1. Использование фаервола (брендмауера).
[ad#ad-5]
Как Вы уже знаете, использование фаервола (он же брендамауер, он же Firewall), в последнее время становится обязательным. Также блокирование трафика к неиспользуемым службам еще более полезней. Либо же если вам какая-либо служба нужна, Вы просто можете запретить, либо разрешить доступ для какой-либо сети или IP-адреса.
В предыдущем посте " Как установить APF на сервер с cPanel / WHM? ", я побробно описал схему установки, настройки, и запуска в боевой режим фаервола APF на серверах Cpanel / WHM и Ensim.
Также в предыдущем почте " Какие должны быть открытые порты для cpanel сервера? ", я также упоминал, какие все таки порты нужно разрешить, а какие заблокировать.
Пожалуйста, имейте ввижу, что все порты какие были указаны в этом посте, могут быть изменены в соответствии со службами, которые вам не нужны. Просто запретите порт, за которым закреплена не нужная служба.
2. Вторым советом (шагом) для обеспечения лучшей безопасности сервера, является Безопасность SSH, это довольно таки серьезный аргумент, который нужно помнить. Довольно просто "запудрить" хакеру мозги, всего лишь изменением стандартного порта для SSH.
Делается это тоже очень просто: в файле /etc/ssh/sshd_config
Найти:
#Port 22
И изменить на:
Port 1652Такой вот шаг введет хакера в заблуждение. Но еще, я советую запретить прямой доступ для root, а работать через sudo и обычным смертным пользователем.
Также, Вы должны использовать вторую версию SSH, так как SSH v1 очень не безопасна. Просто сделайте изменений в файле /etc/ssh/sshd_config, где
#Protocol 2,1 изменить на Protocol 2Шаг № 3
Безопасность (secure) Apache
Самый популярный путь добратся до сервера, это конечно же веб-сервис. Вот по-этому нам и нужно защитить наш веб-сервер от посягательств и всяческих атак. Возьмем на примере Apache, т.к. это самый популярный веб-сервер, на сегодняшний день.
Одна из лучших и полезных инструментов для защиты Apacha, является mod_security. Он может быть установлен из Addon Modules в Cpanel разделе WebHost менеджера. Вы можете найти интиресующую информацию на офсайте: http://www.modsecurity.org/
При компиляции Apache'а, Вы должны всключить suexec, чтоб удостоверится, что CGI приложения и скрипты запускаются под именем пользователя. Это нам поможет выявить потенциально опасные скрипты, либо спамеров... Это также предостережет от не правильных прав доступа...
Я также рекомендую компилировать апач + PHP с PHPSuexec. PHPsuexec принудительно запускает все скрипты от имени пользователя, а не от имени самого апача. Т.е. это нам поможет идентифицировать нежелательные скрипты и пользователей. Даже если что-то случилось, мы можем с легкостью найти виновника происшествия. Чтобы скомпилировать Apache (httpd), + PHP с PHPSuexec, пожалуйста, выберете эту опцию в Apache Upgrade интерфейсе в WHM"е, либо когда делаете через командную строку с помощью /scripts/easyapache.
Также Вы должны включить PHP open_basedir защиту. Эта защитная функция обеспечит блокирование открытия файлов, которые не находятся в его домашней директории через PHP. Это может быть включено через Tweak Security в WHM
Продолжение статьи в разработке...
[ad#ad-5]
Комментариев нет:
Отправить комментарий