
La sécurité est de loin l'un des aspects les plus importants de l'hébergement web. Un jour ou l'autre, votre serveur deviendra la proie d'un utilisateur malveillant. Il existe différents types d'attaques, les plus populaires étant l'attaque par déni de service (DDOS) et le Brute-Force. Alors que certaines attaques ne s'arrêteront qu'à mettre votre serveur hors-service, certaines autres sont capables de compromettre l'intégrité des données.
Dans ce tutoriel, nous allons voir ce qui peut être fait pour sécuriser un serveur cPanel et empêcher les agresseurs potentiels d'entrer.
Sécuriser SSH
La première chose que je fais chaque fois que je mets en place un nouveau serveur cPanel est de restreindre l'accès SSH. Bien que les attaques par force brute puissent se produire sur toutes sortes de services protégés par mot de passe, SSH est l'une des cibles les plus populaires et doit être renforcée.
Afin de prévenir les attaques par force brute utilisant le compte root, vous devez désactiver l'accès root. Cela signifie que vous devrez vous connecter en tant qu'utilisateur régulier d'abord et ensuite "devenir root" en utilisant soit "su" ou "sudo". Il est également recommandé de changer le port SSH par défaut.
Voici comment sécuriser le service SSH:
1- Connectez-vous au WHM en tant que root et créer un nouveau compte (WHM> Fonctions de compte> Créer un nouveau compte).
2- Assurez-vous que le nouveau compte utilisateur a accès à l'interface Shell (WHM> Fonctions de compte> Gérer l’accès shell).
3- Ajouter le nouveau compte d'utilisateur à la "Wheel Group" (WHM> Centre de sécurité> Gérer les utilisateurs du groupe Wheel).
4- En utilisant un client SSH tels que Putty, se connecter à votre serveur sur le port 22 et vous authentifier en utilisant le compte nouvellement créé.
5- Devenez root en utilisant cette commande:
# su – root
6- Éditez le fichier SSH daemon de configuration en utilisant "vi" (ou tout autre éditeur de texte). Si vous ne savez pas comment utiliser "vi", cliquez ici pour voir le manuel.
# vi /etc/ssh/sshd_config
7- Trouvez la ligne qui dit:
#PermitRootLogin yes
8- Dé-commentez cette ligne et définissez sa valeur à "no":
PermitRootLogin no
9- Trouvez la ligne qui dit:
Port 22
10- Indiquez un nouveau port non utilisé pour le daemon SSH. Si vous n'êtes pas sûr du port à utiliser, contactez votre fournisseur d'hébergement pour des suggestions pour s'assurer que le port n'est pas bloqué par leur pare-feu réseau. Voici une liste des ports TCP et UDP couramment utilisés.
Port 22200
11- Enregistrez le fichier et quittez l'éditeur.
12- Redémarrez le service SSH:
# service sshd restart
13- Quittez votre session SSH en exécutant la commande "exit" deux fois.
Maintenant, essayez d'établir une connexion SSH à votre serveur en utilisant le port nouvellement défini pour s'assurer que la configuration est active.
Une autre bonne pratique consiste à utiliser des clés SSH (au lieu de l'authentification habituelle par mot de passe/nom d'utilisateur) pour accéder à votre serveur. Cela rend votre serveur complètement à l'abri d'attaques par force brute sur le port SSH. Il y a un bon tutoriel ici (en anglais) sur la façon d'utiliser les connexions à base de clés SSH avec Putty.
Si jamais vous décidez d'utiliser des clés SSH, assurez-vous de désactiver l'authentification par mot de passe (WHM> Centre de sécurité> Configurer Utilisation Mot de passe SSH).
Augmenter la complexité de mot de passe requise
Pour éviter que vos utilisateurs usent de faibles mots de passe tels que "123456" ou "abc123", il est important d'augmenter la force de mot de passe requise. Cela peut facilement être fait par l’interface WHM> Centre de sécurité > Configuration du niveau de sécurité du mot de passe:
Installation de configserver security & firewalll
L'installation d'un pare-feu est un impératif si vous compter avoir un serveur dédié (peu importe si vous êtes un revendeur ou non). Je recommande fortement que vous jetez un oeil sur ConfigServer Security & Firewall aussi connu sous le diminutif CSF. Il s’agit d’un plugin gratuit de pare-feu et de sécurité conçu pour cPanel, DirectAdmin et Webmin.
CSF est capable d’effectuer une vérification de sécurité et vous fournir des recommandations sur la façon d'améliorer la sécurité de votre serveur:
Installer CSF sur un serveur cPanel est un jeu d'enfant:
wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh
Une fois que vous avez installé CSF, vous pouvez y accéder via WHM> Plugins> ConfigServer Security & Firewall.
Vous pouvez retrouver le manuel d’installation complet de CSF ici.
Installation d’un antivirus
Bien que le système d'exploitation Linux ne soit pas autant la cible de virus que Windows, je recommande fortement l'utilisation d'un antivirus. En utilisant un logiciel antivirus, non seulement vous protéger votre serveur contre les virus, vous aurez également empêché vos utilisateurs de distribuer (sans le savoir) des virus aux visiteurs de leurs sites Web.
Pendant plusieurs années, j’avais une entreprise d'hébergement gratuit. La plupart des virus détectés par l’antivirus étaient destinés à infecter les ordinateurs Windows et pas des serveurs Linux. Ces fichiers nuisibles étaient habituellement téléchargés vers le serveur par des utilisateurs malveillants afin d'essayer d’infecter des visiteurs de leur site Web.
Il existe une poignée de solutions antivirus pour les environnements Linux, mais mon antivirus préféré est ClamAV, car il s’intègre facilement à cPanel et CSF.
Voici comment activer ClamAV sur un serveur cPanel:
1- Connectez-vous pour WHM en tant que root.
2- Dans le menu principal, allez à cPanel> Gérer les plugins.
3- Dans la boîte de ClamAV, sélectionnez Installer et maintenir à jour.
4- Cliquez sur Enregistrer.
Vous pouvez désormais configurer ClamAV en allant à WHM> Plugins> Configurer.
Nous vous conseillons le revendeur ex2
Partie 1 : Les prérequis matériel
Partie 2 : Comment préparer votre serveur de revente d'hébergement
Partie 3 : Comment sécuriser votre serveur cPanel/WHM
Partie 4: Comment configurer le DNS privé et nom de serveur
Partie 5: Comment créer et configurer les plans d'hébergement web