Protección de fuerza bruta cPHulk | Documentación de cPanel y WHM

Protección de fuerza bruta cPHulk

Válido para las versiones 82 hasta la última versión


Última modificación: 30 de junio de 2021

Visión general

Esta interfaz le permite configurar cPHulk, un servicio que brinda protección a su servidor contra ataques de fuerza bruta. Un ataque de fuerza bruta utiliza un sistema automatizado para adivinar la contraseña de su servidor o servicios web.

cPhulk supervisa los siguientes servidores y servicios web:

  • Servicios de cPanel (puerto 2083).

  • Servicios WHM (Puerto 2087).

  • Servicios de correo (Dovecot y Exim).

  • El servicio Pure-FTPd.

  • Acceso a Secure Shell (SSH).

Cuando cPHulk bloquea una dirección IP o una cuenta, lo hace no identificarse como la fuente del bloqueo. En cambio, la página de inicio de sesión muestra el siguiente mensaje de advertencia: El inicio de sesión no es válido.

Importante:

Nosotros fuertemente le recomendamos que agregue su propia dirección o direcciones IP a la lista blanca para evitar un bloqueo de la root cuenta de usuario.

Nota:

  • cPHulk hace no afectar la autenticación de clave pública al servidor. Si cPHulk bloquea una cuenta o todas las cuentas fuera del servidor, aún puede usar claves públicas, tokens de API y hashes de acceso para autenticarse en su servidor.
  • cPHulk hace no considere varios intentos de inicio de sesión que usen la misma dirección IP, nombre de usuario, y contraseña como fallas separadas si ocurren dentro del mismo período de seis horas.
  • Para administrar cPHulk desde la línea de comando, lea nuestro Gestión de cPHulk en la línea de comandos documentación.
  • los Crear ticket de soporte interfaz (WHM >> Inicio >> Soporte >> Crear ticket de soporte) agrega automáticamente las direcciones IP de cPanel Support a la lista blanca de cPHulk.

Habilitar cPHulk

Para habilitar cPHulk en el servidor, establezca el interruptor en Sobre.

Nota:

  • De forma predeterminada, su servidor establece el UseDNS ajuste a habilitado en el /etc/ssh/sshd_config expediente. los UseDNS La configuración envía el nombre de host al Módulo de autenticación de contraseña (PAM), que se envía con cPanel y WHM, para la autenticación de sesión SSH. cPHulk también solicita información de autenticación del PAM para determinar si un intento de inicio de sesión podría ser un ataque de fuerza bruta.
  • Si un atacante falsifica un registro de puntero DNS para hacerse pasar por un nombre de host de confianza, UseDNS la configuración y la lista blanca de cPHulk entrarán en conflicto. Esto permite al atacante realizar un ataque de fuerza bruta contra el servidor con intentos de inicio de sesión ilimitados. Por tanto, el sistema desactiva la UseDNS configuración cuando habilita cPHulk.

Configurar cPHulk

Ajustes de configuración

Puede configurar las siguientes opciones de Ajustes de configuración:

Protección basada en nombre de usuario

  • Protección basada en nombre de usuario – Ya sea para habilitar la configuración de protección basada en nombre de usuario. Establezca el interruptor en Sobre para habilitar el Protección basada en nombre de usuario configuración. La protección basada en el nombre de usuario realiza un seguimiento de los intentos de inicio de sesión de las cuentas de usuario. Cuando deshabilita cPHulk, los bloqueos de cuentas existentes permanecerán. Esta configuración tiene como valor predeterminado Sobre.

    Nota:

    • usted debe hacer clic Ahorrar para cambiar esta configuración.
    • El servidor lo hace no enviar notificaciones de ataques de fuerza bruta basados ​​en el nombre de usuario.
  • Período de protección de fuerza bruta (en minutos): la cantidad de minutos durante los cuales cPHulk mide todos los intentos de inicio de sesión en la cuenta de un usuario específico. Esta configuración tiene como valor predeterminado 5.

    • Si varios atacantes intentan iniciar sesión y llegan a la cuenta Fallos máximos por cuenta valor dentro de este período, cPHulk clasifica esto como un intento de fuerza bruta.

    • cPHulk bloquea los inicios de sesión desde alguna Direcciones IP de esa cuenta, independientemente de la dirección o direcciones IP de los atacantes.

    • Ingrese un valor entre 1 y 1,440 para esta configuración.

  • Fallos máximos por cuenta – El número máximo de fallas que cPHulk permite por cuenta dentro del Período de protección de fuerza bruta (en minutos) intervalo de tiempo. Esta configuración tiene como valor predeterminado 15.

    • Si un ataque de fuerza bruta alcanza este número de intentos, el sistema bloquea la cuenta, independientemente de las direcciones IP de los atacantes.

    • cPHulk bloquea la cuenta durante un minuto por cada intento que permita con esta configuración. Por ejemplo, si configura el Fallos máximos por cuenta ajuste a 15, después de 15 intentos de inicio de sesión, cPHulk bloquea la cuenta durante 15 minutos.

    • Cuando estableces este valor en 0, bloques cPHulk todos intentos de inicio de sesión (esto incluye root cuenta). Para evitar este bloqueo, debe Incluya su dirección IP en la lista blanca.

  • Aplicar protección … – Seleccione una de las siguientes opciones para controlar cómo cPHulk aplica su protección:

    • Aplicar protección solo a direcciones locales – Limite la protección basada en nombre de usuario para activar solamente en solicitudes que se originan en el sistema local. Esto asegura que un usuario no pueda hacer fuerza bruta a otras cuentas en el mismo servidor. Ésta es la configuración predeterminada.

    • Aplicar protección a direcciones locales y remotas – Permita que la protección basada en el nombre de usuario se active para todas las solicitudes, independientemente de su origen.

  • Permitir que la protección del nombre de usuario bloquee al usuario «root» – Ya sea para aplicar reglas de protección basadas en nombre de usuario al root usuario. Esta casilla de verificación no está seleccionada de forma predeterminada.

Protección basada en direcciones IP

  • Protección basada en direcciones IP – Si habilitar la configuración de protección relacionada con la dirección IP. Establezca el interruptor en On para habilitar el Protección basada en direcciones IP configuración. La protección basada en direcciones IP rastrea los intentos de inicio de sesión desde direcciones IP específicas. Cuando deshabilita cPHulk, los bloqueos de cuentas existentes permanecerán. Esta configuración tiene como valor predeterminado Sobre.

    Nota:

    Debes hacer clic Ahorrar para implementar cualquier cambio en esta configuración.

  • Período de protección de fuerza bruta basado en direcciones IP (en minutos) – La cantidad de minutos durante los cuales cPHulk mide todos los intentos de inicio de sesión desde la dirección IP de un atacante. cPHulk clasifica lo siguiente como un ataque de fuerza bruta:

    • Los atacantes en una dirección IP específica intentan iniciar sesión repetidamente con diferentes nombres de usuario o contraseñas.

    • Llegan a la Fallos máximos por dirección IP valor.

  • Fallos máximos por dirección IP – El número máximo de veces que un atacante potencial en una dirección IP específica puede fallar al iniciar sesión antes de que cPHulk bloquee esa dirección IP. Cuando estableces este valor en 0, bloques cPHulk todos intentos de inicio de sesión (esto incluye root cuenta). Para evitar este bloqueo, debe Incluya su dirección IP en la lista blanca. Esta configuración tiene como valor predeterminado 5.

  • Comando para ejecutar cuando una dirección IP activa la protección de fuerza bruta – La ruta completa a un comando que desea que ejecute el sistema cuando una dirección IP activa la protección por fuerza bruta. Para obtener una lista de variables para usar en este comando, lea el Variables de comando sección siguiente.

  • Bloquear direcciones IP en el nivel del firewall si activan la protección por fuerza bruta —Si desea agregar automáticamente direcciones IP que activen la protección de fuerza bruta al firewall.

    Nota:

    • Esta opción escribe un nuevo iptables regla y requiere iptables versión 1.4 o superior para bloquear direcciones IP en el nivel basado en direcciones IP.

    • Esta opción hace no existen en Virtuozzo.

Bloques de un día

  • Número máximo de errores por dirección IP antes de que se bloquee la dirección IP durante un día – La cantidad máxima de veces que un atacante potencial en una dirección IP específica puede fallar al iniciar sesión antes de que cPHulk bloquee esa dirección IP por un período de un día. Esta opción tiene como valor predeterminado 30.

  • Comando para ejecutar cuando una dirección IP activa un bloqueo de un día – La ruta completa a un comando que desea que el sistema ejecute cuando el sistema bloquea una dirección IP durante un período de un día. Para obtener una lista de variables para usar en este comando, lea el Variables de comando sección siguiente.

  • Bloquear direcciones IP en el nivel del firewall si activan un bloqueo de un día – Si desea agregar automáticamente direcciones IP que desencadenan un bloqueo de un día al firewall. Esta opción escribe un nuevo iptables regla y requiere iptables versión 1.4 o superior. Esta casilla de verificación está seleccionada de forma predeterminada.

    Nota:

    • Esta opción escribe un nuevo iptables regla y requiere iptables versión 1.4 o superior para bloquear direcciones IP en el nivel basado en direcciones IP.

    • Esta opción hace no existen en Virtuozzo.

Historial de inicio de sesión

Esta configuración tiene como valor predeterminado 360.

Notificaciones

  • Envíe una notificación sobre el inicio de sesión de root exitoso cuando la dirección IP no esté en la lista blanca – Si desea recibir una notificación cuando el usuario root inicie sesión correctamente desde una dirección IP que no existe en la lista blanca. Esta casilla de verificación no está seleccionada de forma predeterminada.

    Nota:

    El sistema solo envía una notificación una vez en cualquier período de 24 horas para una combinación específica de nombre de usuario, servicio y dirección IP.

  • Envíe una notificación al iniciar sesión correctamente como root cuando la dirección IP no esté en la lista blanca, sino de un bloque de red conocido. – Si desea recibir una notificación cuando el usuario root inicie sesión correctamente desde una dirección IP que no existe en la lista blanca, pero que existe en un bloque de red conocido. Esta casilla de verificación no está seleccionada de forma predeterminada.

  • Envíe una notificación cuando el sistema detecte un usuario de fuerza bruta – Si desea recibir una notificación cuando cPHulk detecta un ataque de fuerza bruta. Esta casilla de verificación está seleccionada de forma predeterminada.

Gestión de listas blancas

los Gestión de listas blancas Las opciones le permiten administrar las direcciones IP en la lista blanca de su servidor. La lista blanca especifica las direcciones IP para las que cPHulk siempre permite inicios de sesión en su servidor.

Importante:

Nosotros fuertemente le recomendamos que agregue su propia dirección IP a la lista blanca para evitar bloqueos de root cuenta. cPHulk muestra una advertencia si la lista blanca no incluye su dirección IP. Hacer clic Agregar a la lista blanca en la notificación para agregar automáticamente su dirección IP.

Nuevos registros de la lista blanca

Para agregar direcciones IP a la lista blanca de cPHulk, realice los siguientes pasos:

  1. Ingrese una o más direcciones IP, una por línea, en el Nuevos registros de la lista blanca caja de texto.

    Nota:

    Introduzca las direcciones IP individualmente (IPv4 o IPv6) o en Formato CIDR.

  2. Introduzca los comentarios que desee en el Comentario caja de texto. Este comentario se mostrará para cada una de las direcciones IP que ingresó.

  3. Hacer clic Agregar.

Eliminar una dirección IP

Para eliminar una sola dirección IP de la lista blanca, haga clic en Borrar a la derecha de esa dirección IP.

Para eliminar varias direcciones IP de la lista blanca, realice los siguientes pasos:

  1. Seleccione las casillas de verificación a la izquierda de cada dirección IP que desee eliminar, o seleccione la casilla de verificación a la izquierda de la Dirección IP encabezado para seleccionarlos todos.

  2. Haga clic en el icono de rueda dentada en la parte superior derecha de la lista y haga clic en Eliminar seleccionado.

Para eliminar todas las direcciones IP de la lista blanca, también puede hacer clic en el ícono de ajustes en la parte superior derecha de la lista y hacer clic en Eliminar todos.

Para modificar el comentario de una dirección IP, realice los siguientes pasos:

  1. Hacer clic Editar a la derecha de esa dirección IP. A Comentario El cuadro de texto aparecerá a la izquierda de la lista.

  2. Ingrese el nuevo comentario en el Comentario caja de texto.

  3. Haga clic en Actualizar para guardar su cambio, o Cancelar para rechazarlo.

Gestión de listas negras

los Gestión de listas negras Las opciones le permiten administrar las direcciones IP en la lista negra de su servidor. La lista negra especifica las direcciones IP para las que cPHulk Nunca permite inicios de sesión en su servidor.

Nuevos registros de la lista negra

Para agregar direcciones IP a la lista negra de cPHulk, realice los siguientes pasos:

  1. Ingrese una o más direcciones IP, una por línea, en el Nuevo Registros de la lista negra caja de texto.

    Nota:

    Introduzca las direcciones IP individualmente (IPv4 o IPv6) o en Formato CIDR.

  2. Introduzca los comentarios que desee en el Comentario caja de texto. Este comentario se mostrará para cada …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *