Dicas para deixar seu servidor do cPanel seguro

Algumas dicas de segurança para seu servidor ( dedicado ) com CPANEL

1. Atualizar o cPanel

Através do caminho WHM > cPanel > Upgrade to Latest Version ou da linha de comando   # /scripts/upcp –force, você consegue verificar se possui a versão mais atualizada do cPanel. Com ela, estão todas as novas medidas de segurança adotadas pelo cPanel, o que ajuda a prevenir contra os ataques ao seu servidor.

Recomendamos que você permita que o cPanel atualize automaticamente. Para fazê-lo, acesse WHM > Server Configuration > Update Preferences. Dessa forma, não é necessário fazer a checagem por atualizações tão frequentemente.

 2. Assegurando cPanel e o Acesso WHM

Quando estiver inseguro com sua conexão, lembre-se de ativar o SLL para assegurar os painéis de controle. Caso contrário, seu nome de usuário e senha serão enviados em forma de texto pela Internet. Para ativar o SLL, basta seguir até Server Configuration > Tweak Settings.

3. Assegurando o SSH

Dentre os serviços do cPanel, o SSH é um dos mais vulneráveis e propensos a ataques. Para assegurá-lo, basta mudar a porta de acesso.

Faça o seguinte: estabeleça a conexão SSH, edite o arquivo de configuração inserindo a linha de código # nano /etc/ssh/sshd_config e modifique a porta de acesso, do padrão Port 22 para o Port 22200. Em seguida, desabilite o root login (login de origem) do SSH alterando as linhas de comando de #PermitRootLogin yes para #PermitRootLogin no. Salve os arquivos e reinicie o comando SSH com o código # service sshd restart.

4. Assegurando Apache e PHP

Através do EasyApache, você pode construir e compilar o Apache e o PHP. Para manter a segurança, primeiramente baixe a versão mais atual do programa. Para fazê-lo, siga o caminho Softwares > EasyApache (Apache Update) e selecione “Previously Save Config” logo na primeira página para manter suas configurações atuais. Em seguida, clique em “Start customizing based on profile”. Selecione a versão mais atual do programa, atualmente a EasyApache 2.4.6, e para a versão do PHP, faça o mesmo (a versão mais atual no momento é a PHP 5.4.20). Na próxima página, clique em “Exhaustive Options List” e selecione as seguintes opções: “Mod SuPHP”, “Mod Security” e “Save my profile with the appropriate PHP 5 options…”. Mantenha as outras opções como estão. Por fim, clique em “Save and build”.

Depois disso, configure o suPHP para ser o principal contato do PHP. Dessa forma, todos os scrips pertencerão à conta do administrador ao invés da conta do EasyApache. Para habilitar o suPHP, vá até WHM > Service Configuration > Configure PHP and suEXEC, selecione “suphp” e clique em “Save New Configuration”.

Para prevenir contra scripts maliciosos no PHP, habilite o open_basedir pelo caminho WHM>Security Center >Security Center> PHP open_basedir Tweak. Outras configurações interessantes são a register_globals: Off e a disable_functions: show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, allow_url_fopen, que podem ser acessadas através das opções avançadas do EasyApache.

Lembrando que todas as alterações citadas nesse ponto só surtirão efeito após a reinicialização do EasyApache em WHM > Restart Services > HTTP Server (Apache).

5. Desabilitando o acesso anônimo ao FTP

Para impedir que usuários anônimos façam uploads em seu servidor, siga até WHM > Service Configuration > FTP Server Configuration e coloque a opção “No” em “Allow Anonymous Logins” e em “Allow Anonymous Uploads”.

6. Aumentar a segurança das senhas

Indo até WHM > Security Center > Password Strength Configuration, você consegue exigir que seus usuários criem combinações de senhas mais complexas e que aumentam a proteção do servidor.

7. Habilitando CPHULK

O CPHULK protege seu servidor contra ataques bloqueando IPs desconhecidos e suspeitos por um período previamente determinado. Para habilitar o CPHULK, vá até WHM > Security Center > CPHulk Brute Force Protection e selecione “Enable”.

8. Instalando o antivírus Clamav

Mesmo que seu servidor não esteja infectado, ele pode hospedar um vírus que pode infectar seus visitantes. Para evitar isso, é recomendada a instalação do antivírus Clamav. Para fazê-lo, basta seguir o passo-a-passo: vá até WHM > cPanel > Manage Plugins, selecione “Install and keep updated” próximo ao Clamav e clique em “Save”. Após a instalação ser completada, reinicie o painel de controle do WHM para que o menu principal seja atualizado. Em seguida, vá até WHM > Plugins > Configure ClamAV Scanner e selecione as quatro opções exibidas na janela. Para finalizar, clique em “Save”.

9. Instalando um identificador de Rootkit

Um Rootkit é uma espécie de programa de computador malicioso que é instalado em seu servidor sem que você perceba. Ele é operado em “modo invisível”, o que potencializa ainda mais seus ataques, já que você é incapaz de sequer nota-lo.

Para instalar um identificador de Rootkit, como o Rootkit Hunter, basta fazer o seguinte.

  1. entre no SSH e insira a linha de código # su – root
  2. baixe a última versão do rkhunter aqui
  3. extraia o arquivo # tar xvzf rkhunter-1.4.0.tar.gz
  4. carregue o instalador com os códigos # cd rkhunter-1.4.0 e # ./installer.sh –install
  5. preencha o banco de dados das propriedades com # rkhunter –propupd
  6. por fim, para fazer o escaneamento do servidor, insira o código # rkhunter –check

10. Instalando um Firewall

Recomendamos o ConfigServer Security and Firewall. Além de escanear os logs de autenticação em busca de ameaças em potencial, esse firewall dá diversas dicas que ajudam a aumentar a segurança do servidor. Para instalar o CSF, basta inserir os códigos abaixo:

rm -fv csf.tgz

wget http://www.configserver.com/free/csf.tgz

tar -xzf csf.tgz

cd csf

sh install.sh

Através do caminho WHM > Plugins > ConfigServer Security&Firewall, você consegue acessar as dicas de segurança do Firewall. Lembre-se também de abrir a nova porta de acesso definida anteriormente, caso contrário o CSF irá bloqueá-la. Vá até WHM > Plugins > ConfigServer Security&Firewall > Firewall Configuration, localize o parâmetro chamado TCP_IN e adicione a porta de acesso SSH (port 22000) à lista.

Related Posts

Leave a Comment