Tổng quan về WHM [Phần 4]: Cài đặt Bảo mật trên WHM

Phần 4: Giới thiệu Security Center trên WHM. Security Center trên WHM là một công cụ quản lý bảo mật hiệu quả và đầy đủ tính năng, giúp quản trị viên hệ thống có thể cấu hình và quản lý bảo mật cho máy chủ của họ một cách dễ dàng.

Tổng quan về WHM – Mạnh Đức MDIGI

Security Center là một công cụ quản lý bảo mật được tích hợp sẵn trong WHM (Web Host Manager), một giao diện quản lý máy chủ web được sử dụng bởi các nhà cung cấp dịch vụ lưu trữ web hoặc các quản trị viên hệ thống. Security Center cung cấp các tính năng và tùy chọn để cải thiện bảo mật của máy chủ, bao gồm:

1. Cài đặt và cấu hình các tường lửa và chống tấn công.
2. Quản lý các chính sách bảo mật, cập nhật phần mềm, và theo dõi các lỗ hổng bảo mật.
3. Thiết lập các cơ chế kiểm soát truy cập và xác thực người dùng.
4. Quản lý các cấp độ quyền truy cập của người dùng.
5. Xem các bản ghi đăng nhập và hoạt động trên máy chủ.

Sử dụng Security Center, người quản trị có thể giảm thiểu các rủi ro bảo mật và đảm bảo an toàn cho dữ liệu và ứng dụng trên máy chủ web.

Các thông số cần quan tâm tại Security bao gồm:

Apache mod_userdir Tewak.

Các mod_userdir Apache module cho phép khách truy cập trang web của người dùng thông qua một URL sử dụng định dạng sau: http://hostname/ ~username.

Mod_userdir thường được sử dụng như một hệ thống URL tạm thời. Người dùng có thể xem trang web của họ , ngay cả khi DNS chưa được cấu hình hoặc tên miền chưa trỏ đến máy chủ.

Thường được khuyên là không nên dùng do nếu như người dùng được dùng mod này thì họ sẽ phá vỡ sự tính toán về băng thông.

Complier Access.

Nhiều cuộc tấn công chung yêu cầu làm việc C hoặc C++ trên máy chủ. Vô hiệu hóa các trình biên dịch sẽ dẫn đến một máy chủ an toàn hơn. Chọn Dissable Compilers.

Configure Security Policies.

Tùy chọn này cho phép bạn để xác định số ngày cPanel, webmail, và người sử dụng WHM được phép sử dụng cùng một mật khẩu. Buộc người dùng phải thay đổi mật khẩu trên cơ sở thường xuyên sẽ giúp bảo vệ máy chủ của bạn.

Trong nhóm “Security Policy Items” ta có các tuỳ chọn sau:

• Password Age: Tuổi của password – Định thời gian cho password tính bằng ngày.

• Password Strength: Độ mạnh, phức tạp của password.

Cài đặt độ mạnh của password thông qua các tham số có sẵn ở bảng trên.

• Limit logins to verified IP Addresses:  Hạn chế đăng nhập để xác nhận địa chỉ IP.

Tiếp theo, nhóm “Security Policy Extensions” ta có 2 tuỳ chọn:

• XML-API and JSON-API requests.
• DNS cluster requests: DNS cluster cho phép bạn tách biệt vật lý tên máy chủ để nếu một máy chủ web bị mất kết nối của nó , bạn vẫn còn có chức năng DNS. Điều này sẽ cho phép du khách đến các trang web trên máy chủ của bạn một cách nhanh chóng hơn sau khi các máy chủ web hoạt động trở lại.

cPHulk Brute Force Protection.

Kiểu tấn công dò mật khẩu Brute-Force – là  hình thức tấn công dựa vào việc thử liên tục mật khẩu trên tài khoản đã biết. cPHulk cung cấp bảo vệ chống lại các cuộc tấn công đó.

Chúng ta có 3 tab câu hình như sau: “Configuration Settings”, “White/Back List Management” và “Login/Brute History Report”.

Ở tab đầu tiên “Configuration Settings”:

• IP Based Brute Force Protection Period in minutes: Xác định số phút bạn muốn khóa một địa chỉ IP nhất định khi nó đăng nhập thất bại.
• Brute Force Protection Period in minutes: Số phút mà địa chỉ IP đăng nhập thất bại trước khi bắt đầu chặn.
• Maximum Failures By Account: Số lần đăng nhập thất bại tối đa từ tài khoản. Nếu đăng nhập tiếp nó sẽ bị từ chối.
• Maximum Failures Per IP: Số lần đăng nhập thất bại tối đa từ địa chỉ IP.
• Maximum Failures Per IP before IP is blocked for two week period:  Khi một địa chỉ IP truy cập giới hạn này, nó sẽ bị chặn trong hai tuần.
• Send a notification upon successful root login when the IP is not whitelisted: Gửi thông báo khi đăng nhập root thành công khi IP không thuộc danh sách trắng.
• Extend account lockout time upon additional authentication failures: Nếu một địa chỉ IP bị chặn, và tiếp tục cố gắng đăng nhập, mỗi khi họ làm điều đó sẽ kéo dài thời gian khóa của họ.
• Send notification when brute force user is detected: Gửi thông báo khi phát hiện cuộc tấn công brute force. 

Ở Tab thứ 2 “White/Back List Management”, chúng ta có 2 chú ý sau:

• White List ( Trusted IP List): Danh sách IP trắng, tin cậy.
• Back List ( Rejected IP List): Danh sách IP đen, không tin tưởng.

Trong tab “Login/Brute History Report” sẽ hiển thị cho chúng ta bảng thông báo về những lần thất bại của các cuộc tấn công Brute Force.

Fix Permissions on Scripts.

Nếu bạn gặp vấn đề với Suexec và cho phép CGI , bạn có thể sử dụng chức năng này để sửa chữa các điều khoản trong suexec_log cho các kịch bản CGI của bạn .

Host Access Control.

Bạn có thể sử dụng giao diện điều khiển truy cập máy chủ để cho phép hoặc từ chối truy cập cho các khách hàng cụ thể dựa trên địa chỉ IP. Quy tắc thiết lập trong giao diện này chỉ xác định các dịch vụ cá nhân mà các địa chỉ IP có thể hoặc không có thể tương tác.

Các dịch vụ bao gồm: cpanel (cpaneld), whostmgrd (WHM), webmaild (Webmail), cpdavd (WebDAV/ WebDisk), ftp ( FTP), sshd (SSH).

Ví dụ được minh hoạ ở bảng sau:

Manage root’s SSH Key.

Chúng ta có thể quản lý SSH Key thông qua mục đích của tuỳ chọn này. Bao gồm tạo 1 cặp key bao gồm Public keys và Private Kyes, hoặc có thể Impotr Key từ bên ngoài vào.

Manage Wheel Group Users.

Dưới đây là giao diện chính của “Manage Wheel Group Users”.

Wheel Group: Là nhóm mà cho phép user thực thi lện su hoặc su- trên một hệ thống dựa trên Unix, cho phép họ trở thành người dùng root hoặc truy cập với quyền của super user. 

Passeord Strength Configuration.

PHP Open_basedir Tweak.

Một lần nữa tuỳ chọn này cho phép chúng ta chỉnh sửa độ mạnh của password của các dịch vụ:

Quick Security Scan.

Đây là tuỳ chọn giúp chúng ta tắt bớt các dịch vụ không cần thiết cho máy chủ.

Security Questions.

Security Questions cho phép bạn cập nhật và quản lý các câu hỏi bảo mật tài khoản của bạn. Bạn cũng có thể add thêm “verified” IP addresses – là địa chỉ IP mà từ đó bạn có thể truy cập vào WHM mà không cần phải trả lời câu hỏi.

Thông thường thì bạn sẽ phải điền 4 câu hỏi bí mật, có thể tham khảo ở hình dưới.

Ngoài ra bạn cũng có thể add địa chỉ IP tin cậy, có nghĩa là khi vào WHM bằng địa chỉ này bạn không cần phải trả lời câu hỏi bảo mật.

Shell Fork Bomb Protection.

Shell Fork Bomb làm việc bằng cách bắt đầu một chuỗi các quá trình nhỏ mà tự nhân đôi cho đến khi các nguồn tài nguyên của máy chủ bị cạn kiệt. Tính năng này sẽ ngăn chặn người dùng truy cập thiết bị đầu cuối (SSH hoặc Telnet). Thường được khuyến cáo là Enable.

SMTP Retrictions.

Tính năng này ngăn chặn người dùng bỏ qua các máy chủ mail để gửi thư , một thực tế phổ biến được sử dụng bởi người gửi thư rác. Nó sẽ chỉ cho phép các MTA , mailman, và root để kết nối với máy chủ SMTP từ xa.

SSH Password Authorization Tweak.

Mặc định chức năng này để Enable: Cho xác thực SSH bằng mật khẩu. Nếu Dissable đi  thì sẽ chuyển sang hình thức chứng thực dùng key ssh.

Traceroute Enable / Disable.

Traceroute hiển thị các gói tin định tuyến thống kê từ máy chủ đến một máy chủ mạng. Công cụ này giúp để bước đầu xác định những điểm yếu có thể do các cuộc tấn công và nó cũng có thể được sử dụng để khắc phục sự cố các vấn đề với mạng.

MDIGI Gợi ý bạn Series 30 bài hướng dẫn về WHM cùng một số bài liên quan:

1. Tổng quan về WHM [Phần 1]: Cấu hình Máy chủ

2. Tổng quan về WHM [Phần 2]: Cài đặt phần Hỗ trợ

3. Tổng quan về WHM [Phần 3]: Cài đặt mạng

4. Tổng quan về WHM [Phần 4]: Cài đặt Bảo mật

5. Tổng quan về WHM [Phần 5]: Cài đặt Server Contact

6. Tổng quan về WHM [Phần 6]: Cài đặt Resellers

7. Tổng quan về WHM [Phần 7]: Cấu hình Dịch vụ

8. Tổng quan về WHM [Phần 8]: Cài đặt Vị trí, địa phương, ngôn ngữ

9. Tổng quan về WHM [Phần 9]: Backup

10. Tổng quan về WHM [Phần 10]: Cluster/ Remote Access

11. Tổng quan về WHM [Phần 11]: System Reboot

12. Tổng quan về WHM [Phần 12]: Server Status

13. Tổng quan về WHM [Phần 13]: Thông tin tài khoản

14. Tổng quan về WHM [Phần 14]: Quản lý tài khoản

15. Tổng quan về WHM [Phần 15]: Quản lý nhiều tài khoản

16. Tổng quan về WHM [Phần 16]: FrontPage

17. Tổng quan về WHM [Phần 17]: Transfer

18.Tổng quan về WHM [Phần 18]: Themes

19. Tổng quan về WHM [Phần 19]: Pakages

20. Tổng quan về WHM [Phần 20]: Quản trị DNS

21. Tổng quan về WHM [Phần 21]: Quản trị Cơ sở dữ liệu

22. Tổng quan về WHM [Phần 22]: Quản lý IP

23. Tổng quan về WHM [Phần 23]: Cài đặt phần mềm

24. Tổng quan về WHM [Phần 24]: Email

25. Tổng quan về WHM [Phần 25]: Theo dõi tình trạng hệ thống

26. Tổng quan về WHM [Phần 26]: CPanel

27. Tổng quan về WHM [Phần 27]: SSL/TSL

28. Tổng quan về WHM [Phần 28]: Restart Services

29. Tổng quan về WHM [Phần 29]: Dành cho nhà phát triển

30. Tổng quan về WHM [Phần 30]: Các Plugin cài vào WHM

31. Hướng dẫn sử dụng cPanel chi tiết từ A đến Z

32. Hướng dẫn cài đặt WHM chi tiết nhất