كيف تؤمّن: خادمك- الجزء الأول: لوحة التّحكم cPanel

كيف تؤمّن خادمك؟ هي سلسلة تهدف إلى زيادة الوعي الأمني لدى مدراء المواقع، من خلال تناول أجزاء مختلفة في الخادم، ثمّ شرح كيف يمكن حماية هذا الجزء أو استخدامه في حماية أجزاء أخرى. في هذا الجزء سنعرض إن شاء الله كيف يمكن حماية الخادم من خلال لوحة التّحكم cPanel، والتي تعتبر إحدى أشهر لوحات التّحكم المستخدمة في إدارة مواقع الاستضافة.

ملاحظة: إذا كانت تملك صلاحيّات على خادمك، فهذه السّلسلة ستفيدك بشكل تطبيقي. أمّا إذا كنت تستخدم الاستضافة المشتركة (Shared Hosting)، ففائدة هذه السّلسلة ستكون مقتصرة على الجانب المعرفي.

التّأمين من خلال WHM/cPanel

هناك عدّة واجهات ل cPanel تظهر للمستخدم تبعاً للصّلاحيّات التي تمنح له. وتعتبر WHM هي اعلاها صلاحيّة حيث يمكن من خلالها إضافة حسابات مستخدمين عاديّين، بالإضافة إلى حسابات الباعة، وغير ذلك.

WHM مقسّمة إلى أجزاء كل جزء فيها مسؤول عن جزئيّة معيّنة في إدارة النّظام. سنقوم بالإشارة إلى الجزء وإلى التعديلات/الخيارات المنصوح بها في هذا الجزء.

إعدادات الخادم (Server Configuration):

من قائمة إعدادت الخادم اختر Tweak Settings وتأكد من أن لديك الإعدادات التّالية:

تحت Domains
تأكد أن الخاصيّة: Prevent users from parking/adding on common internet domains. (i.e. hotmail.com, aol.com) قد تمّ اختيارها.

تحت System
تأكد من أنّ الخاصيّة: Use jailshell as the default shell for all new accounts and modified accounts قد تمّ اختيارها.

تحت Security
اختر هذه الخاصّية إن كان لديك شهادة SSL
Require SSL for all remote logins to cPanel, WHM and Webmail. This setting is recommended.
هذا سيجعل عملية تسجيل الدخول الى ال cPanel والبريد الالكتروني مشفّرة.

مركز الحماية (Security Center):

Apache mod_userdir Protection
تأكد من أنّ هذه الخاصّية معطّلة. هذه الخاصّية تسمح بالوصول للموقع باستخدام ~ مثل http://test.ghcpanel.net/~s4a/ وهو ما يجعل صاحب النّطاق ghcpanel يدفع بدل الباندويدث.

PHP’s open_basedir protection
تأكد من تفعيل هذه الخاصّية. هذه ستمنع المستخدمين من فتح ملفات خارج مجلداتهم باستخدام php

Compiler Access
تأكد من تعطيل ال Compilers في الخادم

تعطيل ال Compilers في cPanel

SSH Password Authorization Tweak
حسب درجة التّأمين الذي تبحث عنه. الأفضل هو تعطيل الدخول باستخدام كلمات المرور والاستعاضة عنه باستخدام المفاتيح. (سيأتي تفصيل ذلك في سياق جزء آخر إن شاء الله).

cPHulk Brute Force Protection
تأكد من تفعيل هذه الخاصّية وذلك لتوفير حماية من محاولات الدخول غير الشّرعيّة. (مثلاً استخدام برمجيّات من اجل محاولة الدخول على حساب باستخدام كلمات مرور مختلفة).

الحماية محاولات الدّخول القسري

كما هو واضح في الصّورة أعلاه هذه الخاصّية تعطيك خيارات متعدّدة. يمكن تحديد هذه الخيارات حسب ما تراه مناسباً لك. مثلاً يمكن تحديد عدد المحاولات الفاشلة من خلال عنوان معيّن بخمس محاولات. وهكذا.
Manage Wheel Group Users
تأكد من أن لا أحد غير ال root واسم المستخدم الخاص بك أعضاء في مجموعة wheel.

Shell Fork Bomb Protection
فعّل هذه الخاصّية. هذه الخاصّية تمنع المستخدمين الذين لديهم صلاحيات لدّخول على الطرفيّة، من استهلاك موارد النّظام.

الحماية من استهلاك موارد النّظام.

حساب الباعة ( Reseller)
من مركز الباعة (Reseller Center) اختر
Edit reseller privileges & nameservers
تأكد من اختيار منع المستخدمين من الحصول على shell، كذلك من منعهم من انشاء حزم استضافة ب shell، كما هو في الصّورة التالية:

سحب صلاحيّات الطرفيّة من حسابات الباعة

تأكد من عدم اعطاء الباعة صلاحيّات root

لا تعط الباعة صلاحيّات الجذر

إعدادات الخدمة (Service Configuration)
تأكد من تعطيل Anonymous في FTP Server Configuration
سواء للدّخول
Allow Anonymous Logins NO
أو لرفع الملفات
Allow Anonymous Uploads NO

وظائف الحساب (Account Functions)
من خلال Manage Shell Access تأكد من تعطيل صلاحيّات الدخول الى shell لجميع المستخدمين باستثناء حسابك أنت
Disable Shell Access for all users (except yourself)

اكتفي بهذا القدر والذي ننهي به الجزء الأول المتعلق بتأمين الخادم ولوحة التّحكم cPanel. وإلى لقاء آخر قريب إن شاء الله.