امنیت سی پنل: 7 گام ایمن سازی سی پنل

مدیر

3 سال پیش

سرفصل مطالب:

- - - 0.0.0.0.1 امنیت سی پنل: 7 گام ایمن سازی سی پنل

1 استفاده از SSH و ایمن سازی سیستم عامل
2 ایمن سازی آپاچی، وب و ایمیل
3 پارتیشن tmp و کامپایلرهای سیستم را محدود کنید
4 ایمن سازی آدرس‌های IP و رمزگذاری‌های ناامن
5 تنظیمات فایروال و WAF
6 رمزهای عبور و به روزرسانی‌های برنامه‌ها
7 حفاظت در برابر Brute-Force، مشاور امنیت cPanel و ابزارهای امنیتی

امنیت سی پنل به خصوص برای ارائه دهندگان خدمات میزبانی وب بسیار حیاتی است. با این گام‌ها شما می‌توانید در برابر حملات ممکن محافظت شوید.

امنیت سی پنل: 7 گام ایمن سازی سی پنل

سی پنل با اختلاف محبوب‌ترین پنل میزبانی وب در جهان است. بیشتر ارائه دهندگان خدمات میزبانی وب بر سی پنل اتکا دارند و از آن برای سرویس دهی به مشتریانشان استفاده می‌کنند. سی پنل یکی از امن‌ترین پنل‌های میزبانی وب موجود در بازار است؛ اما بدون رعایت اصول ایمنی و لحاظ کردن تنظیمات مخصوص، این پنل نیز در برابر حملات آسیب پذیر خواهد بود. بنابراین نگاهی دقیق‌تر به کارهایی که می‌توانید برای بالابردن امنیت پنلتان انجام دهید، می اندازیم.

استفاده از SSH و ایمن سازی سیستم عامل

Secure Shell یا به اختصار SSH یک پروتکل مدیریت از راه دور است. این پروتکل به کاربران اجازه می‌دهد تا سرورهایشان را از راه دور کنترل کنند. به بیان دیگر، هر کسی که دسترسی SSH داشته باشد، اجازه‌ی مدیریت سیستم را دارد. بنابراین دسترسی SSH تنها باید به کسانی که به صورت حرفه‌ای در این زمینه تعلیم دیده‌اند و مدیران شبکه هستند داده شود. در بعضی موارد بهتر است که SSH را به طور کامل خاموش کنید تا از سیستم محافظت کنید.

شما می‌توانید کلیدهای SSH ویژه‌ی کاربران اصلی بسازید و از طریق منوی WHM Password Authorization Tweak، احراز هویت بر مبنای رمز عبور را برای SSH غیرفعال کنید.

همچنین می‌توانید directory listing را نیز غیرفعال نمایید. این کار مانع آن می‌شود که هکرها و حمله کنندگان سایبری بتوانند فایل‌های ذخیره شده‌ی شما را مشاهده کنند؛ بنابراین آن‌ها نمی‌توانند فایل‌های شما را تغییردهند یا به اطلاعات آن‌ها دسترسی پیدا کنند.

همچنین می‌توانید به جای استفاده از پورت استاندارد SSH که 21 می باشد از پورت جایگزین استفاده کنید.

شما باید سیستم عاملتان را به منظور محافظت از سیستم، ایمن سازی کنید. یکی از مهم‌ترین کارها برای بالا بردن امنیت، به روز نگه داشتن سیستم عامل است. به خصوص اگر یک وصله امنیتی مشاهده شده باشد. هدف وصله‌های امنیتی حذف یک آسیب پذیری از سیستم عامل است و هکرها ممکن است از این وضعیت آگاه باشند.

همچنین تنظیمات مختلفی وجود دارد که می‌توانید برای امنیت بیشتر سیستم عامل خود آن‌ها را تغییر دهید. می‌توانید احراز هویت رمز عبور برای sshd و برنامه‌های غیر ضروری یا عملکردهای سرور را غیرفعال کنید. همچنین می‌توانید پورت‌های غیر ضروری را غیرفعال کنید تا احتمال نفوذ به سیستم را به حداقل برسانید. برای اینکه بتوانیم هر گونه ناهنجاری یا نفوذ احتمالی هکرها را مشخص کنیم، لاگ‌ها باید به طور منظم تجزیه و تحلیل شوند.

آخرین کاری که می‌توانید انجام دهید این است که در صورت بروز مشکل، به طور پیوسته از پنلتان نسخه پشتیبان تهیه کنید. پشتیبان گیری آخرین راه حل ممکن است اما می‌تواند سیستم را از بسیاری مشکلات غیرمنتظره نجات دهد. اطمینان حاصل کنید که نسخه‌های پشتیبانی که دریافت می‌کنید شامل بدافزار نیستند. همچنین مشکلی که با آن روبرو هستید را بررسی کنید تا در آینده مجدد دچار آن نشوید.

ایمن سازی آپاچی، وب و ایمیل

آپاچی یک وب سرور محبوب است و مانند سایر قسمت‌های سیستم باید در اسرع وقت آپدیت و patch شود. برای مدیریت نصب‌ها، به روز رسانی‌ها و تنظیمات آن در سی پنل می‌توانید از EasyApache استفاده کنید.

برای مخفی کردن فایل‌های خود در برابر هکرها، می‌توانید فهرست دایرکتوری‌ها را غیرفعال کنید. اگر این دایرکتوری‌ها را غیرفعال نکنید، اشخاص ثالث می‌توانند فایل‌های عمومی‌پنل شما را کشف کنند یا می‌توانند از اطلاعات فایل به عنوان اهرمی‌برای فشار به شما استفاده کنند. می‌توانید فهرست دایرکتوری را با تغییر خط /etc/httpd/conf/httpd.conf از

Options Indexes FollowSymLinks

به

Options FollowSymLinks

غیر فعال کنید.

همچنین می‌توانید با غیرفعال کردن ماژول‌هایی که به آن‌ها نیاز ندارید، تعداد دفعاتی که مورد حمله قرار می‌گیرید را کاهش دهید. با غیرفعال کردن نمایش اطلاعات سرور نیز می‌توانید از دیدن اطلاعات نسخه سرور توسط هکرها جلوگیری کنید، بنابراین آنها نمی‌توانند آسیب‌پذیری‌های نسخه‌ی شما را شناسایی کنند.

در WHM، می‌توانید به منوی Service Configuration – Apache Configuration – Global Configuration Documentation بروید و امضاها و نشانه‌ها را ردیابی و آن‌ها را غیرفعال کنید. همچنین بهتر است محافظت از symbolic link را فعال کنید.

زمانی که هکرها نتوانند هیچ نقطه ضعف فنی در سیستم شما پیدا کنند، ممکن است به دنبال خطای انسانی باشند تا بتوانند به سیستم شما حمله کنند. یکی از محبوب ترین روش‌ها برای این کار فیشینگ است. هدف در این سناریو آن است که کارمند را وادار کنند روی پیوندی کلیک کند که بدافزار را در سیستم شما نصب می‌کند. اخیراً بسیاری از سازمان‌ها با حملات جدی بد افزار مواجه شده اند.

برای جلوگیری از این نوع موقعیت‌ها، می‌توانید از فیلترهای ایمیل و محتوای وب برای جلوگیری از دسترسی کاربران به این نوع محتوا استفاده کنید. همچنین می‌توانید چارچوب خط‌مشی فرستنده را برای جلوگیری از هدف قرار دادن کارمندان توسط هکرها، بررسی کنید.

پارتیشن tmp و کامپایلرهای سیستم را محدود کنید

دایرکتوری tmp به عنوان مسیری برای ذخیره سازی موقت داده‌ها استفاده می‌شود. در هنگام نصب برنامه ای که نیاز به ذخیره فایل‌های موقت دارد می‌توان از این دایرکتوری استفاده کرد. با این حال، اگر یک هکر موفق به نفود به یک سرور و اجرای برنامه‌های خود روی آن شود، می‌تواند فایل‌های مخربی را در این دایرکتوری ذخیره کند. برای ایمن کردن پوشه tmp می‌توانید یک پارتیشن جداگانه برای آن ایجاد کنید. همچنین می‌توانید پارتیشن اولیه را به حالت غیر فعال تغییر دهید. در نهایت، همچنین می‌توانید امنیت این پارتیشن را با اسکریپت‌های زیر از بخش اسکریپت‌های سفارشی در مسیر /usr/local/cpanel/scripts/securetmp بهبود بخشید.

/usr/local/cpanel/scripts/securetmp –help

/usr/local/cpanel/scripts/securetmp – secure /tmp and /var/tmp

یکی دیگر از کارهای ضروری که می‌توانید برای ایمن سازی سیستم خود انجام دهید، محدود کردن کامپایلرهای سیستم است. کامپایلر برنامه ای است که یک کد زبان برنامه نویسی را به باینری ترجمه می‌کند. اگر کامپایلرها را محدود نکنید، یک هکر می‌تواند کد خود را روی سرور شما اجرا کند. در بیشتر موارد، سرور میزبان نیازی به کامپایلر ندارد. از طریق رابط WHM، می‌توانید کامپایلرها را برای کاربران غیرمجاز از طریق گزینه Compilers Tweak در مرکز امنیت WHM غیرفعال کنید.

ایمن سازی آدرس‌های IP و رمزگذاری‌های ناامن

مدیریت آدرس‌های IP بخش مهمی‌ از امنیت سرور است. وب سرورها دارای آدرس IP عمومی‌ و خصوصی هستند. آدرس IP خصوصی باید فقط در اختیار مدیران برنامه و سرویس گیرنده ای که نیاز به دسترسی به‌ هاست دارد، قرار بگیرد. آپاچی به طور پیش فرض به یک پورت خاص گوش می‌دهد، بر همین اساس شما می‌توانید پورت 80 را فقط برای آدرس‌های IP خارجی محدود کنید. همچنین می‌توانید از تنظیم (directive) httpd زیر در فایل کانفیگ وب سرور آپاچی استفاده کنید تا آپاچی به پورت 80 روی یک IP خارجی گوش بدهد.

Listen 203.0.113.8

اگر می‌خواهید سرور میزبان وب شما کاملاً ایمن باشد، طبق گفته مؤسسه ملی استانداردها و فناوری، سرور را باید طوری پیکربندی کنید که از امنیت لایه حمل و نقل نسخه 1.2 پشتیبانی کند. نسخه‌های قدیمی‌تر ممکن است باعث شوند مهاجمی‌که در همان شبکه یا نقطه اتصال WiFi مشترک با شما قرار دارد، یک حمله کاهش رتبه به سیستم شما داشته باشد. برای پیشگیری از این امر می‌توانید رمزهای ناامن را از WHM در منوی Apache Configuration – Global Configuration Documentation – SSL Cipher Suite menu غیرفعال کنید.

تنظیمات فایروال و WAF

با فایروال سخت افزاری، می‌توانید تمام ترافیک ناخواسته موجود در مسیر رسیدن به سرور را مسدود کنید. برای سرورهای وب، پورت‌های 80 و 443 ضروری هستند، به همین جهت بهتر است پورت‌های دیگر از جمله telnet و FTP را مسدود کنید. همچنین، می‌توانید از SFTP امن، پورت 22، برای مدیریت فایل‌ها از طریق پروتکل انتقال فایل استفاده کنید.

برای ایمن سازی سرور خود، به یک فایروال Web Application یا به اختصار WAF نیز نیاز دارید که مسئول محافظت از وب سرور در برابر تهدیدات مبتنی بر برنامه، از جمله ورودی‌های SQL مخرب است. WAF همچنین قادر است ویروس‌ها را در هنگام آپلود فایل شناسایی کند، اتصالات TLS را مجبور کند که از اسکریپت بین سایتی جلوگیری کنند و همچنین درخواست‌های ترافیکی که می‌توانند برای شناسایی میزبان‌های مخرب، آدرس‌های IP و کلاینت‌ها استفاده شوند را گزارش کند.

رمزهای عبور و به روزرسانی‌های برنامه‌ها

رمزهای عبور مدیران سایت و کاربران باید قوی، پیچیده و طولانی باشند و به کمک یک الگوریتم رمزگذاری تایید شده توسط NIST‌ رمزگذاری شوند. به طور کلی پسوردهای 12 کاراکتری پیچیده به عنوان پسوردهای قوی شناخته می‌شوند. برای ذخیره‌ی امن پسوردها، باید آن‌ها را با الگوریتم‌های SHA2 و SHA3 یا الگوریتم‌های دیگری که توسط NIST تایید شده‌اند، رمزگذاری کرد.

همانطور که در بالا ذکر کردیم، به روز نگه داشتن برنامه‌ها از سیستم شما محافظت می‌کند و شامل cPanel نیز می‌شود. می‌توانید cPanel را از WHM یا به صورت دستی به روز کنید. برای مشاهده نسخه cPanel فعلی که از آن استفاده می‌کنید می‌توانید از دستور زیر استفاده کنید.

/usr/local/cpanel/cpanel -V

و اگر نیاز به بروزرسانی برنامه‌ها دارید می‌توانید از این دستور استفاده کنید:

/usr/local/cpanel/scripts/upcp

حفاظت در برابر Brute-Force، مشاور امنیت cPanel و ابزارهای امنیتی

رمزهای عبور قوی مهم هستند اما به تنهایی کافی نیستند. در این مورد، ممکن است به یک راه حل اضافی برای محافظت در برابر حملات brute force نیاز داشته باشید. خوشبختانه، cPanel دارای cPHulk Brute Force Protection است، ابزاری که برای کمک به سرورهای وب در کاهش حملات brute force ارائه شده است. همچنین این ابزار، سیستم پیشگیری و تشخیص نفوذ، اسکنر بدافزار، WAF، آنتی ویروس، فایروال شبکه و راه حل‌های مدیریت پچ را نیز ارائه می‌دهد.

اگر هنوز نمی‌دانید که چه چیزی ممکن است نقطه ضعف امنیت سیستم شما باشد، می‌توانید نگاهی به Security Advisor، در منوی Security Center WHM بیندازید. می‌توان این ابزار را برای ارسال هشدار پیکربندی کرد.

سی پنل همچنین به کاربران اجازه می‌دهد که پلاگین‌هایی را به منظور افزایش امنیت سرور خود نصب کنند. برای داشتن پکیجی از راه‌ حل‌های مختلف افزایش امنیت شبکه ImunifyAV, Imunify360, یا ImunifyAV+را بررسی کنید. برای مشاهده‌ی راهنمایی‌های امنیتی بیشتر نیز می‌توانید صفحه‌ی Imunify Security را مشاهده نمایید.