Jak nakonfigurovat bránu firewall cPanel v cloudu

Zjistěte, jak nakonfigurovat brány firewall cPanel na většině cloudových platforem nebo použít jiné nástroje zabezpečení k posílení a ochraně vašeho serveru cPanel před škodlivými útoky.

Představte si, že po dokončení počáteční montáže zdí tohoto nového domu zůstane dům bez střechy, která by chránila jeho obyvatele před přírodními živly, ani bez dveří, aby byli v bezpečí před divokými zvířaty, která je budou chtít spolknout k večeři.

Výše uvedená analogie je často tím, co se stane, když administrátor serveru nasadí server a pak zapomene na nejzákladnější aspekt procesu:zabezpečení.

Cloud dal správcům serverů možnost spustit jakýkoli druh serveru za méně než 55 sekund.

Problém je v tom, že správci serverů často zapomínají na nejzákladnější aspekt procesu:zabezpečení.

Zatímco většina největších cloudových systémů, které jsme přijali, má vestavěná opatření navržená tak, aby nám zabránila stát se obětí naší lidské přirozenosti, nezměnilo to nic na tom, že když systém nasadíte, a ne z jeho koncepčního návrhu abyste byli v bezpečí, budete čelit těžké cestě.

Faktem je, že 98 % většiny útoků, kterým bude systém připojený online čelit, má spíše oportunistický charakter než cílené.

Když uživatel se zlými úmysly zkusí své štěstí se systémem a zjistí, že je robustně chráněný, přesune se k jednodušším cílům.

S nechráněným serverem bude příběh jiný, protože kdokoli se zlými úmysly okamžitě uvidí krabici jako nízko visící zralou na výběr.

Nechráněný server by také neměl být online, a to nejen proto, že je v rozporu se vším, co by správný administrátor měl být, ale také proto, že internet je kvůli tomu ještě nebezpečnější.

Co jsou brány firewall ve výpočetní technice?

Co jsou brány firewall v oblasti výpočetní techniky?

Při navrhování výpočetní infrastruktury je internet vždy považován za nedůvěryhodnou externí síť.

Firewall monitoruje a řídí příchozí a odchozí síťový provoz na základě předem stanovených bezpečnostních pravidel.

Stejně jako každá dobře navržená budova by měla mít stěnu určenou k zabránění požáru v budově, určené vstupní a výstupní body a pravidla o tom, kdo by měl mít povolen přístup a kdo by měl být vrácen zpět, dobře implementovaný firewall umožňuje správci systému definovat jaká příchozí a odchozí komunikace je povolena ze serveru a také schopnost zmírnit hrozby v rámci nastaveného parametru.

Pokud jde o zabezpečení, standardním místem, kde jako správce systému začít, je:

• Uvědomte si, že lze zneužít jakýkoli software včetně cPanel.
• pochopte a zacházejte s každým uživatelským vstupem, který je potenciálně nepřátelský a škodlivý
• aplikujte dobré bezpečnostní postupy k ochraně infrastruktury
• neuvádějte žádné bezpečnostní řešení, kterému nerozumíte.
• zaprotokolovat veškeré podezřelé chování, pokud a kdy je potřeba k forenzní analýze
• navrhněte systém tak, aby vám umožnil obnovit infrastrukturu do stavu před kompromisem.
• překračujte hranice brány firewall portů a skryjte nezabezpečené protokoly, ale spolehněte se na zabezpečení protokolů, které používáte k obraně své infrastruktury.
• poskytují minimální oprávnění potřebná k úspěšnému dokončení operace, ale nic víc než to, co je potřeba.

Jak nastavit bránu firewall cPanel pro zmírnění rizik

Jak tedy postupovat při zabezpečení, například, veřejně přístupného webového serveru cPanel, aby se snížila pravděpodobnost, že bude kompromitován?

Při instalaci nového serveru cPanel začneme se základy.

Odstranit všechna existující pravidla

Stejně jako byste nezačali stavět budovu na tom, co již někdo vytvořil, je vždy lepší odstranit všechna existující pravidla brány firewall před implementací nového.

Získáte tak jasnou a ucelenou představu o tom, co ve svém systému povolujete a blokujete, což je informace, kterou byste chtěli mít v hlavě, když se vypořádáváte s přetrvávající hrozbou.

Při instalaci cPanel na nový počítač byste měli deaktivovat firewall před spuštěním instalačního skriptu pomocí:

iptables-save > ~/firewall.rules
systemctl stop firewalld.service
systemctl disable firewalld.service

kde ~/firewall.rules představuje soubor pravidel brány firewall.

Stejný příkaz bude fungovat také na CentOS, Red Hat® Enterprise Linux, CloudLinux™ a Amazon®.

Po dokončení procesu instalace můžete vybrat a nakonfigurovat bránu firewall z libovolné z níže uvedených možností.

Zakázat SELinux

SELinux (Security-Enhanced Linux ) v režimu vynucení je záměrně vytvořen tak, aby se váš webový server stal pevností, ale upřímně řečeno, konfigurace SELinuxu i základního linuxového stroje vyžaduje hodně práce.

A přestože cPanel &WHM mohou fungovat se SELinuxem v permisivním režimu, generuje velké množství záznamů protokolu, které byste nechtěli.

Důrazně se doporučuje deaktivovat SELinux a restartovat systém před instalací cPanel na jakýkoli systém.

Chcete-li zakázat funkce zabezpečení SELinux, použijte jednu z následujících metod:

Vytáhněte terminál a spusťte:

$ sudo cp /etc/selinux/config /etc/selinux/config.backup

$ sudo vi /etc/selinux/config

Soubor /etc/selinux/config vám umožňuje nastavit parametry SELINUX, které chcete, aby server spouštěl.

Když se otevře, uvidíte něco takového:

This file controls the state of SELinux on the system.
 SELINUX= can take one of these three values:
 enforcing - SELinux security policy is enforced.
 permissive - SELinux prints warnings instead of enforcing.
 disabled - No SELinux policy is loaded.
 SELINUX=enabled
 SELINUXTYPE= can take one of these two values:
 targeted - Only targeted network daemons are protected.
 strict - Full SELinux protection.
 SELINUXTYPE=targeted

Parametr, který hledáte, je „SELINUX=enable“

Jediné, co musíte udělat, je nahradit slovo „povoleno “ s „deaktivováno “.

Uložte soubor spuštěním „:wq “ a ukončete.

Restartujte server:

sudo systemctl reboot

systemctl je nástroj příkazového řádku a primární nástroj pro správu systemd démoni/služby jako (start, restart, stop, enable, disable, reload &status).

Nyní můžete spustit instalaci cPanel a jakmile to bude hotovo, bude čas zahájit konfiguraci zabezpečení.

Jaký druh brány firewall můžete použít s cPanel?

Typ firewallu, který budete používat s cPanel, bude do značné míry záviset na dvou věcech:

• prostředí nasazení (on-premise nebo cloud-based)
• úroveň vaší znalosti nástrojů, které chcete používat

Implementace brány cPanel Firewall v cloudu

Pokud používáte veřejný cloud, jako je AWS, Google Cloud Platform, Microsoft Azure, Alibabacloud a mnoho dalších, můžete na úrovni datového centra dělat vše, co chcete.

To však vyžaduje umět vytvořit VPC (datové centrum v cloudu) a přestože se topografická rozhraní a konvence pojmenování na každé z těchto platforem liší, vše se scvrkává na jednu věc:schopnost určit, jaký příchozí a odchozí provoz. kterému chcete udělit přístup.

To často vyžaduje zjistit, jaké porty bude server vykonávat optimálně, a poté k nim povolit příchozí přístup.

Existují další volitelné vrstvy zabezpečení, jako jsou síťové ACL (které ve výchozím nastavení povolují veškerý příchozí a odchozí provoz IPv4 a případně provoz IPv6.), které fungují jako firewall pro řízení provozu v jedné nebo více podsítích az nich.

Ale v tuto chvíli zůstaneme u základů.

Bezpečnostní skupiny

V cloudu funguje skupina zabezpečení jako virtuální brána firewall, která řídí provoz pro jednu nebo více instancí a poskytuje zabezpečení na úrovni přístupu k protokolu a portu.

Když spustíte instanci, můžete zadat jednu nebo více skupin zabezpečení; jinak použijeme výchozí skupinu zabezpečení.

Do každé skupiny zabezpečení můžete přidat pravidla, která povolují provoz do nebo z jejích přidružených instancí.

Každá skupina zabezpečení – fungující v podstatě stejným způsobem jako firewall – obsahuje sadu pravidel, která filtrují provoz přicházející do instance a z instance.

Neexistují žádná pravidla „Odmítnout“.

Spíše, pokud neexistuje žádné pravidlo, které výslovně povoluje konkrétní datový paket, bude zrušen.

Pravidla pro skupinu zabezpečení můžete kdykoli upravit; nová pravidla se automaticky použijí na všechny instance, které jsou přidruženy ke skupině zabezpečení.

Když se rozhodneme, zda povolit provozu, aby dosáhl instance, vyhodnotíme všechna pravidla ze všech skupin zabezpečení, které jsou s instancí spojeny.

V Microsoft Azure , nazývá se to Skupiny zabezpečení sítě (NSG).

Google Cloud Platform volá svá vlastní pravidla Firewallu (Networking>>> VPC network).

Firewally GCP se vztahují na jednu síť VPC, ale jsou považovány za globální zdroj, protože se k nim mohou dostat pakety z jiných sítí.

AWS &Alibabacloud zavolá do jejich bezpečnostních skupin.

Věci, které je třeba mít na paměti:

Zabezpečení by mělo být součástí vašeho počátečního návrhu architektury, nikoli dodatečným nápadem .

I když se můžete vždy vrátit a přiřadit k instanci nově vytvořenou skupinu zabezpečení, vždy si vytvořte VPC s jeho podsítí, směrováním, firewally a vším, co je před vámi, ještě předtím, než spustíte svůj první virtuální počítač.

Tímto způsobem při nasazování instance můžete jednoduše vybrat existující skupinu zabezpečení a před nasazením znovu zkontrolovat všechny porty.

Uvědomte si, že na každé z těchto platforem jste omezeni na určitý počet skupin zabezpečení na VPC .

Vždy můžete požádat o zvýšení limitu, ale můžete zaznamenat dopad na výkon sítě.

Také zajistěte, aby vaše pravidla brány firewall odpovídala způsobu ve kterém používáte služby cPanel &WHM.

Vytvoření skupin zabezpečení

AWS

Chcete-li vytvořit skupinu zabezpečení pomocí konzoly AWS

Otevřete konzolu Amazon VPC na https://console.aws.amazon.com/vpc/.

V navigačním podokně zvolte Skupiny zabezpečení .

Zvolte Vytvořit skupinu zabezpečení .

Zadejte název skupiny zabezpečení (například cpanel_security_group) a uveďte popis.

Vyberte ID vašeho VPC z nabídky VPC a zvolte Ano, vytvořit .

Můžete také použít:

aws ec2 create-security-group --group-name MySecurityGroup --description "My security group" --vpc-id vpc-1a2b3c4d

Na kartě Příchozí pravidla zvolte Upravit .

Vyberte možnost pro pravidlo pro příchozí provoz pro Typ a poté vyplňte požadované informace.

Zadejte hodnotu pro Zdroj jako 0.0.0.0/0.

Volitelně zadejte popis každého pravidla a poté zvolte Uložit .

Microsoft Azure

V Azure Security Center budete moci zobrazit seznam pravidel skupiny zabezpečení sítě (NSG) a seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz na instance virtuálních počítačů ve virtuální síti.

Když je NSG přidružen k podsíti, pravidla ACL platí pro všechny instance virtuálních počítačů v této podsíti.

Microsoft Azure má delší formulář s více poli k vyplnění.

Ale je relativně jednoduchý a dělá přesně to samé, co uvidíte na jiných cloudových platformách.

Chcete-li vytvořit skupinu zabezpečení sítě v Microsoft Azure,

V levém horním rohu portálu vyberte + Vytvořit zdroj.

Vyberte Síť a poté vyberte skupinu zabezpečení sítě.

Zadejte název skupiny zabezpečení sítě, vyberte své předplatné, vytvořte novou skupinu prostředků nebo vyberte existující skupinu prostředků, vyberte Umístění a poté vyberte možnost Vytvořit .

Do vyhledávacího pole v horní části portálu zadejte do vyhledávacího pole skupiny zabezpečení sítě.

Když se ve výsledcích vyhledávání zobrazí skupiny zabezpečení sítě, vyberte je.
Vyberte skupinu zabezpečení sítě, kterou chcete změnit.

Vyberte Pravidla zabezpečení příchozí pošty v části NASTAVENÍ .

Je uvedeno několik existujících pravidel.

Když je vytvořena skupina zabezpečení sítě, vytvoří se v ní několik výchozích pravidel zabezpečení.

Výchozí pravidla zabezpečení nelze smazat, ale můžete je přepsat pravidly, která mají vyšší prioritu.

Další informace o výchozích pravidlech zabezpečení naleznete na adrese https://docs.microsoft.com/en-us/azure/virtual-network/security-overview#default-security-rules.

Vyberte + Přidat .

Vyberte nebo přidejte hodnoty pro následující nastavení:

• Zdroj (libovolný, skupina zabezpečení aplikace, adresy IP nebo servisní značka)
• Rozsahy zdrojových portů (0.0.0.0/0)
• Cíl (libovolný, skupina zabezpečení aplikace, adresy IP nebo virtuální síť)
• Rozsahy cílových portů
• Protokol (libovolný, TCP nebo UDP)
• Akce (Povolit nebo Zamítnout)
• Priorita (100-4096 – čím nižší číslo, tím vyšší priorita. Při vytváření pravidel ponechejte mezeru mezi čísly priority, např. 100, 200, 300. Ponechání mezer usnadňuje přidávání pravidel v budoucnu, možná bude nutné zvýšit nebo snížit úroveň stávajících pravidel.)
  Jméno
• Volitelný popis

Vyberte OK .

Alibabacloud

Přihlaste se ke konzole ECS.

V levém navigačním podokně vyberte Sítě a zabezpečení> Bezpečnostní skupiny .

Vyberte cílovou oblast.

Najděte skupinu zabezpečení, do které chcete přidat pravidla autorizace, a poté ve sloupci Akce klikněte na Přidat pravidla .

Na stránce Pravidla skupiny zabezpečení klikněte na Přidat skupinu zabezpečení Pravidlo.

V dialogovém okně nastavte následující parametry:

Směr pravidla:

• Odchozí:Instance ECS přistupují k jiným instancím ECS přes intranetové sítě nebo prostřednictvím internetových zdrojů.
• Příchozí:K instanci ECS přistupují další instance ECS v intranetu a Internetu.

Akce:

• Vyberte možnost Povolit nebo Zakázat.
• Typ protokolu a rozsah portů
• Typ autorizace a objekt autorizace
• Priorita:Rozsah hodnot je 1–100. Pamatujte, že čím menší hodnota, tím vyšší priorita.

Klikněte na OK .

Google Cloud Platform

Na platformě Google Cloud Platform funguje každá síť VPC jako distribuovaný firewall.

Zatímco pravidla brány firewall jsou definována na úrovni sítě, připojení jsou povolena nebo zakázána na základě jednotlivých instancí.

Pravidla brány firewall GCP si můžete představit tak, že existují nejen mezi vašimi instancemi a jinými sítěmi, ale i mezi jednotlivými instancemi v rámci stejné sítě.

Když vytvoříte pravidlo brány firewall GCP, určíte síť VPC a sadu komponent, které definují, co bude pravidlo dělat.

Komponenty vám umožňují cílit na určité typy provozu na základě protokolu provozu, portů, zdrojů a cílů

Na rozdíl od AWS pravidla brány firewall GCP podporují pouze provoz IPv4.

Při zadávání zdroje pro vstupní pravidlo nebo cíle pro výstupní pravidlo podle adresy můžete použít pouze adresu IPv4 nebo blok IPv4 v notaci CIDR.

Nezapomeňte, že před tím, než to budete moci provést, musíte vytvořit vlastní síť.

Produkty a služby> VPC síť> VPC sítě

Klikněte na + VYTVOŘIT SÍŤ VPC .

Proveďte následující a všechna ostatní pole ponechte s výchozími hodnotami:

Zadejte podsítě

Klikněte na Vytvořit .

Navštivte Produkty a služby> Síť VPC> Pravidla brány firewall

Klikněte na síť, kterou jste vytvořili.

Všimnete si, že pro vlastní síť nebyla vytvořena žádná výchozí pravidla brány firewall.

V dalším kroku budete muset ručně přidat výchozí pravidla.

Klikněte na + VYTVOŘIT PRAVIDLO FIREWALL .

Zadejte následující a všechna ostatní pole ponechte s výchozími hodnotami:

Property                         Value
 Name:                            allow-ssh-icmp-rdp-learncustom
 Network:                         learncustom
 Direction of traffic:            Ingress
 Action on match:                 Allow
 Targets:                         cpanel
 Target tags:                     cpanel, cloudlinux
 Source filter:                   IP ranges
 Source IP ranges:                0.0.0.0/0
 Protocols and ports:             Specified protocols and ports
 type:                            icmp; tcp:22; tcp:25; tcp:53; tcp:80; tcp:110; tcp:143; tcp:443; tcp:465; tcp:587; tcp:993; tcp:995; tcp:2078; tcp:2080; tcp:2083; tcp:2087; tcp:2096; udp:53; udp:123; udp:465; udp:783; udp:873; udp:6277; udp:24441

Ujistěte se, že adresa zdrojového filtru obsahuje konečnou „/0“.

Pokud zadáte 0.0.0.0 místo 0.0.0.0/0, filtr bude ve výchozím nastavení 0.0.0.0/32 – přesná adresa hostitele, která neexistuje.

Klikněte na Vytvořit .

Porty brány firewall služeb cPanel

Zde jsou porty, které cPanel &WHM používá, a služby, které používají každý z těchto portů.

Odstranili jsme všechny služby, které nejsou SSL, protože jejich používání umožňuje útočníkům zachytit citlivé informace, jako jsou přihlašovací údaje.

Předpokládáme, že již víte, co je port.

Ale pokud nevíte, pojďme se rychle podívat na to, co je port v síti.

V síťovém modelu OSI jsou porty většinou součástí transportní vrstvy (ale mohou být také součástí síťové vrstvy a dokonce vrstvy relace, v závislosti na spouštěcím stroji (zdrojový port) a volané službě (cílový port + IP) a koho jste se zeptali) a zabývá se end-to-end komunikací mezi různými službami a aplikacemi.

Číslo portu je 16bitové celé číslo bez znaménka, tedy v rozsahu od 0 do 65535.

Pro TCP je číslo portu 0 vyhrazeno a nelze jej použít, zatímco pro UDP je zdrojový port volitelný a hodnota nula znamená žádný port.

Například HTTP má přiřazen port 80.

Když se tedy klient chce spojit s HTTP serverem, použije cílový port 80 a zdrojový port jedinečný pro proces vytvářející požadavek.

To umožňuje přijímajícímu hostiteli posílat jakékoli přijaté pakety s cílem portu 80 procesům „naslouchajícím“ těmto paketům, což, pokud nějaký existuje, by normálně byl proces HTTP serveru.

Když HTTP server odpoví, použije zdrojový port klienta jako cílový port odpovědi a může použít port 80 pro zdrojový port paketu odpovědi.

To umožňuje původnímu klientovi rychle přeposlat port procesu, který podal požadavek.

V současné době se porty cPanel pohybují od „1“ (CPAN) do „24441“ (Pyzor).

Port	Služba	TCP	UDP	Příchozí	Odchozí
1	CPAN	✓			✓
22	SSH/SFTP	✓		✓
25	SMTP	✓		✓	✓
26	SMTP	✓		✓	✓
37	rdate	✓			✓
43	kdo	✓			✓
53	svázat	✓	✓	✓	✓
80	httpd	✓		✓	✓
110	pop3	✓		✓
113	ident	✓			✓
143	IMAP	✓		✓
443	httpd	✓		✓
465	SMTP, SSL/TLS	✓	✓	✓	✓
579	cPHulk				✓
783	Spam Apache	✓	✓		✓
873	rsync	✓	✓		✓
993	IMAP SSL	✓		✓
995	POP3 SSL	✓		✓
2703	Břitva	✓			✓
2078	WebDAV SSL	✓		✓	✓
2080	CalDAV a CardDAV (SSL)	✓		✓	✓
2083	cPanel SSL	✓		✓
2087	WHM SSL	✓		✓
2089	Licencování cPanel	✓			✓
2096	Webmail SSL	✓		✓
2195	APN	✓		✓
6277	DCC	✓	✓		✓
24441	Pyzor	✓	✓		✓

Nejdůležitější z tohoto procesu jsou příchozí porty.

Další úvahy, které můžete vzít v úvahu, jsou:

• umožňují volný přístup k rozhraní zpětné smyčky. Na rozdíl od externích rozhraní je vazba vašeho procesu na localhost obvykle dobrá pro zabezpečení, a proto omezení přístupu k rozhraní zpětné smyčky způsobuje více škody než užitku. Tím se sice vystavujete útoku místního uživatele, ale to je riziko, které musíte vyvážit sami.
• neomezujte veškerý provoz protokolu ICMP (Internet Control Message Protocol). Povolení protokolu ICMP je pro fungování Internetu zásadní; směrovače a hostitelé jej používají ke komunikaci kritických informací, jako je dostupnost služby, velikosti paketů a existence hostitele. Typy 3 a 4, Destination Unreachable a Source Quench, jsou kritické a jejich omezení může v budoucnu způsobit více škody než zisku.

Další dostupné možnosti brány firewall

Firewall pro skript cPanel

Nové verze cPanel &WHM zahrnují službu cpanel, která spravuje všechna pravidla v /etc/firewalld/services/cpanel.xml soubor.

To umožňuje TCP přístup pro porty serveru.

Chcete-li nahradit stávající pravidla iptables pravidly v souboru /etc/firewalld/services/cpanel.xml, proveďte následující kroky:

• spusťte příkaz yum install firewalld, abyste se ujistili, že váš systém má firewall nainstalovaný.
• spusťte příkaz systemctl start firewalld.service a spusťte službu firewalld.
• spusťte příkaz systemctl enable firewalld ke spuštění služby firewalld při spuštění serveru.
• spusťte příkaz iptables-save> backupfile a uložte svá stávající pravidla brány firewall.
• spusťte skript /usr/local/cpanel/scripts/configure_firewall_for_cpanel. Tím se také vymažou všechny existující položky z aplikace iptables. Já
• spusťte příkaz iptables-restore

Ve výchozím nastavení se příkazy firewall-cmd vztahují na konfiguraci runtime, ale použití příznaku –permanent vytvoří trvalou konfiguraci.

Pokud tedy potřebujete přidat další porty, přidejte pravidlo (port nebo službu) do sady trvalé i za běhu:

Můžete použít tyto příklady níže:

sudo firewall-cmd --zone=public --add-port=45000/tcp --permanent

sudo firewall-cmd --zone=public --permanent --add-service=ssh --permanent
sudo firewall-cmd --zone=public --permanent --add-service=ssh

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=http

sudo firewall-cmd --zone=public --permanent --add-service=https --permanent
sudo firewall-cmd --zone=public --permanent --add-service=https

sudo firewall-cmd --reload

Firewall

Každý server, na kterém běží operační systémy CentOS 7, CloudLinux 7 a RHEL 7, bude mít předinstalovaný démon brány firewall, ale často neaktivní.

FirewallD je démon služby brány firewall.

Nahrazuje rozhraní iptables a připojuje se ke kódu jádra netfilter.

Jelikož je dynamický, umožňuje vytvářet, měnit a mazat pravidla bez nutnosti restartovat démona brány firewall při každé změně pravidel.

Firewalld využívá koncepty zón a služeb, které zjednodušují řízení provozu.

Zóny jsou předdefinované sady pravidel.

K zóně lze přiřadit síťová rozhraní a zdroje.

Povolený provoz závisí na síti, ke které je váš počítač připojen, a na úrovni zabezpečení, která je této síti přiřazena.

Služby brány firewall jsou předdefinovaná pravidla, která pokrývají všechna potřebná nastavení umožňující příchozí provoz pro konkrétní službu a platí v rámci zóny.

Chcete-li zkontrolovat stav brány firewall, zadejte:

systemctl status firewalld

nebo

firewall-cmd --state

Spuštění služby a povolení brány FirewallD při spouštění:

sudo systemctl start firewalld

sudo systemctl povolit firewalld

Chcete-li jej zastavit a deaktivovat:

sudo systemctl stop firewalld

sudo systemctl disable firewalld

Zobrazení výchozích dostupných služeb:

sudo firewall-cmd --get-services

Konfigurační soubory jsou umístěny ve dvou adresářích:

• /usr/lib/FirewallD obsahuje výchozí konfigurace, jako jsou výchozí zóny a běžné služby. Vyhněte se jejich aktualizaci, protože tyto soubory budou přepsány každou aktualizací balíčku brány firewall.
• /etc/firewalld obsahuje konfigurační soubory systému. Tyto soubory přepíší výchozí konfiguraci.

Můžete si přečíst na:

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-using_firewalls#sec-Introduction_to_firewalld
https://firewalld.org/
https://fedoraproject.org/wiki/FirewallD
https://www.unix.com/man-page/centos/1/firewall-cmd/

CSF

ConfigServer je bezplatná a důvěryhodná Stateful Packet Inspection (SPI) firewall, Přihlášení/detekce narušení pro servery Linux a pravděpodobně jeden z nejjednodušších nástrojů, které můžete použít k ochraně svého serveru cPanel.

Má nativní integraci s cPanel/WHM, DirectAdmin a Webmin s front-endem pro CSF ​​a LFD (Login Failure Daemon), který je přístupný z účtu root.

Z tohoto rozhraní můžete upravovat konfigurační soubory a zastavovat, spouštět a restartovat aplikace a kontrolovat jejich stav.

Díky tomu je konfigurace a správa firewallu skutečně velmi jednoduchá.

Instalace CSF pro cPanel a DirectAdmin je předkonfigurována tak, aby na nich fungovala
servery s otevřenými všemi standardními porty.

Automaticky nakonfiguruje váš port SSH v instalaci, kde běží na
standardní port.

Pokud je to možné, CSF při instalaci automaticky přidá vaši připojenou IP adresu na seznam povolených.

Chcete-li nainstalovat CSF, spusťte následující příkazy jako uživatel root:

cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf && ./install.sh

Chcete-li nakonfigurovat CSF, navštivte rozhraní ConfigServer &Firewall společnosti WHM na adrese (Domů>> Pluginy>> ConfigServer &Firewall ).

Vezměte prosím na vědomí, že opravdu není vhodné provozovat více firewallů na jednom systému.

Toto pravidlo se však nevztahuje na Imunis360, protože je možné spustit a povolit CSF, když je Imunis360 již spuštěn.

Všechny IP adresy z bílé listiny Imunify360 budou exportovány do CSF ​​seznamu ignorovaných.

Pokud máte nainstalovanou Imunifikaci360, nainstalujte CSF, Imunifikace360 se přepne do režimu integrace CSF.

Chcete-li zkontrolovat, zda je povolena integrace CSF, přejděte na Imunifikaci360 → Karta Firewall → Bílá listina a zkontrolujte, zda se neobjevila varovná zpráva „CSF je povolen. Spravujte adresy IP zařazené na seznam povolených v CSF pomocí uživatelského rozhraní CSF nebo konfiguračního souboru “.

Znamená to, že integrace CSF a Imunis360 byla úspěšně zpracována.

Pokud používáte CSF samostatně, je často lepší jej používat spolu s ConfigServer ModSecurity Control (CMC), který vám poskytuje rozhraní pro implementaci cPanel mod_security z WHM.

Pomocí ConfigServer ModSecurity Control můžete:

• zakázat pravidla mod_security, která mají jedinečná ID čísla na globální úrovni, na uživatele cPanel nebo na úrovni hostované domény
• zcela deaktivovat mod_security, také na globální úrovni, na úrovni uživatele cPanelu nebo na úrovni hostované domény
• upravte soubory obsahující konfigurační nastavení mod_security v /usr/local/apache/conf
• zobrazit nejnovější záznamy protokolu mod_security

Chcete-li si přečíst o tom, jak Imunify360 funguje s ConfigServer Security &Firewall (CSF), navštivte https://docs.imunify360.com/ids_integration/#csf-integration.

Chcete-li si přečíst, jak nakonfigurovat CSF se všemi dostupnými možnostmi, navštivte https://download.configserver.com/csf/readme.txt.

Chcete-li zjistit, jak nainstalovat ConfigServer ModSecurity Control, navštivte https://download.configserver.com/cmc/INSTALL.txt

Chcete-li zjistit, jak nainstalovat ConfigServer ModSecurity Control, navštivte https://download.configserver.com/cmc/INSTALL.txt

APF

APF funguje jako front-end rozhraní pro aplikaci iptables a umožňuje vám otevřít nebo zavřít porty bez použití syntaxe iptables.

Následující příklad obsahuje dvě pravidla, která můžete přidat do souboru /etc/apf/conf.apf, abyste povolili HTTP a HTTPS přístup k vašemu systému:

Common ingress (inbound) TCP ports
IG_TCP_CPORTS="80,443″# Common egress (outbound) TCP ports
EG_TCP_CPORTS="80″

Fail2ban

Fail2ban je software pro prevenci narušení a aplikace pro analýzu protokolů, která monitoruje systémové protokoly, zda nevykazuje příznaky automatického útoku na váš server cPanel.

Když je nalezen pokus o kompromitaci, pomocí definovaných parametrů přidá Fail2ban do iptables nové pravidlo, které zablokuje IP adresu útočníka, buď na stanovenou dobu, nebo trvale.

Fail2ban vás také může upozornit e-mailem, že dochází k útoku.

Není to nejlepší volba pro server cPanel, protože jeho funkce je primárně zaměřena na útoky SSH a to, co dělá, je téměř stejné jako cPHulk Brute Force Protection .

cPHulk je součástí všech instalací cPanel a WHM a lze jej použít ke sledování a blokování všech pokusů o přihlášení k cPanel, WHM, FTP, e-mailu a SSH.

Poskytuje správcům řadu způsobů, jak bojovat proti útokům hrubou silou automaticky i ručně, a cPHulk lze dokonce použít k blokování škodlivých IP adres ve vašem firewallu.

Blokování škodlivých přihlášení může být vydáváno v různé době od dočasného zákazu až po jednodenní nebo dokonce trvalé zákazy.

Vysoce konfigurovatelný systém cPHulk umožňuje velkou míru kontroly.

Můžete zadat počet neúspěšných pokusů o přihlášení před zablokováním IP adresy, definovat další akce, které se mají provést při spuštění automatického blokování, a dokonce povolit upozornění správcům serveru, když nastanou určité události.

Dále však můžete také použít failban a nakonfigurovat jej tak, aby fungoval pro jakoukoli službu, která používá soubory protokolu a může být předmětem kompromisu.

Ujistěte se, že je váš systém aktuální a nainstalujte úložiště EPEL:

yum update && yum install epel-release

Nainstalujte Fail2Ban:

yum install fail2ban

Spusťte a povolte Fail2ban:

systemctl start fail2ban
systemctl enable fail2ban

If you see the error “no directory /var/run/fail2ban to contain the socket file /var/run/fail2ban/fail2ban.sock ”, create the directory manually:

mkdir /var/run/fail2ban

Fail2ban reads .conf configuration files first, then .local files override any settings.

Because of this, all changes to the configuration are generally done in .local files, leaving the .conf files untouched.

Configure fail2ban.local

fail2ban.conf contains the default configuration profile.

The default settings will give you a reasonable working setup.

If you want to make any changes, it’s best to do it in a separate file, fail2ban.local, which overrides fail2ban.conf.

Rename a copy fail2ban.conf to fail2ban.local.

cp /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local

Configure jail.local Settings

The jail.conf file will enable Fail2ban for SSH by default for Debian and Ubuntu, but not CentOS.

All other protocols and configurations (HTTP, FTP, etc.) are commented out. If you want to change this, create a jail.local for editing:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Since we are using CentOS, you will need to change the backend option in jail.local from auto to systemd.

sudo systemctl start fail2ban
sudo systemctl enable fail2ban
sudo systemctl status -l fail2ban

To learn more about failban, here are the documentation and manual:

FAQ:https://www.fail2ban.org/wiki/index.php/FAQ
HOWTO:https://www.fail2ban.org/wiki/index.php/HOWTOs)
Official Fail2ban Documentation:https://www.fail2ban.org/wiki/index.php/Manual
Failban Configuration:https://www.fail2ban.org/wiki/index.php/Category:Configuration

Checking Your cPanel Ports

For a Linux instance, follow these steps to verify the security group rule:

Connect to a Linux instance by using a password.

Potom spusťte následující příkaz:

sudo netstat -plunt

To check whether TCP 80 (replace “80” with any port) is being listened to.

sudo netstat -an | grep 80

You can also use nmap which probably is the most commonly used network mapper in the infosec world.

Nmap can be used to:

• create a complete computer network map.
• find remote IP addresses of any hosts.
• get the OS system and software details.
• detect open ports on local and remote systems.
• audit server security standards.
• find vulnerabilities on remote and local hosts.

You should run nmap ONLY on servers that you own or in situations where you’ve notified the owners.

The reason is that why you as a network administrator might be using nmap to look for possible vulnerabilities to help prevent such attacks, your action can be interpreted as “malicious cracking attempts” and most security tools and cloud providers frowns on this.

CentOS

sudo yum install nmap

To install nmap on Red Hat Enterprise Linux 8 execute the following dnf command:

sudo dnf install nmap

To install nmap on an Ubuntu or Debian machine by entering:

sudo apt-get update

sudo apt-get install nmap

Use the –version option to check the installed nmap version and correctness of the actual nmap installation. Například:

nmap -version

Basic Nmap Scan against IP or host

nmap 1.1.1.1

Now, if you want to scan a hostname, simply replace the IP for the host, as you see below:

nmap cloudflare.com

These kinds of basic scans are perfect for your first steps when starting with Nmap.

Scan specific ports or scan entire port ranges on a local or remote server

nmap -p 1-65535 localhost

In this example, we scanned all 65535 ports for the localhost.