La plataforma cPanel/WHM en Linux dispone de ciertos aspectos de seguridad básicos que debemos configurar, para ello:
Ingresar en:
WHM > Security Center > Apache mod_userdir Tweak
- Marcar la casilla Enable mod_userdir Protection
- Clic en el botón Save
Ingresar en:
WHM > Security Center > Compiler Access
- Clic en el botón Disable Compilers
Ingresar en:
WHM > Security Center > PHP open_basedir Tweak
- Clic en el botón Enable php open_basedir Protection
- Clic en el botón Save
Ingresar en:
WHM > Security Center > Shell Fork Bomb Protection
- Clic en el botón Enable Protection
Ingresar en:
WHM > Security Center > SMTP Restrictions
- Clic en el botón Enable
Ingresar en:
WHM > Security Center > Traceroute Enable/Disable
- Clic en el botón Disable
Verificar en:
WHM > Service Configuration > Configure PHP and SuEXEC
- Que SuExec este habilitado. Allí mismo es posible seleccionar cual versión de PHP se usará en forma predeterminada (4 ó 5) en el caso de que ambas estén instaladas.
Ingresar en:
WHM > cPanel > Manage Plugin
- Marcar el ClamAV Antivirus, ejecutar la instalación. Esto tomará algunos minutos.
Nota a Futuro: En el caso de que no se hayan actualizado las bases de datos del ClamAV en el futuro, se pueden refrescar ejecutando por SSH:
freshclam
Ingresar en:
WHM > Service Configuration > FTP Server Configuration
- Asegurarse que Allow Anonymous Logins y Allow Anonymous Uploads estén colocados en No.
- Clic en el botón Save
Ingresar en:
WHM > Account Functions > Manage Shell Access
- Deshabilitar el acceso Shell (SSH) a todos los usuarios menos al usuario administrador principal del servidor.
Ingresar en:
WHM > Mysql > MySQL Root Password
- Cambiar la contraseña del root para MySQL
Cuando se configuren los Resellers se debe asegurar:
WHM > Resellers > Reseller Center
En el área denominada Reseller Modifications hacer clic en el ícono que dice Edit Privileges/Nameservers:
- Deshabilitar Allow Creation of Packages with Shell Access
- Habilitar Prevent Accounts from being created with shell access
- Bajo el area Root Access ASEGURARSE QUE NUNCA ESTE MARCADA LA CASILL All Features.
- Luego de estos cambios, ir al final de la página y hacer clic en el botón Save All Settings
Ingresar en:
WHM > Security Center > Security Advisor
- Verificar todos los avisos de seguridad que se presenten con fondo rosado y proceder con las recomendaciones que plantee el cPanel.
- Tome en cuenta los siguientes aspectos antes de realizar los cambios:
- El acceso Jail del Shell sólo se debe activar para usuarios que hayan justificado debidamente su uso
- Al usuario administrador se le da acceso completo (Bash) porque es el que permitirá el cambio al root por SSH
- La actualización del Kernel y el sistema operativo en general se explica en un punto más adelante de este curso
- La autenticación de SSH por contraseña la mantenemos por ahora de esa forma hasta que se explique más adelante en el curso el manejo de llaves de seguridad cifradas
- El acceso directo a SSH por parte de root se cambia en un punto más adelante del curso en el tema de “Seguridad”
- Algunas aplicaciones open source en PHP requieren usar la función sendmail() bajo el usuario nobody con lo cual podrían fallar si se deshabilita dicho usuario para el envío de emails.
Periódicamente se debe entrar en:
WHM > Security Center > Quick Security Scan
Por favor note que antes de ejecutar un SCAN el cPanel verifica si existen servicios habilitados en forma predeterminada por el sistema operativo que normalmente no son requeridos por el servidor web e indica que procederá a deshabilitarlos. Dentro de estos servicios están:
- portmap – Utilizado por NFS para asignar unidades de red
- cupsd – Usado para imprimir
- nfs statd – Se utiliza para el sistema de archivos NFS de montaje.
- nis – servicio de información de red
- gpm – Servicios de ratón de la consola
- Si usted ve un mensaje de error [FAILED], esto significa que el servicio no estaba funcionando cuando el escáner trató de apagarlo. Esto no es un problema, se seguirá impidiendo que el servicio se inicie automáticamente.
Hacer clic en el botón Proceed >>
