امنیت سرور از موضوعات بسیار مهم در شرکت های ارائه دهنده خدمات هاستینگ میباشد. امکان حمله به سرور در هر لحظه و هر مکانی وجود دارد و به علت آسیب پذیر بودن سرور ، آسیب احتمالی نیز به همراه خواهد داشت. حملاتی از قبیل DDoS و Brute Force که ممکن است منجر به دان شدن سرور و همچنین خسارات جبران ناپذیر شوند.حتی امکان از دست رفتن اطلاعات کاربران و سرقت اطلاعات به دست هکرها را به دنبال خواهد داشت .
در این مقاله قصد داریم راهکارهایی جهت افزایش امنیت سرورهای لینوکسی که از کنترل پنل Cpanel و WHM برای میزبانی استفاده می نمایند، را توضیح دهیم.
کنترل پنل سی پنل یکی از محبوب ترین و مشهور ترین کنترل پنل های میزبانی وب میباشد که در حالت پیش فرض امنیت مناسبی دارد اما امکان افزایش امنیت آن با امکاناتی در اختیار ما قرار داده ، وجود دارد.توجه نمایید که این راهکارها برای اعمال این تنظیمات دسترسی روت به سرور نیاز است.
آپدیت سی پنل
اولین کار جهت افزایش امنیت سرور ، آپدیت سی پنل به آخرین و جدیدترین نسخه است. بنابراین وارد کنترل پنل مدیریتی WHM شده و از منوهای سمت چپ بخش cpanel گزینه Upgrade to Latest Version را انتخاب مینماییم.همچنین میتوانیم از طریق نرم افزار Putty یا نرم افزار SSH ، دستور زیر را جهت آپدیت سی پنل وارد مینماییم:
# /scripts/upcp –force
ایجاد کانال ارتباط امن برای WHM و Cpanel
در صورتیکه از یک اتصال نا امن برای متصل شدن به سی پنل استفاده کنیم ، نام کاربری و رمزعبور بدون رمزنگاری در اینترنت ارسال میشود. برای اینکه اطلاعات در این تبادلات به صورت کد شده انجام شود ، استفاده از SSL به شدت توصیه میشود. برای کنترل پنل های cpanel و whm میتوان توسط ssl میتوان یک ارتباط امن ایجاد کرد. به همین جهت در whm در بخش Server Configuration و گزینه Tweak Settings ، گزینه Always redirect to SSL را فعال میکنیم و در قسمت SSL redirect Destination ، گزینه SSL Certificate Name را فعال میکنیم.
تغییر پورت پیش فرض SSH
از آسیب پذیرترین سرویس ها در حملات Brute Force ، سرویس SSH است. به همین علت یکی از ابتدایی و موثرترین کارها برای افزایش امنیت این سرویس ، تغییر پورت آن از پورت پیش فرض 22 به پورت دیگر میباشد. برای این کار با استفاده از دستور زیر، اقدام به ویرایش فایل sshd_config میکنیم:
# nano /etc/ssh/sshd_config
در بخشی از این فایل که پورت روی ۲۲ ست شده است، آن را به پورت دیگری که میخواهیم برای اتصال ssh از آن استفاده کنیم ، تغییر میدهیم. دقت نمایید که قبل از تغییر پورت ، آن را در فایروال باز نمایید. و نکته دیگر اینکه پورت های پیش فرضی که توسط لینوکس استفاده میشوند را انتخاب نکنید. زیرا که باعث تداخل در سرور خواهد شد. همچنین میتوانیم نام کاربری روت لینوکس را نیز با استفاده از دستور زیر مسدود کنیم:
#PermitRootLogin No
پس از انجام تمامی این مراحل با استفاده از دستور زیر سرویس SSHd را restart میکنیم تا تغییرات به طور کامل اعمال گردد :
# service sshd restart
محدود سازی دسترسی FTP
بهتر است تا دسترسی FTP را از طریق تنظیمات WHM محدود کنیم تا به جز اکانت هایی که توسط ما ایجاد میشوند ، فرد دیگری امکان دسترسی به سرور را نداشته باشد. برای انجام این کار در WHM در بخش Service Configuration گزینه FTP Server Configuration را انتخاب میکنیم:
در این بخش ، Allow Anonymous Logins و Allow Anonymous Uploads را بر روی گزینه No ست میکنیم تا از آپلود فایل ها توسط کاربران ناشناس بر روی سرور جلوگیری شود.
تنظیمات Tweak Settings
در Tweak Settings امکان تغییر تنظیمات کلی این کنترل پنل از جمله اعمال تغییرات در تنظیمات ، ایجاد محدودیت در قابلیت ها و … وجود دارد.
Proxy subdomains : این قابلیت امکان proxy VirtualHost را به فایل httpd.conf اضافه می کند پس باید آن را غیرفعال کنیم.
Proxy subdomains = Off
public_html subdomains only : امکان ایجاد ساب دامنه در دایرکتوری home را ایجاد می کند که دارای مشکل امنیتی است. پس آن را غیر فعال میکنیم تا امکان اجرای اطلاعات تنها از داخل public_html وجود داشته باشد.
public_html subdomains only = Off
Max hourly emails per domain: تعداد ایمیل هایی که در هر کاربر می تواند در ساعت ارسال کند را میتوان از طریق این گزینه مدیریت کرد. برای جلوگیری از ارسال اسپم و block شدن آی پی سرور این مورد را از unlimited خارج کرده و با توجه به نیاز خود تغییر میدهیم. مناسبترین مقدار بین ۵۰ تا ۱۲۰ است.
Max hourly emails per domain = 80
Email password reset: امکان ریست پسورد را برای کاربران توسط ایمیل فراهم میکند که بهتر است آن را غیر فعال کنیم.
Email password reset = Off
Use MD5 passwords with Apache: این گزینه پسورد های ذخیره شده در فایل های htpasswd را به صورت hash شده نمایش می دهد که توصیه می شود جهت افزایش امنیت پسورد ها این گزینه حتما فعال شود.
از دیگر راهکارها جهت افزایش امنیت سرورها لینوکس عبارتند از :
فعال سازی cPHulk
تنظیماتی ایمنی Apache and PHP
نصب و کانفیگ ClamAv
نصب rootkit و …