GNU/Linux >> Tutoriales Linux >  >> Panels >> cPanel

Cómo configurar su firewall cPanel en la nube

Aprenda a configurar firewalls de cPanel en la mayoría de las plataformas en la nube o use otras herramientas de seguridad para fortalecer y proteger su servidor cPanel de ataques maliciosos.

Imagine que después de que se haya completado la construcción inicial de las paredes de esta nueva casa, la casa se queda sin techo para proteger a sus ocupantes de los elementos ni puertas para mantenerlos a salvo de los animales salvajes que querrán engullirlos para la cena.

La analogía anterior es a menudo lo que sucede cuando un administrador de servidor implementa un servidor y luego se olvida del aspecto más fundamental del proceso:la seguridad.

La nube ha brindado a los administradores de servidores la capacidad de crear cualquier tipo de servidor en menos de 55 segundos.

El problema con eso es que, a menudo, los administradores de servidores tienden a olvidar el aspecto más fundamental del proceso:la seguridad.

Si bien la mayoría de los sistemas de nube más grandes que hemos llegado a adoptar tienen medidas integradas diseñadas para evitar que nos convirtamos en víctimas de nuestra naturaleza humana, no ha cambiado el hecho de que cuando implementa un sistema y no lo hizo desde su diseño de concepción. para estar seguro, se enfrentará a un camino difícil en el futuro.

El hecho es que el 98 % de la mayoría de los ataques a los que se enfrentará un sistema conectado en línea son de naturaleza oportunista y no dirigidos.

Cuando un usuario malintencionado prueba suerte con un sistema y lo encuentra sólidamente protegido, pasará a objetivos más fáciles.

Con un servidor desprotegido, la historia será diferente, ya que cualquier persona con intenciones maliciosas verá inmediatamente la caja como algo fácil de recoger.

Un servidor desprotegido tampoco debería estar en línea, no solo porque va en contra de todo lo que debe ser un buen administrador, sino porque hace que Internet sea más inseguro.

¿Qué son los cortafuegos en informática?

¿Qué son los cortafuegos en informática?

En el diseño de infraestructura informática, Internet siempre se trata como una red externa no confiable.

Un cortafuegos supervisa y controla el tráfico de red entrante y saliente en función de reglas de seguridad predeterminadas.

Al igual que cualquier edificio bien diseñado debe tener un muro destinado a contener el fuego dentro de un edificio, puntos de entrada y salida designados y reglas sobre a quién se le debe permitir el acceso y a quién se le debe dar la espalda, un firewall bien implementado permite que un administrador del sistema defina qué comunicación entrante y saliente está permitida desde un servidor y también la capacidad de mitigar las amenazas dentro de un parámetro establecido.

Como administrador del sistema, el lugar estándar para comenzar cuando se trata de seguridad es:

  • tenga en cuenta que cualquier software puede ser explotado, incluido cPanel.
  • comprender y tratar cada entrada del usuario como potencialmente hostil y maliciosa
  • aplicar buenas prácticas de seguridad para defender una infraestructura
  • evite implementar cualquier solución de seguridad que no entienda como entendiendo.
  • registrar todos los comportamientos sospechosos cuando sea necesario para el análisis forense
  • diseñe un sistema de tal manera que le permita restaurar la infraestructura a su estado previo al compromiso.
  • vaya más allá del firewall de puertos para ocultar protocolos inseguros pero confíe en la seguridad de los protocolos que utiliza para defender su infraestructura.
  • proporcionar el privilegio mínimo necesario para completar una operación con éxito, pero nada más de lo que se necesita.

Cómo configurar un cortafuegos cPanel para mitigación

Entonces, ¿cómo se asegura, por ejemplo, un servidor web de cPanel público para reducir las posibilidades de que se vea comprometido?

Comencemos con lo básico al instalar un nuevo servidor cPanel.

Eliminar todas las reglas existentes

Así como no empezaría a construir un edificio sobre lo que alguien ya ha creado, siempre es mejor eliminar las reglas de firewall existentes antes de implementar una nueva.

Hacerlo le brinda una idea clara y coherente de lo que está permitiendo y bloqueando en su sistema, una información que le gustaría tener en mente cuando se enfrenta a una amenaza constante.

Al instalar cPanel en una máquina nueva, debe desactivar el firewall antes de ejecutar el script de instalación con:

iptables-save > ~/firewall.rules
systemctl stop firewalld.service
systemctl disable firewalld.service

donde ~/firewall.rules representa el archivo de reglas de firewall.

El mismo comando funcionará en CentOS, Red Hat® Enterprise Linux, CloudLinux™ y Amazon® también.

Cuando finalice el proceso de instalación, puede seleccionar y configurar un cortafuegos desde cualquiera de las siguientes opciones.

Deshabilitar SELinux

SELinux (Linux con seguridad mejorada ) en el modo de cumplimiento está diseñado a propósito para hacer de su servidor web una fortaleza pero, francamente, se necesita mucho trabajo para configurar SELinux, incluso una máquina Linux básica.

Y aunque cPanel y WHM pueden funcionar con SELinux en modo permisivo, genera una gran cantidad de entradas de registro que no desearía.

Se recomienda enfáticamente que deshabilite SELinux y reinicie el sistema antes de instalar cPanel en cualquier sistema.

Para deshabilitar las funciones de seguridad de SELinux, use uno de los siguientes métodos:

Abre tu Terminal y ejecuta:

$ sudo cp /etc/selinux/config /etc/selinux/config.backup
$ sudo vi /etc/selinux/config

El archivo /etc/selinux/config le permite configurar los parámetros SELINUX que desea que ejecute el servidor.

Cuando se abra, verás algo como esto:

This file controls the state of SELinux on the system.
 SELINUX= can take one of these three values:
 enforcing - SELinux security policy is enforced.
 permissive - SELinux prints warnings instead of enforcing.
 disabled - No SELinux policy is loaded.
 SELINUX=enabled
 SELINUXTYPE= can take one of these two values:
 targeted - Only targeted network daemons are protected.
 strict - Full SELinux protection.
 SELINUXTYPE=targeted

El parámetro que está buscando es “SELINUX=enable”

Todo lo que tiene que hacer es reemplazar la palabra “habilitado ” con “deshabilitado “.

Guarde el archivo ejecutando “:wq ” y salir.

Reinicie el servidor:

sudo systemctl reboot

sistemactl es una utilidad de línea de comandos y una herramienta principal para administrar systemd demonios/servicios como (iniciar, reiniciar, detener, habilitar, deshabilitar, recargar y estado).

Ahora puede iniciar su instalación de cPanel y una vez hecho esto, será el momento de iniciar la configuración de seguridad.

¿Qué tipo de firewall puede usar con cPanel?

El tipo de firewall que utilizará con cPanel dependerá en gran medida de dos cosas:

  • el entorno de implementación (local o basado en la nube)
  • su nivel de familiaridad con las herramientas que desea utilizar

Implementación del cortafuegos de cPanel en la nube

Si está utilizando una nube pública como AWS, Google Cloud Platform, Microsoft Azure, Alibabacloud y muchos otros, puede hacer todo lo que quiera desde el nivel del centro de datos.

Pero esto requiere poder crear una VPC (el centro de datos en la jerga de la nube) y aunque las interfaces topográficas y la convención de nomenclatura en cada una de estas plataformas son diferentes, todo se reduce a una cosa:poder determinar qué tráfico de entrada y salida desea dar acceso.

Esto a menudo requiere averiguar qué puertos tendrá el servidor para funcionar de manera óptima y luego permitir el acceso entrante a estos.

Existen otras capas opcionales de seguridad, como ACL de red (que, de forma predeterminada, permite todo el tráfico IPv4 entrante y saliente y, si corresponde, el tráfico IPv6) que actúa como un firewall para controlar el tráfico de entrada y salida de una o más subredes.

Pero nos quedaremos con lo básico en este momento.

Grupos de seguridad

En la nube, un grupo de seguridad actúa como un cortafuegos virtual que controla el tráfico de una o más instancias y brinda seguridad a nivel de protocolo y puerto de acceso.

Cuando lanza una instancia, puede especificar uno o más grupos de seguridad; de lo contrario, usamos el grupo de seguridad predeterminado.

Puede agregar reglas a cada grupo de seguridad que permita el tráfico hacia o desde sus instancias asociadas.

Cada grupo de seguridad, que funciona de manera muy similar a un firewall, contiene un conjunto de reglas que filtran el tráfico que entra y sale de una instancia.

No hay reglas de 'Denegar'.

Más bien, si no hay una regla que permita explícitamente un paquete de datos en particular, se descartará.

Puede modificar las reglas de un grupo de seguridad en cualquier momento; las nuevas reglas se aplican automáticamente a todas las instancias asociadas con el grupo de seguridad.

Cuando decidimos permitir que el tráfico llegue a una instancia, evaluamos todas las reglas de todos los grupos de seguridad asociados con la instancia.

En Microsoft Azure , esto se denomina Grupos de seguridad de red (NSG).

Plataforma en la nube de Google llama a sus propias Reglas de Firewall (Redes>>> red VPC).

Los firewalls de GCP se aplican a una sola red de VPC, pero se consideran un recurso global porque los paquetes pueden llegar a ellos desde otras redes.

AWS &Alibabacloud llama a sus grupos de seguridad.

Cosas a tener en cuenta:

La seguridad debe ser parte de su diseño de arquitectura inicial, no una ocurrencia tardía .

Si bien siempre puede regresar y asignar un grupo de seguridad recién creado a una instancia, siempre cree su VPC con su subred, ruta, firewalls y todo lo que tenga por delante, incluso antes de lanzar su primera máquina virtual.

De esa manera, cuando esté implementando la instancia, puede simplemente seleccionar un grupo de seguridad existente, volver a verificar todos los puertos antes de implementar.

Tenga en cuenta que en cada una de estas plataformas, está limitado a una cierta cantidad de grupos de seguridad por VPC .

Siempre puede solicitar que aumente hasta el límite, pero es posible que note un impacto en el rendimiento de la red.

Además, asegúrese de que las reglas de su cortafuegos coincidan con la forma en el que utiliza los servicios de cPanel y WHM.

Creación de grupos de seguridad

AWS

Para crear un grupo de seguridad mediante la consola de AWS

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

En el panel de navegación, elija Grupos de seguridad .

Elija Crear grupo de seguridad .

Ingrese el nombre del grupo de seguridad (por ejemplo, cpanel_security_group) y proporcione una descripción.

Seleccione el ID de su VPC en el menú de VPC y elija Sí, crear. .

También puedes usar:

aws ec2 create-security-group --group-name MySecurityGroup --description "My security group" --vpc-id vpc-1a2b3c4d

En la pestaña Reglas de entrada, elija Editar .

Seleccione una opción para una regla para el tráfico entrante para Tipo y luego complete la información requerida.

Especifique un valor para Fuente como 0.0.0.0/0.

Opcionalmente, proporcione una descripción para cada regla y luego elija Guardar. .

Microsoft Azure

Desde Azure Security Center, podrá ver una lista del grupo de seguridad de red (NSG) y las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a sus instancias de VM en una red virtual.

Cuando un NSG está asociado con una subred, las reglas de ACL se aplican a todas las instancias de VM en esa subred.

Microsoft Azure tiene un formulario más largo con más campos para completar.

Pero es relativamente simple y hace exactamente lo mismo que verá en otras plataformas en la nube.

Para crear un grupo de seguridad de red en Microsoft Azure,

En la esquina superior izquierda del portal, seleccione + Crear un recurso.

Seleccione Redes, luego seleccione el grupo de seguridad de la red.

Ingrese un nombre para el grupo de seguridad de la red, seleccione su suscripción, cree un nuevo grupo de recursos o seleccione un grupo de recursos existente, seleccione una ubicación y luego seleccione Crear .

En el cuadro de búsqueda en la parte superior del portal, ingrese grupos de seguridad de red en el cuadro de búsqueda.

Cuando los grupos de seguridad de red aparezcan en los resultados de búsqueda, selecciónelos.
Seleccione el grupo de seguridad de red que desea cambiar.

Seleccione Reglas de seguridad de entrada en AJUSTES .

Se enumeran varias reglas existentes.

Cuando se crea un grupo de seguridad de red, se crean en él varias reglas de seguridad predeterminadas.

No puede eliminar las reglas de seguridad predeterminadas, pero puede anularlas con reglas que tengan una prioridad más alta.

Para obtener más información sobre las reglas de seguridad predeterminadas, visite https://docs.microsoft.com/en-us/azure/virtual-network/security-overview#default-security-rules.

Seleccione + Añadir .

Seleccione o agregue valores para las siguientes configuraciones:

  • Origen (cualquiera, grupo de seguridad de la aplicación, direcciones IP o etiqueta de servicio)
  • Intervalos de puertos de origen (0.0.0.0/0)
  • Destino (cualquiera, grupo de seguridad de aplicaciones, direcciones IP o red virtual)
  • Intervalos de puertos de destino
  • Protocolo (cualquiera, TCP o UDP)
  • Acción (Permitir o Denegar)
  • Prioridad (100-4096:cuanto menor sea el número, mayor será la prioridad. Deje un espacio entre los números de prioridad al crear reglas, como 100, 200, 300. Dejar espacios hace que sea más fácil agregar reglas en el futuro que usted puede necesitar hacer reglas más altas o más bajas que las existentes).
    Nombre
  • Descripción opcional

Seleccione Aceptar .

Alibabanube

Inicie sesión en la consola de ECS.

En el panel de navegación del lado izquierdo, seleccione Redes y seguridad.> Grupos de seguridad .

Seleccione la región de destino.

Busque el grupo de seguridad para agregar reglas de autorización y luego, en la columna Acciones, haga clic en Agregar reglas. .

En la página Reglas del grupo de seguridad, haga clic en Agregar grupo de seguridad. Regla.

En el cuadro de diálogo, establezca los siguientes parámetros:

Dirección de la regla:

  • Saliente:las instancias de ECS acceden a otras instancias de ECS a través de redes de intranet o a través de recursos de Internet.
  • Entrante:otras instancias de ECS en la intranet y los recursos de Internet acceden a la instancia de ECS.

Acción:

  • Seleccione Permitir o Prohibir.
  • Tipo de protocolo y rango de puertos
  • Tipo de autorización y objeto de autorización
  • Prioridad:el rango de valores es 1-100. Recuerde, cuanto menor sea el valor, mayor será la prioridad.

Haz clic en Aceptar .

Plataforma en la nube de Google

En Google Cloud Platform, cada red de VPC funciona como un firewall distribuido.

Si bien las reglas del firewall se definen a nivel de red, las conexiones se permiten o deniegan por instancia.

Puede pensar que las reglas de firewall de GCP existen no solo entre sus instancias y otras redes, sino también entre instancias individuales dentro de la misma red.

Cuando crea una regla de firewall de GCP, especifica una red de VPC y un conjunto de componentes que definen lo que hará la regla.

Los componentes le permiten dirigirse a ciertos tipos de tráfico, según el protocolo, los puertos, las fuentes y los destinos del tráfico.

A diferencia de AWS, las reglas de firewall de GCP solo admiten tráfico IPv4.

Al especificar un origen para una regla de entrada o un destino para una regla de salida por dirección, solo puede usar una dirección IPv4 o un bloque IPv4 en notación CIDR.

Recuerde que debe crear una red personalizada antes de que esto suceda.

Productos y servicios> Red VPC> Redes VPC

Haga clic en + CREAR RED VPC .

Haga lo siguiente, dejando todos los demás campos con sus valores predeterminados:

Especifique las subredes

Haz clic en Crear .

Visite Productos y servicios> Red de VPC> Reglas de cortafuegos

Haz clic en la red que creaste.

Notará que no se crearon reglas de firewall predeterminadas para la red personalizada.

Deberá agregar reglas predeterminadas manualmente en el siguiente paso.

Haga clic en + CREAR REGLA DE FIREWALL .

Ingrese lo siguiente, dejando todos los demás campos con sus valores predeterminados:

Property                         Value
 Name:                            allow-ssh-icmp-rdp-learncustom
 Network:                         learncustom
 Direction of traffic:            Ingress
 Action on match:                 Allow
 Targets:                         cpanel
 Target tags:                     cpanel, cloudlinux
 Source filter:                   IP ranges
 Source IP ranges:                0.0.0.0/0
 Protocols and ports:             Specified protocols and ports
 type:                            icmp; tcp:22; tcp:25; tcp:53; tcp:80; tcp:110; tcp:143; tcp:443; tcp:465; tcp:587; tcp:993; tcp:995; tcp:2078; tcp:2080; tcp:2083; tcp:2087; tcp:2096; udp:53; udp:123; udp:465; udp:783; udp:873; udp:6277; udp:24441

Asegúrese de que la dirección del filtro de origen incluya el '/0' final.

Si especifica 0.0.0.0 en lugar de 0.0.0.0/0, el filtro se establecerá de forma predeterminada en 0.0.0.0/32, una dirección de host exacta que no existe.

Haz clic en Crear .

Puertos de cortafuegos de servicios de cPanel

Estos son los puertos que usa cPanel y WHM, y los servicios que usan cada uno de estos puertos.

Hemos eliminado todos los servicios que no son SSL, ya que su uso permite a los atacantes interceptar información confidencial, como las credenciales de inicio de sesión.

Suponemos que ya sabes lo que es un puerto.

Pero si no lo sabe, echemos un vistazo rápido a lo que es un puerto en la red.

En el modelo de red OSI, los puertos son en su mayoría parte de la capa de transporte (pero también pueden ser parte de la capa de red e incluso de la capa de sesión, dependiendo de la máquina iniciadora (puerto de origen) y el servicio al que se llama (puerto de destino + IP) y a quién le preguntó) y se ocupa de la comunicación de extremo a extremo entre diferentes servicios y aplicaciones.

Un número de puerto es un número entero de 16 bits sin signo, por lo que va de 0 a 65535.

Para TCP, el número de puerto 0 está reservado y no se puede utilizar, mientras que para UDP, el puerto de origen es opcional y un valor de cero significa que no hay puerto.

Por ejemplo, HTTP tiene asignado el puerto 80.

Entonces, cuando un cliente desea comunicarse con un servidor HTTP, utiliza el puerto de destino 80 y un puerto de origen exclusivo para el proceso que realiza la solicitud.

Esto permite que el host receptor envíe cualquier paquete recibido con un destino del puerto 80 a los procesos que "escuchan" esos paquetes, que si hay uno, normalmente sería un proceso de servidor HTTP.

Cuando el servidor HTTP responde, utiliza el puerto de origen del cliente como puerto de destino de la respuesta y podría utilizar el puerto 80 como puerto de origen del paquete de respuesta.

Esto permite que el cliente original reenvíe el puerto rápidamente al proceso que realizó la solicitud.

Por el momento, los puertos de cPanel van desde "1" (CPAN) a "24441" (Pyzor).

Puerto Servicio TCP UDP Entrante Saliente
1 CPAN
22 SSH/SFTP
25 SMTP
26 SMTP
37 fecha
43 whois
53 vincular
80 httpd
110 pop3
113 identificación
143 IMAP
443 httpd
465 SMTP, SSL/TLS
579 cPHulk
783 Correo no deseado de Apache
873 rsync
993 SSL IMAP
995 SSL POP3
2703 Navaja
2078 SSL WebDAV
2080 CalDAV y CardDAV (SSL)
2083 cPanel SSL
2087 SSL WHM
2089 Licencias de cPanel
2096 SSL de correo web
2195 APN
6277 DCC
24441 Pyzor

Lo más importante de este proceso son los puertos de entrada.

Otras consideraciones que podría tener en cuenta son:

  • permitir el libre acceso a la interfaz de loopback. A diferencia de las interfaces externas, vincular su proceso a localhost suele ser bueno para la seguridad y, por lo tanto, restringir el acceso a la interfaz de bucle invertido causa más daño que beneficio. Esto lo deja abierto a un ataque de un usuario local, pero ese es un riesgo que debe equilibrar usted mismo.
  • no restrinja todo el tráfico del Protocolo de mensajes de control de Internet (ICMP). Permitir ICMP es fundamental para que Internet funcione; los enrutadores y los hosts lo utilizan para comunicar información crítica como la disponibilidad del servicio, el tamaño de los paquetes y la existencia del host. Los tipos 3 y 4, Destination Unreachable y Source Quench, son críticos, y restringirlos puede causar más daño que beneficio en el futuro.

Otras opciones de cortafuegos disponibles

Cortafuegos para cPanel Script

Las nuevas versiones de cPanel y WHM incluyen el servicio cpanel, que administra todas las reglas en /etc/firewalld/services/cpanel.xml expediente.

Esto permite el acceso TCP para los puertos del servidor.

Para reemplazar sus reglas de iptables existentes con las reglas en el archivo /etc/firewalld/services/cpanel.xml, realice los siguientes pasos:

  • ejecute el comando yum install firewalld para asegurarse de que su sistema tenga firewalld instalado.
  • ejecute el comando systemctl start firewalld.service para iniciar el servicio firewalld.
  • ejecute el comando systemctl enable firewalld para iniciar el servicio firewalld cuando se inicie el servidor.
  • ejecute el comando iptables-save> backupfile para guardar las reglas de firewall existentes.
  • ejecute el script /usr/local/cpanel/scripts/configure_firewall_for_cpanel. Esto también borra todas las entradas existentes de la aplicación iptables. yo
  • ejecute el comando iptables-restore

De forma predeterminada, los comandos de firewall-cmd se aplican a la configuración de tiempo de ejecución, pero el uso de la bandera –permanente establecerá una configuración persistente.

Entonces, si necesita agregar puertos adicionales, agregue la regla (puerto o servicio) a los conjuntos permanente y de tiempo de ejecución:

Puede usar estos ejemplos a continuación:

sudo firewall-cmd --zone=public --add-port=45000/tcp --permanent
sudo firewall-cmd --zone=public --permanent --add-service=ssh --permanent
sudo firewall-cmd --zone=public --permanent --add-service=ssh
sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=http
sudo firewall-cmd --zone=public --permanent --add-service=https --permanent
sudo firewall-cmd --zone=public --permanent --add-service=https
sudo firewall-cmd --reload


Cortafuegos

Todos los servidores que ejecutan los sistemas operativos CentOS 7, CloudLinux 7 y RHEL 7 tendrán el demonio firewalld preinstalado pero a menudo inactivo.

CortafuegosD es un demonio de servicio de cortafuegos.

Reemplaza la interfaz de iptables y se conecta al código del kernel de netfilter.

Al ser dinámico, permite crear, modificar y eliminar las reglas sin necesidad de reiniciar el demonio del cortafuegos cada vez que se modifican las reglas.

Firewalld utiliza los conceptos de zonas y servicios, que simplifican la gestión del tráfico.

Las zonas son conjuntos predefinidos de reglas.

Las interfaces de red y las fuentes se pueden asignar a una zona.

El tráfico permitido depende de la red a la que esté conectada su computadora y del nivel de seguridad que se le asigne a esta red.

Los servicios de firewall son reglas predefinidas que cubren todas las configuraciones necesarias para permitir el tráfico entrante para un servicio específico y se aplican dentro de una zona.

Para comprobar el estado del cortafuegos, escriba:

systemctl status firewalld

o

firewall-cmd --state

Para iniciar el servicio y habilitar FirewallD en el arranque:

sudo systemctl start firewalld

sudo systemctl habilitar cortafuegos

Para detenerlo y deshabilitarlo:

sudo systemctl stop firewalld

sudo systemctl disable firewalld

Para ver los servicios disponibles predeterminados:

sudo firewall-cmd --get-services

Los archivos de configuración se encuentran en dos directorios:

  • /usr/lib/FirewallD contiene configuraciones predeterminadas como zonas predeterminadas y servicios comunes. Evite actualizarlos porque esos archivos se sobrescribirán con cada actualización del paquete firewalld.
  • /etc/firewalld contiene archivos de configuración del sistema. Estos archivos sobrescribirán una configuración predeterminada.

Puedes leer en:

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-using_firewalls#sec-Introduction_to_firewalld
https://firewalld.org/
https://fedoraproject.org/wiki/FirewallD
https://www.unix.com/man-page/centos/1/firewall-cmd/

LCR

ConfigServer es una inspección de paquetes con estado gratuita y de confianza. (SPI), cortafuegos, Inicio de sesión/Detección de intrusos para servidores Linux y probablemente una de las herramientas más sencillas que puede usar para proteger su servidor cPanel.

Tiene integración nativa con cPanel/WHM, DirectAdmin y Webmin con un front-end para CSF y LFD (Login Failure Daemon) al que se puede acceder desde la cuenta raíz.

Desde esta interfaz, puede modificar los archivos de configuración y detener, iniciar y reiniciar las aplicaciones y consultar su estado.

Esto hace que configurar y administrar el firewall sea muy simple.

La instalación de CSF para cPanel y DirectAdmin está preconfigurada para funcionar en esos
servidores con todos los puertos estándar abiertos.

Configura automáticamente su puerto SSH en la instalación donde se ejecuta en un no-
puerto estándar.

CSF incluye automáticamente en la lista blanca su dirección IP conectada cuando es posible durante la instalación.

Para instalar CSF, ejecute los siguientes comandos como usuario root:

cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf && ./install.sh

Para configurar CSF, visite la interfaz de ConfigServer &Firewall de WHM en (Inicio>> Complementos>> Servidor de configuración y cortafuegos ).

Tenga en cuenta que no es realmente recomendable ejecutar varios cortafuegos en un sistema.

Sin embargo, esta regla no es aplicable a Imunify360 ya que es posible ejecutar y habilitar CSF cuando Imunify360 ya se está ejecutando.

Todas las direcciones IP de la lista blanca de Imunify360 se exportarán a la lista de ignorados de CSF.

Si tiene instalado Imunify360, instale CSF, Imunify360 cambia al modo de integración CSF.

Para verificar si la integración de CSF está habilitada, vaya a Imunify360pestaña CortafuegosLista Blanca y verifique si hay un mensaje de advertencia “CSF está habilitado. Administre las IP incluidas en la lista blanca en CSF mediante la interfaz de usuario o el archivo de configuración de CSF “.

Significa que la integración de CSF e Imunify360 se procesó correctamente.

Si usa CSF solo, a menudo es mejor usarlo junto con ConfigServer ModSecurity Control (CMC), que le proporciona una interfaz para la implementación de mod_security de cPanel desde WHM.

Con ConfigServer ModSecurity Control puede:

  • deshabilite las reglas de mod_security que tienen números de identificación únicos a nivel global, por usuario de cPanel o por nivel de dominio alojado
  • deshabilite mod_security por completo, también a nivel global, por usuario de cPanel o por nivel de dominio alojado
  • editar archivos que contengan ajustes de configuración de mod_security en /usr/local/apache/conf
  • ver las últimas entradas de registro de mod_security

Para leer sobre cómo funciona Imunify360 con ConfigServer Security &Firewall (CSF), visite https://docs.imunify360.com/ids_integration/#csf-integration.

Para leer cómo configurar CSF con todas sus opciones disponibles, visite https://download.configserver.com/csf/readme.txt.

Para ver cómo instalar ConfigServer ModSecurity Control, visite https://download.configserver.com/cmc/INSTALL.txt

Para ver cómo instalar ConfigServer ModSecurity Control, visite https://download.configserver.com/cmc/INSTALL.txt

APF

APF actúa como una interfaz frontal para la aplicación iptables y le permite abrir o cerrar puertos sin usar la sintaxis de iptables.

El siguiente ejemplo incluye dos reglas que puede agregar al archivo /etc/apf/conf.apf para permitir el acceso HTTP y HTTPS a su sistema:

Common ingress (inbound) TCP ports
IG_TCP_CPORTS="80,443″# Common egress (outbound) TCP ports
EG_TCP_CPORTS="80″

Fail2ban

Fail2ban es un software de prevención de intrusiones y una aplicación de análisis de registros que monitorea los registros del sistema en busca de síntomas de un ataque automatizado en su servidor cPanel.

Cuando se localiza un intento de compromiso, utilizando los parámetros definidos, Fail2ban agregará una nueva regla a iptables para bloquear la dirección IP del atacante, ya sea por un período de tiempo determinado o de forma permanente.

Fail2ban también puede avisarle por correo electrónico de que se está produciendo un ataque.

No es la mejor opción para un servidor cPanel, ya que su función se centra principalmente en los ataques SSH y lo que hace es casi lo mismo que cPHulk Brute Force Protection. .

cPHulk se incluye como parte de todas las instalaciones de cPanel y WHM y se puede usar para monitorear y bloquear todos los intentos de inicio de sesión realizados en cPanel, WHM, FTP, correo electrónico y SSH.

Proporciona a los administradores una variedad de formas de combatir los ataques de fuerza bruta tanto de forma automática como manual, y cPHulk incluso se puede usar para bloquear direcciones IP maliciosas en su firewall.

Los bloqueos de inicios de sesión maliciosos se pueden emitir en diferentes duraciones, desde una prohibición temporal hasta una prohibición de un día o incluso permanente.

El sistema cPHulk altamente configurable permite un gran control.

Puede especificar la cantidad de intentos de inicio de sesión fallidos antes de que se bloquee una dirección IP, definir acciones adicionales para ejecutar al activarse un bloqueo automático e incluso habilitar notificaciones a los administradores del servidor a medida que ocurren eventos específicos.

Pero también puede usar failban y configurarlo para que funcione con cualquier servicio que use archivos de registro y pueda estar sujeto a un compromiso.

Asegúrese de que su sistema esté actualizado e instale el repositorio EPEL:

yum update && yum install epel-release

Instalar Fail2Ban:

yum install fail2ban

Inicie y habilite Fail2ban:

systemctl start fail2ban
systemctl enable fail2ban

If you see the error “no directory /var/run/fail2ban to contain the socket file /var/run/fail2ban/fail2ban.sock ”, create the directory manually:

mkdir /var/run/fail2ban

Fail2ban reads .conf configuration files first, then .local files override any settings.

Because of this, all changes to the configuration are generally done in .local files, leaving the .conf files untouched.

Configure fail2ban.local

fail2ban.conf contains the default configuration profile.

The default settings will give you a reasonable working setup.

If you want to make any changes, it’s best to do it in a separate file, fail2ban.local, which overrides fail2ban.conf.

Rename a copy fail2ban.conf to fail2ban.local.

cp /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local

Configure jail.local Settings

The jail.conf file will enable Fail2ban for SSH by default for Debian and Ubuntu, but not CentOS.

All other protocols and configurations (HTTP, FTP, etc.) are commented out. If you want to change this, create a jail.local for editing:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Since we are using CentOS, you will need to change the backend option in jail.local from auto to systemd.

sudo systemctl start fail2ban
sudo systemctl enable fail2ban
sudo systemctl status -l fail2ban

To learn more about failban, here are the documentation and manual:

FAQ:https://www.fail2ban.org/wiki/index.php/FAQ
HOWTO:https://www.fail2ban.org/wiki/index.php/HOWTOs)
Official Fail2ban Documentation:https://www.fail2ban.org/wiki/index.php/Manual
Failban Configuration:https://www.fail2ban.org/wiki/index.php/Category:Configuration

Checking Your cPanel Ports

For a Linux instance, follow these steps to verify the security group rule:

Connect to a Linux instance by using a password.

Luego, ejecuta el siguiente comando:

sudo netstat -plunt

To check whether TCP 80 (replace “80” with any port) is being listened to.

sudo netstat -an | grep 80

You can also use nmap which probably is the most commonly used network mapper in the infosec world.

Nmap can be used to:

  • create a complete computer network map.
  • find remote IP addresses of any hosts.
  • get the OS system and software details.
  • detect open ports on local and remote systems.
  • audit server security standards.
  • find vulnerabilities on remote and local hosts.

You should run nmap ONLY on servers that you own or in situations where you’ve notified the owners.

The reason is that why you as a network administrator might be using nmap to look for possible vulnerabilities to help prevent such attacks, your action can be interpreted as “malicious cracking attempts” and most security tools and cloud providers frowns on this.

CentOS

sudo yum install nmap

To install nmap on Red Hat Enterprise Linux 8 execute the following dnf command:

sudo dnf install nmap

To install nmap on an Ubuntu or Debian machine by entering:

sudo apt-get update
sudo apt-get install nmap

Use the –version option to check the installed nmap version and correctness of the actual nmap installation. Por ejemplo:

nmap -version

Basic Nmap Scan against IP or host

nmap 1.1.1.1

Now, if you want to scan a hostname, simply replace the IP for the host, as you see below:

nmap cloudflare.com

These kinds of basic scans are perfect for your first steps when starting with Nmap.

Scan specific ports or scan entire port ranges on a local or remote server

nmap -p 1-65535 localhost

In this example, we scanned all 65535 ports for the localhost.


cPanel

  1. Cómo configurar la copia de seguridad en el servidor cPanel/WHM

  2. Configure las copias de seguridad de cPanel/WHM para su servidor

  3. ¿Cómo cambiar el idioma de tu cPanel?

  4. ¿Cómo cambiar la versión de PHP en su dominio usando cPanel?

  5. Cómo encontrar la dirección IP compartida de su servidor en cPanel

Cómo configurar un Firewall en Jelastic Cloud

Cómo instalar y configurar el cortafuegos CSF para Linux

Cómo encontrar la dirección IP principal compartida de su servidor en cPanel

Cómo deshabilitar cPanel en su servidor dedicado

Cómo instalar OpCache en su servidor cPanel

Cómo encontrar el nombre de su servidor en cPanel