كيف تؤمّن: خادمك- الجزء الأول: لوحة التّحكم cPanel

كيف تؤمّن خادمك؟ هي سلسلة تهدف إلى زيادة الوعي الأمني لدى مدراء المواقع، من خلال تناول أجزاء مختلفة في الخادم، ثمّ شرح كيف يمكن حماية هذا الجزء أو استخدامه في حماية أجزاء أخرى. في هذا الجزء سنعرض إن شاء الله كيف يمكن حماية الخادم من خلال لوحة التّحكم cPanel، والتي تعتبر إحدى أشهر لوحات التّحكم المستخدمة في إدارة مواقع الاستضافة.

ملاحظة: إذا كانت تملك صلاحيّات على خادمك، فهذه السّلسلة ستفيدك بشكل تطبيقي. أمّا إذا كنت تستخدم الاستضافة المشتركة (Shared Hosting)، ففائدة هذه السّلسلة ستكون مقتصرة على الجانب المعرفي.

التّأمين من خلال WHM/cPanel

هناك عدّة واجهات ل cPanel تظهر للمستخدم تبعاً للصّلاحيّات التي تمنح له. وتعتبر WHM هي اعلاها صلاحيّة حيث يمكن من خلالها إضافة حسابات مستخدمين عاديّين، بالإضافة إلى حسابات الباعة، وغير ذلك.

WHM مقسّمة إلى أجزاء كل جزء فيها مسؤول عن جزئيّة معيّنة في إدارة النّظام. سنقوم بالإشارة إلى الجزء وإلى التعديلات/الخيارات المنصوح بها في هذا الجزء.

إعدادات الخادم (Server Configuration):

من قائمة إعدادت الخادم اختر Tweak Settings وتأكد من أن لديك الإعدادات التّالية:

تحت Domains
تأكد أن الخاصيّة: Prevent users from parking/adding on common internet domains. (i.e. hotmail.com, aol.com) قد تمّ اختيارها.

تحت System
تأكد من أنّ الخاصيّة: Use jailshell as the default shell for all new accounts and modified accounts قد تمّ اختيارها.

تحت Security
اختر هذه الخاصّية إن كان لديك شهادة SSL
Require SSL for all remote logins to cPanel, WHM and Webmail. This setting is recommended.
هذا سيجعل عملية تسجيل الدخول الى ال cPanel والبريد الالكتروني مشفّرة.

مركز الحماية (Security Center):

Apache mod_userdir Protection
تأكد من أنّ هذه الخاصّية معطّلة. هذه الخاصّية تسمح بالوصول للموقع باستخدام ~ مثل http://test.ghcpanel.net/~s4a/ وهو ما يجعل صاحب النّطاق ghcpanel يدفع بدل الباندويدث.

PHP’s open_basedir protection
تأكد من تفعيل هذه الخاصّية. هذه ستمنع المستخدمين من فتح ملفات خارج مجلداتهم باستخدام php

Compiler Access
تأكد من تعطيل ال Compilers في الخادم

تعطيل ال Compilers في cPanel

SSH Password Authorization Tweak
حسب درجة التّأمين الذي تبحث عنه. الأفضل هو تعطيل الدخول باستخدام كلمات المرور والاستعاضة عنه باستخدام المفاتيح. (سيأتي تفصيل ذلك في سياق جزء آخر إن شاء الله).

cPHulk Brute Force Protection
تأكد من تفعيل هذه الخاصّية وذلك لتوفير حماية من محاولات الدخول غير الشّرعيّة. (مثلاً استخدام برمجيّات من اجل محاولة الدخول على حساب باستخدام كلمات مرور مختلفة).

الحماية محاولات الدّخول القسري

كما هو واضح في الصّورة أعلاه هذه الخاصّية تعطيك خيارات متعدّدة. يمكن تحديد هذه الخيارات حسب ما تراه مناسباً لك. مثلاً يمكن تحديد عدد المحاولات الفاشلة من خلال عنوان معيّن بخمس محاولات. وهكذا.
Manage Wheel Group Users
تأكد من أن لا أحد غير ال root واسم المستخدم الخاص بك أعضاء في مجموعة wheel.

Shell Fork Bomb Protection
فعّل هذه الخاصّية. هذه الخاصّية تمنع المستخدمين الذين لديهم صلاحيات لدّخول على الطرفيّة، من استهلاك موارد النّظام.

الحماية من استهلاك موارد النّظام.

حساب الباعة ( Reseller)
من مركز الباعة (Reseller Center) اختر
Edit reseller privileges & nameservers
تأكد من اختيار منع المستخدمين من الحصول على shell، كذلك من منعهم من انشاء حزم استضافة ب shell، كما هو في الصّورة التالية:

سحب صلاحيّات الطرفيّة من حسابات الباعة

تأكد من عدم اعطاء الباعة صلاحيّات root

لا تعط الباعة صلاحيّات الجذر

إعدادات الخدمة (Service Configuration)
تأكد من تعطيل Anonymous في FTP Server Configuration
سواء للدّخول
Allow Anonymous Logins NO
أو لرفع الملفات
Allow Anonymous Uploads NO

وظائف الحساب (Account Functions)
من خلال Manage Shell Access تأكد من تعطيل صلاحيّات الدخول الى shell لجميع المستخدمين باستثناء حسابك أنت
Disable Shell Access for all users (except yourself)

اكتفي بهذا القدر والذي ننهي به الجزء الأول المتعلق بتأمين الخادم ولوحة التّحكم cPanel. وإلى لقاء آخر قريب إن شاء الله.

نبذة عن الكاتب

بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.

التعليقات:

اترك تعليقاً | عدد التعليقات: (10)

  1. يقول Ghost Hacker:

    مثل هذه المقالات نادرة او معدومة عربياً ان صح القول ..
    بارك الله فيك استاذ بشار وبانتظار التكملة

  2. يقول Eng. Sabri Saleh:

    شكرا دكتور ,,

    سلمت يداك 😉

  3. يقول JxH:

    السلام عليكم
    هذه الدوينات ولا بلاش
    بانتضار الدوينات القادمه جزاك الله خير
    وغفر لك ولوالديك

  4. يقول m1nd.fr34k:

    مقال ممتاز ما عدا حزئيه واحده وهى

    تحت System
    تأكد من أنّ الخاصيّة: Use jailshell as the default shell for all new accounts and modified accounts قد تمّ اختيارها
    لان ببساطه بشويه لعب فى المحررات يستطيع اى احد انه ييطلع بره chroot ويمتلك bash shell

  5. يقول Zo-Dns:

    تسلم اخي بشار .الدرس رائع بكل معنى الكلمة ..ويحتوي على معلومات قيمة جدا ..
    تابع مشوارك . واتمنى لك الموفقية والنجاح
    احمد

  6. يقول بشار:

    @Ghost Hacker: وفيك بارك الله أخي.

    @Eng. Sabri Saleh: عفواً يا بش مهندس.

    @JxH: وعليكم السلام ورحمة الله وبركاته. أهلا وسهلاً بك أخي وبارك فيك.

    @m1nd.fr34k: أخي الكريم. الفكرة هي استخدام كل ما يمكن ان يساعد في رفع حماية الخادم. وهذا جزء من أجزاء في سلسلة الحماية. الطريقة التي ذكرتها، قد تنجح في تجاوز هذه النّقطة ولكنّها بالتّاكيد ستمنع الكثير من الونابي هاكر.

    @Zo-Dns: أهلاً بك أخي أحمد وشكراً لك على كلاماتك الطيّبة. 🙂

  7. يقول Str1k3r.r1z:

    الله يعطيك العافية اخي بشار .

  8. يقول GeeKZ:

    مشكور فعلا دكتور ننتظر باقي السلسله

  9. يقول GeeKZ:

    بنتظار باقي سلسله دكتور بشار
    احترامي

  10. يقول wafi:

    اخى الكريم بشار الف تحيه طيبه لك ولكل الاخوه فى هذا الصرح الجميل

    ونحن بنتظار الدرس الثانى من حمايه السيرفر فلك كل الشكر والتقدير

أكتب تعليق