و تحلیل شوند.
آخرین کاری که میتوانید انجام دهید این است که در صورت بروز مشکل، به طور پیوسته از پنلتان نسخه پشتیبان تهیه کنید. پشتیبان گیری آخرین راه حل ممکن است اما میتواند سیستم را از بسیاری مشکلات غیرمنتظره نجات دهد. اطمینان حاصل کنید که نسخههای پشتیبانی که دریافت میکنید شامل بدافزار نیستند. همچنین مشکلی که با آن روبرو هستید را بررسی کنید تا در آینده مجدد دچار آن نشوید.
ایمن سازی آپاچی، وب و ایمیل
آپاچی یک وب سرور محبوب است و مانند سایر قسمتهای سیستم باید در اسرع وقت آپدیت و patch شود. برای مدیریت نصبها، به روز رسانیها و تنظیمات آن در سی پنل میتوانید از EasyApache استفاده کنید.
برای مخفی کردن فایلهای خود در برابر هکرها، میتوانید فهرست دایرکتوریها را غیرفعال کنید. اگر این دایرکتوریها را غیرفعال نکنید، اشخاص ثالث میتوانند فایلهای عمومیپنل شما را کشف کنند یا میتوانند از اطلاعات فایل به عنوان اهرمیبرای فشار به شما استفاده کنند. میتوانید فهرست دایرکتوری را با تغییر خط /etc/httpd/conf/httpd.conf از
Options Indexes FollowSymLinks
به
Options FollowSymLinks
غیر فعال کنید.
همچنین میتوانید با غیرفعال کردن ماژولهایی که به آنها نیاز ندارید، تعداد دفعاتی که مورد حمله قرار میگیرید را کاهش دهید. با غیرفعال کردن نمایش اطلاعات سرور نیز میتوانید از دیدن اطلاعات نسخه سرور توسط هکرها جلوگیری کنید، بنابراین آنها نمیتوانند آسیبپذیریهای نسخهی شما را شناسایی کنند.
در WHM، میتوانید به منوی Service Configuration – Apache Configuration – Global Configuration Documentation بروید و امضاها و نشانهها را ردیابی و آنها را غیرفعال کنید. همچنین بهتر است محافظت از symbolic link را فعال کنید.
زمانی که هکرها نتوانند هیچ نقطه ضعف فنی در سیستم شما پیدا کنند، ممکن است به دنبال خطای انسانی باشند تا بتوانند به سیستم شما حمله کنند. یکی از محبوب ترین روشها برای این کار فیشینگ است. هدف در این سناریو آن است که کارمند را وادار کنند روی پیوندی کلیک کند که بدافزار را در سیستم شما نصب میکند. اخیراً بسیاری از سازمانها با حملات جدی بد افزار مواجه شده اند.
برای جلوگیری از این نوع موقعیتها، میتوانید از فیلترهای ایمیل و محتوای وب برای جلوگیری از دسترسی کاربران به این نوع محتوا استفاده کنید. همچنین میتوانید چارچوب خطمشی فرستنده را برای جلوگیری از هدف قرار دادن کارمندان توسط هکرها، بررسی کنید.
پارتیشن tmp و کامپایلرهای سیستم را محدود کنید
دایرکتوری tmp به عنوان مسیری برای ذخیره سازی موقت دادهها استفاده میشود. در هنگام نصب برنامه ای که نیاز به ذخیره فایلهای موقت دارد میتوان از این دایرکتوری استفاده کرد. با این حال، اگر یک هکر موفق به نفود به یک سرور و اجرای برنامههای خود روی آن شود، میتواند فایلهای مخربی را در این دایرکتوری ذخیره کند. برای ایمن کردن پوشه tmp میتوانید یک پارتیشن جداگانه برای آن ایجاد کنید. همچنین میتوانید پارتیشن اولیه را به حالت غیر فعال تغییر دهید. در نهایت، همچنین میتوانید امنیت این پارتیشن را با اسکریپتهای زیر از بخش اسکریپتهای سفارشی در مسیر /usr/local/cpanel/scripts/securetmp بهبود بخشید.
/usr/local/cpanel/scripts/securetmp –help
/usr/local/cpanel/scripts/securetmp – secure /tmp and /var/tmp
یکی دیگر از کارهای ضروری که میتوانید برای ایمن سازی سیستم خود انجام دهید، محدود کردن کامپایلرهای سیستم است. کامپایلر برنامه ای است که یک کد زبان برنامه نویسی را به باینری ترجمه میکند. اگر کامپایلرها را محدود نکنید، یک هکر میتواند کد خود را روی سرور شما اجرا کند. در بیشتر موارد، سرور میزبان نیازی به کامپایلر ندارد. از طریق رابط WHM، میتوانید کامپایلرها را برای کاربران غیرمجاز از طریق گزینه Compilers Tweak در مرکز امنیت WHM غیرفعال کنید.
ایمن سازی آدرسهای IP و رمزگذاریهای ناامن
مدیریت آدرسهای IP بخش مهمی از امنیت سرور است. وب سرورها دارای آدرس IP عمومی و خصوصی هستند. آدرس IP خصوصی باید فقط در اختیار مدیران برنامه و سرویس گیرنده ای که نیاز به دسترسی به هاست دارد، قرار بگیرد. آپاچی به طور پیش فرض به یک پورت خاص گوش میدهد، بر همین اساس شما میتوانید پورت 80 را فقط برای آدرسهای IP خارجی محدود کنید. همچنین میتوانید از تنظیم (directive) httpd زیر در فایل کانفیگ وب سرور آپاچی استفاده کنید تا آپاچی به پورت 80 روی یک IP خارجی گوش بدهد.
Listen 203.0.113.8
اگر میخواهید سرور میزبان وب شما کاملاً ایمن باشد، طبق گفته مؤسسه ملی استانداردها و فناوری، سرور را باید طوری پیکربندی کنید که از امنیت لایه حمل و نقل نسخه 1.2 پشتیبانی کند. نسخههای قدیمیتر ممکن است باعث شوند مهاجمیکه در همان شبکه یا نقطه اتصال WiFi مشترک با شما قرار دارد، یک حمله کاهش رتبه به سیستم شما داشته باشد. برای پیشگیری از این امر میتوانید رمزهای ناامن را از WHM در منوی Apache Configuration – Global Configuration Documentation – SSL Cipher Suite menu غیرفعال کنید.
تنظیمات فایروال و WAF
با فایروال سخت افزاری، میتوانید تمام ترافیک ناخواسته موجود در مسیر رسیدن به سرور را مسدود کنید. برای سرورهای وب، پورتهای 80 و 443 ضروری هستند، به همین جهت بهتر است پورتهای دیگر از جمله telnet و FTP را مسدود کنید. همچنین، میتوانید از SFTP امن، پورت 22، برای مدیریت فایلها از طریق پروتکل انتقال فایل استفاده کنید.
برای ایمن سازی سرور خود، به یک فایروال Web Application یا به اختصار WAF نیز نیاز دارید که مسئول محافظت از وب سرور در برابر تهدیدات مبتنی بر برنامه، از جمله ورودیهای SQL مخرب است. WAF همچنین قادر است ویروسها را در هنگام آپلود فایل شناسایی کند، اتصالات TLS را مجبور کند که از اسکریپت بین سایتی جلوگیری کنند و همچنین درخواستهای ترافیکی که میتوانند برای شناسایی میزبانهای مخرب، آدرسهای IP و کلاینتها استفاده شوند را گزارش کند.
رمزهای عبور و به روزرسانیهای برنامهها
رمزهای عبور مدیران سایت و کاربران باید قوی، پیچیده و طولانی باشند و به کمک یک الگوریتم رمزگذاری تایید شده توسط NIST رمزگذاری شوند. به طور کلی پسوردهای 12 کاراکتری پیچیده به عنوان پسوردهای قوی شناخته میشوند. برای ذخیرهی امن پسوردها، باید آنها را با الگوریتمهای SHA2 و SHA3 یا الگوریتمهای دیگری که توسط NIST تایید شدهاند، رمزگذاری کرد.
همانطور که در بالا ذکر کردیم، به روز نگه داشتن برنامهها از سیستم شما محافظت میکند و شامل cPanel نیز میشود. میتوانید cPanel را از WHM یا به صورت دستی به روز کنید. برای مشاهده نسخه cPanel فعلی که از آن استفاده میکنید میتوانید از دستور زیر استفاده کنید.
/usr/local/cpanel/cpanel -V
و اگر نیاز به بروزرسانی برنامهها دارید میتوانید از این دستور استفاده کنید:
/usr/local/cpanel/scripts/upcp
حفاظت در برابر Brute-Force، مشاور امنیت cPanel و ابزارهای امنیتی
رمزهای عبور قوی مهم هستند اما به تنهایی کافی نیستند. در این مورد، ممکن است به یک راه حل اضافی برای محافظت در برابر حملات brute force نیاز داشته باشید. خوشبختانه، cPanel دارای cPHulk Brute Force Protection است، ابزاری که برای کمک به سرورهای وب در کاهش حملات brute force ارائه شده است. همچنین این ابزار، سیستم پیشگیری و تشخیص نفوذ، اسکنر بدافزار، WAF، آنتی ویروس، فایروال شبکه و راه حلهای مدیریت پچ را نیز ارائه میدهد.
اگر هنوز نمیدانید که چه چیزی ممکن است نقطه ضعف امنیت سیستم شما باشد، میتوانید نگاهی به Security Advisor، در منوی Security Center WHM بیندازید. میتوان این ابزار را برای ارسال هشدار پیکربندی کرد.
سی پنل همچنین به کاربران اجازه میدهد که پلاگینهایی را به منظور افزایش امنیت سرور خود نصب کنند. برای داشتن پکیجی از راه حلهای مختلف افزایش امنیت شبکه ImunifyAV, Imunify360, یا ImunifyAV+را بررسی کنید. برای مشاهدهی راهنماییهای امنیتی بیشتر نیز میتوانید صفحهی Imunify Security را مشاهده نمایید.