Bir cPanel Sunucusunun Güvenliğini Sağlamak İçin 15 Kolay İpucu

Yayınlanan: 2017-06-27

Bir cPanel Sunucusunun Güvenliğini Sağlamak İçin 15 Kolay İpucu
Sunucu güvenliği, tam olarak anlaşılması ve ustalaşması yıllar alabilen karmaşık ve çok yönlü bir konudur.

Çoğu yönetici, saldırıları ve ihlalleri önlemek için sunucularında çok çeşitli güvenlik önlemlerini özenle geliştirmeli ve dağıtmalıdır.

Söz konusu güvenlik önlemleri, daha güvenli parolalar gerektirmek kadar basit ve depolanan veriler için güncellenmiş şifreleme protokollerini dağıtmak kadar karmaşık olabilir.

Neyse ki, cPanel sunucu güvenliği, sunucu güvenlik yelpazesinin “Basit” ucuna daha yakındır.

Sunucu güvenliğinizi yalnızca birkaç dakika içinde önemli ölçüde artırmanın 15 kolay yolu.

1. SSH'nin Güvenliğini Sağlama

SSH şifreli bir protokol olmasına rağmen geçirimsiz değildir. Bu, yönetici olarak yapılandırma sırasında gerekli özeni göstermeniz gerektiği anlamına gelir.

İşte SSH'nizin güvenliğini artırmak için üç basit adım.

1.SSH Bağlantı Noktasını Değiştirin

SSH'yi varsayılan 22 numaralı bağlantı noktasında tutmak, onu kaba kuvvet saldırılarına karşı savunmasız hale getirir. Bu saldırıları önlemek için SSH için rastgele bir bağlantı noktası seçmelisiniz, böylece potansiyel saldırganların yerini ayırt etmesi daha zor olacaktır.

İşte SSH portunu değiştirme adımları.

  1. SSH ile sunucunuza giriş yapın.
  2. Aşağıdaki komutu vererek /etc/ssh/sshd_config konumunda bulunan SSH yapılandırma dosyasını düzenleyin:
    nano /etc/ssh/sshd_config
  3. Aşağıdaki satırda SSH bağlantısı için rastgele bir bağlantı noktası belirleyin. Orijinal: Bağlantı Noktası 22
    Yeni hat: Port 2468
  4. Şimdi, aşağıdaki komutu yürüterek SSH hizmetini yeniden başlatın:
    hizmet sshd yeniden başlatma

2. Kök Girişini Devre Dışı Bırak

Ek bir güvenlik katmanı eklemek ve SSH'nizi daha da güçlendirmek için kök kullanıcıyı devre dışı bırakabilir ve sunucuya erişmek için ayrı bir kullanıcı oluşturabilirsiniz.

İşte nasıl:

  1. SSH ile sunucunuza giriş yapın. Kök oturum açmayı devre dışı bırakmadan önce, sunucuya erişmek için bir kullanıcı oluşturacağız:
    adduser yeni_kullanıcıadı_adı
    passwd yeni_kullanıcıadı_adı
  2. Bu yeni kullanıcı için bir şifre belirlemeniz istenecektir. Parolanın mümkün olduğunca güçlü olduğundan emin olun (birkaç sayı ve sembol içeren en az 10 karakter) ve ardından yeni kullanıcıyı aşağıdaki kod satırını kullanarak sunucuya erişim sağlayan bir tekerlek grubuna ekleyin.
    # usermod -aG tekerlek new_username_name
  3. Şimdi, kök kullanıcıyı devre dışı bırakın. /etc/ssh/sshd_config konumunda bulunan SSH yapılandırma dosyasını düzenleyin.
    nano /etc/ssh/sshd_config
  4. Satırı değiştirin: “PermitRootLogin evet”, “PermitRootLogin hayır” olarak
  5. Şimdi, aşağıdaki komutu yürüterek SSH hizmetini yeniden başlatın.
    hizmet sshd yeniden başlatma

3.SSH V1'i devre dışı bırakın

SSHv2'nin başlamasıyla, selefi SSHv1'in neredeyse modası geçmiş olduğundan, sunucunuzun güvenliğini artırmak için daha az güvenli ve güncel olmayan SSH'yi devre dışı bırakmanız şiddetle tavsiye edilir.

  1. Sunucunuza SSH ile giriş yapın ve /etc/ssh/sshd_config konumunda bulunan SSH yapılandırma dosyasını düzenleyin.
  2. Aşağıdaki satırın yorumunu kaldırın.
    Protokol 2,1
  3. Ve şu şekilde değiştirin:
    Protokol 2
  4. Şimdi, aşağıdaki komutu yürüterek SSH hizmetini yeniden başlatın:
    # hizmet sshd yeniden başlatma

2. cPHulk Korumasını Etkinleştirme

Bir kaba kuvvet saldırısı, web sunucunuzun parolasını tahmin etmek için otomatik bir sisteme dayanan bir bilgisayar korsanlığı yöntemidir.

cPHulk, sunucunuzu çoğu kaba kuvvet saldırısına karşı koruyacak, kullanımı kolay bir hizmettir.

cPHulk'u etkinleştirmek için, WHM→ Güvenlik MerkezicPHulk Brute Force Protection'da oturum açın ve Etkinleştir'e tıklayın.

Artık cPanel kullanıcı adı, IP adresi ve diğer parametrelere göre özel kurallar belirleyebilirsiniz.

Belirlenen sayıda başarısız oturum açma girişimine ulaşıldığında, cPHulk, kullanılan IP adresinden başka girişimleri engelleyecektir.

Not: Statik bir IP'niz varsa, kendinizi sunucunuzdan kilitlememek için Beyaz Liste Yönetimine eklemeniz şiddetle tavsiye edilir.

3. ConfigServer Güvenlik Duvarı'nı (CSF) kurun

CSF (ConfigServer Security and Firewall), cPanel sunucuları için en popüler güvenlik duvarlarından biridir.

Çeşitli kimlik doğrulama günlük dosyalarını tarayarak yalnızca bir Güvenlik Duvarı görevi görmekle kalmaz, aynı zamanda sunucunuzu düzenli olarak tarar ve sunucunuzun güvenliğini artırmak için size kişiselleştirilmiş öneriler sunar.

Birincil özelliklerine ek olarak, CSF ayrıca “Sistem Günlüklerini Görüntüle”, IPTable Günlükleri, IFD istatistikleri ve çok daha fazlası gibi bir dizi kullanışlı özelliğe erişim sağlar.

ConfigServer Güvenlik Duvarını Yükleme

CSF'yi sunucunuza cPanel ile kurmak oldukça kolaydır. Lütfen ConfigServer Güvenlik Duvarını cPanel/WHM'ye Nasıl Kurulur? ile ilgili adım adım kılavuzumuza bakın.

Yukarıda bahsedilen kılavuzumuzdaki talimatları izledikten sonra, CSF'yi doğrudan WHM'den yönetebilirsiniz.

Bunu yapmak için WHM'nizde oturum açın, Eklentiler → ConfigServer Güvenlik ve Güvenlik Duvarı'na gidin.

Burada, güvenliğinizi daha da sıkılaştırmak için kullanabileceğiniz bir dizi seçenek ve önlem sunulacaktır.

4. ClamAV Antivirus Kurulumu

Linux sunucuları, Windows tabanlı benzerlerine göre virüslere karşı daha "doğal" bir dayanıklılığa sahip olsa da, ek bir virüsten koruma uygulaması yüklemek yine de akıllıca kabul edilir.

Eklenti olarak sunucunuza kurulumu kolay olan ClamAV, cPanel sunucuları için en popüler açık kaynaklı antivirüs eklentilerinden biridir ve bireysel kullanıcıların ev dizinlerini ve e-postalarını potansiyel olarak kötü amaçlı dosyalar için taramalarına olanak tanır.

Yine, kısalık uğruna, lütfen adım adım kılavuzumuza bakın WHM'den ClamAV eklentisi nasıl kurulur .

ClamAV yüklendikten sonra, herhangi bir cPanel hesabını cPanel kullanıcı düzeyinde erişimle tarayabilirsiniz. İşte cPanel'den ClamAV virüs taramasının nasıl çalıştırılacağına dair kılavuzumuz.

5. CloudLinux'a geçin

Ücretsiz CentOS'un ücretli bir yedeği olan CloudLinux, cPanel sunucuları için en güvenli işletim sistemlerinden biri olarak kabul edilir.

CloudLinux ile cPanel hesaplarını birbirinden izole ederek sunucu yoğunluğunu ve kararlılığını artırabilirsiniz.

Bu başarıyı, her kullanıcı için işleme, bellek ve bağlantılar gibi sunucu kaynaklarını sınırlayan LVE'yi (Hafif Sanallaştırılmış Ortam) kullanarak gerçekleştirir, böylece tek bir kullanıcının sunucu kararlılığını riske atmamasını ve tüm sitelerin yavaşlamasına neden olmamasını sağlar.

İşletim sistemi, herhangi bir güvenlik ihlalinden kaçınmak için kullanıcıları birbirinden "kafesler". Kararsız veya güvenliği ihlal edilmiş herhangi bir komut dosyası veya kötü amaçlı yazılım, güvenliği ihlal edilmiş herhangi bir hesap tarafından sunucuya yayılamaz.

CloudLinux OS'nin başlıca güvenlik özellikleri şunlardır:

  1. KafesFS
  2. SertleştirilmişPHP
  3. Güvenli Bağlantılar

KafesFS

CageFS, her bir kullanıcıyı kapsülleyerek kullanıcıların birbirini görmesini ve hassas bilgileri okumasını engeller. Ayrıca, ayrıcalık yükseltme ve bilgi ifşa saldırılarının çoğu dahil olmak üzere çok sayıda saldırıyı da önler.

→ CageFS ile kullanıcılar sadece güvenli dosyalara erişebilecekler.
→ Kullanıcılar, Apache yapılandırma dosyaları gibi sunucu yapılandırma dosyalarını göremez.
→ Kullanıcılar, diğer kullanıcıları göremez ve diğer kullanıcıların varlığını tespit etmenin bir yolu yoktur.
→ Kullanıcılar diğer kullanıcıların işlemlerini göremez.

SertleştirilmişPHP

Eski PHP sürüm 5.2, 5.3, 5.4, yaygın olarak kullanılsa da PHP.net topluluğu tarafından yamalanmayan güvenlik açıklarına sahiptir.
CloudLinux'daki HardenedPHP, bu güvenlik açıklarını düzeltir ve eski ve desteklenmeyen sürümleri korur.

→ Tüm PHP sürümlerine yama uygulayarak uygulamanın ve sunucunun güvenliğini sağlar.
→ Tüm kullanıcılara güvenlik ve esneklik sağlar.
→ Yükseltmeleri daha yeni bir PHP sürümüne zorlamayarak müşteriyi elde tutmayı artırır
→ PHP seçici seçeneği ile aynı web sunucusunda kurulu birden fazla sürümden PHP sürümünün seçimini sunar

Güvenli Bağlantılar

SecureLinks, bilinen tüm sembolik bağlantı (symlink) saldırılarını önleyerek sunucuyu güçlendiren ve aynı zamanda kötü niyetli kullanıcıların sembolik bağlantı dosyaları oluşturmasını önleyen çekirdek düzeyinde bir teknolojidir.
→ SecureLinks ile, kötü niyetli kullanıcıların sahip olmadıkları dosyalara sembolik bağlantılar ve sabit bağlantılar oluşturmasını engelleyerek saldırıları önleyebilirsiniz.
→ Kötü niyetli kullanıcıların sembolik bağlantı dosyaları oluşturmasını engeller.
→ Sembolik bağlantı saldırılarından sunucunun güvenlik seviyesini artırır.

6. Ping İsteğini Devre Dışı Bırak

Ping, bir ICMP (İnternet Kontrol Mesajı Protokolü) isteğidir ve “Ping of Death” ve “Ping Flood” saldırılarından kaçınmak için devre dışı bırakılmalıdır.

Ölüm Ping'i

Ping of Death, bir saldırganın kasıtlı olarak IP protokolünün izin verdiğinden daha büyük bir IP paketi göndermesinden kaynaklanan bir hizmet reddi saldırısıdır.

Sonuç olarak, birçok işletim sistemi, büyük boyutlu paketler aldıklarında ne yapacağını bilemez, makine donar, çöker veya yeniden başlatılır.

Ping Sel

Ping Flood, saldırganın kurbanın ICMP yanıt paketiyle yanıt vereceğini ve böylece hem gelen hem de giden bant genişliğini tüketeceğini umarak kurbanı ICMP paketleriyle boğduğu basit bir hizmet reddi saldırısıdır.

Hedef makine daha yavaşsa, sistemin işleme yeteneklerinde gözle görülür bir yavaşlama yaratarak CPU döngülerini tüketmek mümkündür.

Ping yanıtını devre dışı bırakmak için aşağıdaki komutu root kullanıcısı olarak çalıştırın:
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
IPtables güvenlik duvarını kullanarak ping yanıtını devre dışı bırakmak için aşağıdaki komutu kök kullanıcı olarak çalıştırın:
iptables -A GİRDİ -p icmp -j DROP

7. Ana Bilgisayar Erişim Kontrolünü Yapılandırın

Belirli durumlarda, belirli hizmetlere yalnızca bir IP'ye izin vermek isteyebilirsiniz. Bu amaca ulaşmak için tek yapmanız gereken, kullanıcının IP adresine dayalı olarak sunucu erişimini onaylayan veya reddeden kurallar oluşturmanıza olanak tanıyan Ana Bilgisayar Erişim Kontrolünüzü doğru şekilde yapılandırmaktır.

Tüm bağlantıları reddetmek ve yalnızca devam etmek istediğiniz bağlantılara izin vermek, sunucunuzun belirli bağlantı noktaları üzerinden kaba kuvvet saldırılarına karşı güvenliğini artırmak için en güvenli uygulamadır.

Ana Bilgisayar Erişim Kontrolü ile bir kural yapılandırmak için üç şeye ihtiyacınız olacak.

  1. Kural oluşturmak istediğiniz hizmet
  2. Ayrıcalıklarına izin vermek veya reddetmek istediğiniz IP adresi
  3. Ve yapılmasını istediğiniz eylem (örn. İzin Ver veya Reddet)

Ana Bilgisayar Erişim Kontrolünde kurallar ayarlamak için WHM'nizde oturum açın, Güvenlik MerkeziAna Bilgisayar Erişim Kontrolü seçeneğine gidin.

Aşağıda SSH hizmetini kilitlemeye bir örnek verilmiştir:

arka plan programı Erişim listesi Eylem Yorum
sshd 192.168.3.152 izin vermek Yerel SSH erişimine izin ver
sshd 1xx.6x.2xx.2xx izin vermek Özel IP adresimden SSH'ye izin ver
sshd TÜM reddetmek Diğer tüm IP'lerden erişimi reddet

Not: Kuralların bir öncelik sırası vardır. Birkaç teknikten izin vermeyi ve ardından tüm tekniklerden reddetmeyi seçerseniz, 'reddet' kurallarının önüne 'izin ver' kurallarını koymanız gerekecektir.

8. Mod_Security Kurulumu

2017'de tüm kötü niyetli sunucu saldırılarının %70'inden fazlası web uygulaması düzeyinde gerçekleştirilir.
Belirli sunucunuzla ilişkili riski azaltmak için, harici güvenliği artırmak ve saldırıları web uygulamalarına ulaşmadan tespit etmek/önlemek için bir WAF veya Web Uygulamaları Güvenlik Duvarı dağıtmak sektördeki en iyi uygulamadır.

ModSecurity, etrafındaki en eski ve en popüler Web Uygulamaları Güvenlik Duvarlarından biridir ve şunları önlemek için tasarlanmıştır:

  1. SQL Enjeksiyonu
  2. iFrame saldırıları
  3. Web Kabuğu/Arka Kapı Algılama
  4. Botnet Saldırı Tespiti
  5. HTTP Hizmet Reddi (DoS) Saldırıları

mod_security'nin kurulumu, mevcut altyapıda birkaç değişiklikle birkaç dakika içinde yapılabilir.

Easy Apache yapılandırmasından etkinleştirebilirsiniz.

Mod_Security kuralları oluşturmak için ModSeurity Araçları'na gidin ve Kural Listesi'ne tıklayın.

Yeni pencerelerde tüm kuralları görüntüleyecektir. Yeni kurallar oluşturmak için Kural Ekle'ye tıklayabilirsiniz. Yeni kuralları dağıtmak için Apache'yi Yeniden Başlatmanız gerekeceğini lütfen unutmayın.

ModSecurity Araçları hakkında daha fazla bilgi için buraya tıklayın.

9. RootKit Hunter ile Sisteminizi Taratın

Rootkit Hunter veya rkhunter, rootkit'leri, arka kapıları ve olası yerel açıkları tarayan UNIX tabanlı bir araçtır.

Dosya bütünlüğünü sağlamak için önemli dosyaların SHA-1 karmalarını çevrimiçi veritabanlarında bulunan dosyalarla karşılaştırır.

Ayrıca, varsayılan rootkit dizinlerini, aşırı izinleri, gizli dosyaları, çekirdek modüllerindeki şüpheli dizeleri ve sunucunuzun güvenliğini tehlikeye atma potansiyeline sahip çok sayıda başka şeyi arar.

RootKit Hunter'ı Yükleme

Geçerli çalışma dizinini istenen kurulum dizinine değiştirin.
cd /usr/yerel/src
wget komutunu kullanarak rkhunter paketini indirin.
wget http://dfn.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.4.2.tar.gz
İndirilen rkhunter arşivini açın.
tar -zxvf rkhunter-1.4.2.tar.gz
Geçerli çalışma dizinini rkhunter dizinine değiştirin. Dizin adını gerçek dizin adıyla değiştirdiğinizden emin olun. Bizim durumumuzda, yeni güncellemeler yayınlandığında değiştirilebilen “rkhunter-1.4.2”.
cd rkhunter-1.4.2
Kurulum komut dosyasını çalıştırarak rkhunter paketini kurun.
./installer.sh –layout default –install
Bu, sunucuya rkhuter aracını yükleyecektir.

rkhunter'ı yapılandırma

rkhunter'ın yapılandırma dosyasını /etc/rkhunter.conf yolunda bulabilirsiniz. Bu dosyadaki parametre değerlerini değiştirerek sunucunun güvenliğini sağlamak için rkhunter'ın özelliklerini değiştirebiliriz. SSH üzerinden kök girişine izin vermek için
ALLOW_SSH_ROOT_USER = evet
rkhunter kurulum dizini
INSTALLDIR=/yol/of/kurulum/dizin
rkhunter Veritabanı dizini
DBDIR=/var/lib/rkhunter/db
rkhunter komut dizini
SCRIPTDIR=/usr/local/lib64/rkhunter/scriptler
rkhunter geçici dizini
TMPDIR=/var/lib/rkhunter/tmp

rkhunter ile Manuel Tarama

rkhunter ile manuel tarama yapmak için aşağıdaki komutu çalıştırın.
/usr/local/bin/rkhunter -c
Varsayılan olarak, rkhunter etkileşimli modda çalışır. rkhunter bir dizi tarama gerçekleştirir ve her bir tarama setinden sonra taramaya devam etmek için Enter'a basmanız gerekir.

Etkileşimli modu atlamak için aşağıdaki komutu kullanın ve tüm setleri tarayın. -c'nin yerel sistemi kontrol etmek ve –sk'nin tuşa basmayı atlamak olduğunu unutmayın.
/usr/local/bin/rkhunter -c -sk
Tüm dosya sistemini taramak için aşağıdaki komutu çalıştırın.
rkhunter – kontrol

Rkhunter ile Otomatik Tarama Programlama

Zamanlanmış bir otomatik tarama oluşturmak için, rkhunter taramasını yürüten ve tarama sonuçlarını e-postayla gönderen bir komut dosyası oluşturun.

rkhunter taramasını günlük olarak çalıştırmak istiyorsanız, betiği /etc/cron.daily dizinine ve haftalık taramalar için /etc/cron.weekly dizinine yükleyin.

Bir düzenleyicide bir dosya açın ve günlük olarak planlamak için aşağıdaki komut dosyasını yazın.
vi /etc/cron.daily/rkhunter.sh
Günlük taramayı planlamak için komut dosyası

#!/bin/sh

(

/usr/local/bin/rkhunter --versioncheck

/usr/local/bin/rkhunter --update

/usr/local/bin/rkhunter --cronjob --report-warnings-only

) | /bin/mail -s 'rkhunter Daily Run (HostnameOfServer)' youremail@address

Not: HostnameOfServer ve youremail@address'i , komut dosyasında gerçek sunucu ana bilgisayar adı ve bildirimlerin gönderileceği E-posta adresiyle değiştirdiğinizden emin olun .

rkhunter Güncelleme ve Seçenekler

rkhunter güncel sürümünü kontrol etmek için.
/usr/local/bin/rkhunter –versioncheck
rkhunter sürümünü güncellemek için.
/usr/local/bin/rkhunter – güncelleme
Veritabanı dosyaları güncellenirse, güncellenen değerleri ve özellikleri kontrol etmek ve kaydetmek için.
/usr/local/bin/rkhunter –propupd
rkhunter günlükleri, yapılan tüm etkinlikleri ve uygulamanın karşılaştığı hataları saklar. rkhunter günlüklerini kontrol etmek için.
/var/log/rkhunter.log
ile diğer rkhunter seçeneklerine başvurabilirsiniz.
/usr/local/bin/rkhunter –help

10. Maldet ile Sisteminizi Taratın

Linux Kötü Amaçlı Yazılım Algılama (LMD) olarak da bilinen Maldet, php arka kapılarını, karanlık postaları ve güvenliği ihlal edilmiş web sitelerinde bulunabilecek bir dizi başka kötü amaçlı dosyayı etkili bir şekilde algılamak için tasarlanmış, Linux sistemleri için bir kötü amaçlı yazılım tarayıcısıdır.

Maldet'i Yüklemek

  1. Sunucuya SSH atın ve tar dosyasını indirin.
    wget href=”http://www.rfxn.com/downloads/maldetect-current.tar.gz”>
  2. Dosyayı ayıklayın.
    tar -xzf maldetect-current.tar.gz
  3. maldet klasörüne gidin.
    cd maldetect-*
  4. Maldet'i yüklemek için aşağıdaki komutu çalıştırın.
    sh ./install.sh

Maldet'i Linux Sunucusunda Kullanın

Sisteminizin disk alanı kullanımına bağlı olarak taranması saatler alabileceğinden, her zaman yeni bir ekran oturumu açmalı ve taramayı çalıştırmalısınız. Bir tarama çalıştırmak için aşağıdaki komutu kullanın.
maldet -a /path/to/scan VEYA

maldet –tümünü tara /yol/hedef/tarama
Tüm sistemi taramak için aşağıdaki komutu da çalıştırabilirsiniz.
maldet -a /
Sunucu taraması tamamlandığında, sonunda TARAMA Kimliği alacaksınız. Taranan raporu görüntülemek için aşağıdaki komutu kullanın. SCAN ID'yi gerçek ID ile değiştirmeniz gerekeceğini unutmayın.
maldet –rapor TARAMA Kimliği
Ör: maldet –rapor 062617-2220.1771

Önceki bir taramanın tüm kötü amaçlı yazılım sonuçlarını karantinaya almak için aşağıdaki komutu çalıştırın.
maldet -q TARAMA Kimliği
Eski. maldet -karantina 062617-2220.1771

Maldet'i Otomatikleştir

Aşağıdaki gibi işlemleri otomatikleştirmek için maldet yapılandırma dosyası conf.maldet'i düzenleyebilirsiniz,

  1. Raporları yapılandırılan e-posta hesabına göndermek için email_alert öğesini 1 olarak ayarlayın .
  2. email_addr içinde , tarama raporlarını almak istediğiniz e-posta hesabını ayarlayın.
  3. Bulunan herhangi bir kötü amaçlı yazılımın ' /usr/local/maldetect/quarantine ' dizinine taşınması ve yapılandırılmış e-posta adresi hakkında bir bildirim almanız için quar_hits'i 1 olarak değiştirin .
  4. quar_susp'u 1 olarak değiştirin , Bu, cPanel kullanıcılarının hesabının askıya alınmasını etkinleştirecek veya cPanel olmayan kullanıcılar için kabuk erişimini ' /bin/false ' olarak ayarlayacaktır.

11. ClamAV Günlük Çalıştırmak için Cron İşini Ayarlayın

Ekleme, güncelleme ve silme işlemleri sunucunuzda bulunan dosyalarla hızlı bir şekilde gerçekleştiğinden, tüm yeni değişikliklerin güvenli olduğundan ve bir virüsten koruma uygulamasıyla düzgün bir şekilde tarandığından emin olmak çok önemlidir.

"Off-hours" sırasında otomatik olarak başlayacak haftalık taramaları çalıştırmak için ClamAV tarayıcı cron işini kullanabilirsiniz.

Bu cron'u çalıştırmak için aşağıdaki komutu kullanın.
for i in awk '!/nobody/{print $2 | "sort | uniq" }' /etc/userdomains | sort | uniq awk '!/nobody/{print $2 | "sort | uniq" }' /etc/userdomains | sort | uniq awk '!/nobody/{print $2 | "sort | uniq" }' /etc/userdomains | sort | uniq ; do /usr/local/cpanel/3rdparty/bin/clamscan -i -r /home/$i 2>>/dev/null; yapıldı >> /root/enfeksiyonlar&
Bu komut, istenmeyen posta ve virüs bulaşmış dosyalar için ana dizini yinelemeli olarak arar.

12. Apache Başlık Bilgilerini Devre Dışı Bırakın

Sunucu imzanız Apache ve OS sürümleri gibi bilgiler içerdiğinden, WHM Login'i kullanarak bu bilgileri meraklı gözlerden gizlemeniz önemlidir.

  1. WHM'ye giriş yaptıktan sonra. Hizmet YapılandırmasıApache YapılandırmasıGenel Yapılandırma seçeneğine gidin.
  2. Aşağıdaki değerleri ayarlayın.
    Sunucu İmzası = Kapalı
     Sunucu Simgeleri = Yalnızca Ürün

13. PHP Sürüm Bilgilerini Gizle

Apache üstbilgileri gibi, PHP sürüm bilgilerini de göstermemelisiniz. İşte bu bilgiyi gizlemek için adımlar.

  1. WHM'ye giriş yaptıktan sonra. Hizmet YapılandırmasıPHP Yapılandırma Düzenleyicisi'ne gidin.
  2. Aşağıdaki değerleri ayarlayın.
    Exposure_php= "kapalı"

14. FTP'yi Devre Dışı Bırak ve Yerine SFTP Kullan

İsimlerinden tahmin edemeseniz de FTP ve SFTP protokolleri birbirinden bu kadar farklı olamazdı.

Standart FTP ile, istemci ve sunucu arasında iletilen tüm veriler düz metin halindedir. Bu, bir dinleyicinin oturum açma kimlik bilgileri ve diğer "Özel" mesajlar dahil olmak üzere gizli bilgilerinizi almasını mümkün kılar.

Standart FTP'den farklı olarak, SFTP (SSH Dosya Aktarım Protokolü) hem komutları hem de verileri şifreler, şifrelerin ve hassas bilgilerin ağ üzerinden düz metin olarak iletilmesini önler.

SSH Anahtarı oluşturma ve sunucuya SFTP istemcisi üzerinden bağlanma adımları için buraya tıklayın.

Yalnızca SFTP bağlantısına izin vermek ve plan FTP'yi devre dışı bırakmak istiyorsanız, WHM/cPanel'de aşağıdaki adımları izleyin.

  1. WHM/cPanel'inize kök kullanıcı olarak giriş yapın.
  2. FTP Sunucusu Yapılandırması'na gidin. TLS Şifreleme Desteği'nde bunu Gerekli (Komut) olarak değiştirin ve Kaydet düğmesine tıklayın .

15. cPanel ve WHM Erişiminin Güvenliğini Sağlama

HTTPS URL'sini cPanel/WHM'ye Erişmeye Zorlayın

cPanel veya WHM oturum açma bilgilerinizi SSL tabanlı bir şifreleme ile korumak için bu iki basit adımı izleyin.

  1. WHM'ye giriş yapın ve Ana SayfaSunucu YapılandırmasıAyarları Ayarla seçeneğine gidin.
  2. Sağ tarafı yeniden yönlendirme sekmesine kaydırın ve aşağıdaki resimde gösterilen ayarları kullanın.

cPanel-ID Girişini Devre Dışı Bırakma

Bir cPanel sunucusu iki tür oturum açmaya izin verir.

Birincisi varsayılan/standart kullanıcı adı ve şifre girişi, ikincisi ise sunucuya cPanel ID ile giriş yapmaktır.

Bir cPanel Kimliği, kullanıcıların çok çeşitli cPanel hizmetlerine erişmek için tek bir kullanıcı adı ve parola dağıtmasına olanak tanır.

Bu yöntem, büyük bir veri merkezini yöneten ve sık sık yeni teknisyenler işe alan kuruluşlar için fazlasıyla uygun olsa da, yalnızca tek bir sunucunuz varsa, aşağıdaki adımları kullanarak onu devre dışı bırakmalısınız.

  1. WHM'de oturum açın ve Ana SayfaGüvenlik Merkezi → Harici Kimlik Doğrulamayı Yönet seçeneğine gidin.
  2. Aşağıdaki resimde gösterildiği gibi cPanel-ID girişini devre dışı bırakmak için değiştirin.

Çözüm

Bu 15 kolay ipucunu VPS'nize veya özel sunucunuza uygulayarak hem dahili hem de harici saldırılara karşı savunmasızlığınızı hemen azaltacak ve birkaç saat içinde sisteminizin güvenliğini artıracaksınız.

Ve bu ipuçları sunucunuza yönelik tehditlerin sayısını azaltacak olsa da, hepsine çare değil.

Sisteminizin güvenliğini optimize etmek için gerekli özeni göstermeniz ve sunucu güvenliği dünyasındaki en son gelişmeler hakkında kendinizi düzenli olarak güncellemeniz gerekir.

Ancak ayda yalnızca birkaç saatlik araştırma ile cPanel güvenliğinin en ileri noktasında kalabilir ve sizin ve şirketinizin gelecek yıllarda güvende kalmasını sağlayabilirsiniz.

Yukarıda listelenen 15 ipucu hakkında herhangi bir sorunuz var mı? Paylaşmak istediğiniz cPanel sunucularının yeni güvenlik özelliklerini buldunuz mu? Aşağıdaki yorumlarda bize bildirin.