cPanel安全文档.pdf

cPanel WHM 安全文档 一 使用 cPanel WHM 自身的安全功能 WHM 11 30 Security Center WHM 安全中心 使用WHM 安全中心里的功能 可以更好地保护你的服务器 比如使用suEXEC或 CGI 以 及管理SSH 密钥 用户等 都可能修复任何不安全的因素 功能介绍 1 Apache mod userdir Tweak mod userdir 功能允许用户在特定的主机上输入一个波浪号 和用户名作为 URL 来浏览他们的网站 例如 必要的 因为它允许用户绕过带宽限制 2 Compilers Tweak 编译器功能 此功能可以关闭普通用户系统的 C 和 C 编译器功能 许多常见的攻击需要服务器上有 C 或C 编译器 你也可以通过设置允许一部分用户使 用编译器 而禁止其他用户使用 3 Configure Security Policies 配置安全策略 此功能允许你配置你的服务器和你的帐户的安全性措施 可设置密码强度 密码有效期 限制登录的IP 等 4 cPHulk for Brute Force Protection cPHulk Brute Force 保护 此功能可以阻止通过猜测密码来访问你服务器上的 Services 的恶意行为 5 Fix Insecure Permissions Scripts 修复不安全授权 脚本 此功能可扫描suEXEC和 CGI相关文件的文件权限 并修复任何安全相关的文件权限问题 6 Host Access Control 主机访问控制 Host Access Control 让你可以对试图连接的 IP 地址设置一定的规则来允许或拒绝其对你 的服务器和 Services 的访问 7 Manage root s SSH Keys 管理 root用户的SSH 密钥 此功能允许你管理Web服务器上现有的SSH 密钥 你还可以添加新的SSH密钥导入到你的 服务器 为了方便管理密钥 公共密钥和私人密钥分为了 2 个单独列出 8 Manage Wheel Group Users 管理 Wheel 组中的用户 wheel组中包含特定的用户能够执行su 命令 这个命令允许用户获得 根 或 超级用户 访问 权限 9 Password Strength Configuration 密码强度配置 此功能允许你定义所有cPanel WHM的身份验证功能的最低密码强度 10 PHP open basedir Tweak 为了提高安全性 此功能可以防止用户使用PHP在其主目录之外打开文件 11 Quick Security Scan 快速安全扫描 你的操作系统可能自动启用了很多服务 而大多数网络服务器并不需要这些服务 这个 功能 可以用来关闭不需要的服务 12 Scan for Trojan Horses 扫描木马 此功能用来扫描被cPanel或服务器的操作系统以外的东西修改过的系统文件 建议你扫描这 些文件 确保他们没有被注入恶意代码 13 Security Questions 安全问题 此功能允许你定义和管理安全问题 安全问题将会在一个无法识别的IP地址尝试登录时使用 14 Shell Fork Bomb Protection 这个功能用来防止用户通过终端运行一个被称为fork 炸弹的恶意代码 fork炸弹的工作原理 是 不断 fork 一个新进程 这会导致这个简单的程序迅速耗尽系统里面的所有资源 15 SMTP Tweak SMTP Tweak 可以阻止用户绕过邮件服务器发送邮件 这是垃圾邮件发送者的习惯做 法 它 只允许 MTA mail transport agent 邮件传输代理 mailman 以及 root 连接到远程 SMTP 服务器 16 SSH Password Auth Tweak SSH 密码授权 Tweak 此功能允许你调整SSH认证方式 启用或禁用密码 如果密码被禁用 用户使用SSH 登录服 务器 将必须使用密钥 17 Traceroute Tweak 跟踪路由 Tweak 这个 Tweak 将关闭系统的跟踪路由功能 Software 软件 WHM 中的Software 软件 功能主要用来安装和更新你服务器上的服务器和系统软件 更新软件很重要 因为它可以修补安全漏洞以及修复其它可能对系统造成不良影响的问题 1 Update Server Software 更新服务器软件 此功能用来升级由系统安装 cPanel WHM 运行所依赖的软件 通常情况下 这些软件包会自动更新 通过自动更新配置或者配置你的 crontab 文件 etc crontab 中指定 然而 如果您已禁用自动更新 在自动更新配置界面 您可能需要使用此 功能来运行手动更新 软件更新之前会先检查服务 从而避免不必要的更新 开始更新 点击Proceed 2 Update System Software 更新系统软件 此功能用来更服务器操作系统上的软件 从本质上讲 此功能相当于运行 yum update 命 令 开始更新 点击Proceed 3 EasyApache Apache 升级 简介 使用EasyApache 程序可以使你更新和重新配置你的Apache服务器 Profile 配置文件 这个界面可以选择作为模板使用的EasyApache 编译配置文件 你可以选择一个现有的配置文 件 或编译和使用自定义配置文件 作为模板使用 Apache Version Apache 版本 这个界面可以选择你想在编译中使用的 Apache 版本 PHP Major Version PHP大版本 这个界面允许你选择你想在编译中使用的 PHP 大版本 PHP Minor Version PHP 小版本 这个功能允许你选择你要使用的PHP 小版本 Short Options List 简短选项列表 这个界面允许你选择要添加进EasyApache编译配置文件中的功能 Exhaustive Options List 详细选项列表 这个界面允许你选择要添加进EasyApache编译配置文件中的功能 二 使用第三方软件增强安全性 cPanel WHM也可以通过第三方软件来增强服务器的安全性 如 suPHP Suhosin for PHP Mod Security CSF 或APF chkrootkit Logwatch这些安全软件可以很好的整合进 cPanel WHM中 软件功能介绍 1 suPHP suPHP 是一个用来执行PHP 脚本的工具 它包含一个 Apache 的模块 mod suphp 以及一 个可执行的工具来被 mod suphp 调用以改变执行 PHP 脚本的用户 也就是说你可以利用 suPHP 来改变执行 PHP 脚本的所有者 2 Suhosin Suhosin 是一个PHP程序的保护系统 它的设计初衷是为了保护服务器和用户抵御 PHP程序 和PHP 核心中 已知或者未知的缺陷 Suhosin 有两个独立的部分 使用时可以分开使用或 者联合使用 第一部分是一个用于PHP 核心的补丁 它能抵御缓冲区溢出或者格式化串的弱点 第二部分是一个强大的PHP 扩展 包含其 他所有的保护措施 3 Mod Security mod security 是一个集入侵检测和防御引擎功能的开源 web应用安全程序 或web应用程序 防火墙 它以Apache Web服务器的模块方式运行 目标是增强web应用程序的安全性 防止 web应用程序受到已知或未知的攻击 4 CSF 防火墙 CSF 即 ConfigServer Security Firewall 是状态包检测 SPI 防火墙 登录 入侵检测 和安全的Linux 服务器的应用程序 是基于SPI的iptables 防火墙 具有全面 直接 方便 灵活的配置 具有漏洞检测 ip 阻止 账户修改跟踪 IDS 入侵检测系统 安全检查等等 一系列的功能 具体的介绍请查看官方网站 5 APF 防火墙 APF Advanced Policy Firewall 是 Rf x Networks 出品的Linux 环境下的软件防火墙 APF 采用 Linux 系统默认的 iptables 规则 APF 可以算是Linux 中最出名的软件防火墙之一 6 chkrootkit chkrootkit 可以用来检测系统中是否被安装了 rootkit rootkit 是黑客用来掩饰自己的入侵并 获得一台计算机或计算机网络管理员级访问权的一套工具 程序 7 Logwatch Logwatch 是一款专门监测 Linux log 文件 日志文件 的软件 通过设置可以将主机的 log 分析文件发送至指定的邮箱 节省一个个手动查看日志的繁琐 为管理员节省时间 并且每天 都能准确地接收到日志 从而对服务器的安全情况有所掌握 8 ClamAV ClamAV Clam AntiVirus 是一款命令行下的杀毒软件 三 提高服务器的稳定性和负载能力 虚拟主机服务器对系统的稳定性要求较高 CloudLinux 是一个基于 CentOS 的 Linux 发行版 主要适合提供共享主机和数据中心服务 使用 CloudLinux 可以让您有效的限制共享账户的资 源占用 从而让每台服务器放置的账户数量更多 并且更稳定 CloudLinux 和 cPanel 的完美结合 加强了服务器的资源管理 安全性和性能 1 通过限制单个用户可以使用的资源提高了服务器的稳定性 CloudLinux 的LVE 技术使得服务器的资源使用率和稳定性得到了大大的提高 2 管理员和用户之间是隔离的 LVE 技术使用服务器管理员和用户之间是隔离的 3 提高了服务器的效率 通过对资源的监控使得服务器的资源能够更加合理得被使用 4 通过 cPanel WHM 来管理账户资源使用 这使得用户可以很轻松实现对CloudLinux 的管理和使用 从而很方便统计自己服务器 网站的 资源占用 CloudLinux 支持的环境和兼容的软件 1 CentOS or RHEL 2 Xen VMWare HyperV KVM Baremetal 3 R1Soft 4 Ksplice 5 Apache LiteSpeed Nginx Varnish 四 保障数据安全 R1Soft 能和 cPanel进行无缝整合 让用户通过cPanel 轻松实现数据的备份和还原 免除了 数据丢失的隐患 R1soft 介绍 R1soft 是一家专门为Windows 和 Linux Xen 虚拟机开发持续数据保护 CDP 功能的厂商 R1Soft 的持续数据保护软件在块层级读取数据 绕过文件系统并获得出色的性能 此外 它通 过异步复制流程执行大多数的备份 异步复制功能利用设备驱动 程序在备份流程开始之前精确 地了解那些变更块或者变量必须从磁盘读取 这个使得大多数备份窗口时间从几个小时缩短到几 分钟 同时在备份过程中显著地减少存 储方面的负载 持续数据保护技术 CDP 该项技术通过在操作系统核心层中植入文件过滤驱动程序 来实时捕获所有文件访问操作 对 于