网络私房菜

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 1876|回复: 19

[cPanel] 十招加固cPanel服务器安全

  [复制链接]
  • TA的每日心情
    开心
    2017-10-26 09:23
  • 签到天数: 111 天

    [LV.6]常住居民II

    发表于 2013-8-23 10:17:34 | 显示全部楼层 |阅读模式
    本帖最后由 猜想帝 于 2013-8-23 10:23 编辑

    1.使用安全密码
    编辑/etc/login.defs配置密码选项。一般来说,建议密码至少设置8位或者8位以上,包含大小字母和数字,有特殊符号更好。如果你想知道你设置的密码是否安全,可以用 JTR cracker之类工具来破解下,如果几个小时被破解了,说明密码不够安全。也可以使用pam_passwdqc工具来检测密码强度。

    2.加固SSH安全
    启用SSH的公共密钥并禁用密码验证。
    编辑/etc/ssh/sshd_config文件修改SSH的默认22端口为其它端口比如1653。
    使用SSHv2而不是SSHv1,方法为修改/etc/ssh/sshd_config中##Protocol 2,1为#Protocol 2。

    编辑/etc/security/limits.conf限制用户Shell资源的使用。

    3.安全Apache
    使用mod_security。通过EasyApache即可编译mod_security。
    编译Apache的时候,将suexec编辑进去确保CGI程序和脚本以拥有者的身份被拥有和执行。这样出问题的时候容易判断是哪个用户引起的。
    通过PHPsuexec编辑Apache和PHP。PHPsuexec强制所有的PHP脚本以拥有者的身份执行。
    启用PHP open_basedir保护,这样用户就不能通过PHP打开他们主目录之外的文件。
    为PHP 5启用safe_mode,保证PHP脚本的拥着有与所操作到的任何文件的拥有者是一直的。编辑php.ini文件,设置safe_mode = On即可。

    4.加固/tmp目录安全
    为/tmp目录使用单独的nosetuid分区,这样会强制让进程仅以执行者拥有的权限运行。cPanel安装之后以noexec方式载入/tmp。
    执行/scripts/securetmp将/tmp分区载入到一个临时文件。

    5.升级邮件到邮件maildir格式
    Maildir格式更安全并且能够加速邮件系统。目前最新的cPanel版本均会自动使用Maildir。如果你的cPanel版本比较老的话,可以通过/scripts/convert2maildir来升级到Maildir。如果执行的时候提示Maildir已经启用,就不需要再执行了。

    6.关闭系统的编译器
    大多数用户都不需要使用C和C++编译器。使用Security Center中的Complier Access功能关闭未授权使用编译器的用户使用它们,或者仅仅关闭特定用户使用编译器的权限。

    7.关闭不使用的服务和进程
    检查/etc/xinetd.conf看下哪些服务你不在使用。比如cupsd和nfs/statd这些一般都不会用到。
    你可以到Service Configuration中的Service Manager里关闭不用的服务

    8.监控你的系统
    要实时监控你的系统,确保你能知道有哪些账户被创建了,哪些软件被安全了,或者哪些软件需要更新等。

    定期检查你的系统比如检查下面这些:
    netstat -anp:查找你没有安装或者授权的端口在运行的程序。
    find / ( -perm -a+w ) ! -type l >> world_writable.txt:查找world_wirtable.txt文件来查看所有的可写文件和目录。这样有助于发现攻击者藏在你系统上的文件。
    find / -nouser -o -nogroup>> no_owner.txt:查找那些不属于任何用户或者组的文件。所有的文件都必须属于某个特定用户或者组。
    ls /var/log/:系统日志所在目录。这里可以检查系统日志,apache日志,邮件日志等等。

    有一些简单易用的工具能够扫描出系统的rootkits,backdoors等:
    Tripwire –监控文件的校验和并报告更改。详情见http://sourceforge.net/projects/tripwire
    Chrookit—扫描常见的rootkits和backdoor等。详情见http://www.chkrootkit.org
    Rkhunter—扫描常见的rootkits和backdoor等。详情见http://www.rootkit.nl/projects/rootkit_hunter.html
    Logwatch—监控和报告每日系统的事件。

    9.启用防火墙

    安装防火墙限制访问服务器很有用。移除系统上未使用的软件。防火墙上仅允许系统会使用的端口,可以参考http://www.networktalking.com/thread-4196-1-1.html

    CSF防火墙安装方法参见http://www.networktalking.com/thread-4798-1-1.html

    10.保持cPanel更新
    确保你使用的cPanel版本能够不断更新,始终保持使用最新的稳定版本。同时确保内核、用户应用程序(如用户的CMS等)、系统软件。
    cPanel的自动升级更新以及系统软件的更新可以在WHM中的Server Configuration中的Update Preferences里设置
    回复

    使用道具 举报

  • TA的每日心情
    无聊
    2014-1-8 13:39
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2013-8-24 09:50:16 | 显示全部楼层
    这么精彩的文章很久没见啦!cPanel服务器的安全性,好好研究下!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-1-21 10:31
  • 签到天数: 38 天

    [LV.5]常住居民I

    发表于 2013-8-24 13:34:24 | 显示全部楼层
    厉害!服务器安全真是门学问啊!好好学习下!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2017-10-23 10:30
  • 签到天数: 347 天

    [LV.8]以坛为家I

    发表于 2013-8-25 10:02:23 | 显示全部楼层
    很精彩的cPanel服务器安全方面的分享!学习下!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2015-2-16 15:23
  • 签到天数: 26 天

    [LV.4]偶尔看看III

    发表于 2013-8-27 09:18:09 | 显示全部楼层
    厉害!真是大手笔啊!服务器安全很重要!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-2-6 09:44
  • 签到天数: 12 天

    [LV.3]偶尔看看II

    发表于 2013-8-31 09:15:25 | 显示全部楼层
    cPanel真的很强大!我也强烈推荐!当然,不管用什么面板,服务器安全都很重要!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-2-15 15:32
  • 签到天数: 62 天

    [LV.6]常住居民II

    发表于 2013-9-1 12:33:26 | 显示全部楼层
    厉害!好好学习下cPanel服务器安全加固!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-2-5 11:18
  • 签到天数: 19 天

    [LV.4]偶尔看看III

    发表于 2013-9-4 09:20:24 | 显示全部楼层
    超强文章!我太喜欢了。楼主真是精通cPanel!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2014-11-8 12:03
  • 签到天数: 13 天

    [LV.3]偶尔看看II

    发表于 2013-9-4 10:43:01 | 显示全部楼层
    厉害!受益匪浅
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    难过
    2016-1-28 16:45
  • 签到天数: 38 天

    [LV.5]常住居民I

    发表于 2013-9-4 16:24:27 | 显示全部楼层
    好好学习下cPanel服务器的安全加固招数!
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    小黑屋|手机版|Archiver|网络私房菜  

    GMT+8, 2017-11-18 14:22

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表