浏览:次 2019-10-26 16:56
我们都知道cPanel服务器安全是非常重要,那么有哪些方法可以有效保障cpanel服务器安全呢?
1.使用安全密码编辑/etc/login.defs配置密码选项。
一般来说,建议密码至少设置8位或者8位以上,包含大小字母和数字,有特殊符号更好。
如果你想知道你设置的密码是否安全,可以用 JTR cracker之类工具来破解下,如果几个小时被破解了,说明密码不够安全。
也可以使用pam_passwdqc工具来检测密码强度。
2.加固SSH安全启用SSH的公共密钥并禁用密码验证。
编辑/etc/ssh/sshd_config文件修改SSH的默认22端口为其它端口比如1653。
使用SSHv2而不是SSHv1,方法为修改/etc/ssh/sshd_config中##Protocol 2,1为#Protocol 2。
编辑/etc/security/limits.conf限制用户Shell资源的使用。
3.安全Apache使用mod_security。
通过EasyApache即可编译mod_security。
编译Apache的时候,将suexec编辑进去确保CGI程序和脚本以拥有者的身份被拥有和执行。
这样出问题的时候容易判断是哪个用户引起的。
通过PHPsuexec编辑Apache和PHP。
PHPsuexec强制所有的PHP脚本以拥有者的身份执行。
启用PHP open_basedir保护,这样用户就不能通过PHP打开他们主目录之外的文件。
为PHP 5启用safe_mode,保证PHP脚本的拥有者与所操作到的任何文件的拥有者是一直的。
编辑php.ini文件,设置safe_mode = On即可。
4.加固/tmp目录安全为/tmp目录使用单独的nosetuid分区,这样会强制让进程仅以执行者拥有的权限运行。
cPanel安装之后以noexec方式载入/tmp。
执行/scripts/securetmp将/tmp分区载入到一个临时文件。
5.升级邮件到邮件maildir格式Maildir格式更安全并且能够加速邮件系统。
目前最新的cPanel版本均会自动使用Maildir。
如果你的cPanel版本比较老的话,可以通过 /scripts/convert2maildir来升级到Maildir。
如果执行的时候提示Maildir已经启用,就不需要再执行了。
6.关闭系统的编译器大多数用户都不需要使用C和C++编译器。
使用Security Center中的Complier Access功能关闭未授权使用编译器的用户使用它们,或者仅仅关闭特定用户使用编译器的权限。
7.关闭不使用的服务和进程检查/etc/xinetd.conf看下哪些服务你不在使用。
比如cupsd和nfs/statd这些一般都不会用到。
你可以到Service Configuration中的Service Manager里关闭不用的服务。
8.监控你的系统要实时监控你的系统,确保你能知道有哪些账户被创建了,哪些软件被安全了,或者哪些软件需要更新等。
定期检查你的系统比如检查下面这些:netstat -anp:查找你没有安装或者授权的端口在运行的程序。
find / ( -perm -a+w ) ! -type l >> world_writable.txt:查找world_wirtable.txt文件来查看所有的可写文件和目录。
这样有助于发现攻击者藏在你系统上的文件。
find / -nouser -o -nogroup>> no_owner.txt:查找那些不属于任何用户或者组的文件。
所有的文件都必须属于某个特定用户或者组。
ls /var/log/:系统日志所在目录。
这里可以检查系统日志,apache日志,邮件日志等等。
有一些简单易用的工具能够扫描出系统的rootkits,backdoors等:
310.保持cPanel更新确保你使用的cPanel版本能够不断更新,始终保持使用最新的稳定版本。
同时确保内核、用户应用程序(如用户的CMS等)、系统软件。
cPanel的自动升级更新以及系统软件的更新可以在WHM中的Server Configuration中的Update Preferences里设置。
文章来源:主机侦探
教程结束。