最近看到有朋友分享了十招加固cPanel安全,觉得很不错,贴出来和大家分享下:
1.使用安全密码
编辑/etc/login.defs配置密码选项。一般来说,建议密码至少设置8位或者8位以上,包含大小字母和数字,有特殊符号更好。如果你想知道你设置的密码是否安全,可以用 JTR cracker之类工具来破解下,如果几个小时被破解了,说明密码不够安全。也可以使用pam_passwdqc工具来检测密码强度。

2.加固SSH安全
启用SSH的公共密钥并禁用密码验证。
编辑/etc/ssh/sshd_config文件修改SSH的默认22端口为其它端口比如1653。
使用SSHv2而不是SSHv1,方法为:修改/etc/ssh/sshd_config中#Protocol 2,1为#Protocol 2。
编辑/etc/security/limits.conf限制用户Shell资源的使用。

3.安全Apache
使用mod_security。通过EasyApache即可编译mod_security。
编译Apache的时候,将suexec编辑进去确保CGI程序和脚本以拥有者的身份被拥有和执行。这样出问题的时候容易判断是哪个用户引起的。
通过PHPsuexec编辑Apache和PHP。PHPsuexec强制所有的PHP脚本以拥有者的身份执行。
启用PHP open_basedir保护,这样用户就不能通过PHP打开他们主目录之外的文件。
为PHP 5启用safe_mode,保证PHP脚本的拥着有与所操作到的任何文件的拥有者是一直的。编辑php.ini文件,设置safe_mode = On即可。

4.加固/tmp目录安全
为/tmp目录使用单独的nosetuid分区,这样会强制让进程仅以执行者拥有的权限运行。cPanel安装之后以noexec方式载入/tmp。
执行/scripts/securetmp将/tmp分区载入到一个临时文件。

5.升级邮件到邮件maildir格式
Maildir格式更安全并且能够加速邮件系统。目前最新的cPanel版本均会自动使用Maildir。如果你的cPanel版本比较老的话,可以通过/scripts/convert2maildir来升级到Maildir。如果执行的时候提示Maildir已经启用,就不需要再执行了。

6.关闭系统的编译器
大多数用户都不需要使用C和C++编译器。使用Security Center中的Complier Access功能关闭未授权使用编译器的用户使用它们,或者仅仅关闭特定用户使用编译器的权限。

7.关闭不使用的服务和进程
检查/etc/xinetd.conf看下哪些服务你不在使用。比如cupsd和nfs/statd这些一般都不会用到。
你可以到Service Configuration中的Service Manager里关闭不用的服务。

8.监控你的系统
要实时监控你的系统,确保你能知道有哪些账户被创建了,哪些软件被安全了,或者哪些软件需要更新等。

定期检查你的系统比如检查下面这些:
netstat -anp:查找你没有安装或者授权的端口在运行的程序。
find / ( -perm -a+w ) ! -type l >> world_writable.txt:查找world_wirtable.txt文件来查看所有的可写文件和目录。这样有助于发现攻击者藏在你系统上的文件。
find / -nouser -o -nogroup>> no_owner.txt:查找那些不属于任何用户或者组的文件。所有的文件都必须属于某个特定用户或者组。
ls /var/log/:系统日志所在目录。这里可以检查系统日志,apache日志,邮件日志等等。

有一些简单易用的工具能够扫描出系统的rootkits,backdoors等:
Tripwire–监控文件的校验和并报告更改。详情见http://sourceforge.net/projects/tripwire
Chrookit—扫描常见的rootkits和backdoor等。详情见http://www.chkrootkit.org
Rkhunter—扫描常见的rootkits和backdoor等。详情见http://www.rootkit.nl/projects/rootkit_hunter.html
Logwatch—监控和报告每日系统的事件。

9.启用防火墙
安装防火墙限制访问服务器很有用。移除系统上未使用的软件。防火墙上仅允许系统会使用的端口,可以参考http://www.urbansh.com/centos-install-csf-configure-port.html

CSF防火墙安装方法参见http://www.urbansh.com/centos-install-csf-configure-port.html

10.保持cPanel更新
确保你使用的cPanel版本能够不断更新,始终保持使用最新的稳定版本。同时确保内核、用户应用程序(如用户的CMS等)、系统软件。
cPanel的自动升级更新以及系统软件的更新可以在WHM中的Server Configuration中的Update Preferences里设置。

网络任我行(www.urbansh.com)原创,转载请注明出处http://www.urbansh.com/secure-your-cpanel.html