مركز الدروس: cpanel/whm لوحة تحكم
إعدادات تأمين لوحة تحكم WHM/Cpanel الموصى بها من قبل الـ Cpanel
كتب بواسطة sana sana في 27 December 2012 10:55 PM

إعدادات تأمين لوحة تحكم WHM/Cpanel الموصى بها من قبل الـ Cpanel

بسم الله نبدأ الشرح :

* إعدادات الأمان الخاصة بـقسم الـ Tweak Settings

1) القسم المسمى Security
- للوصول الى هذا القسم يرجى الذهاب الى الأتى :
                                                                    WHM >> Server Configuration >> Tweak Settings

                                                                                      - ثم إختيار الصفحة Tab المسماه Security ,كما هو موضح : 
الخاصية Enable HTTP Authentication ,الإعداد الموصى به هو Off ,كما هو موضح



- هذه الخاصية عندما تكون فى حالة Off ستعمل على التقليل/الصد من هجمات المواقع من النوع XSRF attacks


الخاصية Cookie IP Validation ,الإعداد الموصى به هو Strict ,كما هو موضح


- تفعيل هذه الخاصية هذه الخاصية يمنع من سرقة كوكيز إتصالات Cpanel session cookies واجهات تحكم السى بانل والتى تهدف الى الوصول الى بيانات دخول لوحات تحكم السى بانل 

الخاصية Require SSL ,الإعداد الموصى به هو On ,كما هو موضح



     - تفعيل هذه الخاصية يجبر إتصالات لوحات التحكم ان تتم من خلال الإتصال المشفر https ,الإتصال المشفر يحمى/يمنع تتبع وسرقة بيانات الدخول الى لوحات تحكم السى بانل

هاام : شركة حياة فى بى إس تنصح بضرورة إستخدام الإتصال المشفر عند الإتصال بأى من لوحات تحكم السى بانل (مثل الويب ميل, لوحة تحكم السى بانل, لوحة تحكم الـ WHM او لوحات تحكم الريسيلر) وذلك لتشفير البيانات إثناء الإتصال مما يصعب ويمنع سرقتها, وبالأخص العملاء الذين يستخدموا إتصالات من خلال شبكات بها مستخدمين أخرين غيرهم (مثل شبكات الـ DSL ,أو مقاهى الإنترنت) والتى تكثر بها عمليات سرقة البيانات من خلال الـ Sniffing


الخاصية Security Tokens ,الإعداد الموصى به هو On ,كما هو موضح



                                                     - هذه الخاصية عندما تكون فى حالة Onستعمل على التقليل/الصد من هجمات المواقع من النوع XSRF attacks

                                                                                                                 2) القسم المسمى Domains
                                                                                             - للوصول الى هذا القسم يرجى الذهاب الى الأتى :
                                                              WHM >> Server Configuration >> Tweak Settings

   - ثم إختيار الصفحة Tab المسماه Domains ,كما هو موضح :  

الخاصية  Proxy Subdomain Creation ,الإعداد الموصى به هو Off ,كما هو موضح




- هذه الخاصية عندما تكون فى حالة Off ,ستساعد خاصية Cookie IP Validation فى عملها


الخاصيةPrevent cPanel users from creating specific domains ,الإعداد الموصى به هو On ,كما هو موضح



  - هذه الخاصية ستمنع حسابات السى بانل من إستخدام بعض أسماء المواقع (مثل google.com ,أو yahoo.com وغيرها من مواقع لا تنتمى إليهم) كأسماء خاصة بمواقعهم 


3) القسم المسمى Mail
- للوصول الى هذا القسم يرجى الذهاب الى الأتى :
                                                                    WHM >> Server Configuration >> Tweak Settings


                                                                                     - ثم إختيار الصفحة Tab المسماه Mail ,كما هو موضح : 



الخاصية Initial default/catch-all forwarder destination ,الإعداد الموصى به هو Fail ,كما هو موضح



- هذه الخاصية عندما يتم تفعيلها فى حالة Fail ستقوم برفض إستلام الرسائل الموجه الى مواقع او حسابات ليست موجودة بالسرفر وتوجيهها مرة اخرى الى المرسل مع إفادته بسبب رفض الرسالة, وهى أفضل اختيار خاصة فى حالات هجمات الـ Spam 

ملحوظة : يمكن التعديل فى هذه الخاصية من خلال لوحات تحكم السى بانل الخاصة بكل موقع بالسرفر



* إعدادات الأمان الخاصة بـقسم الـ Security Center
- للوصول الى هذا القسم يرجى الذهاب الى الأتى :
WHM >> Security Center




1) الخاصية Password Strength Configuration ,الإعداد الموصى به هو On
- هذه الخاصية عند تفعيلها تساعد مدراء السرفرات فى التحكم بقوة كلمات مرور الخاصبة بخدمات وحسابات السرفر 

2) الخاصية PHP open_basedir Tweak , الإعداد الموصى به هو Enabled
- هذه الخاصية عند تفعيلها ستمنع حسابات السرفر من تخطى الدليل الرئيسى الخاص بكل حساب وهو /home/username

3) الخاصية Apache mod_userdir Tweak ,الإعداد الموصى به هو Enabled
- هذه الخاصية عند تفعيلها ستمنع حسابات السرفر من تخطى حد الباندويدث المخصص للموقع 

4) الخاصية Compiler Access ,الإعداد الموصى به هو Disabled
- هذه الخاصية عندما تكون فى الحالة Disabled ستمنع حسابات السرفر من إستخدام المترجمات الخاصة بلغات برمجية, 

هاام : شركة حياة فى بى إس تنصح بضرورة وضع خاصية Compiler Access فى الحالة Disabled وذلك لأنه عند تفعيل هذه الخاصية, سيتمكن أى حساب بالسرفر من تشغيل أكواد برمجية تهدف الى إستغلال ثغرات Exploits بنظام تشغيل السرفر وذلك بعد تشغيلها أولا بشكل داخلى Local بالسرفر

5) الخاصية Shell Fork Bomb Protection ,الإعداد الموصى به هو Enabled
- هذه الخاصية عند تفعيلها ستمنع من هجمات إستنباط/تخمين كلمات المرور Brute Force/Dictionary Attacks ضد خدمات الـ SSH أو Telnet

6) الخاصية cPHulk Brute Force Protection ,الإعداد الموصى به هو Enabled
- هذه الخاصية عند تفعيلها ستمنع من هجمات إستنباط/تخمين كلمات المرور Brute Force/Dictionary Attacks ضد لوحات تحكم السى بانل (مثل الويب ميل, لوحة تحكم السى بانل, لوحة تحكم الـ WHM او لوحات تحكم الريسيلر)

7) الخاصية Manage Wheel Group Users 
- هذه الخاصية تحدد الحسابات التى لديها صلاحيات للإنتقال الى حساب الرووت Root وذلك من خلال إستخدام الأمر su
- الإعداد الموصى به هو عدم إعطاء صلاحيات لأى حساب بالسرفر فيما عدا الحساب Root


* إعدادات الأمان للخاصية Manage Shell Access الخاصة بقسم الـ Account Functions
- للوصول الى هذه الخاصية يرجى الذهاب الى الأتى :
       WHM >> Account Functions

ثم اختيار الخاصية  Manage Shell Access
- هذه الخاصية تحدد هل سيتم إعطاء صلاحيات إستخدام/الدخول على شل السرفر من قبل حسابات السرفر
- الإعداد الموصى به هو تفعيل الإختيار Disabled Shell لكل حساب بالسرفر 

ملحوظة : يمكن التعديل فى هذه الخاصية من قبل حسابات الريسيلر (فى حال تم إعطائهم صلاحيات Super Privs )


* إعدادات الأمان الخاصة بقسم الـ Service Configuration

1) القسم المسمى FTP Server Configuration
- للوصول الى هذا القسم يرجى الذهاب الى الأتى :
WHM >> Service Configuration

- ثم الدخول الى القسم المسمى FTP Server Configuration ,كما هو موضح

الخاصية Allow Anonymous Logins ,الإعداد الموصى به هو No ,كما هو موضح


- هذه الخاصية تمنع الدخول/الإتصال بخادم الإف تى بى من خلال الحساب Anonymous 


الخاصية Allow Anonymous Uploads ,الإعداد الموصى به هو No ,كما هو موضح


- هذه الخاصية تمنع الحساب Anonymous من رفع ملفات من خلال خادم الإف تى بى


الخاصية Allow Logins with Root Password ,الإعداد الموصى به هو No ,كما هو موضح


- هذه الخاصية تمنع الدخول/الإتصال بخادم الإف تى بى بحساب رووت Root السرفر 


2) القسم المسمى Apache Configuration
- للوصول الى هذا القسم يرجى الذهاب الى الأتى :

WHM >> Service Configuration

- ثم الدخول الى القسم المسمى Apache Configuration ومنه الى القسم Global Configuration,كما هو موضح 


- إخفاء بيانات خادم الأباتشى Apache ,عن طريق الأتى : 

1) الخاصية Server Signature ,الإعداد الموصى به هو Off ,كما هو موضح


- هذه الخاصية عندما تكون فى الحالة Off ,فإن خادم الأباتشى Apache لن يضمن أى بيانات خاصة به مثل, نوعه Apache , أو رقم إصداره Apache 2.X وذلك فقط فى رسائل الأخطاء او الرسائل الأخرى التى يصدرها للزوار 


2) الخاصية Server Tokens ,الإعداد الموصى به هو Product Only ,كما هو موضح


- هذه الخاصية عندما تكون تكون فى الحالة Product Only ,فإن خادم الأباتشى سيضمن فقط بيانات عن نوعه فقط, مثل apache, وذلك فى إتصالاته مع المتصفحات الخاصة بزوار الموقع Server response header



* إعدادات الأمان الخاصة بالأداة EasyApache

- عند تشغيل الأداة EasyApache لإعادة بناء خادم الأباتشى Apache ,فإنه ينصح بإختيار وتفعيل الموديولز Apache/Php Modules التالية :

1) تشغيل البى إتش بى Php بإستخدام الهانلدر SuPhp ,والذى يجعل جميع إسكربتات البى إتش بى تعمل بإسم مستخدم الموقع الذى يعمل به الإسكربت, بدلا من ان تعمل بإسم مستخدم الـ Nobody

2) تفعيل موديول الـ SuHosin للبى إتش بى, حيث تعمل على تأمين جميع إسكربتات البى إتش بى بإضافة طبقة حماية متقدمة لها

3) تفعيل موديول الـ Mod_Security لخادم الأباتشى, حيث تعمل كجدار نارى لخادم الأباتشى Apache Firewall وتحميه ضد الهجمات الخارجية, مثل هجمات الفلود Http Flood او هجمات حجب الخدمة DoS

(3 صوت(s))
كان مفيد
لم يكن مفيدا

التعليقات (0)