GNU/Linux >> Tutoriels Linux >  >> Panels >> cPanel

Comment configurer votre pare-feu cPanel dans le cloud

Apprenez à configurer les pare-feu cPanel sur la plupart des plates-formes cloud ou utilisez d'autres outils de sécurité pour renforcer et protéger votre serveur cPanel contre les attaques malveillantes.

Imaginez qu'après l'érection initiale des murs de cette nouvelle maison, la maison se retrouve sans toit pour protéger ses occupants des éléments ni portes pour les protéger des animaux sauvages qui voudront les engloutir pour le dîner.

L'analogie ci-dessus est souvent ce qui se passe lorsqu'un administrateur de serveur déploie un serveur et oublie ensuite l'aspect le plus fondamental du processus :la sécurité.

Le cloud a donné aux administrateurs de serveurs la possibilité de mettre en place n'importe quel type de serveur en moins de 55 secondes.

Le problème avec cela est que souvent, les administrateurs de serveur ont tendance à oublier l'aspect le plus fondamental du processus :la sécurité.

Alors que la plupart des plus grands systèmes cloud que nous avons adoptés ont des mesures intégrées conçues pour nous empêcher de devenir des victimes de notre nature humaine, cela n'a pas changé le fait que lorsque vous déployez un système et que vous ne l'avez pas fait dès sa conception qu'il soit sécurisé, vous ferez face à une route difficile sur toute la ligne.

Le fait est que 98 % de la plupart des attaques auxquelles un système connecté en ligne sera confronté sont de nature opportuniste plutôt que ciblées.

Lorsqu'un utilisateur malveillant tente sa chance avec un système et le trouve solidement protégé, il passera à des cibles plus faciles.

Avec un serveur non protégé, l'histoire sera différente, car toute personne ayant une intention malveillante verra immédiatement la boîte comme une cible facile à cueillir.

Un serveur non protégé ne devrait pas non plus être en ligne, non seulement parce qu'il va à l'encontre de tout ce qu'un bon administrateur devrait être, mais parce qu'il rend Internet moins sûr.

Que sont les pare-feu en informatique ?

Que sont les pare-feu en informatique ?

Dans la conception d'infrastructures informatiques, Internet est toujours traité comme un réseau externe non fiable.

Un pare-feu surveille et contrôle le trafic réseau entrant et sortant en fonction de règles de sécurité prédéterminées.

Tout comme tout bâtiment bien conçu doit avoir un mur destiné à contenir le feu à l'intérieur d'un bâtiment, des points d'entrée et de sortie désignés et des règles indiquant qui doit être autorisé à accéder et qui doit être refoulé, un pare-feu bien implémenté permet à un administrateur système de définir quelles communications entrantes et sortantes sont autorisées à partir d'un serveur et également la capacité d'atténuer les menaces dans un paramètre défini.

En tant qu'administrateur système, le point de départ standard en matière de sécurité est :

  • être conscient que n'importe quel logiciel peut être exploité, y compris cPanel.
  • comprendre et traiter chaque entrée d'utilisateur comme potentiellement hostile et malveillante
  • appliquer les bonnes pratiques de sécurité pour défendre une infrastructure
  • évitez de déployer une solution de sécurité que vous ne comprenez pas comme dans la compréhension.
  • consigner tous les comportements suspects si et quand il est nécessaire d'enquêter
  • concevez un système de manière à ce qu'il vous permette de restaurer l'infrastructure à son état antérieur à la compromission.
  • aller au-delà du pare-feu de port pour masquer les protocoles non sécurisés, mais compter sur la sécurité des protocoles que vous utilisez pour défendre votre infrastructure.
  • fournir le privilège minimal nécessaire pour mener à bien une opération, mais rien de plus que ce qui est nécessaire.

Comment configurer un pare-feu cPanel pour l'atténuation

Alors, comment s'y prendre pour sécuriser, par exemple, un serveur Web cPanel destiné au public afin de réduire les risques qu'il soit compromis ?

Commençons par les bases lors de l'installation d'un nouveau serveur cPanel.

Supprimer toutes les règles existantes

Tout comme vous ne commenceriez pas à construire un bâtiment sur ce que quelqu'un a déjà créé, il est toujours préférable de supprimer toutes les règles de pare-feu existantes avant d'en implémenter une nouvelle.

Cela vous donne une idée claire et cohérente de ce que vous autorisez et bloquez sur votre système, une information que vous voudriez avoir en tête lorsque vous faites face à une menace en cours.

Lors de l'installation de cPanel sur une nouvelle machine, vous devez désactiver le pare-feu avant d'exécuter le script d'installation avec :

iptables-save > ~/firewall.rules
systemctl stop firewalld.service
systemctl disable firewalld.service

où ~/firewall.rules représente le fichier de règles du pare-feu.

La même commande fonctionnera également sur CentOS, Red Hat® Enterprise Linux, CloudLinux™ et Amazon®.

Une fois le processus d'installation terminé, vous pouvez sélectionner et configurer un pare-feu à partir de l'une des options ci-dessous.

Désactiver SELinux

SELinux (Linux à sécurité améliorée ) en mode application est spécialement conçu pour faire de votre serveur Web une forteresse, mais franchement, il faut beaucoup de travail pour configurer SELinux, même une machine Linux de base.

Et bien que cPanel et WHM puissent fonctionner avec SELinux en mode permissif, il génère un grand nombre d'entrées de journal dont vous ne voudriez pas.

Il est fortement recommandé de désactiver SELinux et de redémarrer le système avant d'installer cPanel sur n'importe quel système.

Pour désactiver les fonctionnalités de sécurité de SELinux, utilisez l'une des méthodes suivantes :

Ouvrez votre Terminal et lancez :

$ sudo cp /etc/selinux/config /etc/selinux/config.backup
$ sudo vi /etc/selinux/config

Le fichier /etc/selinux/config vous permet de définir les paramètres SELINUX que vous souhaitez que le serveur exécute.

Lorsqu'il s'ouvrira, vous verrez quelque chose comme ceci :

This file controls the state of SELinux on the system.
 SELINUX= can take one of these three values:
 enforcing - SELinux security policy is enforced.
 permissive - SELinux prints warnings instead of enforcing.
 disabled - No SELinux policy is loaded.
 SELINUX=enabled
 SELINUXTYPE= can take one of these two values:
 targeted - Only targeted network daemons are protected.
 strict - Full SELinux protection.
 SELINUXTYPE=targeted

Le paramètre que vous recherchez est "SELINUX=enable"

Tout ce que vous avez à faire est de remplacer le mot "activé " avec " désactivé ".

Enregistrez le fichier en exécutant ":wq ” et quittez.

Redémarrez le serveur :

sudo systemctl reboot

systemctl est un utilitaire de ligne de commande et un outil principal pour gérer le systemd démons/services tels que (démarrer, redémarrer, arrêter, activer, désactiver, recharger et état).

Vous pouvez maintenant démarrer votre installation cPanel et une fois cela fait, il sera temps de démarrer la configuration de la sécurité.

Quel type de pare-feu pouvez-vous utiliser avec cPanel ?

Le type de pare-feu que vous utiliserez avec cPanel dépendra en grande partie de deux choses :

  • l'environnement de déploiement (sur site ou dans le cloud)
  • votre niveau de familiarité avec les outils que vous souhaitez utiliser

Mise en œuvre du pare-feu cPanel sur le cloud

Si vous utilisez un cloud public tel qu'AWS, Google Cloud Platform, Microsoft Azure, Alibabacloud et bien d'autres, vous pouvez faire tout ce que vous voulez depuis le niveau du centre de données.

Mais cela nécessite de pouvoir créer un VPC (le datacenter en langage cloud) et si les interfaces topographiques et la convention de nommage sur chacune de ces plateformes sont différentes, tout se résume à une chose :être capable de déterminer quel trafic entrant et sortant auquel vous souhaitez donner accès.

Cela nécessite souvent de déterminer quels ports le serveur exécutera de manière optimale, puis d'autoriser l'accès entrant à ceux-ci.

Il existe d'autres couches de sécurité facultatives telles que les ACL réseau (qui, par défaut, autorisent tout le trafic IPv4 entrant et sortant et, le cas échéant, le trafic IPv6.) qui agissent comme un pare-feu pour contrôler le trafic entrant et sortant d'un ou plusieurs sous-réseaux.

Mais nous nous en tiendrons aux bases pour le moment.

Groupes de sécurité

Dans le cloud, un groupe de sécurité agit comme un pare-feu virtuel qui contrôle le trafic pour une ou plusieurs instances et assure la sécurité au niveau du protocole et de l'accès au port.

Lorsque vous lancez une instance, vous pouvez spécifier un ou plusieurs groupes de sécurité ; sinon, nous utilisons le groupe de sécurité par défaut.

Vous pouvez ajouter des règles à chaque groupe de sécurité qui autorise le trafic vers ou depuis ses instances associées.

Chaque groupe de sécurité (fonctionnant à peu près de la même manière qu'un pare-feu) contient un ensemble de règles qui filtrent le trafic entrant et sortant d'une instance.

Il n'y a pas de règles de "refuser".

Au contraire, s'il n'y a pas de règle qui autorise explicitement un paquet de données particulier, il sera abandonné.

Vous pouvez modifier les règles d'un groupe de sécurité à tout moment; les nouvelles règles sont automatiquement appliquées à toutes les instances associées au groupe de sécurité.

Lorsque nous décidons d'autoriser ou non le trafic à atteindre une instance, nous évaluons toutes les règles de tous les groupes de sécurité associés à l'instance.

Sur Microsoft Azure , c'est ce qu'on appelle les groupes de sécurité réseau (NSG).

Google Cloud Platform appelle ses propres règles de pare-feu (Réseau>>> réseau VPC).

Les pare-feu GCP s'appliquent à un seul réseau VPC, mais sont considérés comme une ressource globale, car les paquets peuvent les atteindre depuis d'autres réseaux.

AWS &Alibabacloud appelle leurs groupes de sécurité.

Éléments à garder à l'esprit :

La sécurité doit faire partie de la conception initiale de votre architecture, et non une réflexion après coup .

Bien que vous puissiez toujours revenir en arrière et attribuer un groupe de sécurité nouvellement créé à une instance, créez toujours votre VPC avec son sous-réseau, sa route, ses pare-feu et tout ce qui précède avant même de lancer votre première machine virtuelle.

Ainsi, lorsque vous déployez l'instance, vous pouvez simplement sélectionner un groupe de sécurité existant, revérifier tous les ports avant de lancer le déploiement.

Sachez que sur chacune de ces plateformes, vous êtes limité à un certain nombre de groupes de sécurité par VPC .

Vous pouvez toujours demander que toute augmentation de la limite soit atteinte, mais vous remarquerez peut-être un impact sur les performances du réseau.

En outre, assurez-vous que vos règles de pare-feu correspondent à la manière dans lequel vous utilisez les services de cPanel &WHM.

Créer des groupes de sécurité

AWS

Pour créer un groupe de sécurité à l'aide de la console AWS

Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

Dans le volet de navigation, choisissez Groupes de sécurité .

Choisissez Créer un groupe de sécurité .

Entrez le nom du groupe de sécurité (par exemple, cpanel_security_group) et fournissez une description.

Sélectionnez l'ID de votre VPC dans le menu VPC et choisissez Oui, créer .

Vous pouvez également utiliser :

aws ec2 create-security-group --group-name MySecurityGroup --description "My security group" --vpc-id vpc-1a2b3c4d

Dans l'onglet Règles de trafic entrant, choisissez Modifier .

Sélectionnez une option pour une règle de trafic entrant pour Type, puis renseignez les informations requises.

Spécifiez une valeur pour Source comme 0.0.0.0/0.

Fournissez éventuellement une description pour chaque règle, puis choisissez Enregistrer .

Microsoft Azure

À partir d'Azure Security Center, vous pourrez voir une liste des règles du groupe de sécurité réseau (NSG) et de la liste de contrôle d'accès (ACL) qui autorisent ou refusent le trafic réseau vers vos instances de machine virtuelle dans un réseau virtuel.

Lorsqu'un NSG est associé à un sous-réseau, les règles ACL s'appliquent à toutes les instances de VM de ce sous-réseau.

Microsoft Azure a un formulaire plus long avec plus de champs à remplir.

Mais c'est relativement simple et fait exactement la même chose que vous verrez sur les autres plates-formes cloud.

Pour créer un groupe de sécurité réseau sur Microsoft Azure,

Dans le coin supérieur gauche du portail, sélectionnez + Créer une ressource.

Sélectionnez Réseau, puis sélectionnez le groupe de sécurité réseau.

Entrez un nom pour le groupe de sécurité réseau, sélectionnez votre abonnement, créez un nouveau groupe de ressources ou sélectionnez un groupe de ressources existant, sélectionnez un emplacement , puis sélectionnez Créer .

Dans la zone de recherche en haut du portail, entrez les groupes de sécurité réseau dans la zone de recherche.

Lorsque les groupes de sécurité réseau apparaissent dans les résultats de la recherche, sélectionnez-le.
Sélectionnez le groupe de sécurité réseau que vous souhaitez modifier.

Sélectionnez Règles de sécurité entrantes sous PARAMETRES .

Plusieurs règles existantes sont répertoriées.

Lorsqu'un groupe de sécurité réseau est créé, plusieurs règles de sécurité par défaut y sont créées.

Vous ne pouvez pas supprimer les règles de sécurité par défaut, mais vous pouvez les remplacer par des règles qui ont une priorité plus élevée.

Pour en savoir plus sur les règles de sécurité par défaut, consultez https://docs.microsoft.com/en-us/azure/virtual-network/security-overview#default-security-rules.

Sélectionnez + Ajouter .

Sélectionnez ou ajoutez des valeurs pour les paramètres suivants :

  • Source (tout, groupe de sécurité d'application, adresses IP ou numéro de service)
  • Plages de ports sources (0.0.0.0/0)
  • Destination (toutes, groupe de sécurité d'application, adresses IP ou réseau virtuel)
  • Plages de ports de destination
  • Protocole (Tous, TCP ou UDP)
  • Action (Autoriser ou Refuser)
  • Priorité (100-4096 – plus le nombre est faible, plus la priorité est élevée. Laissez un espace entre les numéros de priorité lors de la création de règles, comme 100, 200, 300. Laisser des espaces facilite l'ajout de règles à l'avenir. peut avoir besoin de faire des règles supérieures ou inférieures aux règles existantes.)
    Nom
  • Description facultative

Sélectionnez OK .

Alibabacloud

Connectez-vous à la console ECS.

Dans le volet de navigation de gauche, sélectionnez Réseaux et sécurité> Groupes de sécurité .

Sélectionnez la région cible.

Recherchez le groupe de sécurité pour ajouter des règles d'autorisation, puis, dans la colonne Actions, cliquez sur Ajouter des règles .

Sur la page Règles du groupe de sécurité, cliquez sur Ajouter un groupe de sécurité Règle.

Dans la boîte de dialogue, définissez les paramètres suivants :

Sens de la règle :

  • Sortant :les instances ECS accèdent à d'autres instances ECS via des réseaux intranet ou via des ressources Internet.
  • Entrant :d'autres instances ECS des ressources intranet et Internet accèdent à l'instance ECS.

Action :

  • Sélectionnez Autoriser ou Interdire.
  • Type de protocole et plage de ports
  • Type d'autorisation et objet d'autorisation
  • Priorité :la plage de valeurs est comprise entre 1 et 100. N'oubliez pas que plus la valeur est petite, plus la priorité est élevée.

Cliquez sur OK .

Google Cloud Platform

Sur Google Cloud Platform, chaque réseau VPC fonctionne comme un pare-feu distribué.

Alors que les règles de pare-feu sont définies au niveau du réseau, les connexions sont autorisées ou refusées par instance.

Vous pouvez considérer que les règles de pare-feu GCP existent non seulement entre vos instances et d'autres réseaux, mais entre des instances individuelles au sein du même réseau.

Lorsque vous créez une règle de pare-feu GCP, vous spécifiez un réseau VPC et un ensemble de composants qui définissent l'action de la règle.

Les composants vous permettent de cibler certains types de trafic, en fonction du protocole, des ports, des sources et des destinations du trafic

Contrairement à AWS, les règles de pare-feu GCP ne prennent en charge que le trafic IPv4.

Lorsque vous spécifiez une source pour une règle d'entrée ou une destination pour une règle de sortie par adresse, vous ne pouvez utiliser qu'une adresse IPv4 ou un bloc IPv4 en notation CIDR.

N'oubliez pas que vous devez créer un réseau personnalisé avant de pouvoir y arriver.

Produits &services> Réseau VPC> Réseaux VPC

Cliquez sur + CRÉER UN RÉSEAU VPC .

Procédez comme suit, en laissant tous les autres champs avec leurs valeurs par défaut :

Spécifiez les sous-réseaux

Cliquez sur Créer .

Visitez Produits et services> Réseau VPC> Règles de pare-feu

Cliquez sur le réseau que vous avez créé.

Vous remarquerez qu'aucune règle de pare-feu par défaut n'a été créée pour le réseau personnalisé.

Vous devrez ajouter manuellement des règles par défaut à l'étape suivante.

Cliquez sur + CRÉER UNE RÈGLE DE PARE-FEU .

Entrez ce qui suit, en laissant tous les autres champs avec leurs valeurs par défaut :

Property                         Value
 Name:                            allow-ssh-icmp-rdp-learncustom
 Network:                         learncustom
 Direction of traffic:            Ingress
 Action on match:                 Allow
 Targets:                         cpanel
 Target tags:                     cpanel, cloudlinux
 Source filter:                   IP ranges
 Source IP ranges:                0.0.0.0/0
 Protocols and ports:             Specified protocols and ports
 type:                            icmp; tcp:22; tcp:25; tcp:53; tcp:80; tcp:110; tcp:143; tcp:443; tcp:465; tcp:587; tcp:993; tcp:995; tcp:2078; tcp:2080; tcp:2083; tcp:2087; tcp:2096; udp:53; udp:123; udp:465; udp:783; udp:873; udp:6277; udp:24441

Assurez-vous que l'adresse du filtre source inclut le « /0 » final.

Si vous spécifiez 0.0.0.0 au lieu de 0.0.0.0/0, le filtre sera par défaut 0.0.0.0/32 - une adresse d'hôte exacte qui n'existe pas.

Cliquez sur Créer .

Ports du pare-feu des services cPanel

Voici les ports utilisés par cPanel &WHM, et les services qui utilisent chacun de ces ports.

Nous avons supprimé tous les services non SSL car leur utilisation permet aux attaquants d'intercepter des informations sensibles, telles que les identifiants de connexion.

Nous pensons que vous savez déjà ce qu'est un port.

Mais si vous ne le savez pas, jetons un coup d'œil à ce qu'est un port dans le réseau.

Dans le modèle de réseau OSI, les ports font principalement partie de la couche transport (mais peuvent également faire partie de la couche réseau et même de la couche session, selon la machine initiatrice (port source) et le service appelé (port destination + IP) et à qui vous avez posé la question) et s'occupe de la communication de bout en bout entre les différents services et applications.

Un numéro de port est un entier non signé de 16 bits, donc compris entre 0 et 65535.

Pour TCP, le numéro de port 0 est réservé et ne peut pas être utilisé, tandis que pour UDP, le port source est facultatif et une valeur de zéro signifie aucun port.

Par exemple, HTTP a le port 80 qui lui est attribué.

Ainsi, lorsqu'un client souhaite contacter un serveur HTTP, il utilise le port de destination 80 et un port source unique au processus effectuant la requête.

Cela permet à l'hôte de réception d'envoyer tous les paquets reçus avec une destination du port 80 aux processus "à l'écoute" de ces paquets, qui, s'il y en a un, seraient normalement un processus de serveur HTTP.

Lorsque le serveur HTTP répond, il utilise le port source du client comme port de destination de la réponse et il peut utiliser le port 80 comme port source du paquet de réponse.

Cela permet au client d'origine de transmettre rapidement le port au processus qui a fait la demande.

Pour le moment, les ports cPanel vont de "1" (CPAN) à "24441" (Pyzor).

Port Service TCP UDP Entrant Sortant
1 CPAN
22 SSH/SFTP
25 SMTP
26 SMTP
37 rdate
43 whois
53 lier
80 httpd
110 pop3
113 ident
143 IMAP
443 httpd
465 SMTP, SSL/TLS
579 cPHulk
783 Spam Apache
873 rsync
993 SSL IMAP
995 SSL POP3
2703 Rasoir
2078 SSL WebDAV
2080 CalDAV et CardDAV (SSL)
2083 SSL cPanel
2087 WHM SSL
2089 Licence cPanel
2096 SSL de messagerie Web
2195 APN
6277 DCC
24441 Pyzor

Le plus important de ce processus est les ports entrants.

D'autres considérations que vous pourriez apporter sont :

  • autoriser un accès libre à l'interface de bouclage. Contrairement aux interfaces externes, lier votre processus à localhost est généralement bon pour la sécurité, et donc restreindre l'accès à l'interface de bouclage cause plus de mal que de bien. Cela vous expose à une attaque d'un utilisateur local, mais c'est un risque que vous devez évaluer vous-même.
  • ne restreignez pas tout le trafic ICMP (Internet Control Message Protocol). Autoriser ICMP est essentiel pour le fonctionnement d'Internet; les routeurs et les hôtes l'utilisent pour communiquer des informations critiques telles que la disponibilité du service, la taille des paquets et l'existence de l'hôte. Les types 3 et 4, Destination inaccessible et Source Quench, sont critiques, et les restreindre peut causer plus de tort que de gain à l'avenir.

Autres options de pare-feu disponibles

Pare-feu pour cPanel Script

Les nouvelles versions de cPanel &WHM incluent le service cpanel, qui gère toutes les règles dans /etc/firewalld/services/cpanel.xml dossier.

Cela permet l'accès TCP pour les ports du serveur.

Pour remplacer vos règles iptables existantes par les règles du fichier /etc/firewalld/services/cpanel.xml, procédez comme suit :

  • exécutez la commande yum install firewalld pour vous assurer que firewalld est installé sur votre système.
  • exécutez la commande systemctl start firewalld.service pour démarrer le service firewalld.
  • exécutez la commande systemctl enable firewalld pour démarrer le service firewalld au démarrage du serveur.
  • exécutez la commande iptables-save> backupfile pour enregistrer vos règles de pare-feu existantes.
  • exécutez le script /usr/local/cpanel/scripts/configure_firewall_for_cpanel. Cela efface également toutes les entrées existantes de l'application iptables. Je
  • exécutez la commande iptables-restore

Par défaut, les commandes firewall-cmd s'appliquent à la configuration d'exécution, mais l'utilisation de l'indicateur –permanent établira une configuration persistante.

Donc, si vous devez ajouter des ports supplémentaires, ajoutez la règle (port ou service) aux ensembles permanent et d'exécution :

Vous pouvez utiliser ces exemples ci-dessous :

sudo firewall-cmd --zone=public --add-port=45000/tcp --permanent
sudo firewall-cmd --zone=public --permanent --add-service=ssh --permanent
sudo firewall-cmd --zone=public --permanent --add-service=ssh
sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=http
sudo firewall-cmd --zone=public --permanent --add-service=https --permanent
sudo firewall-cmd --zone=public --permanent --add-service=https
sudo firewall-cmd --reload


Pare-feu

Chaque serveur qui exécute les systèmes d'exploitation CentOS 7, CloudLinux 7 et RHEL 7 aura le démon firewalld préinstallé mais souvent inactif.

FirewallD est un démon de service de pare-feu.

Il remplace l'interface iptables et se connecte au code du noyau netfilter.

Étant dynamique, il permet de créer, de modifier et de supprimer les règles sans qu'il soit nécessaire de redémarrer le démon de pare-feu à chaque modification des règles.

Firewalld utilise les concepts de zones et de services, qui simplifient la gestion du trafic.

Les zones sont des ensembles de règles prédéfinis.

Les interfaces réseau et les sources peuvent être affectées à une zone.

Le trafic autorisé dépend du réseau auquel votre ordinateur est connecté et du niveau de sécurité attribué à ce réseau.

Les services de pare-feu sont des règles prédéfinies qui couvrent tous les paramètres nécessaires pour autoriser le trafic entrant pour un service spécifique et s'appliquent dans une zone.

Pour vérifier l'état du pare-feu, saisissez :

systemctl status firewalld

ou

firewall-cmd --state

Pour démarrer le service et activer FirewallD au démarrage :

sudo systemctl start firewalld

sudo systemctl activer le pare-feu

Pour l'arrêter et le désactiver :

sudo systemctl stop firewalld

sudo systemctl disable firewalld

Pour afficher les services disponibles par défaut :

sudo firewall-cmd --get-services

Les fichiers de configuration sont situés dans deux répertoires :

  • /usr/lib/FirewallD contient les configurations par défaut comme les zones par défaut et les services communs. Évitez de les mettre à jour car ces fichiers seront écrasés par chaque mise à jour du package firewalld.
  • /etc/firewalld contient les fichiers de configuration système. Ces fichiers écraseront une configuration par défaut.

Vous pouvez lire sur :

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-using_firewalls#sec-Introduction_to_firewalld
https://firewalld.org/
https://fedoraproject.org/wiki/FirewallD
https://www.unix.com/man-page/centos/1/firewall-cmd/

FCS

ConfigServer est une inspection dynamique des paquets gratuite et fiable Pare-feu (SPI), Connexion/Détection d'intrusion pour les serveurs Linux et probablement l'un des outils les plus simples que vous puissiez utiliser pour protéger votre serveur cPanel.

Il a une intégration native avec cPanel/WHM, DirectAdmin et Webmin avec une interface à la fois pour CSF et LFD (Login Failure Daemon) qui est accessible par le compte root.

Depuis cette interface, vous pouvez modifier les fichiers de configuration et arrêter, démarrer et redémarrer les applications et vérifier leur état.

Cela rend la configuration et la gestion du pare-feu très simples.

L'installation CSF pour cPanel et DirectAdmin est préconfigurée pour fonctionner sur ces
serveurs avec tous les ports standard ouverts.

Il configure automatiquement votre port SSH sur l'installation où il s'exécute sur un non-
port standard.

CSF place automatiquement sur liste blanche votre adresse IP connectée lorsque cela est possible lors de l'installation.

Pour installer CSF, exécutez les commandes suivantes en tant qu'utilisateur root :

cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf && ./install.sh

Pour configurer CSF, visitez l'interface ConfigServer &Firewall de WHM à l'adresse (Accueil>> Plug-ins>> Serveur de configuration et pare-feu ).

Veuillez noter qu'il n'est pas vraiment conseillé d'exécuter plusieurs pare-feu sur un seul système.

Cette règle n'est cependant pas applicable à Imunify360 car il est possible d'exécuter et d'activer CSF lorsque Imunify360 est déjà en cours d'exécution.

Toutes les adresses IP de la liste blanche Imunify360 seront exportées vers la liste d'ignorance CSF.

Si vous avez installé Imunify360, puis installez CSF, Imunify360 passe en mode d'intégration CSF.

Pour vérifier si l'intégration CSF est activée, accédez à Imunify360Onglet Pare-feuListe blanche section et vérifiez s'il y a un message d'avertissement "CSF est activé. Veuillez gérer les adresses IP figurant sur la liste blanche dans CSF à l'aide de l'interface utilisateur ou du fichier de configuration CSF “.

Cela signifie que l'intégration CSF et Imunify360 a été traitée avec succès.

Si vous utilisez CSF seul, il est souvent préférable de l'utiliser avec ConfigServer ModSecurity Control (CMC) qui vous fournit une interface avec l'implémentation cPanel mod_security depuis WHM.

Avec ConfigServer ModSecurity Control, vous pouvez :

  • désactiver les règles mod_security qui ont des numéros d'identification uniques au niveau global, par utilisateur cPanel ou par domaine hébergé
  • désactiver entièrement mod_security, également au niveau global, par utilisateur cPanel ou par domaine hébergé
  • modifier les fichiers contenant les paramètres de configuration de mod_security dans /usr/local/apache/conf
  • afficher les dernières entrées du journal mod_security

Pour savoir comment Imunify360 fonctionne avec ConfigServer Security &Firewall (CSF), visitez https://docs.imunify360.com/ids_integration/#csf-integration.

Pour lire comment configurer CSF avec toutes ses options disponibles, visitez https://download.configserver.com/csf/readme.txt.

Pour voir comment installer ConfigServer ModSecurity Control, visitez https://download.configserver.com/cmc/INSTALL.txt

Pour voir comment installer ConfigServer ModSecurity Control, visitez https://download.configserver.com/cmc/INSTALL.txt

APF

APF agit comme une interface frontale pour l'application iptables et vous permet d'ouvrir ou de fermer des ports sans utiliser la syntaxe iptables.

L'exemple suivant inclut deux règles que vous pouvez ajouter au fichier /etc/apf/conf.apf afin d'autoriser l'accès HTTP et HTTPS à votre système :

Common ingress (inbound) TCP ports
IG_TCP_CPORTS="80,443″# Common egress (outbound) TCP ports
EG_TCP_CPORTS="80″

Fail2ban

Fail2ban est un logiciel de prévention des intrusions et une application d'analyse de journaux qui surveille les journaux système pour détecter les symptômes d'une attaque automatisée sur votre serveur cPanel.

Lorsqu'une tentative de compromission est localisée, en utilisant les paramètres définis, Fail2ban ajoutera une nouvelle règle à iptables pour bloquer l'adresse IP de l'attaquant, soit pour une durée déterminée, soit de façon permanente.

Fail2ban peut également vous alerter par e-mail qu'une attaque est en cours.

Ce n'est pas le meilleur choix pour un serveur cPanel car sa fonction est principalement axée sur les attaques SSH et ce qu'il fait est presque le même que cPHulk Brute Force Protection .

cPHulk est inclus dans toutes les installations cPanel et WHM et peut être utilisé pour surveiller et bloquer toutes les tentatives de connexion faites à cPanel, WHM, FTP, e-mail et SSH.

Il offre aux administrateurs une variété de façons de combattre les attaques par force brute à la fois automatiquement et manuellement, et cPHulk peut même être utilisé pour bloquer les adresses IP malveillantes dans votre pare-feu.

Les blocages de connexions malveillantes peuvent être émis pour différentes durées, allant d'une interdiction temporaire à une interdiction d'un jour ou même permanente.

Le système cPHulk hautement configurable permet un grand contrôle.

Vous pouvez spécifier le nombre de tentatives de connexion infructueuses avant qu'une adresse IP ne soit bloquée, définir des actions supplémentaires à exécuter lors du déclenchement d'un blocage automatique et même activer les notifications aux administrateurs de serveur lorsque des événements spécifiques se produisent.

Mais vous pouvez également utiliser failban et le configurer pour qu'il fonctionne avec n'importe quel service utilisant des fichiers journaux et pouvant faire l'objet d'un compromis.

Assurez-vous que votre système est à jour et installez le référentiel EPEL :

yum update && yum install epel-release

Installez Fail2Ban :

yum install fail2ban

Démarrez et activez Fail2ban :

systemctl start fail2ban
systemctl enable fail2ban

If you see the error “no directory /var/run/fail2ban to contain the socket file /var/run/fail2ban/fail2ban.sock ”, create the directory manually:

mkdir /var/run/fail2ban

Fail2ban reads .conf configuration files first, then .local files override any settings.

Because of this, all changes to the configuration are generally done in .local files, leaving the .conf files untouched.

Configure fail2ban.local

fail2ban.conf contains the default configuration profile.

The default settings will give you a reasonable working setup.

If you want to make any changes, it’s best to do it in a separate file, fail2ban.local, which overrides fail2ban.conf.

Rename a copy fail2ban.conf to fail2ban.local.

cp /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local

Configure jail.local Settings

The jail.conf file will enable Fail2ban for SSH by default for Debian and Ubuntu, but not CentOS.

All other protocols and configurations (HTTP, FTP, etc.) are commented out. If you want to change this, create a jail.local for editing:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Since we are using CentOS, you will need to change the backend option in jail.local from auto to systemd.

sudo systemctl start fail2ban
sudo systemctl enable fail2ban
sudo systemctl status -l fail2ban

To learn more about failban, here are the documentation and manual:

FAQ:https://www.fail2ban.org/wiki/index.php/FAQ
HOWTO:https://www.fail2ban.org/wiki/index.php/HOWTOs)
Official Fail2ban Documentation:https://www.fail2ban.org/wiki/index.php/Manual
Failban Configuration:https://www.fail2ban.org/wiki/index.php/Category:Configuration

Checking Your cPanel Ports

For a Linux instance, follow these steps to verify the security group rule:

Connect to a Linux instance by using a password.

Ensuite, exécutez la commande suivante :

sudo netstat -plunt

To check whether TCP 80 (replace “80” with any port) is being listened to.

sudo netstat -an | grep 80

You can also use nmap which probably is the most commonly used network mapper in the infosec world.

Nmap can be used to:

  • create a complete computer network map.
  • find remote IP addresses of any hosts.
  • get the OS system and software details.
  • detect open ports on local and remote systems.
  • audit server security standards.
  • find vulnerabilities on remote and local hosts.

You should run nmap ONLY on servers that you own or in situations where you’ve notified the owners.

The reason is that why you as a network administrator might be using nmap to look for possible vulnerabilities to help prevent such attacks, your action can be interpreted as “malicious cracking attempts” and most security tools and cloud providers frowns on this.

CentOS

sudo yum install nmap

To install nmap on Red Hat Enterprise Linux 8 execute the following dnf command:

sudo dnf install nmap

To install nmap on an Ubuntu or Debian machine by entering:

sudo apt-get update
sudo apt-get install nmap

Use the –version option to check the installed nmap version and correctness of the actual nmap installation. Par exemple :

nmap -version

Basic Nmap Scan against IP or host

nmap 1.1.1.1

Now, if you want to scan a hostname, simply replace the IP for the host, as you see below:

nmap cloudflare.com

These kinds of basic scans are perfect for your first steps when starting with Nmap.

Scan specific ports or scan entire port ranges on a local or remote server

nmap -p 1-65535 localhost

In this example, we scanned all 65535 ports for the localhost.


cPanel

  1. Comment configurer les comptes de messagerie sur l'hébergement Cloud à l'aide de cPanel

  2. Comment configurer un pack d'hébergement sur l'hébergement Cloud à l'aide de WHM/cPanel

  3. Comment trouver l'adresse IP partagée de votre serveur dans cPanel

  4. Comment mettre à jour cPanel dans votre VPS

  5. Comment analyser votre serveur avec le conseiller de sécurité cPanel

Comment configurer un pare-feu sur Jelastic Cloud

Comment installer et configurer le pare-feu CSF pour Linux

Comment trouver l'adresse IP partagée principale de votre serveur dans cPanel

Comment désactiver cPanel sur votre serveur dédié

Comment installer OpCache sur votre serveur cPanel

Comment trouver le nom de votre serveur dans cPanel