Erfahren Sie, wie Sie cPanel-Firewalls auf den meisten Cloud-Plattformen konfigurieren oder andere Sicherheitstools verwenden, um Ihren cPanel-Server abzusichern und vor böswilligen Angriffen zu schützen.
Stellen Sie sich vor, dass nach Abschluss der ersten Errichtung der Mauern für dieses neue Haus das Haus kein Dach mehr hat, um seine Bewohner vor den Elementen zu schützen, und keine Türen, um sie vor wilden Tieren zu schützen, die sie zum Abendessen verschlingen wollen.
Die obige Analogie passiert häufig, wenn ein Serveradministrator einen Server bereitstellt und dann den grundlegendsten Aspekt des Prozesses vergisst:die Sicherheit.
Die Cloud hat Serveradministratoren die Möglichkeit gegeben, jede Art von Server in weniger als 55 Sekunden einzurichten.
Das Problem dabei ist, dass Serveradministratoren oft den grundlegendsten Aspekt des Prozesses vergessen:die Sicherheit.
Während die meisten der größten Cloud-Systeme, die wir annehmen, eingebaute Maßnahmen haben, die uns davon abhalten sollen, Opfer unserer menschlichen Natur zu werden, hat es nichts an dieser Tatsache geändert, wenn Sie ein System bereitstellen und nicht von seinem Konzeptionsdesign Um sicher zu sein, werden Sie auf der ganzen Linie einen harten Weg vor sich haben.
Tatsache ist, dass 98 % der meisten Angriffe, denen ein online verbundenes System ausgesetzt ist, eher opportunistischer als gezielter Natur sind.
Wenn ein böswilliger Benutzer sein Glück mit einem System versucht und feststellt, dass es robust geschützt ist, wird er sich leichteren Zielen zuwenden.
Bei einem ungeschützten Server sieht die Geschichte anders aus, da jeder mit böswilligen Absichten die Kiste sofort als tief hängend und reif zum Pflücken ansehen wird.
Ein ungeschützter Server sollte auch nicht online sein, nicht nur, weil es gegen alles verstößt, was ein guter Admin sein sollte, sondern weil es das Internet unsicherer macht.
Was sind Firewalls in der Datenverarbeitung?
Was sind Firewalls in der Datenverarbeitung?
Beim Entwurf der Computerinfrastruktur wird das Internet immer als nicht vertrauenswürdiges externes Netzwerk behandelt.
Eine Firewall überwacht und steuert den eingehenden und ausgehenden Netzwerkverkehr auf der Grundlage vordefinierter Sicherheitsregeln.
So wie jedes gut gestaltete Gebäude eine Wand haben sollte, die dazu bestimmt ist, Feuer innerhalb eines Gebäudes einzudämmen, festgelegte Ein- und Austrittspunkte und Regeln darüber, wer Zugang haben und wer zurückgewiesen werden sollte, ermöglicht eine gut implementierte Firewall einem Systemadministrator, diese zu definieren welche ein- und ausgehende Kommunikation von einem Server erlaubt ist und auch die Fähigkeit, Bedrohungen innerhalb eines festgelegten Parameters abzuwehren.
Als Systemadministrator sollten Sie beim Thema Sicherheit standardmäßig an folgenden Stellen beginnen:
- Beachten Sie, dass jede Software, einschließlich cPanel, ausgenutzt werden kann.
- verstehen und behandeln Sie jede Benutzereingabe als potenziell feindselig und bösartig
- bewährte Sicherheitspraktiken anwenden, um eine Infrastruktur zu verteidigen
- Vermeiden Sie die Einführung von Sicherheitslösungen, die Sie nicht verstehen, da Sie sie verstehen.
- alles verdächtige Verhalten protokollieren, falls und wenn es für die Forensik erforderlich ist
- Entwerfen Sie ein System so, dass Sie die Infrastruktur in den Zustand vor der Kompromittierung zurückversetzen können.
- gehen Sie über Port-Firewalls hinaus, um unsichere Protokolle zu verbergen, verlassen Sie sich aber auf die Sicherheit der Protokolle, die Sie zum Schutz Ihrer Infrastruktur verwenden.
- bieten die minimalen Berechtigungen, die erforderlich sind, um einen Vorgang erfolgreich abzuschließen, aber nicht mehr als das, was erforderlich ist.
So richten Sie eine cPanel-Firewall zur Abwehr ein
Wie kann man also beispielsweise einen öffentlich zugänglichen cPanel-Webserver sichern, um die Wahrscheinlichkeit einer Kompromittierung zu verringern?
Beginnen wir mit den Grundlagen bei der Installation eines neuen cPanel-Servers.
Alle vorhandenen Regeln entfernen
Genauso wie Sie kein Gebäude auf dem bauen würden, was jemand bereits erstellt hat, ist es immer besser, alle vorhandenen Firewall-Regeln herauszureißen, bevor Sie eine neue implementieren.
Auf diese Weise erhalten Sie eine klare, kohärente Vorstellung davon, was Sie auf Ihrem System zulassen und blockieren, eine Information, die Sie im Kopf haben möchten, wenn Sie mit einer anhaltenden Bedrohung fertig werden.
Wenn Sie cPanel auf einem neuen Computer installieren, sollten Sie die Firewall deaktivieren, bevor Sie das Installationsskript mit:
ausführeniptables-save > ~/firewall.rules
systemctl stop firewalld.service
systemctl disable firewalld.service
wobei ~/firewall.rules die Firewall-Regeldatei darstellt.
Derselbe Befehl funktioniert auch unter CentOS, Red Hat® Enterprise Linux, CloudLinux™ und Amazon®.
Wenn der Installationsvorgang abgeschlossen ist, können Sie eine Firewall aus einer der folgenden Optionen auswählen und konfigurieren.
SELinux deaktivieren
SELinux (Security-Enhanced Linux ) im Erzwingungsmodus wurde absichtlich entwickelt, um Ihren Webserver zu einer Festung zu machen, aber ehrlich gesagt erfordert es viel Arbeit, SELinux selbst auf einem einfachen Linux-Computer zu konfigurieren.
Und während cPanel &WHM möglicherweise mit SELinux im zulässigen Modus funktionieren, generiert es eine große Anzahl von Protokolleinträgen, die Sie nicht möchten.
Es wird dringend empfohlen, dass Sie SELinux deaktivieren und das System neu starten, bevor Sie cPanel auf einem beliebigen System installieren.
Um die SELinux-Sicherheitsfunktionen zu deaktivieren, verwenden Sie eine der folgenden Methoden:
Rufen Sie Ihr Terminal auf und führen Sie Folgendes aus:
$ sudo cp /etc/selinux/config /etc/selinux/config.backup
$ sudo vi /etc/selinux/config
Die Datei /etc/selinux/config ermöglicht es Ihnen, die SELINUX-Parameter festzulegen, die der Server ausführen soll.
Wenn es geöffnet wird, sehen Sie etwa Folgendes:
This file controls the state of SELinux on the system.
SELINUX= can take one of these three values:
enforcing - SELinux security policy is enforced.
permissive - SELinux prints warnings instead of enforcing.
disabled - No SELinux policy is loaded.
SELINUX=enabled
SELINUXTYPE= can take one of these two values:
targeted - Only targeted network daemons are protected.
strict - Full SELinux protection.
SELINUXTYPE=targeted
Der gesuchte Parameter ist „SELINUX=enable“
Sie müssen lediglich das Wort „enabled“ ersetzen “ durch „deaktiviert “.
Speichern Sie die Datei, indem Sie „:wq ausführen ” und beenden.
Starten Sie den Server neu:
sudo systemctl reboot
systemctl ist ein Befehlszeilendienstprogramm und primäres Tool zum Verwalten von systemd Daemons/Dienste wie (Start, Neustart, Stopp, Aktivieren, Deaktivieren, Neuladen &Status).
Sie können jetzt Ihre cPanel-Installation starten und sobald dies abgeschlossen ist, ist es an der Zeit, mit der Sicherheitskonfiguration zu beginnen.
Welche Art von Firewall können Sie mit cPanel verwenden?
Die Art der Firewall, die Sie mit cPanel verwenden, hängt weitgehend von zwei Dingen ab:
- die Bereitstellungsumgebung (lokal oder cloudbasiert)
- Ihr Grad an Vertrautheit mit den Tools, die Sie verwenden möchten
Implementieren der cPanel-Firewall in der Cloud
Wenn Sie eine öffentliche Cloud wie AWS, Google Cloud Platform, Microsoft Azure, Alibabacloud und viele andere verwenden, können Sie auf Rechenzentrumsebene alles tun, was Sie wollen.
Dies erfordert jedoch die Erstellung einer VPC (das Rechenzentrum in der Cloud-Sprache) und obwohl die topografischen Schnittstellen und Namenskonventionen auf jeder dieser Plattformen unterschiedlich sind, läuft alles auf eine Sache hinaus:in der Lage zu sein, den ein- und ausgehenden Datenverkehr zu bestimmen Zugriff gewähren möchten.
Dies erfordert häufig, herauszufinden, welche Ports der Server optimal ausführen soll, und dann den eingehenden Zugriff auf diese zuzulassen.
Es gibt weitere optionale Sicherheitsebenen wie Netzwerk-ACLs (die standardmäßig den gesamten ein- und ausgehenden IPv4-Datenverkehr und ggf. IPv6-Datenverkehr zulassen), die als Firewall zur Kontrolle des Datenverkehrs in und aus einem oder mehreren Subnetzen fungieren.
Aber wir werden zu diesem Zeitpunkt bei den Grundlagen bleiben.
Sicherheitsgruppen
In der Cloud fungiert eine Sicherheitsgruppe als virtuelle Firewall, die den Datenverkehr für eine oder mehrere Instanzen steuert und Sicherheit auf Protokoll- und Portzugriffsebene bietet.
Wenn Sie eine Instance starten, können Sie eine oder mehrere Sicherheitsgruppen angeben; Andernfalls verwenden wir die Standardsicherheitsgruppe.
Sie können jeder Sicherheitsgruppe Regeln hinzufügen, die Datenverkehr zu oder von den zugehörigen Instanzen zulassen.
Jede Sicherheitsgruppe – die ähnlich wie eine Firewall funktioniert – enthält eine Reihe von Regeln, die den ein- und ausgehenden Datenverkehr einer Instanz filtern.
Es gibt keine „Deny“-Regeln.
Wenn es keine Regel gibt, die ein bestimmtes Datenpaket ausdrücklich zulässt, wird es verworfen.
Sie können die Regeln für eine Sicherheitsgruppe jederzeit ändern; Die neuen Regeln werden automatisch auf alle Instances angewendet, die der Sicherheitsgruppe zugeordnet sind.
Wenn wir entscheiden, ob Datenverkehr eine Instanz erreichen darf, werten wir alle Regeln aus allen Sicherheitsgruppen aus, die der Instanz zugeordnet sind.
Auf Microsoft Azure , diese werden Netzwerksicherheitsgruppen (NSG) genannt.
Google Cloud-Plattform nennt sich eben Firewall-Regeln (Networking>>> VPC network).
GCP-Firewalls gelten für ein einzelnes VPC-Netzwerk, werden jedoch als globale Ressource betrachtet, da Pakete sie aus anderen Netzwerken erreichen können.
AWS &Alibabacloud ruft ihre Sicherheitsgruppen auf.
Was Sie beachten sollten:
Sicherheit sollte Teil Ihres anfänglichen Architekturdesigns sein, kein nachträglicher Einfall .
Während Sie jederzeit zurückgehen und einer Instanz eine neu erstellte Sicherheitsgruppe zuweisen können, erstellen Sie immer Ihre VPC mit Subnetz, Route, Firewalls und allem, was vorausgeht, noch bevor Sie Ihre erste virtuelle Maschine starten.
Auf diese Weise können Sie beim Bereitstellen der Instanz einfach eine vorhandene Sicherheitsgruppe auswählen und alle Ports erneut überprüfen, bevor Sie mit der Bereitstellung beginnen.
Beachten Sie, dass Sie auf jeder dieser Plattformen auf eine bestimmte Anzahl von Sicherheitsgruppen pro VPC beschränkt sind .
Sie können jederzeit verlangen, dass das Limit erhöht wird, aber Sie werden möglicherweise eine Auswirkung auf die Netzwerkleistung feststellen.
Stellen Sie außerdem sicher, dass Ihre Firewall-Regeln dem Weg entsprechen in denen Sie die Dienste von cPanel &WHM nutzen.
Sicherheitsgruppen erstellen
AWS
So erstellen Sie eine Sicherheitsgruppe mit der AWS-Konsole
Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.
Wählen Sie im Navigationsbereich Sicherheitsgruppen aus .
Wählen Sie Sicherheitsgruppe erstellen .
Geben Sie den Namen der Sicherheitsgruppe (z. B. cpanel_security_group) und eine Beschreibung ein.
Wählen Sie die ID Ihrer VPC aus dem VPC-Menü und wählen Sie Yes, Create .
Sie können auch verwenden:
aws ec2 create-security-group --group-name MySecurityGroup --description "My security group" --vpc-id vpc-1a2b3c4d
Wählen Sie auf der Registerkarte Eingangsregeln die Option Bearbeiten aus .
Wählen Sie eine Option für eine Regel für eingehenden Datenverkehr für Typ aus, und geben Sie dann die erforderlichen Informationen ein.
Geben Sie einen Wert für Quelle als 0.0.0.0/0 an.
Geben Sie optional eine Beschreibung für jede Regel ein und wählen Sie dann Speichern .
Microsoft Azure
Im Azure Security Center können Sie eine Liste der Regeln der Netzwerksicherheitsgruppe (NSG) und der Zugriffssteuerungsliste (ACL) anzeigen, die Netzwerkdatenverkehr zu Ihren VM-Instanzen in einem virtuellen Netzwerk zulassen oder verweigern.
Wenn eine NSG einem Subnetz zugeordnet ist, gelten die ACL-Regeln für alle VM-Instanzen in diesem Subnetz.
Microsoft Azure hat ein längeres Formular mit mehr auszufüllenden Feldern.
Aber es ist relativ einfach und macht genau dasselbe, was Sie auf den anderen Cloud-Plattformen sehen werden.
So erstellen Sie eine Netzwerksicherheitsgruppe in Microsoft Azure:
Wählen Sie in der oberen linken Ecke des Portals + Ressource erstellen aus.
Wählen Sie Netzwerk und dann die Netzwerksicherheitsgruppe aus.
Geben Sie einen Namen für die Netzwerksicherheitsgruppe ein, wählen Sie Ihr Abonnement aus, erstellen Sie eine neue Ressourcengruppe oder wählen Sie eine vorhandene Ressourcengruppe aus, wählen Sie einen Standort aus , und wählen Sie dann Erstellen aus .
Geben Sie im Suchfeld oben im Portal Netzwerksicherheitsgruppen in das Suchfeld ein.
Wenn Netzwerksicherheitsgruppen in den Suchergebnissen angezeigt werden, wählen Sie sie aus.
Wählen Sie die Netzwerksicherheitsgruppe aus, die Sie ändern möchten.
Wählen Sie Eingehende Sicherheitsregeln aus unter EINSTELLUNGEN .
Mehrere vorhandene Regeln werden aufgelistet.
Wenn eine Netzwerksicherheitsgruppe erstellt wird, werden darin mehrere Standardsicherheitsregeln erstellt.
Sie können Standardsicherheitsregeln nicht löschen, aber Sie können sie mit Regeln überschreiben, die eine höhere Priorität haben.
Weitere Informationen zu Standardsicherheitsregeln finden Sie unter https://docs.microsoft.com/en-us/azure/virtual-network/security-overview#default-security-rules.
Wählen Sie + Hinzufügen aus .
Wählen Sie Werte für die folgenden Einstellungen aus oder fügen Sie Werte hinzu:
- Quelle (beliebig, Anwendungssicherheitsgruppe, IP-Adressen oder Service-Tag)
- Quellportbereiche (0.0.0.0/0)
- Ziel (beliebig, Anwendungssicherheitsgruppe, IP-Adressen oder virtuelles Netzwerk)
- Zielportbereiche
- Protokoll (beliebig, TCP oder UDP)
- Aktion (Zulassen oder Verweigern)
- Priorität (100–4096 – je niedriger die Zahl, desto höher die Priorität. Lassen Sie beim Erstellen von Regeln eine Lücke zwischen den Prioritätsnummern, z möglicherweise höher oder niedriger als bestehende Regeln machen müssen.)
Name - Optionale Beschreibung
Wählen Sie OK .
Alibabacloud
Melden Sie sich bei der ECS-Konsole an.
Wählen Sie im linken Navigationsbereich Netzwerke und Sicherheit aus> Sicherheitsgruppen .
Wählen Sie die Zielregion aus.
Suchen Sie die Sicherheitsgruppe, um Autorisierungsregeln hinzuzufügen, und klicken Sie dann in der Spalte „Aktionen“ auf Regeln hinzufügen .
Klicken Sie auf der Seite "Sicherheitsgruppenregeln" auf Sicherheitsgruppe hinzufügen Regel.
Legen Sie im Dialogfeld die folgenden Parameter fest:
Regelrichtung:
- Ausgehend:ECS-Instanzen greifen über Intranet-Netzwerke oder über Internetressourcen auf andere ECS-Instanzen zu.
- Eingehend:Andere ECS-Instanzen im Intranet und Internetressourcen greifen auf die ECS-Instanz zu.
Aktion:
- Wählen Sie „Zulassen“ oder „Verbieten“ aus.
- Protokolltyp und Portbereich
- Berechtigungstyp und Berechtigungsobjekt
- Priorität:Der Wertebereich ist 1-100. Denken Sie daran, je kleiner der Wert, desto höher die Priorität.
Klicken Sie auf OK .
Google Cloud-Plattform
Auf der Google Cloud Platform fungiert jedes VPC-Netzwerk als verteilte Firewall.
Während Firewall-Regeln auf Netzwerkebene definiert werden, werden Verbindungen für einzelne Instanzen zugelassen oder verweigert.
Sie können sich vorstellen, dass die GCP-Firewallregeln nicht nur zwischen Ihren Instanzen und anderen Netzwerken bestehen, sondern auch zwischen einzelnen Instanzen innerhalb desselben Netzwerks.
Wenn Sie eine GCP-Firewallregel erstellen, geben Sie ein VPC-Netzwerk und eine Reihe von Komponenten an, die definieren, was die Regel tun soll.
Mit den Komponenten können Sie auf bestimmte Arten von Datenverkehr basierend auf dem Protokoll, den Ports, Quellen und Zielen des Datenverkehrs abzielen
Im Gegensatz zu AWS unterstützen GCP-Firewallregeln nur IPv4-Datenverkehr.
Wenn Sie eine Quelle für eine Ingress-Regel oder ein Ziel für eine Egress-Regel nach Adresse angeben, können Sie nur eine IPv4-Adresse oder einen IPv4-Block in CIDR-Notation verwenden.
Denken Sie daran, dass Sie ein benutzerdefiniertes Netzwerk erstellen müssen, bevor Sie dies tun können.
Produkte &Dienstleistungen> VPC-Netzwerk> VPC-Netzwerke
Klicken Sie auf + VPC-NETZWERK ERSTELLEN .
Gehen Sie wie folgt vor und belassen Sie alle anderen Felder mit ihren Standardwerten:
Geben Sie die Subnetze an
Klicken Sie auf Erstellen .
Besuchen Sie Produkte &Dienstleistungen> VPC-Netzwerk> Firewallregeln
Klicken Sie auf das von Ihnen erstellte Netzwerk.
Sie werden feststellen, dass für das benutzerdefinierte Netzwerk keine Standard-Firewallregeln erstellt wurden.
Im nächsten Schritt müssen Sie die Standardregeln manuell hinzufügen.
Klicken Sie auf + FIREWALL-REGEL ERSTELLEN .
Geben Sie Folgendes ein und lassen Sie alle anderen Felder mit ihren Standardwerten:
Property Value
Name: allow-ssh-icmp-rdp-learncustom
Network: learncustom
Direction of traffic: Ingress
Action on match: Allow
Targets: cpanel
Target tags: cpanel, cloudlinux
Source filter: IP ranges
Source IP ranges: 0.0.0.0/0
Protocols and ports: Specified protocols and ports
type: icmp; tcp:22; tcp:25; tcp:53; tcp:80; tcp:110; tcp:143; tcp:443; tcp:465; tcp:587; tcp:993; tcp:995; tcp:2078; tcp:2080; tcp:2083; tcp:2087; tcp:2096; udp:53; udp:123; udp:465; udp:783; udp:873; udp:6277; udp:24441
Stellen Sie sicher, dass die Quellfilteradresse das abschließende „/0“ enthält.
Wenn Sie 0.0.0.0 anstelle von 0.0.0.0/0 angeben, verwendet der Filter standardmäßig 0.0.0.0/32 – eine exakte Hostadresse, die nicht existiert.
Klicken Sie auf Erstellen .
Firewall-Ports der cPanel-Dienste
Hier sind die Ports, die cPanel &WHM verwenden, und die Dienste, die jeden dieser Ports verwenden.
Wir haben alle Nicht-SSL-Dienste entfernt, da deren Verwendung Angreifern das Abfangen vertraulicher Informationen wie Anmeldeinformationen ermöglicht.
Wir gehen davon aus, dass Sie bereits wissen, was ein Port ist.
Aber wenn Sie es nicht wissen, werfen wir einen kurzen Blick darauf, was ein Port im Netzwerk ist.
Im OSI-Netzwerkmodell sind Ports meistens Teil der Transportschicht (können aber auch Teil der Netzwerkschicht und sogar der Sitzungsschicht sein, abhängig von der initiierenden Maschine (Quellport) und dem aufgerufenen Dienst (Zielport + IP). und wen Sie gefragt haben) und befasst sich mit der End-to-End-Kommunikation zwischen verschiedenen Diensten und Anwendungen.
Eine Portnummer ist eine 16-Bit-Ganzzahl ohne Vorzeichen und reicht daher von 0 bis 65535.
Für TCP ist die Portnummer 0 reserviert und kann nicht verwendet werden, während für UDP der Quellport optional ist und ein Wert von Null bedeutet, dass kein Port vorhanden ist.
Beispielsweise ist HTTP Port 80 zugewiesen.
Wenn also ein Client einen HTTP-Server kontaktieren möchte, verwendet er den Zielport 80 und einen Quellport, der eindeutig für den Prozess ist, der die Anfrage stellt.
Dadurch kann der empfangende Host alle empfangenen Pakete mit dem Ziel Port 80 an die Prozesse senden, die auf diese Pakete „lauschen“, was normalerweise ein HTTP-Serverprozess wäre, wenn es einen gibt.
Wenn der HTTP-Server antwortet, verwendet er den Quellport des Clients als Antwortzielport und möglicherweise Port 80 als Quellport des Antwortpakets.
Dadurch kann der ursprüngliche Client den Port schnell an den Prozess weiterleiten, der die Anfrage gestellt hat.
Im Moment reichen cPanel-Ports von „1“ (CPAN) bis „24441“ (Pyzor).
| Port | Dienst | TCP | UDP | Eingehend | Ausgehend |
| 1 | CPAN | ✓ | ✓ | ||
| 22 | SSH/SFTP | ✓ | ✓ | ||
| 25 | SMTP | ✓ | ✓ | ✓ | |
| 26 | SMTP | ✓ | ✓ | ✓ | |
| 37 | rdate | ✓ | ✓ | ||
| 43 | whois | ✓ | ✓ | ||
| 53 | binden | ✓ | ✓ | ✓ | ✓ |
| 80 | httpd | ✓ | ✓ | ✓ | |
| 110 | pop3 | ✓ | ✓ | ||
| 113 | ident | ✓ | ✓ | ||
| 143 | IMAP | ✓ | ✓ | ||
| 443 | httpd | ✓ | ✓ | ||
| 465 | SMTP, SSL/TLS | ✓ | ✓ | ✓ | ✓ |
| 579 | cPHulk | ✓ | |||
| 783 | Apache-Spam | ✓ | ✓ | ✓ | |
| 873 | rsync | ✓ | ✓ | ✓ | |
| 993 | IMAP-SSL | ✓ | ✓ | ||
| 995 | POP3-SSL | ✓ | ✓ | ||
| 2703 | Rasierer | ✓ | ✓ | ||
| 2078 | WebDAV-SSL | ✓ | ✓ | ✓ | |
| 2080 | CalDAV und CardDAV (SSL) | ✓ | ✓ | ✓ | |
| 2083 | cPanel-SSL | ✓ | ✓ | ||
| 2087 | WHM-SSL | ✓ | ✓ | ||
| 2089 | cPanel-Lizenzierung | ✓ | ✓ | ||
| 2096 | Webmail-SSL | ✓ | ✓ | ||
| 2195 | APNs | ✓ | ✓ | ||
| 6277 | DCC | ✓ | ✓ | ✓ | |
| 24441 | Pyzor | ✓ | ✓ | ✓ |
Der wichtigste Teil dieses Prozesses sind die Inbound-Ports.
Andere mögliche Überlegungen sind:
- Freien Zugriff auf die Loopback-Schnittstelle ermöglichen. Im Gegensatz zu externen Schnittstellen ist das Binden Ihres Prozesses an localhost normalerweise gut für die Sicherheit, und daher verursacht die Beschränkung des Zugriffs auf die Loopback-Schnittstelle mehr Schaden als Nutzen. Dadurch sind Sie zwar anfällig für Angriffe eines lokalen Benutzers, aber das ist ein Risiko, das Sie für sich selbst abwägen müssen.
- schränken Sie nicht den gesamten Datenverkehr des Internet Control Message Protocol (ICMP) ein. Das Zulassen von ICMP ist entscheidend für das Funktionieren des Internets; Router und Hosts verwenden es, um wichtige Informationen wie Dienstverfügbarkeit, Paketgrößen und Host-Existenz zu kommunizieren. Die Typen 3 und 4, „Destination Unreachable“ und „Source Quench“, sind kritisch und ihre Einschränkung kann in Zukunft mehr schaden als gewinnen.
Weitere verfügbare Firewall-Optionen
Firewall für cPanel-Skript
Neue Versionen von cPanel und WHM enthalten den cpanel-Dienst, der alle Regeln in /etc/firewalld/services/cpanel.xml verwaltet Datei.
Dies ermöglicht den TCP-Zugriff für die Ports des Servers.
Führen Sie die folgenden Schritte aus, um Ihre vorhandenen iptables-Regeln durch die Regeln in der Datei /etc/firewalld/services/cpanel.xml zu ersetzen:
- Führen Sie den Befehl yum install firewalld aus, um sicherzustellen, dass auf Ihrem System firewalld installiert ist.
- Führen Sie den Befehl systemctl start firewalld.service aus, um den Firewalld-Dienst zu starten.
- Führen Sie den Befehl systemctl enable firewalld aus, um den Firewalld-Dienst zu starten, wenn der Server startet.
- Führen Sie den Befehl iptables-save> backupfile aus, um Ihre bestehenden Firewall-Regeln zu speichern.
- Führen Sie das Skript /usr/local/cpanel/scripts/configure_firewall_for_cpanel aus. Dadurch werden auch alle vorhandenen Einträge aus der iptables-Anwendung gelöscht. Ich
- Führen Sie den Befehl iptables-restore
Standardmäßig gelten Firewall-cmd-Befehle für die Laufzeitkonfiguration, aber die Verwendung des Flags –permanent richtet eine dauerhafte Konfiguration ein.
Wenn Sie also zusätzliche Ports hinzufügen müssen, fügen Sie die Regel (Port oder Dienst) sowohl dem permanenten als auch dem Laufzeitsatz hinzu:
Sie können diese Beispiele unten verwenden:
sudo firewall-cmd --zone=public --add-port=45000/tcp --permanent
sudo firewall-cmd --zone=public --permanent --add-service=ssh --permanent
sudo firewall-cmd --zone=public --permanent --add-service=ssh
sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=http
sudo firewall-cmd --zone=public --permanent --add-service=https --permanent
sudo firewall-cmd --zone=public --permanent --add-service=https
sudo firewall-cmd --reload
Firewalld
Auf jedem Server, auf dem die Betriebssysteme CentOS 7, CloudLinux 7 und RHEL 7 ausgeführt werden, ist der Firewalld-Daemon vorinstalliert, aber häufig inaktiv.
FirewallD ist ein Firewall-Dienst-Daemon.
Es ersetzt die iptables-Schnittstelle und verbindet sich mit dem Netfilter-Kernel-Code.
Da es dynamisch ist, ermöglicht es das Erstellen, Ändern und Löschen der Regeln, ohne dass der Firewall-Daemon jedes Mal neu gestartet werden muss, wenn die Regeln geändert werden.
Firewalld verwendet die Konzepte von Zonen und Diensten, die das Verkehrsmanagement vereinfachen.
Zonen sind vordefinierte Regelsätze.
Netzwerkschnittstellen und -quellen können einer Zone zugewiesen werden.
Der zulässige Datenverkehr hängt von dem Netzwerk ab, mit dem Ihr Computer verbunden ist, und von der Sicherheitsstufe, die diesem Netzwerk zugewiesen ist.
Firewall-Dienste sind vordefinierte Regeln, die alle notwendigen Einstellungen abdecken, um eingehenden Datenverkehr für einen bestimmten Dienst zuzulassen, und sie gelten innerhalb einer Zone.
Geben Sie Folgendes ein, um den Firewalld-Status zu überprüfen:
systemctl status firewalld
oder
firewall-cmd --state
So starten Sie den Dienst und aktivieren FirewallD beim Booten:
sudo systemctl start firewalld
sudo systemctl enable firewalld
So stoppen und deaktivieren Sie es:
sudo systemctl stop firewalld
sudo systemctl disable firewalld
So zeigen Sie die standardmäßig verfügbaren Dienste an:
sudo firewall-cmd --get-services
Konfigurationsdateien befinden sich in zwei Verzeichnissen:
- /usr/lib/FirewallD enthält Standardkonfigurationen wie Standardzonen und allgemeine Dienste. Vermeiden Sie es, sie zu aktualisieren, da diese Dateien bei jeder Aktualisierung des Firewalld-Pakets überschrieben werden.
- /etc/firewalld enthält Systemkonfigurationsdateien. Diese Dateien überschreiben eine Standardkonfiguration.
Lesen Sie unter:
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-using_firewalls#sec-Introduction_to_firewalld
https://firewalld.org/
https://fedoraproject.org/wiki/FirewallD
https://www.unix.com/man-page/centos/1/firewall-cmd/
CSF
ConfigServer ist eine kostenlose, bewährte Stateful Packet Inspection (SPI) Firewall, Login/Intrusion Detection für Linux-Server und wahrscheinlich eines der einfachsten Tools, mit denen Sie Ihren cPanel-Server schützen können.
Es verfügt über eine native Integration mit cPanel/WHM, DirectAdmin und Webmin mit einem Front-End für CSF und LFD (Login Failure Daemon), auf das über das Root-Konto zugegriffen werden kann.
Von dieser Schnittstelle aus können Sie die Konfigurationsdateien ändern und die Anwendungen stoppen, starten und neu starten und ihren Status überprüfen.
Dies macht die Konfiguration und Verwaltung der Firewall wirklich sehr einfach.
Die CSF-Installation für cPanel und DirectAdmin ist so vorkonfiguriert, dass sie damit funktioniert
Server mit allen offenen Standardports.
Es konfiguriert automatisch Ihren SSH-Port in der Installation, in der es auf einem Nicht-
Standardport.
CSF führt Ihre verbundene IP-Adresse nach Möglichkeit bei der Installation automatisch auf die weiße Liste.
Um CSF zu installieren, führen Sie die folgenden Befehle als Root-Benutzer aus:
cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf && ./install.sh
Um CSF zu konfigurieren, besuchen Sie die ConfigServer &Firewall-Oberfläche von WHM unter (Home>> Plugins>> ConfigServer &Firewall ).
Bitte beachten Sie, dass es nicht wirklich ratsam ist, mehrere Firewalls auf einem System zu betreiben.
Diese Regel gilt jedoch nicht für Imunify360, da es möglich ist, CSF auszuführen und zu aktivieren, wenn Imunify360 bereits ausgeführt wird.
Alle IP-Adressen aus der Imunify360 White List werden in die CSF-Ignorierliste exportiert.
Wenn Sie Imunify360 installiert haben, dann installieren Sie CSF, Imunify360 wechselt in den CSF-Integrationsmodus.
Um zu überprüfen, ob die CSF-Integration aktiviert ist, gehen Sie zu Imunify360 → Firewall-Tab → Weiße Liste Abschnitt und überprüfen Sie, ob eine Warnmeldung „CSF ist aktiviert. Bitte verwalten Sie IPs, die in CSF auf der weißen Liste stehen, über die CSF-Benutzeroberfläche oder die Konfigurationsdatei “.
Dies bedeutet, dass die CSF- und Imunify360-Integration erfolgreich verarbeitet wurde.
Wenn Sie CSF allein verwenden, ist es oft besser, es zusammen mit ConfigServer ModSecurity Control (CMC) zu verwenden, das Ihnen eine Schnittstelle zur Implementierung von cPanel mod_security innerhalb von WHM bietet.
Mit ConfigServer ModSecurity Control können Sie:
- mod_security-Regeln deaktivieren, die eindeutige ID-Nummern auf globaler Ebene, pro cPanel-Benutzer oder pro gehosteter Domain haben
- deaktivieren Sie mod_security vollständig, auch auf globaler, pro cPanel-Benutzer oder pro gehosteter Domain-Ebene
- Dateien mit mod_security-Konfigurationseinstellungen in /usr/local/apache/conf bearbeiten
- Sehen Sie sich die neuesten mod_security-Protokolleinträge an
Um zu erfahren, wie Imunify360 mit ConfigServer Security &Firewall (CSF) funktioniert, besuchen Sie https://docs.imunify360.com/ids_integration/#csf-integration.
Um zu lesen, wie Sie CSF mit all seinen verfügbaren Optionen konfigurieren, besuchen Sie https://download.configserver.com/csf/readme.txt.
Um zu sehen, wie Sie ConfigServer ModSecurity Control installieren, besuchen Sie https://download.configserver.com/cmc/INSTALL.txt
Um zu sehen, wie Sie ConfigServer ModSecurity Control installieren, besuchen Sie https://download.configserver.com/cmc/INSTALL.txt
APF
APF fungiert als Front-End-Schnittstelle für die iptables-Anwendung und ermöglicht es Ihnen, Ports ohne Verwendung der iptables-Syntax zu öffnen oder zu schließen.
Das folgende Beispiel enthält zwei Regeln, die Sie der Datei /etc/apf/conf.apf hinzufügen können, um HTTP- und HTTPS-Zugriff auf Ihr System zuzulassen:
Common ingress (inbound) TCP ports
IG_TCP_CPORTS="80,443″# Common egress (outbound) TCP ports
EG_TCP_CPORTS="80″
Fail2ban
Fail2ban ist eine Intrusion-Prevention-Software und Log-Parsing-Anwendung, die Systemprotokolle auf Symptome eines automatisierten Angriffs auf Ihren cPanel-Server überwacht.
Wenn ein Kompromittierungsversuch mit den definierten Parametern gefunden wird, fügt Fail2ban eine neue Regel zu iptables hinzu, um die IP-Adresse des Angreifers entweder für eine bestimmte Zeit oder dauerhaft zu blockieren.
Fail2ban kann Sie auch per E-Mail benachrichtigen, wenn ein Angriff stattfindet.
Es ist nicht die beste Wahl für einen cPanel-Server, da seine Funktion hauptsächlich auf SSH-Angriffe ausgerichtet ist und was es tut, ist fast dasselbe wie cPHulk Brute Force Protection .
cPHulk ist Teil aller cPanel- und WHM-Installationen und kann verwendet werden, um alle Anmeldeversuche bei cPanel, WHM, FTP, E-Mail und SSH zu überwachen und zu blockieren.
Es bietet Administratoren eine Vielzahl von Möglichkeiten, Brute-Force-Angriffe sowohl automatisch als auch manuell zu bekämpfen, und cPHulk kann sogar verwendet werden, um bösartige IP-Adressen in Ihrer Firewall zu blockieren.
Sperren von böswilligen Anmeldungen können für unterschiedliche Dauer von einer vorübergehenden Sperre bis zu einer eintägigen oder sogar dauerhaften Sperre ausgestellt werden.
Das hochgradig konfigurierbare cPHulk-System ermöglicht ein hohes Maß an Kontrolle.
Sie können die Anzahl der fehlgeschlagenen Anmeldeversuche festlegen, bevor eine IP-Adresse blockiert wird, zusätzliche Aktionen definieren, die beim Auslösen einer automatischen Blockierung ausgeführt werden, und sogar Benachrichtigungen an Serveradministratoren aktivieren, wenn bestimmte Ereignisse eintreten.
Sie können aber auch Failban verwenden und so konfigurieren, dass es für jeden Dienst funktioniert, der Protokolldateien verwendet und einer Kompromittierung ausgesetzt sein kann.
Stellen Sie sicher, dass Ihr System auf dem neuesten Stand ist, und installieren Sie das EPEL-Repository:
yum update && yum install epel-release
Fail2Ban installieren:
yum install fail2ban
Fail2ban starten und aktivieren:
systemctl start fail2ban
systemctl enable fail2ban
If you see the error “no directory /var/run/fail2ban to contain the socket file /var/run/fail2ban/fail2ban.sock ”, create the directory manually:
mkdir /var/run/fail2ban
Fail2ban reads .conf configuration files first, then .local files override any settings.
Because of this, all changes to the configuration are generally done in .local files, leaving the .conf files untouched.
Configure fail2ban.local
fail2ban.conf contains the default configuration profile.
The default settings will give you a reasonable working setup.
If you want to make any changes, it’s best to do it in a separate file, fail2ban.local, which overrides fail2ban.conf.
Rename a copy fail2ban.conf to fail2ban.local.
cp /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local
Configure jail.local Settings
The jail.conf file will enable Fail2ban for SSH by default for Debian and Ubuntu, but not CentOS.
All other protocols and configurations (HTTP, FTP, etc.) are commented out. If you want to change this, create a jail.local for editing:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Since we are using CentOS, you will need to change the backend option in jail.local from auto to systemd.
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
sudo systemctl status -l fail2ban
To learn more about failban, here are the documentation and manual:
FAQ:https://www.fail2ban.org/wiki/index.php/FAQ
HOWTO:https://www.fail2ban.org/wiki/index.php/HOWTOs)
Official Fail2ban Documentation:https://www.fail2ban.org/wiki/index.php/Manual
Failban Configuration:https://www.fail2ban.org/wiki/index.php/Category:Configuration
Checking Your cPanel Ports
For a Linux instance, follow these steps to verify the security group rule:
Connect to a Linux instance by using a password.
Führen Sie dann den folgenden Befehl aus:
sudo netstat -plunt
To check whether TCP 80 (replace “80” with any port) is being listened to.
sudo netstat -an | grep 80
You can also use nmap which probably is the most commonly used network mapper in the infosec world.
Nmap can be used to:
- create a complete computer network map.
- find remote IP addresses of any hosts.
- get the OS system and software details.
- detect open ports on local and remote systems.
- audit server security standards.
- find vulnerabilities on remote and local hosts.
You should run nmap ONLY on servers that you own or in situations where you’ve notified the owners.
The reason is that why you as a network administrator might be using nmap to look for possible vulnerabilities to help prevent such attacks, your action can be interpreted as “malicious cracking attempts” and most security tools and cloud providers frowns on this.
CentOS
sudo yum install nmap
To install nmap on Red Hat Enterprise Linux 8 execute the following dnf command:
sudo dnf install nmap
To install nmap on an Ubuntu or Debian machine by entering:
sudo apt-get update
sudo apt-get install nmap
Use the –version option to check the installed nmap version and correctness of the actual nmap installation. Zum Beispiel:
nmap -version
Basic Nmap Scan against IP or host
nmap 1.1.1.1
Now, if you want to scan a hostname, simply replace the IP for the host, as you see below:
nmap cloudflare.com
These kinds of basic scans are perfect for your first steps when starting with Nmap.
Scan specific ports or scan entire port ranges on a local or remote server
nmap -p 1-65535 localhost
In this example, we scanned all 65535 ports for the localhost.