Consejos para hacer que su servidor sea más seguro

Consejos para hacer que su servidor sea más seguro


Última modificación: 2 de diciembre de 2020

Visión general

Este documento enumera varios consejos que puede utilizar para hacer que su servidor cPanel & WHM sea más seguro.

Advertencia:

Tenga cuidado al seguir estos consejos. cPanel, LLC no asume ninguna responsabilidad por las modificaciones a los servidores individuales o las prácticas de seguridad de los servidores individuales. La seguridad del servidor requiere que el administrador haga concesiones, lo que significa que cualquier servidor que permita conexiones podría contener vulnerabilidades.

Utilice contraseñas seguras

Las contraseñas inseguras representan la vulnerabilidad de seguridad más común. Si un pirata informático compromete la contraseña de una cuenta, puede usarla para desfigurar o infectar sitios de clientes, o usarlos para propagar virus.

Edite el /etc/login.defs archivo para configurar muchas opciones de contraseña en su sistema.

Generalmente, una contraseña segura utiliza al menos ocho caracteres, que incluyen símbolos alfanuméricos y gramaticales. Nunca use contraseñas que incluyan palabras del diccionario o fechas importantes.

Si desea verificar la seguridad de una contraseña, pruébela con Galleta JTR. También puede instalar herramientas como pam_passwdqc para comprobar la seguridad de las contraseñas.

SSH seguro

Si mueve el acceso SSH a un puerto diferente, las personas que no tengan un conocimiento específico de su servidor no sabrán qué puerto usar para SSH. Muchos usuarios malintencionados intentan utilizar el puerto 22 para acceder a los servidores. Para modificar el puerto en el que se ejecuta SSH, edite el /etc/ssh/sshd_config expediente.

Le recomendamos que utilice un número de puerto menor que 1024 y uno que hace otro servicio no ya lo uso.

  • Estos puertos son puertos «privilegiados», porque solo los root el usuario puede vincularse a ellos.
  • Puertos 1024 y superiores son puertos «sin privilegios», y cualquiera puede usarlos.

Advertencia:

Utilice siempre solo SSHv2. SSHv1 no asegurará correctamente las conexiones. Debes cambiar el #Protocol 2,1 línea en el /etc/ssh/sshd_config archivo a Protocol 2.

Es posible que también desee configurar límites de recursos de shell para sus usuarios. Estos límites aseguran que las aplicaciones y los scripts no puedan usar todos los recursos de su servidor y dejarlo fuera de servicio. Puede configurar los límites de recursos de shell en el /etc/security/limits.conf archivo en la mayoría de los sistemas Linux®.

Apache seguro

usted debe asegure su instalación de Apache. La herramienta ModSecurity® puede ayudarlo a asegurar la instalación de Apache de su servidor.

Para utilizar ModSecurity para proteger Apache, instale y habilite el Conjunto de reglas básicas (CRS) del Proyecto de seguridad de aplicaciones web abiertas (OWASP). Puedes hacer esto en WHM Proveedores de ModSecurity® interfaz (WHM >> Inicio >> Centro de seguridad >> Proveedores de ModSecurity®).

El conjunto de reglas de OWASP® ModSecurity es un conjunto de reglas que el módulo ModSecurity de Apache puede usar para ayudar a proteger su servidor. Si bien estas reglas no hacen que su servidor sea impermeable a los ataques, aumentan en gran medida la cantidad de protección para sus aplicaciones web.

Puede utilizar las siguientes interfaces para administrar ModSecurity:

Cuando compile Apache, incluya el módulo suEXEC para asegurarse de que las aplicaciones CGI y los scripts se ejecuten como el usuario que los posee y los ejecuta. Este módulo identifica la ubicación de los scripts maliciosos y quién los ejecutó. También hace cumplir los permisos y los controles ambientales.

Nosotros fuertemente le recomendamos que compile Apache y PHP con el módulo suPHP. El módulo suPHP obliga a que todos los scripts PHP se ejecuten como el usuario propietario del script. Esto le permite identificar al propietario de todos los scripts PHP que se ejecutan en su servidor y encontrar la ubicación de los scripts maliciosos. Para compilar Apache y PHP con el módulo suPHP, seleccione la opción suPHP en WHM EasyApache 4 interfaz (WHM >> Inicio >> Software >> EasyApache 4) o ejecutar el /usr/local/cpanel/scripts/easyapache script desde la línea de comandos.

Finalmente, le recomendamos que implemente la protección de condición de carrera de enlace simbólico en su servidor a través de EasyApache. Para obtener más información sobre la vulnerabilidad de condición de carrera del enlace simbólico y cómo protegerse contra ella, lea nuestro Protección de condición de carrera de Symlink documentación.

Fortalece tu sistema operativo

Le recomendamos que tome medidas para fortalecer su sistema operativo y aumentar su seguridad. Haga clic en los enlaces a continuación para acceder a las guías de seguridad de las distribuciones de Linux compatibles en las que puede instalar cPanel y WHM:

Endurezca su partición tmp

Nota:

Los servidores Virtuozzo® y OpenVZ no admiten esta función.

Le recomendamos que utilice un /tmp partición y que la monte con la nosuid opción. Esta opción obliga a que un proceso se ejecute con los privilegios del usuario que lo ejecuta. Es posible que también desee montar el /tmp directorio con noexec después de instalar cPanel & WHM.

Ejecutar el /usr/local/cpanel/scripts/securetmp script para montar tu /tmp partición a un archivo temporal para mayor seguridad. El archivo temporal utilizará el 1% del espacio disponible en disco en el /usr partición, desde un tamaño mínimo de 500 MB hasta un tamaño máximo de 4 GB.

Importante:

Nosotros fuertemente te recomiendo no deshabilitar el /usr/local/cpanel/scripts/securetmp texto. Sin embargo, si no desea que su servidor ejecute el /usr/local/cpanel/scripts/securetmp script, realice una de las siguientes acciones:

  • Ejecutar el /usr/local/cpanel/scripts/securetmp script y entrar y cuando el sistema muestra el siguiente mensaje:

    Would you like to disable securetmp from the system startup?
  • Crea el /var/cpanel/disabled/securetmp expediente. Para hacer esto, ejecute el siguiente comando:

    mkdir -p /var/cpanel/disabled ; touch /var/cpanel/disabled/securetmp

    Este archivo asegura que la secuencia de comandos no se pueda ejecutar en su servidor.

Restringir los compiladores del sistema

La mayoría de los usuarios lo hacen no requieren el uso de compiladores C y C ++. Nosotros fuertemente Recomendamos que desactive los compiladores para todos los usuarios que no existan en el compilers grupo en el /etc/group expediente. Muchos exploits preempaquetados requieren compiladores funcionales.

  • Para deshabilitar los compiladores de la interfaz WHM, use WHM Acceso al compilador interfaz (WHM >> Inicio >> Centro de seguridad >> Acceso al compilador).
  • Para deshabilitar los compiladores desde la línea de comandos, ejecute el siguiente comando como root usuario:

Deshabilitar demonios y servicios no utilizados

Cualquier servicio o demonio que permita conexiones a su servidor también puede permitir que los piratas informáticos obtengan acceso. Para reducir los riesgos de seguridad, desactive todos los servicios y demonios que no utilice.

Desactive cualquier servicio que no utilice actualmente con WHM. Supervisor interfaz (WHM >> Inicio >> Configuración del servicio >> Administrador de servicio).

Monitorea tu sistema

Hacer cierto que sabe cuando un usuario crea una cuenta. También asegúrese de saber qué software se ejecuta en el servidor, cuándo el software requiere actualizaciones y otra información similar sobre su servidor.

Ejecute los siguientes comandos con frecuencia para asegurarse de que su sistema funcione de la forma esperada:

  • netstat -anp – Busque programas en puertos que no haya instalado o autorizado.
  • find / ( -type f -o -type d ) -perm /o+w 2>/dev/null | egrep -v '/(proc|sys)' > world_writable.txt – Comprobar el world_writable.txt file para todos los archivos y directorios que se pueden escribir en todo el mundo. Este comando revela ubicaciones donde un atacante puede almacenar archivos en su sistema.

    Nota:

    Si corrige los permisos en algunos scripts PHP y CGI mal escritos, es posible que el script o el sitio web dejen de funcionar.

  • find / -nouser -o -nogroup >> no_owner.txt – Comprobar el no_owner archivo para todos los archivos que no tienen un usuario o grupo asociado. Un usuario o grupo específico debe ser propietario de todos los archivos para restringir el acceso a ellos.
  • ls /var/log/ – Muchos de los diferentes registros de su sistema pueden revelar problemas de seguridad. Verifique los registros de su sistema, los registros de Apache, los registros de correo y otros registros con frecuencia para asegurarse de que su sistema funcione como se espera.

Las compañías de software de terceros ofrecen utilidades fácilmente disponibles para monitorear su sistema y detectar rootkits, puertas traseras u otras vulnerabilidades.

Por ejemplo, puede instalar una de las siguientes utilidades comúnmente disponibles:

  • Tripwire – monitores checksums de archivos e informes de cambios.
  • chkrookit – Analiza en busca de vulnerabilidades comunes.
  • Rkhunter – Analiza en busca de vulnerabilidades comunes.
  • Logwatch – Monitorea e informa sobre la actividad diaria del sistema.

Además, le recomendamos que permita que un profesional de seguridad técnica realice comprobaciones periódicas de la configuración de su sistema.

Controlar el acceso a los servicios por dirección IP

Puedes usar WHM’s Control de acceso de host interfaz (WHM >> Inicio >> Centro de seguridad >> Control de acceso de host) para permitir que solo ciertas direcciones IP accedan a los siguientes servicios en el servidor:

  • cPanel (cpaneld)
  • WHM (whostmgrd)
  • Webmail (webmaild)
  • Disco web (cpdavd)
  • FTP (ftpd)
  • SSH (sshd)
  • SMTP (smtp)
  • POP3 (pop3)
  • IMAP (imap)

También puede configurar el /etc/hosts.allow archivo directamente a través de la línea de comando. Para hacer esto, siga los siguientes pasos:

  1. Inicie sesión en su servidor como root usuario.

  2. Abre el /etc/hosts.allow archivo con su editor de texto preferido.

  3. Ingrese las reglas deseadas en el siguiente formato:

    service : IP address : action
    

    El siguiente ejemplo demuestra cómo permitir 192.168.0.0 Dirección IPv4 para acceder al servicio cPanel:

    cpaneld : 192.168.0.0 : allow
    

    El siguiente ejemplo demuestra cómo permitir 2001:0db8:0:0:1:0:0:1 Dirección IPv6 para acceder al servicio cPanel:

    cpaneld : [2001:0db8:0:0:1:0:0:1] : allow
    

Notas:

  • Cuando configura su firewall directamente, puede usar la notación CIDR.

  • WHM hace no utilizar una hosts.deny expediente. Agregue declaraciones de negación al /etc/hosts.allow expediente.

Habilita un firewall

Antes de eliminar todos los servicios y demonios no utilizados o deshabilitar los servicios y demonios no utilizados, puede habilitar un firewall para evitar el acceso no deseado. Para obtener más información sobre los puertos que cPanel & WHM requiere para funcionar correctamente, lea nuestro Cómo configurar su firewall para los servicios cPanel y WHM documentación.

Puede utilizar todos estos servicios u otros servicios, y debe ajustar sus reglas en consecuencia.

Recordar:

Establecer un cron trabajo para deshabilitar su firewall cada cinco minutos mientras prueba sus reglas, o su servidor puede bloquearlo.

Evite el abuso del correo electrónico

Si su servidor utiliza el Protocolo de transferencia de correo seguro (SMTP), le recomendamos que realice acciones para evitar el abuso de correo electrónico en su servidor cPanel & WHM. Esto puede evitar que los piratas informáticos obtengan acceso a su servidor. Para obtener información sobre cómo prevenir el abuso del correo electrónico, lea nuestro Cómo prevenir el abuso del correo electrónico documentación.

Estar al día

Nosotros fuertemente Le recomendamos que ejecute las últimas versiones estables del software en su sistema para asegurarse de que contiene parches para cualquier problema de seguridad. Tenga en cuenta las actualizaciones para lo siguiente:

  • Núcleo
  • cPanel y WHM
    • Puede configurarlos para que se actualicen automáticamente en WHM Actualizar preferencias interfaz (WHM >> Inicio >> Configuración del servidor >> Preferencias de actualización).
  • Aplicaciones de usuario (tablones de anuncios, sistemas de gestión de contenido, motores de blogs, etc.)
  • Software del sistema
    • Puede configurarlos para que se actualicen automáticamente en WHM Actualizar preferencias interfaz (WHM >> Inicio >> Configuración del servidor >> Preferencias de actualización).

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *