Les 18 parties pour améliorer la sécurité de votre cPanel

 SSH sécurisé

SSH permet aux utilisateurs distants d’accéder aux commandes et à l’exécution du système d’exploitation surun réseau non sécurisé. Il n’est pas rare que les administrateurs disposent d’un accès SSH, mais tous les utilisateurs de votre organisation ne devraient pas disposer d’un accès SSH. Dans certains cas, vous pouvez désactiver complètement SSH pour améliorer la sécurité.

Si vous avez besoin que SSH soit exécuté sur le serveur, voici quelques conseils pour renforcer la sécurité :

Créez des clés SSH à l’aide de WebHost Manager (WHM) pour l’utilisateur root et désactivez l’authentification par mot de passe pour SSH dans l’interface WHM Password Authorization Tweak.

Dans le fichier /etc/ssh/sshd_config , modifiez les paramètres du port SSH, du protocole, de ListenAddress et de PermitRootLogin. Le site Web cPanel propose une liste de valeurs suggérées que vous devez utiliser pour ces paramètres. Vous pouvez également vous éloigner du port standard 22 et utiliser un port alternatif.

Sécurisez Apache

Apache est au cœur de l’hébergement Web sous Linux. C’est depuis longtemps l’une des applications de serveur Web open source préférées depuis sa création en 1999. Comme tout autre logiciel serveur, Apache doit toujours être mis à jour et corrigé à mesure que de nouvelles versions sont publiées, mais le respect des normes générales de renforcement de la sécurité réduira le risque de compromission. Vous pouvez également utiliser EasyApache pour gérer l’installation, les mises à jour et les configurations.
Désactivez la liste des répertoires afin que les attaquants ne puissent pas voir la liste des fichiers stockés dans chaque dossier. Sinon, les attaquants peuvent découvrir des fichiers inconnus accessibles au public ou utiliser les informations des fichiers pour lancer des attaques supplémentaires. Pour désactiver la liste des répertoires, modifiez la ligne suivante dans le fichier /etc/httpd/conf/httpd.conf :
Index des options FollowSymLinks

Aux suivants :

Options SuivreSymLinks

Après avoir modifié le fichier, vous devez redémarrer Apache.

Désactivez les modules inutiles qui pourraient ouvrir des vulnérabilités et augmenter votre surface d’attaque.
Désactivez les informations sur le serveur. Les attaquants utilisent les informations sur la version du serveur pour identifier les vulnérabilités et créer des attaques. Pour configurer ce paramètre, ouvrez WHM puis accédez à :
Configuration du service → Configuration Apache → Documentation de configuration globale
Dans cette fenêtre de paramètres, désactivez les signatures, l’éversion, les jetons, le traçage et activez la protection des liens symboliques.

Renforcez votre système d’exploitation

Au cœur de votre hébergement se trouve le système d’exploitation, il doit donc être configuré pour résister à toute attaque. Aucune stratégie n’est à 100 % sans risque, mais les bonnes configurations du système d’exploitation réduisent considérablement le risque de compromission du système. Compromettre le système d’exploitation permettrait à un attaquant de voler des clés, des données, d’installer des logiciels malveillants et de prendre en charge le fonctionnement du serveur. Vous pouvez éviter un incident critique de cybersécurité en appliquant quelques bonnes pratiques du système d’exploitation pour votre serveur.

Gardez toujours le système d’exploitation de votre serveur à jour, surtout après que les fournisseurs ont publié des correctifs de sécurité. Remarque : la mise à jour miam est la valeur par défaut sur cPanel.
Désactivez l’authentification par mot de passe pour sshd.
Ouvrez uniquement les ports nécessaires aux connexions client.

Désactivez les applications non nécessaires aux fonctions d’hébergement ou de serveur (c’est-à-dire le service Bluetooth).
Examinez régulièrement les journaux pour détecter toute anomalie que d’autres systèmes de détection d’intrusion pourraient ne pas détecter.
Cela devrait aller de soi, mais vous devriez effectuer des sauvegardes fréquentes de votre serveur. Si un incident de cybersécurité compromet le système d’exploitation, des sauvegardes peuvent être utilisées pour le restaurer. Assurez-vous simplement que les sauvegardes ne contiennent aucun logiciel malveillant et assurez-vous de contenir l’incident. Vous devez également comprendre ce qui n’a pas fonctionné afin que la vulnérabilité puisse être corrigée.

Renforcez la partition TMP

Lorsqu’une application est installée ou doit stocker des fichiers temporaires, elle utilise le répertoire tmp. Ce répertoire est utilisé pour le stockage temporaire et utilisé par certaines applications pour créer des fichiers de verrouillage. Les fichiers de ce répertoire peuvent être utilisés par le système et sont supprimés après le redémarrage du système. Si un attaquant parvient à compromettre le serveur et à exécuter des applications, celles-ci pourraient stocker des fichiers malveillants dans le répertoire tmp. Le verrouillage du dossier tmp empêche les attaquants de stocker ou d’exécuter des fichiers dans ce répertoire. Vous pouvez configurer le système d’exploitation Linux à l’aide de plusieurs méthodes pour renforcer la sécurité de ce dossier.

Créez une partition distincte pour le répertoire tmp.
Changez la partition tmp en non exécutable ( chmod 1777 /tmp ).
L’application cPanel dispose d’un script personnalisé qui renforcera la sécurité de la partition tmp ( /usr/local/cpanel/scripts/securetmp ).
Pour sécuriser entièrement la partition tmp, utilisez l’exemple de script suivant :

/usr/local/cpanel/scripts/securetmp –help

/usr/local/cpanel/scripts/securetmp – sécurisé /tmp et /var/tmp

Possibilités :

– auto : ignorez les questions de personnalisation interactives

– installer : installer et activer le service securetmp

– désinstaller : désactiver et désinstaller le service securetmp

– démoniser : exécuter securetmp en arrière-plan (true par défaut)

Exemples d’utilisation :

# exécuter en mode interactif

> /usr/local/cpanel/scripts/securetmp

# désactiver le mode interactif, exécuter en arrière-plan

> /usr/local/cpanel/scripts/securetmp –auto

# désactiver le mode interactif, ne pas exécuter en arrière-plan

/usr/local/cpanel/scripts/securetmp –auto –nodaemonize

Restreindre les compilateurs système

En informatique, un compilateur est un programme informatique qui traduit le code informatique écrit dans un langage de programmation en binaires. Laisser un compilateur (par exemple, gcc) sur le serveur donne aux attaquants la possibilité de compiler leurs propres scripts s’ils obtiennent un shell limité lors d’une compromission. Essentiellement, un attaquant peut télécharger son propre code malveillant et l’exécuter sur le serveur. Il est peu probable qu’un logiciel antivirus le détecte s’il s’agit d’une attaque de type « jour zéro ». Un serveur d’hébergement Web n’a pas non plus besoin de compilateurs, sauf s’il héberge des applications dans des circonstances uniques et rares. Pour des raisons de cybersécurité, les compilateurs doivent être supprimés ou restreints. Si vous ne pouvez pas supprimer complètement les compilateurs, vous devez restreindre l’accès à l’utilisateur root uniquement.

Vous pouvez désactiver les compilateurs à l’aide de WHM. Le paramètre d’option Compilers Tweak vous permettra de désactiver les compilateurs pour tout utilisateur non privilégié. Le paramètre Compiler Tweak se trouve dans le Centre de sécurité de WHM.

Surveiller le système en continu

La surveillance continue du système est indispensable pour détecter et réagir rapidement aux activités suspectes. Cela inclut la surveillance des logs, l’utilisation des ressources système, et les tentatives de connexion. Des outils comme Nagios ou Zabbix peuvent être configurés pour fournir des alertes en temps réel sur des comportements anormaux.

Gestion des adresses IP

La gestion efficace des adresses IP inclut l’utilisation de listes blanches pour contrôler l’accès aux services critiques et l’implémentation de techniques de filtrage IP pour bloquer les adresses suspectes. Cela aide à prévenir les attaques et à réduire le potentiel de dommages en cas de compromission.

Désactiver les chiffrements cryptographiquement non sécurisés

Il est crucial de désactiver les protocoles et chiffrements obsolètes ou faibles (comme SSL 3.0, TLS 1.0/1.1) dans la configuration de SSL/TLS pour éviter les vulnérabilités connues. Utilisez uniquement des algorithmes forts et récemment approuvés pour maintenir la sécurité des communications cryptées.

Configurer les paramètres du pare-feu renforcé

Un pare-feu bien configuré est essentiel pour protéger votre infrastructure. Cela inclut la définition de règles strictes qui ne permettent que le trafic nécessaire, tout en bloquant les autres accès non autorisés. L’utilisation de pare-feu stateful, qui surveille l’état des connexions actives, peut offrir une protection accrue.

Ajouter un pare-feu d’application Web (WAF)

Un WAF protège contre les attaques spécifiques aux applications web, comme les injections SQL, les attaques XSS, et le détournement de sessions. Configurer un WAF pour surveiller et filtrer le trafic entrant peut considérablement augmenter la sécurité de votre application web.

Mots de passe sécurisés

L’adoption de politiques de mots de passe robustes est fondamentale pour sécuriser les accès. Cela inclut l’utilisation de mots de passe longs, complexes et uniques, ainsi que leur changement régulier. Envisagez également l’utilisation de gestionnaires de mots de passe pour stocker et générer des mots de passe de manière sécurisée.

Sécurité du Web et de la messagerie

Protéger les services web et de messagerie contre les menaces est crucial. Cela peut être réalisé par la mise en place de systèmes de détection d’intrusions, l’utilisation de certificats SSL pour le chiffrement, et la mise en œuvre de solutions anti-spam et anti-phishing pour la messagerie.

Mises à jour opportunes des applications

Gardez toutes les applications, en particulier celles exposées sur le web, à jour avec les dernières versions et patches de sécurité. Cela réduit les risques d’exploitation des vulnérabilités connues et offre une meilleure défense contre les attaques.

Activer la protection contre la force brute

Mettre en place des mécanismes de défense contre les attaques par force brute, telles que les limitations de taux, les verrouillages de compte après plusieurs tentatives échouées, et l’utilisation de CAPTCHA, peut empêcher les attaquants de deviner les mots de passe par des essais répétés.

Le conseiller en sécurité cPanel

Utilisez le conseiller en sécurité de cPanel pour obtenir des recommandations personnalisées sur la manière d’améliorer la sécurité de votre configuration spécifique. Cet outil analyse votre système et propose des ajustements pour optimiser la sécurité.

Implémenter des sauvegardes

Assurez-vous de disposer de sauvegardes complètes et régulières de toutes les données critiques. Les sauvegardes doivent être stockées de manière sécurisée, de préférence hors site, et testées régulièrement pour garantir leur intégrité en cas de récupération nécessaire.

Configurer les outils de sécurité pour cPanel

Configurez et utilisez les différents outils de sécurité offerts par cPanel, comme les scanners de virus, les outils anti-rootkit, et les fonctionnalités de sécurité avancées. Cela renforce la défense globale de votre serveur contre les menaces.

Renforcez la sécurité avec 2FA et MFA

L’implémentation de l’authentification à deux facteurs (2FA) et de l’authentification multi-facteurs (MFA) pour l’accès à cPanel et d’autres services critiques augmente considérablement la sécurité en ajoutant une couche supplémentaire de protection contre les accès non autorisés.

Conclusion

En intégrant ces meilleures pratiques dans la gestion de votre cPanel, vous augmenterez considérablement la sécurité de votre infrastructure d’hébergement. Chaque étape contribue à construire une fortification robuste contre les menaces extérieures, assurant ainsi la protection continue de vos données et de celles de vos clients.