Configuración de seguridad recomendada | Documentación de cPanel y WHM

Configuración de seguridad recomendada


Última modificación: 1 de abril de 2021

Visión general

Utilice nuestra configuración de seguridad recomendada para garantizar la seguridad de su servidor.

Más:

  • Para obtener más información sobre los scripts y el software de modificación del servidor que pueden ayudar a proteger su servidor, lea nuestro Software de seguridad adicional documentación.

  • Para obtener más información sobre la seguridad básica del servidor, lea nuestro Conceptos básicos de seguridad documentación.

  • Para obtener más información sobre cómo configurar el acceso SSH, lea nuestro Cómo proteger SSH documentación.

Seguridad y análisis de virus en WHM

Las siguientes funciones escanean su servidor en busca de virus y debilidades de seguridad. Después de identificar una posible amenaza a la seguridad, estas funciones le indican cómo resolver cada problema.

  • Asesor de seguridad – WHM’s Asesor de seguridad interfaz (WHM >> Inicio >> Centro de seguridad >> Asesor de seguridad) ejecuta un análisis de seguridad en su servidor y le informa sobre cómo resolver cualquier problema de seguridad que encuentre.

  • Asesino de procesos en segundo plano – WHM’s Asesino de procesos en segundo plano interfaz (WHM >> Inicio >> Estado del sistema >> Asesino de procesos en segundo plano) le permite seleccionar procesos que el sistema terminará cuando el upcp script llama al script de mantenimiento del sistema (/scripts/maintenance) cada noche. Una vez que el sistema finaliza un proceso, le enviará una notificación por correo electrónico.

  • Configurar el escáner ClamAV – WHM’s Configurar el escáner ClamAV interfaz (WHM >> Inicio >> Complementos >> Configurar el escáner ClamAV) es un conjunto de herramientas de software antivirus. Busca en su servidor programas maliciosos y marca cualquier archivo que contenga amenazas a la seguridad.

Utilice las siguientes listas de verificación como referencias rápidas para la configuración de seguridad que recomendamos.

Lista de verificación de ajustes de ajustes

Recomendamos las siguientes configuraciones para WHM Ajustar la configuración interfaz (WHM >> Inicio >> Configuración del servidor >> Ajustar la configuración):

  • Ocultar la contraseña de inicio de sesión de los scripts cgi – Habilite esta configuración para permitirle ocultar el REMOTE_PASSWORD variable de entorno de los scripts que el cpsrvd Se ejecuta el controlador CGI del daemon.

  • Control de seguridad del remitente – Habilite esta configuración para permitir que cPanel, Webmail y WHM solo ejecuten funciones cuando la referencia proporcionada por el navegador (puerto y dominio o dirección IP) exactamente coincide con la URL de destino.

    • Esto ayuda a prevenir ataques XSRF, pero puede romper la integración con otros sistemas, aplicaciones de inicio de sesión y software de facturación.
    • usted debe utilizar cookies si habilita esta configuración.
  • Destino del reenviador inicial predeterminado / general – Selecciona el Fallar configuración para descartar automáticamente el correo electrónico no enrutable que reciben las nuevas cuentas de su servidor. Esta configuración ayuda a proteger su servidor de ataques por correo.

  • Verificar firmas de cPaddons de terceros – Habilite esta configuración para verificar las firmas GPG de todos los cPAddons de terceros. Para utilizar esta configuración, debe habilitar el Validación de firmas en activos descargados de espejos de cPanel y WHM configuración.

  • Evitar que «nadie» envíe correo – Habilite esta configuración para bloquear el correo electrónico que el nobody usuario enviado a la dirección remota.

  • Agregue el encabezado X-POPBeforeSMTP para el correo enviado a través de POP-before-SMTP – Habilite esta configuración para incluir una lista de remitentes POP antes de SMTP en el encabezado X-POPBeforeSMTP para el correo electrónico saliente.

  • Habilite SPF en dominios para cuentas recién creadas – Habilite esta configuración para denegar a los spammers la capacidad de enviar correo electrónico cuando falsifiquen el nombre de su dominio como remitente (suplantación de identidad).

  • Anulación del subdominio del servicio – Desactive esta configuración para evitar dominios de servicio generados automáticamente cuando un usuario crea un subdominio cPanel, Webmail, Web Disk o WHM.

  • Creación de subdominios de servicios – Desactive esta configuración para evitar que se agreguen entradas DNS del subdominio del servicio cPanel, Webmail, Web Disk y WHM a nuevas cuentas.

  • Validación de IP de cookies – Seleccione estricto para la validación completa de la dirección IP de las cookies.

Lista de verificación del centro de seguridad

Recomendamos las siguientes configuraciones para WHM Centro de Seguridad sección (WHM >> Inicio >> Centro de seguridad):

  • Configuración de la fuerza de la contraseña – Esta función le permite especificar una fuerza mínima de contraseña para las cuentas que aloja su servidor. Establezca esto en un valor de 50 o mayor.

  • Ajuste PHP open_basedir – Habilite esta configuración para solicitar a los usuarios que especifiquen manualmente la open_basdir establecer en su relevante php.ini archivos si PHP se ejecuta como un proceso CGI, SuPHP o FastCGI.

    Importante:

    Eliminamos esta interfaz en cPanel & WHM versión 78. Si su sistema ejecuta EasyApache 4, cambie esta directiva en el Modo editor sección de WHM Editor INI de MultiPHP interfaz (WHM >> Inicio >> Software >> MultiPHP INI Editor).

  • Apache mod_userdir Tweak – Habilite esta configuración para que los usuarios no poder eludir los límites de ancho de banda cuando usan Apache mod_userdir redirección para acceder a su sitio (por ejemplo, http://example.com/~username).

    Nota:

    Le recomendamos que excluya el host virtual predeterminado de mod_userdir proteccion. Esto permite que todos los usuarios accedan a sus sitios en su servidor sin afectar el ancho de banda de otros usuarios.

  • Acceso al compilador – Deshabilite esta configuración para deshabilitar el acceso al compilador para usuarios no especificados. Esto ayudará a prevenir ataques a su servidor.

  • Administrar usuarios de Wheel Group – Eliminar todos los usuarios excepto root y tu cuenta principal. Esta función le permite establecer una lista de usuarios que pueden utilizar el su comando para convertirse en el root usuario.

  • Protección Shell Fork Bomb – Habilite esta configuración para limitar la cantidad de recursos del servidor que pueden usar los usuarios con acceso a la línea de comandos.

    Nota:

    Si habilita esta configuración, puede causar problemas de escasez de recursos porque esta configuración limita en gran medida varios recursos.

  • Configuración del servidor FTP – Deshabilitar FTP anónimo. Esta interfaz le permite configurar su servidor FTP.

  • Administrar el acceso al shell – Deshabilite el acceso de shell para todos los demás usuarios. Esta interfaz le permite seleccionar qué usuarios tendrán acceso de shell en su servidor y si ese acceso de shell está configurado para Normal o Encarcelado.

  • Protección de fuerza bruta cPHulk – Establezca este valor en Sobre. Esta interfaz le permite configurar Brute Force Protection en su servidor.

    Nota:

    Si habilita esta configuración, fuertemente Recomendamos que agregue direcciones IP confiables a la Gestión de listas blancas / negras pestaña para que no se bloquee fuera de su servidor.

Lista de verificación de la configuración de EasyApache

Cuando configure EasyApache, le recomendamos encarecidamente que incluya los siguientes módulos:

  • suphp – Este módulo hace que los scripts PHP se ejecuten como propietario del script en lugar de como nobody usuario.

  • suhosin – Este módulo es un sistema de protección avanzado para instalaciones PHP. Para obtener más información, lea el sitio web de Suhosin.

  • mod_security – Este módulo es un firewall de aplicaciones web de código abierto. Para obtener más información, lea nuestro ModSecurity® documentación.

Módulos EasyApache para evitar

Nosotros no admite los siguientes módulos y te recomendamos que lo hagas no usalos, usalos a ellos:

  • mod_frontpage – No proporcionamos ni apoyamos FrontPage®. Además, Microsoft no ha publicado actualizaciones ni parches de seguridad para FrontPage en más de una década.

  • mod_perl – Este módulo otorga control ilimitado a los scripts sobre el sitio web, lo cual no es seguro en un entorno de alojamiento compartido.

  • mod_jk – Este módulo ejecuta código como un usuario compartido y presenta un riesgo de seguridad.

  • mod_mono – Este módulo ejecuta código como un usuario compartido y presenta un riesgo de seguridad.

  • mod_mono2 – Este módulo ejecuta código como un usuario compartido y presenta un riesgo de seguridad.

  • Xcache – Este módulo utiliza la lógica de almacenamiento en caché compartido y EasyApache lo deshabilita de forma predeterminada.

  • EAccelerator – Este módulo utiliza la lógica de almacenamiento en caché compartido y EasyApache lo deshabilita de forma predeterminada.

  • mod_frontpage – Usted no poder instale FrontPage®. Además, Microsoft no tiene lanzó actualizaciones o parches de seguridad para FrontPage en más de una década.

Importante:

  • Nosotros fuertemente Recomendamos que evite cualquier otro módulo que marquemos como Fin de la vida o Obsoleto.

  • Nosotros fuertemente le recomendamos que se asegure de que su software esté actualizado con sus versiones estables más recientes. Por ejemplo, la última versión de PHP 5.3 estaba en 14 de agosto de 2014 y ha llegado al final de su vida útil. Aunque PHP puede respaldar los parches de seguridad para esta versión, debe no considérelo seguro y debería actualizarlo a PHP 5.4 o superior.

Para obtener más información, lea nuestro Versiones de software y cumplimiento de PCI documentación.

Lista de verificación de configuración global

Esta lista de verificación es para configuración global sección de WHM configuración global interfaz (WHM >> Inicio >> Configuración del servicio >> Configuración de Apache >> Configuración global).

  • Tokens de servidor – Establezca este ajuste en Solo producto para recibir una salida más concisa que las otras configuraciones.

  • Archivo ETag – Establezca este ajuste en Ninguno para recibir una salida más concisa que las otras configuraciones.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *