ほとんどのクラウドプラットフォームでcPanelファイアウォールを構成する方法、または他のセキュリティツールを使用してcPanelサーバーを強化し、悪意のある攻撃から保護する方法を学びます。
この新しい家の壁の最初の建設が完了した後、夕食のために彼らをむさぼり食う野生動物から彼らを安全に保つために、家はその居住者を要素やドアから保護するための屋根がないままになっていると想像してください。
上記の例えは、サーバー管理者がサーバーを展開した後、プロセスの最も基本的な側面であるセキュリティを忘れた場合によく発生します。
クラウドにより、サーバー管理者は55秒以内にあらゆる種類のサーバーを混乱させることができます。
これに伴う問題は、サーバー管理者がプロセスの最も基本的な側面であるセキュリティを忘れがちなことです。
私たちが採用するようになった最大のクラウドシステムのほとんどには、人間性の犠牲にならないように設計された対策が組み込まれていますが、システムを展開したときにその概念設計から変更されなかったという事実は変わりません。安全を確保するために、困難な道のりに直面することになります。
事実、オンラインで接続されたシステムが直面する攻撃のほとんどの98%は、標的となるのではなく、本質的に日和見感染です。
悪意のあるユーザーがシステムで運を試し、システムがしっかりと保護されていることに気付いた場合、悪意のあるユーザーはより簡単なターゲットに移動します。
保護されていないサーバーでは、悪意のある人なら誰でもすぐに箱をピッキングに適したものと見なすため、話は異なります。
保護されていないサーバーもオンラインにすべきではありません。優れた管理者がすべきすべてに反するだけでなく、インターネットの安全性が低下するからです。
コンピューティングにおけるファイアウォールとは何ですか?
コンピューティングにおけるファイアウォールとは何ですか?
コンピューティングインフラストラクチャの設計では、インターネットは常に信頼できない外部ネットワークとして扱われます。
ファイアウォールは、事前に定義されたセキュリティルールに基づいて着信および発信ネットワークトラフィックを監視および制御します。
適切に設計された建物には、建物内に火を封じ込める壁、指定された出入り口、およびアクセスを許可するユーザーと引き返すユーザーに関するルールが必要であるのと同様に、適切に実装されたファイアウォールにより、システム管理者は次のように定義できます。サーバーから許可されるインバウンドおよびアウトバウンド通信と、設定されたパラメーター内の脅威を軽減する機能。
システム管理者として、セキュリティに関して開始する標準的な場所は次のとおりです。
- cPanelを含むすべてのソフトウェアが悪用される可能性があることに注意してください。
- すべてのユーザー入力を理解して処理することは、潜在的に敵対的で悪意のあるものです
- インフラストラクチャを防御するために適切なセキュリティ対策を適用する
- 理解しているように理解していないセキュリティソリューションを展開することは避けてください。
- フォレンジックが必要な場合は、疑わしい行動をすべて記録します
- インフラストラクチャを侵害前の状態に復元できるようにシステムを設計します。
- ポートファイアウォールを超えて安全でないプロトコルを隠しますが、インフラストラクチャを防御するために使用するプロトコルのセキュリティに依存します。
- 操作を正常に完了するために必要な最小限の特権を提供しますが、必要なもの以上のものは提供しません。
軽減のためにcPanelファイアウォールを設定する方法
では、たとえば、公開されているcPanel Webサーバーを保護して、侵害される可能性を低くするにはどうすればよいでしょうか。
新しいcPanelサーバーをインストールするときの基本から始めましょう。
既存のルールをすべて削除する
誰かがすでに作成したものの上に建物を建て始めないのと同じように、新しいファイアウォールルールを実装する前に、既存のファイアウォールルールをすべて削除することをお勧めします。
そうすることで、システムで何を許可およびブロックしているかについて、明確で一貫性のあるアイデアが得られます。これは、進行中の脅威に対処するときに頭に入れておきたい情報です。
新しいマシンにcPanelをインストールするときは、次のコマンドを使用してインストールスクリプトを実行する前に、ファイアウォールを非アクティブ化する必要があります。
iptables-save > ~/firewall.rules
systemctl stop firewalld.service
systemctl disable firewalld.service
ここで、〜/firewall.rulesはファイアウォールルールファイルを表します。
同じコマンドがCentOS、RedHat®EnterpriseLinux、CloudLinux™、Amazon®でも機能します。
インストールプロセスが完了したら、以下のオプションのいずれかからファイアウォールを選択して構成できます。
SELinuxを無効にする
SELinux( Security-Enhanced Linux )強制モードでは、Webサーバーを要塞にするために意図的に構築されていますが、率直に言って、基本的なLinuxマシンでもSELinuxを構成するには多くの作業が必要です。
また、cPanelとWHMはSELinuxで許容モードで機能できる可能性がありますが、不要なログエントリが大量に生成されます。
システムにcPanelをインストールする前に、SELinuxを無効にして、システムを再起動することを強くお勧めします。
SELinuxのセキュリティ機能を無効にするには、次のいずれかの方法を使用します。
ターミナルを引き上げて実行します:
$ sudo cp /etc/selinux/config /etc/selinux/config.backup
$ sudo vi /etc/selinux/config
/ etc / selinux / configファイルを使用すると、サーバーで実行するSELINUXパラメーターを設定できます。
開くと、次のようなものが表示されます:
This file controls the state of SELinux on the system.
SELINUX= can take one of these three values:
enforcing - SELinux security policy is enforced.
permissive - SELinux prints warnings instead of enforcing.
disabled - No SELinux policy is loaded.
SELINUX=enabled
SELINUXTYPE= can take one of these two values:
targeted - Only targeted network daemons are protected.
strict - Full SELinux protection.
SELINUXTYPE=targeted
探しているパラメーターは「SELINUX=enable」
です。「有効」という単語を置き換えるだけです。 」と「無効 「。
「:wq 」を実行して、ファイルを保存します 」と終了します。
サーバーを再起動します:
sudo systemctl reboot
systemctl は、 systemdを管理するためのコマンドラインユーティリティおよび主要なツールです。 (開始、再起動、停止、有効化、無効化、リロード、ステータスなどのデーモン/サービス)
これでcPanelのインストールを開始できます。これが完了したら、セキュリティ構成を開始します。
cPanelではどのような種類のファイアウォールを使用できますか?
cPanelで使用するファイアウォールの種類は、次の2つに大きく依存します。
- 展開環境(オンプレミスまたはクラウドベース)
- 使用するツールについての知識のレベル
クラウドでのcPanelファイアウォールの実装
AWS、Google Cloud Platform、Microsoft Azure、Alibabacloudなどのパブリッククラウドを使用している場合は、データセンターレベルからやりたいことがすべてできます。
ただし、これにはVPC(クラウドスピークのデータセンター)を作成できる必要があります。これらの各プラットフォームの地形的インターフェイスと命名規則は異なりますが、要約すると、どの入力トラフィックと出力トラフィックを判別できるかということです。アクセスを許可します。
これには、サーバーが最適に実行するポートを把握し、それらへのインバウンドアクセスを許可する必要があることがよくあります。
1つ以上のサブネットに出入りするトラフィックを制御するためのファイアウォールとして機能するネットワークACL(デフォルトでは、すべてのインバウンドおよびアウトバウンドIPv4トラフィック、および該当する場合はIPv6トラフィックを許可します)など、他のオプションのセキュリティレイヤーがあります。
ただし、現時点では基本に固執します。
セキュリティグループ
クラウドでは、セキュリティグループは、1つ以上のインスタンスのトラフィックを制御し、プロトコルおよびポートアクセスレベルでセキュリティを提供する仮想ファイアウォールとして機能します。
インスタンスを起動するときに、1つ以上のセキュリティグループを指定できます。それ以外の場合は、デフォルトのセキュリティグループを使用します。
関連するインスタンスとの間のトラフィックを許可するルールを各セキュリティグループに追加できます。
各セキュリティグループは、ファイアウォールとほぼ同じように機能し、インスタンスに出入りするトラフィックをフィルタリングする一連のルールを含んでいます。
「拒否」ルールはありません。
むしろ、特定のデータパケットを明示的に許可するルールがない場合は、ドロップされます。
セキュリティグループのルールはいつでも変更できます。新しいルールは、セキュリティグループに関連付けられているすべてのインスタンスに自動的に適用されます。
トラフィックがインスタンスに到達することを許可するかどうかを決定するとき、インスタンスに関連付けられているすべてのセキュリティグループからのすべてのルールを評価します。
Microsoft Azure 、これはネットワークセキュリティグループ(NSG)と呼ばれます。
Google Cloud Platform 独自のファイアウォールルール(ネットワーク>>> VPCネットワーク)を呼び出します。
GCPファイアウォールは単一のVPCネットワークに適用されますが、パケットが他のネットワークからファイアウォールに到達できるため、グローバルリソースと見なされます。
AWS & Alibabacloud 自分のセキュリティグループに電話します。
心に留めておくべきこと:
セキュリティは後から考えるのではなく、最初のアーキテクチャ設計の一部にする必要があります 。
いつでも戻って、新しく作成したセキュリティグループをインスタンスに割り当てることができますが、最初の仮想マシンを起動する前であっても、サブネット、ルート、ファイアウォール、その他すべてを使用してVPCを作成してください。
そうすれば、インスタンスをデプロイするときに、既存のセキュリティグループを選択し、デプロイを開始する前にすべてのポートを再確認するだけで済みます。
これらの各プラットフォームでは、VPCごとに特定の数のセキュリティグループに制限されていることに注意してください。 。
いつでも制限の引き上げをリクエストできますが、ネットワークパフォーマンスへの影響に気付く場合があります。
また、ファイアウォールルールが方法と一致していることを確認してください cPanelとWHMのサービスを使用します。
セキュリティグループの作成
AWS
AWSコンソールを使用してセキュリティグループを作成するには
https://console.aws.amazon.com/vpc/でAmazonVPCコンソールを開きます。
ナビゲーションペインで、[セキュリティグループ]を選択します 。
セキュリティグループの作成を選択します 。
セキュリティグループの名前(たとえば、cpanel_security_group)を入力し、説明を入力します。
VPCメニューからVPCのIDを選択し、はい、作成を選択します 。
次を使用することもできます:
aws ec2 create-security-group --group-name MySecurityGroup --description "My security group" --vpc-id vpc-1a2b3c4d
[受信ルール]タブで、[編集]を選択します 。
タイプのインバウンドトラフィックのルールのオプションを選択し、必要な情報を入力します。
Sourceの値を0.0.0.0/0として指定します。
必要に応じて、各ルールの説明を入力し、[保存]を選択します 。
Microsoft Azure
Azure Security Centerから、仮想ネットワーク内のVMインスタンスへのネットワークトラフィックを許可または拒否するネットワークセキュリティグループ(NSG)およびアクセス制御リスト(ACL)ルールのリストを表示できます。
NSGがサブネットに関連付けられている場合、ACLルールはそのサブネット内のすべてのVMインスタンスに適用されます。
Microsoft Azureのフォームは長く、入力するフィールドが多くなっています。
ただし、これは比較的単純で、他のクラウドプラットフォームで見られるのとまったく同じことを行います。
Microsoft Azureでネットワークセキュリティグループを作成するには、
ポータルの左上隅で、[+リソースの作成]を選択します。
[ネットワーク]を選択してから、ネットワークセキュリティグループを選択します。
ネットワークセキュリティグループの名前を入力するか、サブスクリプションを選択するか、新しいリソースグループを作成するか、既存のリソースグループを選択して、場所を選択します。 、[作成]を選択します 。
ポータルの上部にある検索ボックスで、検索ボックスにネットワークセキュリティグループを入力します。
ネットワークセキュリティグループが検索結果に表示されたら、それを選択します。
変更するネットワークセキュリティグループを選択します。
インバウンドセキュリティルールを選択します 設定の下 。
いくつかの既存のルールがリストされています。
ネットワークセキュリティグループが作成されると、いくつかのデフォルトのセキュリティルールが作成されます。
デフォルトのセキュリティルールを削除することはできませんが、優先度の高いルールで上書きすることはできます。
デフォルトのセキュリティルールの詳細については、次のURLにアクセスしてください https://docs.microsoft.com/en-us/azure/virtual-network/security-overview#default-security-rules。
+追加を選択します 。
次の設定の値を選択または追加します。
- ソース(任意、アプリケーションセキュリティグループ、IPアドレス、またはサービスタグ)
- 送信元ポート範囲(0.0.0.0/0)
- 宛先(任意、アプリケーションセキュリティグループ、IPアドレス、または仮想ネットワーク)
- 宛先ポートの範囲
- プロトコル(任意、TCP、またはUDP)
- アクション(許可または拒否)
- 優先度(100-4096 –数値が小さいほど、優先度が高くなります。100、200、300などのルールを作成するときに、優先度の数値の間にギャップを残します。ギャップを残すと、将来的にルールを追加しやすくなります。既存のルールよりも高くまたは低くする必要がある場合があります。)
名前 - オプションの説明
OKを選択します 。
Alibabacloud
ECSコンソールにログオンします。
左側のナビゲーションペインで、[ネットワークとセキュリティ]を選択します>セキュリティグループ 。
ターゲット地域を選択します。
承認ルールを追加するセキュリティグループを見つけて、[アクション]列で[ルールの追加]をクリックします 。
[セキュリティグループのルール]ページで、[セキュリティグループの追加]をクリックします ルール。
ダイアログボックスで、次のパラメータを設定します。
ルールの方向性:
- アウトバウンド:ECSインスタンスは、イントラネットネットワークまたはインターネットリソースを介して他のECSインスタンスにアクセスします。
- インバウンド:イントラネットおよびインターネットリソース内の他のECSインスタンスがECSインスタンスにアクセスします。
アクション:
- [許可]または[禁止]を選択します。
- プロトコルタイプとポート範囲
- 認証タイプと認証オブジェクト
- 優先度:値の範囲は1〜100です。値が小さいほど、優先度が高くなることを忘れないでください。
OKをクリックします 。
Google Cloud Platform
Google Cloud Platformでは、すべてのVPCネットワークが分散ファイアウォールとして機能します。
ファイアウォールルールはネットワークレベルで定義されていますが、接続はインスタンスごとに許可または拒否されます。
GCPファイアウォールルールは、インスタンスと他のネットワーク間だけでなく、同じネットワーク内の個々のインスタンス間にも存在すると考えることができます。
GCPファイアウォールルールを作成するときは、VPCネットワークと、ルールの実行内容を定義する一連のコンポーネントを指定します。
コンポーネントを使用すると、トラフィックのプロトコル、ポート、送信元、および宛先に基づいて、特定のタイプのトラフィックをターゲットにすることができます
AWSとは異なり、GCPファイアウォールルールはIPv4トラフィックのみをサポートします。
アドレスによって入力ルールの送信元または出力ルールの宛先を指定する場合、CIDR表記で使用できるのはIPv4アドレスまたはIPv4ブロックのみです。
これを実現するには、カスタムネットワークを作成する必要があることに注意してください。
製品とサービス>VPCネットワーク>VPCネットワーク
+ CREATE VPC NETWORKをクリックします 。
他のすべてのフィールドをデフォルト値のままにして、次の手順を実行します。
サブネットを指定する
作成をクリックします 。
製品とサービスにアクセス>VPCネットワーク>ファイアウォールルール
作成したネットワークをクリックします。
カスタムネットワーク用にデフォルトのファイアウォールルールが作成されていないことに気付くでしょう。
次のステップで、デフォルトのルールを手動で追加する必要があります。
+ファイアウォールルールの作成をクリックします 。
次のように入力し、他のすべてのフィールドはデフォルト値のままにします。
Property Value
Name: allow-ssh-icmp-rdp-learncustom
Network: learncustom
Direction of traffic: Ingress
Action on match: Allow
Targets: cpanel
Target tags: cpanel, cloudlinux
Source filter: IP ranges
Source IP ranges: 0.0.0.0/0
Protocols and ports: Specified protocols and ports
type: icmp; tcp:22; tcp:25; tcp:53; tcp:80; tcp:110; tcp:143; tcp:443; tcp:465; tcp:587; tcp:993; tcp:995; tcp:2078; tcp:2080; tcp:2083; tcp:2087; tcp:2096; udp:53; udp:123; udp:465; udp:783; udp:873; udp:6277; udp:24441
ソースフィルターアドレスに最後の「/0」が含まれていることを確認してください。
0.0.0.0/0ではなく0.0.0.0を指定すると、フィルターはデフォルトで0.0.0.0/32になります。これは、存在しない正確なホストアドレスです。
作成をクリックします 。
cPanelServicesファイアウォールポート
cPanelとWHMが使用するポートと、これらの各ポートを使用するサービスは次のとおりです。
非SSLサービスを使用すると、攻撃者がログイン資格情報などの機密情報を傍受できるようになるため、すべての非SSLサービスを削除しました。
ポートが何であるかはすでにご存知だと思います。
ただし、わからない場合は、ネットワーク内のポートを簡単に見てみましょう。
OSIネットワークモデルでは、ポートはほとんどがトランスポート層の一部です(ただし、開始マシン(送信元ポート)と呼び出されるサービス(宛先ポート+ IP)によっては、ネットワーク層、さらにはセッション層の一部になることもあります。誰に質問したか)、さまざまなサービスやアプリケーション間のエンドツーエンドの通信を扱います。
ポート番号は16ビットの符号なし整数であるため、0〜65535の範囲です。
TCPの場合、ポート番号0は予約されており、使用できません。一方、UDPの場合、送信元ポートはオプションであり、値0はポートがないことを意味します。
たとえば、HTTPにはポート80が割り当てられています。
したがって、クライアントがHTTPサーバーに接続する場合は、宛先ポート80と、要求を行うプロセスに固有の送信元ポートを使用します。
これにより、受信ホストは、宛先がポート80の受信パケットを、それらのパケットを「リッスン」しているプロセスに送信できます。プロセスは、存在する場合、通常はHTTPサーバープロセスになります。
HTTPサーバーが応答すると、クライアントの送信元ポートを応答の宛先ポートとして使用し、応答パケットの送信元ポートとしてポート80を使用する場合があります。
これにより、元のクライアントは、リクエストを行ったプロセスにポートをすばやく転送できます。
現在、cPanelのポートの範囲は「1」(CPAN)から「24441」(Pyzor)です。
| ポート | サービス | TCP | UDP | インバウンド | アウトバウンド |
| 1 | CPAN | ✓ | ✓ | ||
| 22 | SSH / SFTP | ✓ | ✓ | ||
| 25 | SMTP | ✓ | ✓ | ✓ | |
| 26 | SMTP | ✓ | ✓ | ✓ | |
| 37 | rdate | ✓ | ✓ | ||
| 43 | whois | ✓ | ✓ | ||
| 53 | バインド | ✓ | ✓ | ✓ | ✓ |
| 80 | httpd | ✓ | ✓ | ✓ | |
| 110 | pop3 | ✓ | ✓ | ||
| 113 | ident | ✓ | ✓ | ||
| 143 | IMAP | ✓ | ✓ | ||
| 443 | httpd | ✓ | ✓ | ||
| 465 | SMTP、SSL / TLS | ✓ | ✓ | ✓ | ✓ |
| 579 | cPHulk | ✓ | |||
| 783 | Apache Spam | ✓ | ✓ | ✓ | |
| 873 | rsync | ✓ | ✓ | ✓ | |
| 993 | IMAP SSL | ✓ | ✓ | ||
| 995 | POP3 SSL | ✓ | ✓ | ||
| 2703 | かみそり | ✓ | ✓ | ||
| 2078 | WebDAV SSL | ✓ | ✓ | ✓ | |
| 2080 | CalDAVおよびCardDAV(SSL) | ✓ | ✓ | ✓ | |
| 2083 | cPanel SSL | ✓ | ✓ | ||
| 2087 | WHM SSL | ✓ | ✓ | ||
| 2089 | cPanelライセンス | ✓ | ✓ | ||
| 2096 | ウェブメールSSL | ✓ | ✓ | ||
| 2195 | APN | ✓ | ✓ | ||
| 6277 | DCC | ✓ | ✓ | ✓ | |
| 24441 | Pyzor | ✓ | ✓ | ✓ |
このプロセスで最も重要なのは、インバウンドポートです。
負担する可能性のあるその他の考慮事項は次のとおりです。
- ループバックインターフェイスへの無料アクセスを許可します。外部インターフェースとは異なり、プロセスをローカルホストにバインドすることは通常セキュリティに役立ちます。したがって、ループバックインターフェースへのアクセスを制限すると、メリットよりも害が大きくなります。これにより、ローカルユーザーからの攻撃にさらされる可能性がありますが、それは自分でバランスを取る必要があるリスクです。
- すべてのインターネット制御メッセージプロトコル(ICMP)トラフィックを制限しないでください。 ICMPを許可することは、インターネットが機能するために重要です。ルーターとホストはこれを使用して、サービスの可用性、パケットサイズ、ホストの存在などの重要な情報を伝達します。タイプ3と4、DestinationUnreachableとSourceQuenchは重要であり、それらを制限すると、将来的に得るよりも多くの害を引き起こす可能性があります。
その他の利用可能なファイアウォールオプション
cPanelスクリプトのファイアウォール
cPanelとWHMの新しいバージョンには、 /etc/firewalld/services/cpanel.xmlのすべてのルールを管理するcpanelサービスが含まれています。 ファイル。
これにより、サーバーのポートへのTCPアクセスが可能になります。
既存のiptablesルールを/etc/firewalld/services/cpanel.xmlファイルのルールに置き換えるには、次の手順を実行します。
- yum install Firewalldコマンドを実行して、システムにfirewalldがインストールされていることを確認します。
- systemctlstartfirewalld.serviceコマンドを実行してfirewalldサービスを開始します。
- systemctl enable Firewalldコマンドを実行して、サーバーの起動時にfirewalldサービスを開始します。
- iptables-save> backupfileコマンドを実行して、既存のファイアウォールルールを保存します。
- / usr / local / cpanel / scripts/configure_firewall_for_cpanelスクリプトを実行します。これにより、iptablesアプリケーションから既存のすべてのエントリもクリアされます。私
- iptables-restore
デフォルトでは、firewall-cmdコマンドがランタイム設定に適用されますが、–permanentフラグを使用すると永続的な設定が確立されます。
したがって、ポートを追加する必要がある場合は、ルール(ポートまたはサービス)を永続セットとランタイムセットの両方に追加します。
以下の例を使用できます:
sudo firewall-cmd --zone=public --add-port=45000/tcp --permanent
sudo firewall-cmd --zone=public --permanent --add-service=ssh --permanent
sudo firewall-cmd --zone=public --permanent --add-service=ssh
sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=http
sudo firewall-cmd --zone=public --permanent --add-service=https --permanent
sudo firewall-cmd --zone=public --permanent --add-service=https
sudo firewall-cmd --reload
Firewalld
CentOS 7、CloudLinux 7、およびRHEL 7オペレーティングシステムを実行するすべてのサーバーには、firewalldデーモンがプリインストールされていますが、多くの場合非アクティブです。
FirewallD はファイアウォールサービスデーモンです。
iptablesインターフェースを置き換え、netfilterカーネルコードに接続します。
動的であるため、ルールが変更されるたびにファイアウォールデーモンを再起動しなくても、ルールの作成、変更、および削除が可能です。
Firewalldは、トラフィック管理を簡素化するゾーンとサービスの概念を使用しています。
ゾーンは、事前定義されたルールのセットです。
ネットワークインターフェイスとソースをゾーンに割り当てることができます。
許可されるトラフィックは、コンピュータが接続されているネットワークと、このネットワークに割り当てられているセキュリティレベルによって異なります。
ファイアウォールサービスは、特定のサービスの着信トラフィックを許可するために必要なすべての設定をカバーする事前定義されたルールであり、ゾーン内に適用されます。
Firewalldのステータスを確認するには、次のように入力します。
systemctl status firewalld
または
firewall-cmd --state
サービスを開始し、起動時にFirewallDを有効にするには:
sudo systemctl start firewalld
sudo systemctl enable Firewalld
停止して無効にするには:
sudo systemctl stop firewalld
sudo systemctl disable firewalld
デフォルトで利用可能なサービスを表示するには:
sudo firewall-cmd --get-services
構成ファイルは2つのディレクトリにあります:
- / usr / lib / FirewallDは、デフォルトゾーンや共通サービスなどのデフォルト構成を保持します。これらのファイルはfirewalldパッケージの更新ごとに上書きされるため、更新は避けてください。
- / etc/firewalldはシステム構成ファイルを保持します。これらのファイルはデフォルト設定を上書きします。
あなたはで読むことができます:
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-using_firewalls#sec-Introduction_to_firewalld
https://firewalld.org/
https://fedoraproject.org/wiki/FirewallD
https://www.unix.com/man-page/centos/1/firewall-cmd/
CSF
ConfigServerは、無料で信頼できるステートフルパケットインスペクションです。 (SPI)ファイアウォール、ログイン/侵入検知 Linuxサーバーの場合、おそらくcPanelサーバーを保護するために使用できる最も簡単なツールの1つです。
ルートアカウントからアクセスできるCSFとLFD(ログイン失敗デーモン)の両方へのフロントエンドを備えたcPanel / WHM、DirectAdmin、およびWebminとのネイティブ統合があります。
このインターフェイスから、構成ファイルを変更し、アプリケーションを停止、開始、再起動して、それらのステータスを確認できます。
これにより、ファイアウォールの構成と管理が非常に簡単になります。
cPanelとDirectAdminのCSFインストールは、これらで機能するように事前構成されています
すべての標準ポートが開いているサーバー。
それが非で実行されているインストールでSSHポートを自動構成します
標準ポート。
CSFは、インストール時に可能な場合、接続されているIPアドレスを自動ホワイトリストに登録します。
CSFをインストールするには、rootユーザーとして次のコマンドを実行します。
cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf && ./install.sh
CSFを構成するには、(ホーム)にあるWHMのConfigServerとファイアウォールのインターフェイスにアクセスします。>>プラグイン>>ConfigServerとファイアウォール 。
1つのシステムで複数のファイアウォールを実行することは実際にはお勧めできません。
ただし、このルールはImunify360には適用されません。これは、Imunify360がすでに実行されているときにCSFを実行して有効にすることができるためです。
Imunify360ホワイトリストのすべてのIPアドレスは、CSF無視リストにエクスポートされます。
Imunify360をインストールしている場合は、CSFをインストールすると、Imunify360はCSF統合モードに切り替わります。
CSF統合が有効になっているかどうかを確認するには、 Imunify360に移動します →ファイアウォールタブ →ホワイトリスト セクションを作成し、「CSFが有効になっています。 CSFユーザーインターフェイスまたは構成ファイルを使用して、CSFでホワイトリストに登録されたIPを管理してください 「。
これは、CSFとImunify360の統合が正常に処理されたことを意味します。
CSFを単独で使用している場合は、WHM内からcPanelmod_security実装へのインターフェイスを提供するConfigServerModSecurity Control(CMC)と一緒に使用する方がよい場合がよくあります。
ConfigServer ModSecurity Controlを使用すると、次のことができます。
- グローバル、cPanelユーザーごと、またはホストされているドメインレベルで一意のID番号を持つmod_securityルールを無効にします
- mod_securityを完全に無効にします。これもグローバルで、cPanelユーザーごとまたはホストされているドメインレベルごとに無効にします
- / usr / local / apache/confのmod_security構成設定を含むファイルを編集します
- 最新のmod_securityログエントリを表示する
Imunify360がConfigServerSecurity&Firewall(CSF)とどのように連携するかについては、https://docs.imunify360.com/ids_integration/#csf-integrationにアクセスしてください。
利用可能なすべてのオプションを使用してCSFを構成する方法については、https://download.configserver.com/csf/readme.txtにアクセスしてください。
ConfigServer ModSecurity Controlのインストール方法については、https://download.configserver.com/cmc/INSTALL.txt
にアクセスしてください。ConfigServer ModSecurity Controlのインストール方法については、https://download.configserver.com/cmc/INSTALL.txt
にアクセスしてください。APF
APFは、iptablesアプリケーションのフロントエンドインターフェイスとして機能し、iptables構文を使用せずにポートを開いたり閉じたりすることができます。
次の例には、システムへのHTTPおよびHTTPSアクセスを許可するために/etc/apf/conf.apfファイルに追加できる2つのルールが含まれています。
Common ingress (inbound) TCP ports
IG_TCP_CPORTS="80,443″# Common egress (outbound) TCP ports
EG_TCP_CPORTS="80″
Fail2ban
Fail2banは、cPanelサーバーへの自動攻撃の症状についてシステムログを監視する侵入防止ソフトウェアおよびログ解析アプリケーションです。
侵害の試みが見つかった場合、定義されたパラメーターを使用して、Fail2banはiptablesに新しいルールを追加し、攻撃者のIPアドレスを設定された時間または永続的にブロックします。
Fail2banは、攻撃が発生していることを電子メールで警告することもできます。
cPanelサーバーの機能は主にSSH攻撃に重点を置いており、その機能は cPHulk Brute Force Protection とほぼ同じであるため、cPanelサーバーには最適ではありません。 。
cPHulkは、すべてのcPanelおよびWHMインストールの一部として含まれており、cPanel、WHM、FTP、電子メール、およびSSHに対して行われたすべてのログイン試行を監視およびブロックするために使用できます。
管理者は、ブルートフォース攻撃に自動および手動で対処するさまざまな方法を提供します。また、cPHulkを使用して、ファイアウォール内の悪意のあるIPアドレスをブロックすることもできます。
悪意のあるログインのブロックは、一時的な禁止から1日の禁止、さらには永続的な禁止まで、さまざまな期間で発行される可能性があります。
高度に構成可能なcPHulkシステムにより、高度な制御が可能になります。
IPアドレスがブロックされるまでに失敗したログイン試行回数を指定したり、自動ブロックのトリガー時に実行する追加のアクションを定義したり、特定のイベントが発生したときにサーバー管理者に通知を有効にしたりすることもできます。
ただし、さらにfailbanを使用して、ログファイルを使用し、侵害される可能性のあるすべてのサービスで機能するように構成することもできます。
システムが最新であることを確認し、EPELリポジトリをインストールします。
yum update && yum install epel-release
Fail2Banをインストールします:
yum install fail2ban
Fail2banを起動して有効にします:
systemctl start fail2ban
systemctl enable fail2ban
If you see the error “no directory /var/run/fail2ban to contain the socket file /var/run/fail2ban/fail2ban.sock ”, create the directory manually:
mkdir /var/run/fail2ban
Fail2ban reads .conf configuration files first, then .local files override any settings.
Because of this, all changes to the configuration are generally done in .local files, leaving the .conf files untouched.
Configure fail2ban.local
fail2ban.conf contains the default configuration profile.
The default settings will give you a reasonable working setup.
If you want to make any changes, it’s best to do it in a separate file, fail2ban.local, which overrides fail2ban.conf.
Rename a copy fail2ban.conf to fail2ban.local.
cp /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local
Configure jail.local Settings
The jail.conf file will enable Fail2ban for SSH by default for Debian and Ubuntu, but not CentOS.
All other protocols and configurations (HTTP, FTP, etc.) are commented out. If you want to change this, create a jail.local for editing:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Since we are using CentOS, you will need to change the backend option in jail.local from auto to systemd.
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
sudo systemctl status -l fail2ban
To learn more about failban, here are the documentation and manual:
FAQ:https://www.fail2ban.org/wiki/index.php/FAQ
HOWTO:https://www.fail2ban.org/wiki/index.php/HOWTOs)
Official Fail2ban Documentation:https://www.fail2ban.org/wiki/index.php/Manual
Failban Configuration:https://www.fail2ban.org/wiki/index.php/Category:Configuration
Checking Your cPanel Ports
For a Linux instance, follow these steps to verify the security group rule:
Connect to a Linux instance by using a password.
次に、次のコマンドを実行します。
sudo netstat -plunt
To check whether TCP 80 (replace “80” with any port) is being listened to.
sudo netstat -an | grep 80
You can also use nmap which probably is the most commonly used network mapper in the infosec world.
Nmap can be used to:
- create a complete computer network map.
- find remote IP addresses of any hosts.
- get the OS system and software details.
- detect open ports on local and remote systems.
- audit server security standards.
- find vulnerabilities on remote and local hosts.
You should run nmap ONLY on servers that you own or in situations where you’ve notified the owners.
The reason is that why you as a network administrator might be using nmap to look for possible vulnerabilities to help prevent such attacks, your action can be interpreted as “malicious cracking attempts” and most security tools and cloud providers frowns on this.
CentOS
sudo yum install nmap
To install nmap on Red Hat Enterprise Linux 8 execute the following dnf command:
sudo dnf install nmap
To install nmap on an Ubuntu or Debian machine by entering:
sudo apt-get update
sudo apt-get install nmap
Use the –version option to check the installed nmap version and correctness of the actual nmap installation.例:
nmap -version
Basic Nmap Scan against IP or host
nmap 1.1.1.1
Now, if you want to scan a hostname, simply replace the IP for the host, as you see below:
nmap cloudflare.com
These kinds of basic scans are perfect for your first steps when starting with Nmap.
Scan specific ports or scan entire port ranges on a local or remote server
nmap -p 1-65535 localhost
In this example, we scanned all 65535 ports for the localhost.