Linux Sunucu Güvenliği (CPANEL)

Merhaba Değerli ziyaretçimiz

Linux cpanel kurulu sunucularda oldukça yaygın olan sunucu yada hosting hackleme olayları oldukça yaygınlaştı.Bu aşamada nasıl bir çözüm alınır neler yapılabilir size bunlardan bahsedeceğiz.Sözü fazla uzatmadan maddeler halinde adım adım cpanel kurulduktan sonra yapılacak işlemleri aşağıda sizlere belirttik.

1* Tweak settings e giriş yapıp BoxTrapper Spam Trap kısmını pasif hale getiriyoruz.
BoxTrapper Spam Trap server’ın IP adresini SPAM’a düşürebileceği için kapatıyoruz.

2* PHP Configuration Editor alanına giriş yapıp sırasıyla
disable_functions alanını bulup karşısına aralarda virgül koyarak ve boşluk bırakmadan
glob, posix_getpwuid, array_compare, array_user_key_compare, ini_restore, exec, proc_get_status, proc_nice, proc_open, allow_url_fopen, fin, pconnect, system, dl, passthruexec, shell_exec, proc_close, proc_get_status, chown, chgrp, escapeshellcmd, escapeshellarg, fileread, passthru, popen,curl_exec, shell, execute

yada çok daha güvenli olması için

shell_exec,exec,system,glob,cat,dl,openbasedir,popen,proc_close,proc_get_status,proc_nice,proc_open,escapeshellcmd,escapeshellarg,show_source,posix_mkfifo,mysql_list_dbs,get_current_user,getmyuid,pconnect,link,symlink,pcntl_exec,ini_alter,parse_ini_file,leak,apache_child_terminate,posix_kill,posix_setpgid,posix_setsid,posix_setuid,proc_terminate,syslog,fpassthru,allow_url_fopen,stream_select,socket_select,socket_create,socket_create_listen,socket_create_pair,socket_listen,socket_accept,socket_bind,socket_strerror,pcntl_fork,pcntl_signal,pcntl_waitpid,pcntl_wexitstatus,pcntl_wifexited,pcntl_wifsignaled,pcntl_wifstopped,pcntl_wstopsig,pcntl_wtermsig,openlog,apache_get_modules,apache_get_version,apache_getenv,apache_note,apache_setenv,virtual,name

çok olan yapılırsa bazı sciprt ve uygulamalar çalışmayabilir ve bu nedenle düşürmeniz gerekir.

safe mode = On
memory_limit = 256M (MAXIMUM)
max_execution_time = 30 (MAXIMUM in seconds)
max_input_time = 60 (MAXIMUM in seconds)
post_max_size = 64M (MAXIMUM)
upload_max_filesize = 64M (MAXIMUM)
enable_dl = Off yapıp save diyerek kaydediyoruz.
register_globals = On
magic_quotes_gpc = Off

3* FTP Server Configration kısmına giriş yaparak
Allow Anonymous Login : no
Allow Anonymous Uploads : no
Allow Logins with Root Password : no
Broken Clients Compatibility : no
yapıyoruz ve kaydediyoruz.

4* Manage Plugins alanına giriş yapıyoruz
İlgili alanda bulunan “pro” ve “clamavconnector” seçerek save butonuna basıyoruz.
Daha sonra eklentiler sunucunuza kurulmaya başlıyor.İşlem biraz uzun sürebilir.Ancak bu eklentiler önemlidir.

5* Sıra geldi apache derleme işlemine .Bu işlem çoğuna göre farklılık gösterebilir fakat ben
hosting hizmeti veren ve farklı scriptler kullanan sunucular için anlatacağım.
EasyApache (Apache Update) kısmına tıklıyoruz ve sırasıyla
PHP Security [ Hide Info ] seçip start customizing based on profile tıklıyoruz.
Apache 2.2.24 seçip Next Step tıklıyoruz.
5.3.25 seçip Next Step tıklıyoruz.
Frontpage DEPRECATED , Mod SuPHP , IonCube Loader for PHP , Mod Security , Suhosin for PHP , Zend Guard Loader for PHP seçip Exhaustive Options List tıklıyoruz.
Gelen ekranda seçili olanlar kalacak şekilde
Cache , Deflate , Disk Cache , File Cache , MemCache , Mime Magic , Curl , GD , MM , Mbstring , Mcrypt , MySQL “Improved” extension , TTF (FreeType) , Save my profile with appropriate PHP 5 options set so that it is compatible with cpphp seçip Save And Build
diyerek apache derlemesinin bitmesini bekliyorsunuz.Bu adımda sayfa yenileme , servis resetleme , sunucu resetleme gibi kesinlikle işlem yapmadan bitmesi beklenir.Aksi takdirde sunucuyu yeniden kurmanız gerekebilir.
Derleme bittiğinde PHP and SuExec Configuration hakkında sorular soracak. Biz PHP4 kurmadığımız, default olarak PHP 5 seçiyoruz ve işlemleri kaydedip çıkıyoruz.

6* Apache Configuration kısmına giriş yapıyoruz.
Memory Usage Restrictions” kısmını tıklayıp Proceed diyoruz ve artık arızalı scriptlerin sunucuyu şişirmesini ve kilitlemesini engelliyoruz.

7* cPHulk Brute Force Protection alanına girip ve Enable kısmına tıklıyoruz.

8* PHP open_basedir Tweak bölümüne girip Enable php open_basedir protection seçip save diyoruz.

9* Apache mod_userdir Tweak bölümüne gelip Enable mod_userdir protection seçip save diyoruz.

10* Shell Fork Bomb Protection alanına girip Enable Protection seçiyoruz.

11* Compiler Access alanına girip Disable Compilers kısmına tıklıyoruz.

12* Tüm bu ayarlardan sonra sunucumuza aşağıdaki kurulumları SSH üzerinden yapıyoruz.
ConfigServer Firewall (csf) – http://blog.musteri.info/configserver-firewall-csf-kurulumu.html
ConfigServer Mail Queues (cmq) – http://blog.musteri.info/configserver-mail-queues-cmq.html
ConfigServer Mail Manage (cmm) – http://blog.musteri.info/configserver-mail-manage-cmm-kurulumu.html
ConfigServer Explorer (cse) – http://blog.musteri.info/configserver-explorer-cse-kurulumu.html
Mod_security – http://www.musteri.info/mod-security-kurulumu-linux

Kurulumlar bittikten sonra artık son derece güvenli bir sunucuya sahipsiniz…

 

Yardımcı olması dileğiyle…

 

Hızlı Yanıt Ver