WHM. Необходимые настройки

[xfnotgiven_foto-main]

WHM. Необходимые настройки

[xfnotgiven_foto-main]
Безопасность и еще раз безопасность. Заимев кокой-нибудь начальный VPS, каждый начинающий юзер сталкивается с панелью WHM. В данной статье рассмотрим вкладку этой панели, отвечающую за безопасность- "Security Center"
  1. mod_userdir Protection : здесь можно отключить возможность чтобы ваши домены были доступны по имени пользователя под которым заведен сайт, по адресу: хттп://дефолтныйхостнейм/~username
    В принципе этот функционал советуют отрубать, иначе все переходы по данным урлам будут засчитаны для дефолтного домена, то есть в случае реселла вас смогу легко накалывать благодарные юзвери. Но если вы используете хостинг только для себя, я не уверен что это так уж и страшно.
  2. Compiler Access: отрубает доступ к компилятору С на веб-сервере, для не привилегированных юзверей, в том числе и владельцев сайта. Очень полезная штука, ограничивающая возможности злоумышленника при попытке взлома со стороны пхпшных шеллов.
  3. cPHulk Brute Force Protection: одна из самых полезных штук, позволяющая предотвращать атаку переборки паролей. Включив этот твит- вы будите удивлены тому, как часто вам пытаются ломануть аккаунт, так что в итоге я выставил 3 максимальные попытки, после которых идет бан по IP адресу на 2 недели. Также можно настроить уведомления о логинах рута и отловленных атаках, тогда в этих случаях будет приходить письмо в линками на бан IP и сеток по маскам 16 и 24. Но вам надо будет настроить в зоне домена сервисный субдомен для бана, а также привыкнуть к тому, что вам будет падать уведомление и о системных входах рута.
  4. Host Access Control: фактически фаервол, позволяющий настроить права доступа для определенных сервисов к хостингу. В случае динамических адресов, может стать проблемой, так как придется либо открывать сетке, либо пересоздавать правила каждый раз.
  5. Manage root’s SSH Keys: очень полезная штука, позволяющая обезопасить ssh соединение с сервером, путем использования аутентификации не паролями, а на уровне сертификатов. Для начала надо сгенерировать сертификаты, путем клика на Generate a New Key и следуя указаниям (пароль и логин следует запомнить, а лучше записать). Создав их – говорим для ключей download key, после чего копируем представленный текст в блокнот и сохраняем под одним именем файла: Public Keys с расширением pub, а Private Keys без расширения файла. После чего ныкаем файлы куда-нить вглубь операционки. После чего заводим новое соединение, выбрав в качестве метода аутентификации сертификат, и указываем публичный ключ (он должен находиться в одной директории с приватным), после чего вводим имя пользователя которым хотим залогиниться в систему, например root, и пароль который мы вводили при создании сертификата. Если соединение прошло успешно, то идем в раздел SSH Password Authorization Tweak и отключаем аутентификацию по паролю. Так что теперь к нашему ssh серверу мы можем подключиться исключительно с использованием сертификатов.

  1. Quick Security Scan: здесь можно просканить сервер на предмет не нужных портов и сервисов, запущенных по умолчанию.
  2. Scan for Trojan Horses: очень полезная штука, позволяющая сканить ваши директории, на предмет выявления троянов, подсунутых вам в систему. Рекомендуется эпизодически запускать, чтобы быть уверенным что у вас на сайте не шуршит какая нибудь нечисть.
  3. Shell Fork Bomb Protection: полезная штука для ресселеров, позволяющая предотвратить запуск из шела каких либо циклов и процессов, способных переполнить память и тем самым привести к краху системы.
  4. Security Questions: также полезная опа, для предотвращения несанкционированного доступа к системе, путем создания листа разрешенных IP адресов, и при попытке логина с не зарегистрированного IP адреса выдающего вопрос. В случае правильного ответа- пользователь входит в систему, а IP вносится в базу разрешенных адресов.
  5. SMTP Tweak: заточка SMTP, которую также можно произвести на странице настроек – Server Configuration >> Tweak Settings, которые я настоятельно рекомендую просмотреть, так как там можно откючить много чего не нужного.

нашли ошибку?

теги:
   soft-pk-web
обратите внимание:
 
ваши комментарии: