info@goblinsoft.org 54-11-51992787
Seguridad
Cpanel Security
October 22, 2015
0

Cpanel Security Config

Para trabajar tranquilos con Cpanel deberemos efectuar algunas configuraciones básicas y algunas no tanto, para dejar la seguridad lo más alta posible.

Configuraciones Generales:

MySQL

  • Deshabilitar LOAD DATA LOCAL editando el archivo “/etc/my.cnf” y agregando al final del mismo “local-infile=0” y reiniciar el servicio de MySQL.

Apache

En Apache Configuration deberemos configurar las siguientes opciones:

  • SSL Cipher Suite: Dejar seleccionado “ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP:!kEDH“.
  • Trace Enable: Dejar esta opción en Off.
  • Server Signature: Dejar esta opción en Off.
  • Server Tokens: Dejar esta opción en ProductOnly (De esta forma la respuesta del server en el Header sera solo “Apache” sin mostrar versiones de OS y demás info).
  • File ETag: Dejar en None.

En Security Center cambiamos los siguientes valores:

  • Enable mod_userdir Protection: Debemos tildar esta opción para que se active en todas las cuentas.

Por último verificar el Handler de PHP en “Configure PHP and suEXEC” este como suPHP. De esta manera estaremos protegiendo el server de Scripts webs en PHP que pueden ser peligrosos.

PHP Configuration

Para configurar PHP vamos a ingresar al archivo “/usr/local/lib/php.ini”.

  • Cambiar el valor enable_dl y dejarlo en Off.
  • Editar la la variable disable_functions y agregar las siguientes opciones “show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, ini_set“. Estas son funciones que suelen ser muy utilizadas al momento de vulnerar un server.
  • Cambiar la variable register_globals a Off.

Luego en Security Center vamos a la opción “php open_basedir Tweak” y habilitamos la opción que dice “Enable php open_basedir Protection

WHM Configuration

Las configuraciones del WHM son mayormente efectuadas desde “Tweak Settings“.

  • Dejar en On la opción “Always redirect to SSL“.
  • Desactivar o dejar en OffEnable BoxTrapper spam trap“. Esto puede hacer que el server sea listado en las RBLs incrementando la carga de spam enviada y por eso lo dejamos en Off.
  • Setear un máximo de Mails por hora “Max hourly emails per domain“. Esto queda a criterio de cada uno, pero lo normal es que con una reputación Base no se manden más de 300 cada 30 min.
  • Cambiamos la selección de “Accounts that can access a cPanel user account” y dejamos tildada “Account-Owner and cPanel User Only“.
  • Habilitar la opción “Blank referrer safety check“.
  • Habilitar la opción “Referrer safety check“.
  • Deshabilitar “Allow other applications to run the cPanel and admin binaries“.
  • Deshabilitar “cpsrvd username domain lookup“.
  • Deshabilitar “Hide login password from cgi scripts“.

Por último en Security Center vamos a configurar lo siguiente:

  • En “SMTP Restrictions” deberemos deshabilitarlo.
  • Deberemos deshabilitar “Compilers Tweak“.

FTP Configuration

Las configuraciones son 3 y bastantes básicas:

  • Dejar en NoAllow Anonymous Logins“, “Allow Anonymous Uploads” y “Allow Anonymous Uploads

SSH Configuration

Tenemos varios pasos en SSH entre los cuales también se encuentra el generar un Certificado, con lo cual vamos primero a las configuraciones generales y luego a como se hace el certificado.

  • En Security Center hay que deshabilitarSSH Password Authorization Tweak“.
  • Nuevamente en Security Center activamos “Shell Fork Bomb Protection“.
  • En System Health ingresamos a “Background Process Killer” y tildamos todos los procesos y guardamos para que quede configurado.

Archivo “/etc/ssh/sshd_config” dejamos las siguientes lineas:

  • UseDNS no
  • Protocol 2
  • Cambiar puerto default

Generación de Certificado:

En Security Center deberemos ingresar a “Manage root’s SSH Keys” y seguimos estos pasos:

  • Generar nueva llave.
  • Completamos los campos y deberá ser DSA de 4096.
  • Con esta llave generada vamos a autorizarla desde Manage Authorization. Simplemente le damos click al botón autorizar.
  • Luego desde la sección “Private Keys” vamos a descargar la llave.

Con esto ya tenemos la llave necesaria para el ingreso al server.

Instalación de Firewall:

Descargaremos desde csf el firewall para incluir a Cpanel. Luego de descomprimirlo deberemos ejecutar el instalador para Cpanel.

# ./install.cpanel.sh

Esto nos permitirá ingresar vía WEB a la consola de administración de Cpanel y desde dicha consola acceder a la configuración del Firewall.

Configuraciones básicas del firewall:

  • Quitar del modo Test.
  • Dejar en 1LF_SCRIPT_ALERT“.
  • Dejar en 2000 la opción “SYSLOG_CHECK“.
  • Dejar en 1 la opción “FASTSTART“.
  • Dejar en 2 el valor de “URLGET“.
  • Dejar en 1 el valor de “PT_ALL_USERS“.
  • Dejar en 3 el valor de “RESTRICT_SYSLOG“.
  • Dejar en 1 el valor de “SMTP_BLOCK“.
  • Dejar en 1 el valor de “RESTRICT_UI

Con esto tenemos cubierto con detalles más detalles menos los puntos más importantes al momento de trabajar en Cpanel de manera segura.