GNU/Linux >> Linux Esercitazione >  >> Panels >> cPanel

Come configurare il firewall cPanel nel cloud

Scopri come configurare i firewall cPanel nella maggior parte delle piattaforme cloud o utilizzare altri strumenti di sicurezza per rafforzare e proteggere il tuo server cPanel da attacchi dannosi.

Immagina che dopo che l'iniziale erezione delle pareti di questa nuova casa è stata completata, la casa rimanga senza tetto per proteggere i suoi occupanti dalle intemperie né porte per tenerli al sicuro dagli animali selvatici che vorranno divorarli per cena.

L'analogia di cui sopra è spesso ciò che accade quando un amministratore del server distribuisce un server e poi dimentica l'aspetto più fondamentale del processo:la sicurezza.

Il cloud ha offerto agli amministratori di server la possibilità di avviare qualsiasi tipo di server in meno di 55 secondi.

Il problema è che spesso gli amministratori dei server tendono a dimenticare l'aspetto più fondamentale del processo:la sicurezza.

Sebbene la maggior parte del più grande sistema cloud che abbiamo abbracciato abbia misure integrate progettate per impedirci di diventare vittime della nostra natura umana, non ha cambiato il fatto che quando si implementa un sistema e non lo si è progettato dalla sua concezione per sicurezza, dovrai affrontare una strada difficile lungo la linea.

Il fatto è che il 98% della maggior parte degli attacchi che un sistema connesso online dovrà affrontare sono di natura opportunistica piuttosto che mirata.

Quando un utente malintenzionato tenta la fortuna con un sistema e lo trova protetto in modo robusto, passerà a obiettivi più semplici.

Con un server non protetto, la storia sarà diversa in quanto chiunque abbia intenzioni dannose vedrà immediatamente la scatola come un piatto pronto per la raccolta.

Inoltre, un server non protetto non dovrebbe essere online, non solo perché va contro tutto ciò che dovrebbe essere un buon amministratore, ma perché rende Internet più insicuro.

Cosa sono i firewall nell'informatica?

Cosa sono i firewall nell'informatica?

Nella progettazione dell'infrastruttura informatica, Internet viene sempre trattata come una rete esterna non affidabile.

Un firewall monitora e controlla il traffico di rete in entrata e in uscita in base a regole di sicurezza predeterminate.

Proprio come qualsiasi edificio ben progettato dovrebbe avere un muro destinato a contenere il fuoco all'interno di un edificio, punti di ingresso e uscita designati e regole su chi dovrebbe essere autorizzato ad accedere e chi dovrebbe essere respinto, un firewall ben implementato consente a un amministratore di sistema di definire quali comunicazioni in entrata e in uscita sono consentite da un server e anche la capacità di mitigare le minacce all'interno di un parametro impostato.

In qualità di amministratore di sistema, il punto di partenza standard per quanto riguarda la sicurezza è:

  • tieni presente che qualsiasi software può essere sfruttato incluso cPanel.
  • comprendere e trattare ogni input dell'utente è potenzialmente ostile e dannoso
  • applica buone pratiche di sicurezza per difendere un'infrastruttura
  • evita di implementare qualsiasi soluzione di sicurezza che non capisci come in comprensione.
  • registra tutti i comportamenti sospetti se e quando è necessario per la scientifica
  • progetta un sistema in modo tale da consentirti di ripristinare l'infrastruttura allo stato precedente al compromesso.
  • vai oltre il port firewalling per nascondere protocolli non sicuri ma affidandoti alla sicurezza dei protocolli che utilizzi per difendere la tua infrastruttura.
  • fornire il privilegio minimo necessario per completare un'operazione con successo, ma nient'altro che ciò che è necessario.

Come configurare un firewall cPanel per la mitigazione

Quindi, come si fa a proteggere, ad esempio, un server Web cPanel pubblico per ridurre le possibilità che venga compromesso?

Iniziamo con le basi quando si installa un nuovo server cPanel.

Rimuovi tutte le regole esistenti

Proprio come non inizieresti a costruire un edificio in aggiunta a ciò che qualcuno ha già creato, è sempre meglio eliminare tutte le regole del firewall esistenti prima di implementarne una nuova.

In questo modo avrai un'idea chiara e coerente di ciò che stai consentendo e bloccando sul tuo sistema, un'informazione che vorresti avere in testa quando hai a che fare con una minaccia in corso.

Quando si installa cPanel su una nuova macchina, è necessario disattivare il firewall prima di eseguire lo script di installazione con:

iptables-save > ~/firewall.rules
systemctl stop firewalld.service
systemctl disable firewalld.service

dove ~/firewall.rules rappresenta il file delle regole del firewall.

Lo stesso comando funzionerà anche su CentOS, Red Hat® Enterprise Linux, CloudLinux™ e Amazon®.

Al termine del processo di installazione, puoi selezionare e configurare un firewall da una delle opzioni seguenti.

Disabilita SELinux

SELinux (Linux con sicurezza avanzata ) in modalità enforcing è appositamente costruito per rendere il tuo server web una fortezza ma, francamente, ci vuole molto lavoro per configurare SELinux anche una macchina Linux di base.

E mentre cPanel e WHM possono essere in grado di funzionare con SELinux in modalità permissiva, genera un gran numero di voci di registro che non vorresti.

Si consiglia vivamente di disabilitare SELinux e riavviare il sistema prima di installare cPanel su qualsiasi sistema.

Per disabilitare le funzionalità di sicurezza di SELinux, utilizzare uno dei seguenti metodi:

Apri il tuo Terminale ed esegui:

$ sudo cp /etc/selinux/config /etc/selinux/config.backup
$ sudo vi /etc/selinux/config

Il file /etc/selinux/config consente di impostare i parametri SELINUX che si desidera far eseguire al server.

Quando si apre, vedrai qualcosa del genere:

This file controls the state of SELinux on the system.
 SELINUX= can take one of these three values:
 enforcing - SELinux security policy is enforced.
 permissive - SELinux prints warnings instead of enforcing.
 disabled - No SELinux policy is loaded.
 SELINUX=enabled
 SELINUXTYPE= can take one of these two values:
 targeted - Only targeted network daemons are protected.
 strict - Full SELinux protection.
 SELINUXTYPE=targeted

Il parametro che stai cercando è “SELINUX=enable”

Tutto quello che devi fare è sostituire la parola "abilitato ” con “disabilitato “.

Salva il file eseguendo “:wq ” ed esci.

Riavvia il server:

sudo systemctl reboot

sistema di controllo è un'utilità della riga di comando e uno strumento principale per gestire il systemd demoni/servizi come (avvio, riavvio, arresto, abilitazione, disabilitazione, ricarica e stato).

Ora puoi avviare l'installazione di cPanel e, una volta completata, sarà il momento di avviare la configurazione di sicurezza.

Che tipo di firewall puoi utilizzare con cPanel?

Il tipo di firewall che utilizzerai con cPanel dipenderà in gran parte da due cose:

  • l'ambiente di distribuzione (on-premise o basato su cloud)
  • il tuo livello di familiarità con gli strumenti che desideri utilizzare

Implementazione del firewall cPanel sul cloud

Se utilizzi un cloud pubblico come AWS, Google Cloud Platform, Microsoft Azure, Alibabacloud e molti altri, puoi fare tutto ciò che vuoi dal livello del data center.

Ma ciò richiede la possibilità di creare un VPC (il datacenter in cloud-speak) e mentre le interfacce topografiche e la convenzione di denominazione su ciascuna di queste piattaforme sono diverse, tutto si riduce a una cosa:essere in grado di determinare quale traffico in ingresso e in uscita a cui vuoi concedere l'accesso.

Ciò spesso richiede di capire quali porte il server dovrà eseguire in modo ottimale e quindi consentire l'accesso in entrata a queste.

Esistono altri livelli di sicurezza opzionali come gli ACL di rete (che per impostazione predefinita consentono tutto il traffico IPv4 in entrata e in uscita e, se applicabile, il traffico IPv6.) che fungono da firewall per controllare il traffico in entrata e in uscita da una o più sottoreti.

Ma in questo momento ci atterremo alle basi.

Gruppi di sicurezza

Nel cloud, un gruppo di sicurezza funge da firewall virtuale che controlla il traffico per una o più istanze e fornisce sicurezza a livello di protocollo e di accesso alla porta.

Quando avvii un'istanza, puoi specificare uno o più gruppi di sicurezza; in caso contrario, utilizziamo il gruppo di sicurezza predefinito.

Puoi aggiungere regole a ciascun gruppo di sicurezza che consente il traffico da o verso le istanze associate.

Ciascun gruppo di sicurezza, che funziona più o meno allo stesso modo di un firewall, contiene una serie di regole che filtrano il traffico in entrata e in uscita da un'istanza.

Non ci sono regole "Nega".

Piuttosto, se non esiste una regola che consente esplicitamente un particolare pacchetto di dati, verrà eliminato.

Puoi modificare le regole per un gruppo di sicurezza in qualsiasi momento; le nuove regole vengono applicate automaticamente a tutte le istanze associate al gruppo di sicurezza.

Quando decidiamo se consentire al traffico di raggiungere un'istanza, valutiamo tutte le regole di tutti i gruppi di sicurezza associati all'istanza.

Su Microsoft Azure , questo è chiamato Network Security Groups (NSG).

Piattaforma Google Cloud chiama le proprie regole Firewall (Rete>>> Rete VPC).

I firewall GCP si applicano a una singola rete VPC ma sono considerati una risorsa globale perché i pacchetti possono raggiungerli da altre reti.

AWS &Alibabacloud chiama i loro gruppi di sicurezza.

Cose da tenere a mente:

La sicurezza dovrebbe far parte della progettazione iniziale dell'architettura, non un ripensamento .

Anche se puoi sempre tornare indietro e assegnare un gruppo di sicurezza appena creato a un'istanza, crea sempre il tuo VPC con la sua sottorete, route, firewall e tutto il resto anche prima di avviare la tua prima macchina virtuale.

In questo modo, durante la distribuzione dell'istanza, puoi semplicemente selezionare un gruppo di sicurezza esistente, ricontrollare tutte le porte prima di avviare la distribuzione.

Tieni presente che su ciascuna di queste piattaforme sei limitato a un certo numero di gruppi di sicurezza per VPC .

Puoi sempre richiedere l'aumento del limite, ma potresti notare un impatto sulle prestazioni della rete.

Inoltre, assicurati che le regole del firewall corrispondano al modo in cui utilizzi i servizi di cPanel e WHM.

Creazione di gruppi di sicurezza

AWS

Per creare un gruppo di sicurezza utilizzando la console AWS

Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

Nel riquadro di navigazione, scegli Gruppi di sicurezza .

Scegli Crea gruppo di sicurezza .

Immettere il nome del gruppo di sicurezza (ad esempio, cpanel_security_group) e fornire una descrizione.

Seleziona l'ID del tuo VPC dal menu VPC e scegli Sì, Crea .

Puoi anche usare:

aws ec2 create-security-group --group-name MySecurityGroup --description "My security group" --vpc-id vpc-1a2b3c4d

Nella scheda Regole in entrata, scegli Modifica .

Selezionare un'opzione per una regola per il traffico in entrata per Tipo, quindi inserire le informazioni richieste.

Specifica un valore per Source come 0.0.0.0/0.

Facoltativamente, fornisci una descrizione per ciascuna regola, quindi scegli Salva .

Microsoft Azure

Dal Centro sicurezza di Azure sarà possibile visualizzare un elenco delle regole del gruppo di sicurezza di rete (NSG) e dell'elenco di controllo di accesso (ACL) che consentono o negano il traffico di rete alle istanze della macchina virtuale in una rete virtuale.

Quando un NSG è associato a una sottorete, le regole ACL si applicano a tutte le istanze VM in quella sottorete.

Microsoft Azure ha un modulo più lungo con più campi da compilare.

Ma è relativamente semplice e fa esattamente la stessa cosa che vedrai sulle altre piattaforme cloud.

Per creare un gruppo di sicurezza di rete in Microsoft Azure,

Nell'angolo in alto a sinistra del portale, seleziona + Crea una risorsa.

Seleziona Rete, quindi seleziona il gruppo di sicurezza di rete.

Inserisci un nome per il gruppo di sicurezza di rete, seleziona la tua sottoscrizione, crea un nuovo gruppo di risorse o seleziona un gruppo di risorse esistente, seleziona una Posizione , quindi seleziona Crea .

Nella casella di ricerca nella parte superiore del portale, inserisci i gruppi di sicurezza di rete nella casella di ricerca.

Quando i gruppi di sicurezza di rete vengono visualizzati nei risultati della ricerca, selezionalo.
Seleziona il gruppo di sicurezza di rete che desideri modificare.

Seleziona Regole di sicurezza in entrata in IMPOSTAZIONI .

Sono elencate diverse regole esistenti.

Quando viene creato un gruppo di sicurezza di rete, vengono create diverse regole di sicurezza predefinite.

Non puoi eliminare le regole di sicurezza predefinite, ma puoi sovrascriverle con regole che hanno una priorità più alta.

Per ulteriori informazioni sulle regole di sicurezza predefinite, visita https://docs.microsoft.com/en-us/azure/virtual-network/security-overview#default-security-rules.

Seleziona + Aggiungi .

Seleziona o aggiungi valori per le seguenti impostazioni:

  • Sorgente (qualsiasi, gruppo di sicurezza dell'applicazione, indirizzi IP o codice di matricola)
  • Intervalli di porte di origine (0.0.0.0/0)
  • Destinazione (qualsiasi, gruppo di sicurezza dell'applicazione, indirizzi IP o rete virtuale)
  • Intervalli di porte di destinazione
  • Protocollo (Qualsiasi, TCP o UDP)
  • Azione (Consenti o Nega)
  • Priorità (100-4096:più basso è il numero, maggiore è la priorità. Lascia uno spazio tra i numeri di priorità durante la creazione di regole, ad esempio 100, 200, 300. Lasciando degli spazi vuoti sarà più facile aggiungere regole in futuro che tu potrebbe essere necessario aumentare o diminuire le regole esistenti.)
    Nome
  • Descrizione opzionale

Seleziona OK .

Alibabanuvola

Accedi alla console ECS.

Nel riquadro di navigazione a sinistra, seleziona Reti e sicurezza> Gruppi di sicurezza .

Seleziona la regione di destinazione.

Trova il gruppo di sicurezza per aggiungere regole di autorizzazione e quindi, nella colonna Azioni, fai clic su Aggiungi regole .

Nella pagina Regole del gruppo di sicurezza, fai clic su Aggiungi gruppo di sicurezza Regola.

Nella finestra di dialogo, imposta i seguenti parametri:

Direzione della regola:

  • In uscita:le istanze ECS accedono ad altre istanze ECS su reti Intranet o tramite risorse Internet.
  • In entrata:altre istanze ECS nella intranet e risorse Internet accedono all'istanza ECS.

Azione:

  • Seleziona Consenti o Vieta.
  • Tipo di protocollo e intervallo di porte
  • Tipo di autorizzazione e Oggetto di autorizzazione
  • Priorità:l'intervallo di valori è 1-100. Ricorda, minore è il valore, maggiore è la priorità.

Fai clic su OK .

Piattaforma Google Cloud

Su Google Cloud Platform, ogni rete VPC funziona come un firewall distribuito.

Sebbene le regole del firewall siano definite a livello di rete, le connessioni sono consentite o negate in base all'istanza.

Puoi pensare alle regole del firewall GCP come esistenti non solo tra le tue istanze e altre reti, ma anche tra singole istanze all'interno della stessa rete.

Quando crei una regola del firewall GCP, specifichi una rete VPC e un insieme di componenti che definiscono cosa farà la regola.

I componenti ti consentono di indirizzare determinati tipi di traffico, in base al protocollo, alle porte, alle origini e alle destinazioni del traffico

A differenza di AWS, le regole del firewall GCP supportano solo il traffico IPv4.

Quando specifichi un'origine per una regola di ingresso o una destinazione per una regola di uscita in base all'indirizzo, puoi utilizzare solo un indirizzo IPv4 o un blocco IPv4 nella notazione CIDR.

Ricorda che devi creare una rete personalizzata prima di poterlo fare.

Prodotti e servizi> Rete VPC> Reti VPC

Fai clic su + CREA RETE VPC .

Procedi come segue, lasciando tutti gli altri campi con i valori predefiniti:

Specifica le sottoreti

Fai clic su Crea .

Visita Prodotti e servizi> Rete VPC> Regole del firewall

Fai clic sulla rete che hai creato.

Noterai che non sono state create regole firewall predefinite per la rete personalizzata.

Dovrai aggiungere manualmente le regole predefinite nel passaggio successivo.

Fai clic su + CREA REGOLA FIREWALL .

Immettere quanto segue, lasciando tutti gli altri campi con i valori predefiniti:

Property                         Value
 Name:                            allow-ssh-icmp-rdp-learncustom
 Network:                         learncustom
 Direction of traffic:            Ingress
 Action on match:                 Allow
 Targets:                         cpanel
 Target tags:                     cpanel, cloudlinux
 Source filter:                   IP ranges
 Source IP ranges:                0.0.0.0/0
 Protocols and ports:             Specified protocols and ports
 type:                            icmp; tcp:22; tcp:25; tcp:53; tcp:80; tcp:110; tcp:143; tcp:443; tcp:465; tcp:587; tcp:993; tcp:995; tcp:2078; tcp:2080; tcp:2083; tcp:2087; tcp:2096; udp:53; udp:123; udp:465; udp:783; udp:873; udp:6277; udp:24441

Assicurati che l'indirizzo del filtro di origine includa "/0" finale.

Se specifichi 0.0.0.0 invece di 0.0.0.0/0, il filtro verrà impostato automaticamente su 0.0.0.0/32, un indirizzo host esatto che non esiste.

Fai clic su Crea .

Porte firewall dei servizi cPanel

Ecco le porte utilizzate da cPanel e WHM e i servizi che utilizzano ciascuna di queste porte.

Abbiamo rimosso tutti i servizi non SSL poiché l'utilizzo di questi consente agli aggressori di intercettare informazioni sensibili, come le credenziali di accesso.

Riteniamo che tu sappia già cos'è una porta.

Ma se non lo sai, diamo una rapida occhiata a cos'è una porta in rete.

Nel modello di rete OSI, le porte fanno principalmente parte del livello di trasporto (ma possono anche far parte del livello di rete e persino del livello di sessione, a seconda della macchina di avvio (porta di origine) e del servizio chiamato (porta di destinazione + IP) e chi hai chiesto) e si occupa della comunicazione end-to-end tra diversi servizi e applicazioni.

Un numero di porta è un numero intero senza segno a 16 bit, quindi compreso tra 0 e 65535.

Per TCP, la porta numero 0 è riservata e non può essere utilizzata, mentre per UDP, la porta di origine è facoltativa e un valore zero significa nessuna porta.

Ad esempio, HTTP ha la porta 80 assegnata.

Pertanto, quando un client desidera contattare un server HTTP, utilizza la porta di destinazione 80 e una porta di origine univoca per il processo che effettua la richiesta.

Ciò consente all'host ricevente di inviare qualsiasi pacchetto ricevuto con una destinazione della porta 80 ai processi che "ascoltano" quei pacchetti, che, se ce ne sono, sarebbero normalmente un processo del server HTTP.

Quando il server HTTP risponde, utilizza la porta di origine del client come porta di destinazione della risposta e potrebbe utilizzare la porta 80 come porta di origine del pacchetto di risposta.

Ciò consente al client originale di inoltrare rapidamente la porta al processo che ha effettuato la richiesta.

Al momento, le porte cPanel vanno da "1" (CPAN) a "24441" (Pyzor).

Porta Servizio TCP UDP In entrata In uscita
1 CPAN
22 SSH/SFTP
25 SMTP
26 SMTP
37 rdata
43 chi è
53 legare
80 httpd
110 pop3
113 ident
143 IMAP
443 httpd
465 SMTP, SSL/TLS
579 cPHulk
783 Apache Spam
873 rsync
993 IMAP SSL
995 POP3 SSL
2703 Rasoio
2078 WebDAV SSL
2080 CalDAV e CardDAV (SSL)
2083 cPanel SSL
2087 SSL WHM
2089 Licenze cPanel
2096 Webmail SSL
2195 APN
6277 DCC
24441 Pyzor

Il più importante di questo processo sono le porte in entrata.

Altre considerazioni che potresti portare a termine sono:

  • consenti il ​​libero accesso all'interfaccia di loopback. A differenza delle interfacce esterne, l'associazione del processo a localhost è generalmente utile per la sicurezza e quindi limitare l'accesso all'interfaccia di loopback causa più danni che benefici. Questo ti lascia esposto a un attacco da parte di un utente locale, ma è un rischio che devi bilanciare per te stesso.
  • non limitare tutto il traffico ICMP (Internet Control Message Protocol). Consentire ICMP è fondamentale per il funzionamento di Internet; router e host lo utilizzano per comunicare informazioni critiche come la disponibilità del servizio, le dimensioni dei pacchetti e l'esistenza dell'host. I tipi 3 e 4, Destinazione irraggiungibile e Source Quench, sono fondamentali e limitarli potrebbe causare più danni che guadagni in futuro.

Altre opzioni firewall disponibili

Firewall per script cPanel

Le nuove versioni di cPanel e WHM includono il servizio cpanel, che gestisce tutte le regole in /etc/firewalld/services/cpanel.xml file.

Ciò consente l'accesso TCP per le porte del server.

Per sostituire le regole di iptables esistenti con le regole nel file /etc/firewalld/services/cpanel.xml, esegui i seguenti passaggi:

  • esegui il comando yum install firewalld per assicurarti che sul tuo sistema sia installato firewalld.
  • esegui il comando systemctl start firewalld.service per avviare il servizio firewalld.
  • esegui il comando systemctl enable firewalld per avviare il servizio firewalld all'avvio del server.
  • esegui il comando iptables-save> backupfile per salvare le regole del firewall esistenti.
  • esegui lo script /usr/local/cpanel/scripts/configure_firewall_for_cpanel. Questo cancella anche tutte le voci esistenti dall'applicazione iptables. io
  • esegui il comando iptables-restore

Per impostazione predefinita, i comandi firewall-cmd si applicano alla configurazione di runtime, ma l'utilizzo del flag –permanent stabilirà una configurazione persistente.

Quindi, se devi aggiungere porte aggiuntive, aggiungi la regola (porta o servizio) sia al set permanente che a quello di runtime:

Puoi utilizzare questi esempi di seguito:

sudo firewall-cmd --zone=public --add-port=45000/tcp --permanent
sudo firewall-cmd --zone=public --permanent --add-service=ssh --permanent
sudo firewall-cmd --zone=public --permanent --add-service=ssh
sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=http
sudo firewall-cmd --zone=public --permanent --add-service=https --permanent
sudo firewall-cmd --zone=public --permanent --add-service=https
sudo firewall-cmd --reload


Firewall

Ogni server che esegue i sistemi operativi CentOS 7, CloudLinux 7 e RHEL 7 avrà il demone firewalld preinstallato ma spesso inattivo.

FirewallD è un demone del servizio firewall.

Sostituisce l'interfaccia iptables e si collega al codice del kernel netfilter.

Essendo dinamico, consente di creare, modificare ed eliminare le regole senza la necessità di riavviare il demone del firewall ogni volta che le regole vengono modificate.

Firewalld utilizza i concetti di zone e servizi, che semplificano la gestione del traffico.

Le zone sono insiemi predefiniti di regole.

Le interfacce di rete e le sorgenti possono essere assegnate a una zona.

Il traffico consentito dipende dalla rete a cui è connesso il computer e dal livello di sicurezza assegnato a questa rete.

I servizi firewall sono regole predefinite che coprono tutte le impostazioni necessarie per consentire il traffico in entrata per un servizio specifico e si applicano all'interno di una zona.

Per controllare lo stato del firewall, digita:

systemctl status firewalld

o

firewall-cmd --state

Per avviare il servizio e abilitare FirewallD all'avvio:

sudo systemctl start firewalld

sudo systemctl abilita firewalld

Per interromperlo e disabilitarlo:

sudo systemctl stop firewalld

sudo systemctl disable firewalld

Per visualizzare i servizi disponibili predefiniti:

sudo firewall-cmd --get-services

I file di configurazione si trovano in due directory:

  • /usr/lib/FirewallD contiene configurazioni predefinite come zone predefinite e servizi comuni. Evita di aggiornarli perché quei file verranno sovrascritti da ogni aggiornamento del pacchetto firewalld.
  • /etc/firewalld contiene i file di configurazione del sistema. Questi file sovrascriveranno una configurazione predefinita.

Puoi leggere su:

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-using_firewalls#sec-Introduction_to_firewalld
https://firewalld.org/
https://fedoraproject.org/wiki/FirewallD
https://www.unix.com/man-page/centos/1/firewall-cmd/

LCS

ConfigServer è un Ispezione con stato dei pacchetti gratuito e affidabile (SPI), Accesso/Rilevamento intrusioni per server Linux e probabilmente uno degli strumenti più semplici che puoi utilizzare per proteggere il tuo server cPanel.

Ha un'integrazione nativa con cPanel/WHM, DirectAdmin e Webmin con un front-end sia per CSF che per LFD (Login Failure Daemon) accessibile dall'account root.

Da questa interfaccia è possibile modificare i file di configurazione e arrestare, avviare e riavviare le applicazioni e verificarne lo stato.

Questo rende davvero molto semplice la configurazione e la gestione del firewall.

L'installazione di CSF per cPanel e DirectAdmin è preconfigurata per funzionare su quelli
server con tutte le porte standard aperte.

Configura automaticamente la tua porta SSH sull'installazione in cui è in esecuzione su un
porta standard.

CSF inserisce automaticamente nella whitelist il tuo indirizzo IP connesso, ove possibile, durante l'installazione.

Per installare CSF, esegui i seguenti comandi come utente root:

cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf && ./install.sh

Per configurare CSF, visita l'interfaccia ConfigServer &Firewall di WHM in (Home>> Plugin>> ConfigServer e Firewall ).

Tieni presente che non è davvero consigliabile eseguire più firewall su un sistema.

Questa regola tuttavia non è applicabile a Imunify360 poiché è possibile eseguire e abilitare CSF quando Imunify360 è già in esecuzione.

Tutti gli indirizzi IP dalla White List di Imunify360 verranno esportati nell'elenco di ignorati CSF.

Se hai installato Imunify360, quindi installa CSF, Imunify360 passa alla modalità di integrazione CSF.

Per verificare se l'integrazione CSF è abilitata, vai su Imunify360Scheda FirewallLista bianca sezione e verificare se è presente un messaggio di avviso "CSF è abilitato. Gestisci gli IP inseriti nella whitelist in CSF utilizzando l'interfaccia utente CSF o il file di configurazione “.

Significa che l'integrazione di CSF e Imunify360 è stata elaborata correttamente.

Se stai usando CSF ​​da solo, spesso è meglio usarlo insieme a ConfigServer ModSecurity Control (CMC) che ti fornisce un'interfaccia per l'implementazione mod_security di cPanel dall'interno di WHM.

Con ConfigServer ModSecurity Control puoi:

  • disabilita le regole mod_security che hanno numeri ID univoci a livello globale, per utente cPanel o per livello di dominio ospitato
  • disabilita completamente mod_security, anche a livello globale, per utente cPanel o per livello di dominio ospitato
  • modifica i file contenenti le impostazioni di configurazione di mod_security in /usr/local/apache/conf
  • visualizza le ultime voci del registro mod_security

Per leggere come funziona Imunify360 con ConfigServer Security &Firewall (CSF), visita https://docs.imunify360.com/ids_integration/#csf-integration.

Per leggere come configurare CSF con tutte le sue opzioni disponibili, visita https://download.configserver.com/csf/readme.txt.

Per vedere come installare ConfigServer ModSecurity Control, visitare https://download.configserver.com/cmc/INSTALL.txt

Per vedere come installare ConfigServer ModSecurity Control, visitare https://download.configserver.com/cmc/INSTALL.txt

APF

APF funge da interfaccia front-end per l'applicazione iptables e consente di aprire o chiudere le porte senza l'uso della sintassi di iptables.

L'esempio seguente include due regole che puoi aggiungere al file /etc/apf/conf.apf per consentire l'accesso HTTP e HTTPS al tuo sistema:

Common ingress (inbound) TCP ports
IG_TCP_CPORTS="80,443″# Common egress (outbound) TCP ports
EG_TCP_CPORTS="80″

Fail2ban

Fail2ban è un software di prevenzione delle intrusioni e un'applicazione di analisi dei registri che monitora i registri di sistema per rilevare i sintomi di un attacco automatico al server cPanel.

Quando viene individuato un tentativo di compromissione, utilizzando i parametri definiti, Fail2ban aggiungerà una nuova regola a iptables per bloccare l'indirizzo IP dell'attaccante, per un determinato periodo di tempo o in modo permanente.

Fail2ban può anche avvisarti tramite e-mail che si sta verificando un attacco.

Non è la scelta migliore per un server cPanel poiché la sua funzione è principalmente focalizzata sugli attacchi SSH e ciò che fa è quasi lo stesso di cPHulk Brute Force Protection .

cPHulk è incluso come parte di tutte le installazioni di cPanel e WHM e può essere utilizzato per monitorare e bloccare tutti i tentativi di accesso effettuati a cPanel, WHM, FTP, e-mail e SSH.

Fornisce agli amministratori una varietà di modi per combattere gli attacchi di forza bruta sia automaticamente che manualmente e cPHulk può anche essere utilizzato per bloccare indirizzi IP dannosi nel firewall.

I blocchi di accessi dannosi possono essere emessi con durate diverse, da un divieto temporaneo a un divieto di un giorno o addirittura permanente.

Il sistema cPHulk altamente configurabile consente un grande controllo.

Puoi specificare il numero di tentativi di accesso non riusciti prima che un indirizzo IP venga bloccato, definire azioni aggiuntive da eseguire all'attivazione di un blocco automatico e persino abilitare le notifiche agli amministratori del server quando si verificano eventi specifici.

Ma puoi anche utilizzare failban e configurarlo in modo che funzioni per qualsiasi servizio che utilizza file di registro e può essere soggetto a compromessi.

Assicurati che il tuo sistema sia aggiornato e installa il repository EPEL:

yum update && yum install epel-release

Installa Fail2Ban:

yum install fail2ban

Avvia e abilita Fail2ban:

systemctl start fail2ban
systemctl enable fail2ban

If you see the error “no directory /var/run/fail2ban to contain the socket file /var/run/fail2ban/fail2ban.sock ”, create the directory manually:

mkdir /var/run/fail2ban

Fail2ban reads .conf configuration files first, then .local files override any settings.

Because of this, all changes to the configuration are generally done in .local files, leaving the .conf files untouched.

Configure fail2ban.local

fail2ban.conf contains the default configuration profile.

The default settings will give you a reasonable working setup.

If you want to make any changes, it’s best to do it in a separate file, fail2ban.local, which overrides fail2ban.conf.

Rename a copy fail2ban.conf to fail2ban.local.

cp /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local

Configure jail.local Settings

The jail.conf file will enable Fail2ban for SSH by default for Debian and Ubuntu, but not CentOS.

All other protocols and configurations (HTTP, FTP, etc.) are commented out. If you want to change this, create a jail.local for editing:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Since we are using CentOS, you will need to change the backend option in jail.local from auto to systemd.

sudo systemctl start fail2ban
sudo systemctl enable fail2ban
sudo systemctl status -l fail2ban

To learn more about failban, here are the documentation and manual:

FAQ:https://www.fail2ban.org/wiki/index.php/FAQ
HOWTO:https://www.fail2ban.org/wiki/index.php/HOWTOs)
Official Fail2ban Documentation:https://www.fail2ban.org/wiki/index.php/Manual
Failban Configuration:https://www.fail2ban.org/wiki/index.php/Category:Configuration

Checking Your cPanel Ports

For a Linux instance, follow these steps to verify the security group rule:

Connect to a Linux instance by using a password.

Quindi, esegui il comando seguente:

sudo netstat -plunt

To check whether TCP 80 (replace “80” with any port) is being listened to.

sudo netstat -an | grep 80

You can also use nmap which probably is the most commonly used network mapper in the infosec world.

Nmap can be used to:

  • create a complete computer network map.
  • find remote IP addresses of any hosts.
  • get the OS system and software details.
  • detect open ports on local and remote systems.
  • audit server security standards.
  • find vulnerabilities on remote and local hosts.

You should run nmap ONLY on servers that you own or in situations where you’ve notified the owners.

The reason is that why you as a network administrator might be using nmap to look for possible vulnerabilities to help prevent such attacks, your action can be interpreted as “malicious cracking attempts” and most security tools and cloud providers frowns on this.

CentOS

sudo yum install nmap

To install nmap on Red Hat Enterprise Linux 8 execute the following dnf command:

sudo dnf install nmap

To install nmap on an Ubuntu or Debian machine by entering:

sudo apt-get update
sudo apt-get install nmap

Use the –version option to check the installed nmap version and correctness of the actual nmap installation. Ad esempio:

nmap -version

Basic Nmap Scan against IP or host

nmap 1.1.1.1

Now, if you want to scan a hostname, simply replace the IP for the host, as you see below:

nmap cloudflare.com

These kinds of basic scans are perfect for your first steps when starting with Nmap.

Scan specific ports or scan entire port ranges on a local or remote server

nmap -p 1-65535 localhost

In this example, we scanned all 65535 ports for the localhost.


cPanel

  1. Come configurare account di posta elettronica su hosting Cloud utilizzando cPanel

  2. Come configurare un pacchetto di hosting su Cloud hosting utilizzando WHM/cPanel

  3. Configura i backup cPanel/WHM per il tuo server

  4. Come cambiare la lingua del tuo cPanel?

  5. Come modificare la versione PHP del tuo dominio utilizzando cPanel?

Come configurare un Firewall su Jelastic Cloud

Come installare e configurare il firewall CSF per Linux

Come trovare l'indirizzo IP condiviso principale del tuo server in cPanel

Come disabilitare cPanel sul tuo server dedicato

Come installare OpCache sul tuo server cPanel

Come trovare il nome del tuo server nel cPanel