Cara Mengonfigurasi Firewall cPanel Anda Di Cloud

Pelajari cara mengonfigurasi firewall cPanel di sebagian besar platform cloud atau menggunakan alat keamanan lain untuk memperkuat dan melindungi server cPanel Anda dari serangan berbahaya.

Bayangkan bahwa setelah pemasangan awal dinding untuk rumah baru ini selesai, rumah dibiarkan tanpa atap untuk melindungi penghuninya dari elemen atau pintu untuk menjaga mereka aman dari binatang buas yang ingin melahap mereka untuk makan malam.

Analogi di atas sering terjadi ketika administrator server menyebarkan server dan kemudian melupakan aspek paling mendasar dari proses tersebut:keamanan.

Awan telah memberi administrator server kemampuan untuk mengatur server jenis apa pun dalam waktu kurang dari 55 detik.

Masalahnya adalah sering kali, administrator server cenderung melupakan aspek paling mendasar dari proses:keamanan.

Sementara sebagian besar sistem cloud terbesar yang kami rangkul memiliki langkah-langkah built-in yang dirancang untuk mencegah kami menjadi korban sifat manusia kami, itu tidak mengubah fakta bahwa ketika Anda menerapkan sistem dan tidak dari desain konsepsinya. untuk amannya, Anda akan menghadapi jalan yang sulit.

Faktanya adalah bahwa 98% dari sebagian besar serangan yang akan dihadapi oleh sistem yang terhubung secara online bersifat oportunistik daripada ditargetkan.

Ketika pengguna jahat mencoba peruntungannya dengan sistem dan merasa terlindungi dengan kuat, dia akan beralih ke target yang lebih mudah.

Dengan server yang tidak terlindungi, ceritanya akan berbeda karena siapa pun yang berniat jahat akan segera melihat kotak itu sebagai kotak yang siap dipetik.

Server yang tidak terlindungi juga tidak boleh online, bukan hanya karena bertentangan dengan semua hal yang seharusnya dilakukan oleh admin yang baik, tetapi juga karena membuat internet lebih tidak aman.

Apa itu Firewall Dalam Komputasi?

Apa itu Firewall Dalam Komputasi?

Dalam perancangan infrastruktur komputasi, internet selalu diperlakukan sebagai jaringan eksternal yang tidak tepercaya.

Firewall memantau dan mengontrol lalu lintas jaringan masuk dan keluar berdasarkan aturan keamanan yang telah ditentukan.

Sama seperti bangunan yang dirancang dengan baik harus memiliki dinding yang dimaksudkan untuk menahan api di dalam bangunan, titik masuk &keluar yang ditentukan dan aturan tentang siapa yang harus diizinkan mengakses dan siapa yang harus dikembalikan, firewall yang diterapkan dengan baik memungkinkan administrator sistem untuk menentukan komunikasi masuk dan keluar apa yang diizinkan dari server dan juga kemampuan untuk mengurangi ancaman dalam parameter yang ditetapkan.

Sebagai administrator sistem, tempat standar untuk memulai dalam hal keamanan adalah:

• perlu diketahui bahwa perangkat lunak apa pun dapat dieksploitasi termasuk cPanel.
• memahami &memperlakukan setiap masukan pengguna berpotensi bermusuhan &berbahaya
• terapkan praktik keamanan yang baik untuk mempertahankan infrastruktur
• hindari meluncurkan solusi keamanan apa pun yang tidak Anda pahami seperti yang dipahami.
• mencatat semua perilaku mencurigakan jika dan saat diperlukan untuk forensik
• rancang sistem sedemikian rupa sehingga memungkinkan Anda memulihkan infrastruktur ke kondisi sebelum kompromi.
• melampaui firewall port untuk menyembunyikan protokol yang tidak aman, tetapi mengandalkan keamanan protokol yang Anda gunakan untuk mempertahankan infrastruktur Anda.
• memberikan hak istimewa minimal yang diperlukan untuk menyelesaikan operasi dengan sukses, tetapi tidak lebih dari yang dibutuhkan.

Cara Mengatur Firewall cPanel Untuk Mitigasi

Jadi bagaimana cara mengamankan, misalnya, server web cPanel yang menghadap publik untuk dan menurunkan kemungkinan disusupi?

Mari kita mulai dengan dasar-dasar saat memasang server cPanel baru.

Hapus semua aturan yang ada

Sama seperti Anda tidak akan mulai membangun gedung di atas apa yang telah dibuat seseorang, selalu lebih baik untuk menghapus semua aturan firewall yang ada sebelum menerapkan yang baru.

Melakukannya memberi Anda gagasan yang jelas dan koheren tentang apa yang Anda izinkan dan blokir di sistem Anda, sepotong informasi yang ingin Anda miliki di kepala Anda saat menghadapi ancaman yang sedang berlangsung.

Saat menginstal cPanel di komputer baru, Anda harus menonaktifkan firewall sebelum menjalankan skrip instalasi dengan:

iptables-save > ~/firewall.rules
systemctl stop firewalld.service
systemctl disable firewalld.service

di mana ~/firewall.rules mewakili file aturan firewall.

Perintah yang sama akan bekerja pada CentOS, Red Hat® Enterprise Linux, CloudLinux™, dan Amazon® juga.

Saat proses penginstalan selesai, Anda kemudian dapat memilih dan mengonfigurasi firewall dari salah satu opsi di bawah ini.

Nonaktifkan SELinux

SELinux (Linux yang Ditingkatkan Keamanan ) dalam mode penegakan sengaja dibuat untuk membuat server web Anda menjadi benteng, tetapi sejujurnya, dibutuhkan banyak pekerjaan untuk mengonfigurasi SELinux bahkan mesin Linux dasar.

Dan sementara cPanel &WHM mungkin dapat berfungsi dengan SELinux dalam mode permisif, ini menghasilkan sejumlah besar entri log yang tidak Anda inginkan.

Sangat disarankan agar Anda menonaktifkan SELinux dan mem-boot ulang sistem sebelum menginstal cPanel di sistem apa pun.

Untuk menonaktifkan fitur keamanan SELinux, gunakan salah satu metode berikut:

Tarik Terminal Anda dan jalankan:

$ sudo cp /etc/selinux/config /etc/selinux/config.backup

$ sudo vi /etc/selinux/config

File /etc/selinux/config memungkinkan Anda untuk mengatur parameter SELINUX yang Anda inginkan untuk dijalankan oleh server.

Ketika terbuka, Anda akan melihat sesuatu seperti ini:

This file controls the state of SELinux on the system.
 SELINUX= can take one of these three values:
 enforcing - SELinux security policy is enforced.
 permissive - SELinux prints warnings instead of enforcing.
 disabled - No SELinux policy is loaded.
 SELINUX=enabled
 SELINUXTYPE= can take one of these two values:
 targeted - Only targeted network daemons are protected.
 strict - Full SELinux protection.
 SELINUXTYPE=targeted

Parameter yang Anda cari adalah “SELINUX=enable”

Yang harus Anda lakukan adalah mengganti kata “diaktifkan ” dengan “dinonaktifkan “.

Simpan file dengan menjalankan “:wq ” dan keluar.

Mulai ulang server:

sudo systemctl reboot

systemctl adalah utilitas baris perintah dan alat utama untuk mengelola systemd daemon/layanan seperti (mulai, mulai ulang, hentikan, aktifkan, nonaktifkan, muat ulang &status).

Anda sekarang dapat memulai instalasi cPanel Anda dan setelah selesai, saatnya untuk memulai konfigurasi keamanan.

Firewall Jenis Apa yang Dapat Anda Gunakan Dengan cPanel?

Jenis firewall yang akan Anda gunakan dengan cPanel akan sangat bergantung pada dua hal:

• lingkungan penerapan (on-premise atau berbasis cloud)
• tingkat keakraban Anda dengan alat yang ingin Anda gunakan

Mengimplementasikan Firewall cPanel Di Cloud

Jika Anda menggunakan cloud publik seperti AWS, Google Cloud Platform, Microsoft Azure, Alibabacloud, dan host lainnya, Anda dapat melakukan semua yang Anda inginkan dari tingkat pusat data.

Tetapi ini membutuhkan kemampuan untuk membuat VPC (pusat data di cloud-speak) dan sementara antarmuka topografi dan konvensi penamaan pada masing-masing platform ini berbeda, semuanya bermuara pada satu hal:mampu menentukan lalu lintas masuk dan keluar apa yang ingin Anda beri akses.

Hal ini sering kali mengharuskan Anda mencari tahu port apa yang akan dijalankan server secara optimal dan kemudian mengizinkan akses masuk ke port tersebut.

Ada lapisan keamanan opsional lainnya seperti ACL Jaringan (yang secara default, memungkinkan semua lalu lintas IPv4 masuk dan keluar dan, jika berlaku, lalu lintas IPv6.) yang bertindak sebagai firewall untuk mengontrol lalu lintas masuk dan keluar dari satu atau lebih subnet.

Tapi kami akan tetap dengan dasar-dasarnya saat ini.

Grup Keamanan

Di cloud, grup keamanan bertindak sebagai firewall virtual yang mengontrol lalu lintas untuk satu atau beberapa instance dan memberikan keamanan di tingkat protokol dan akses port.

Saat meluncurkan instans, Anda dapat menentukan satu atau beberapa grup keamanan; jika tidak, kami menggunakan grup keamanan default.

Anda dapat menambahkan aturan ke setiap grup keamanan yang mengizinkan lalu lintas ke atau dari instance terkait.

Setiap grup keamanan – bekerja dengan cara yang sama seperti firewall – berisi seperangkat aturan yang menyaring lalu lintas masuk dan keluar dari sebuah instance.

Tidak ada aturan 'Tolak'.

Sebaliknya, jika tidak ada aturan yang secara eksplisit mengizinkan paket data tertentu, paket tersebut akan dihapus.

Anda dapat mengubah aturan untuk grup keamanan kapan saja; aturan baru diterapkan secara otomatis ke semua instance yang terkait dengan grup keamanan.

Saat kami memutuskan apakah akan mengizinkan lalu lintas untuk menjangkau sebuah instance, kami mengevaluasi semua aturan dari semua grup keamanan yang terkait dengan instance tersebut.

Di Microsoft Azure , ini disebut Grup Keamanan Jaringan (NSG).

Google Cloud Platform memanggil Aturan Firewall sendiri (Jaringan>>> jaringan VPC).

Firewall GCP berlaku untuk satu jaringan VPC tetapi dianggap sebagai sumber daya global karena paket dapat menjangkaunya dari jaringan lain.

AWS &Alibabacloud menelepon Grup Keamanan mereka.

Hal yang Perlu Diingat:

Keamanan harus menjadi bagian dari desain arsitektur awal Anda, bukan setelahnya .

Meskipun Anda selalu dapat kembali dan menetapkan grup keamanan yang baru dibuat ke sebuah instance, selalu buat VPC Anda dengan subnet, rute, firewall, dan semuanya sebelum Anda meluncurkan mesin virtual pertama Anda.

Dengan begitu saat Anda men-deploy instance, Anda cukup memilih grup keamanan yang ada, memeriksa ulang semua port sebelum menekan deployment.

Ketahuilah bahwa pada setiap platform ini, Anda dibatasi pada sejumlah grup keamanan tertentu per VPC .

Anda selalu dapat meminta peningkatan hingga batas, tetapi Anda mungkin melihat dampak kinerja jaringan.

Selain itu, pastikan aturan firewall Anda cocok dengan cara tempat Anda menggunakan layanan cPanel &WHM.

Membuat Grup Keamanan

AWS

Untuk membuat grup keamanan menggunakan konsol AWS

Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

Di panel navigasi, pilih Grup Keamanan .

Pilih Buat Grup Keamanan .

Masukkan nama grup keamanan (misalnya, cpanel_security_group) dan berikan deskripsi.

Pilih ID VPC Anda dari menu VPC dan pilih Ya, Buat .

Anda juga dapat menggunakan:

aws ec2 create-security-group --group-name MySecurityGroup --description "My security group" --vpc-id vpc-1a2b3c4d

Pada tab Aturan Masuk, pilih Edit .

Pilih opsi untuk aturan lalu lintas masuk untuk Jenis, lalu isi informasi yang diperlukan.

Tentukan nilai untuk Sumber sebagai 0.0.0.0/0.

Secara opsional, berikan deskripsi untuk setiap aturan, lalu pilih Simpan .

Microsoft Azure

Dari Pusat Keamanan Azure, Anda akan dapat melihat daftar aturan grup keamanan jaringan (NSG) dan Daftar Kontrol Akses (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke instans VM Anda di Jaringan Virtual.

Saat NSG dikaitkan dengan subnet, aturan ACL berlaku untuk semua instance VM di subnet tersebut.

Microsoft Azure memiliki formulir yang lebih panjang dengan lebih banyak bidang yang harus diisi.

Tetapi ini relatif sederhana dan melakukan hal yang sama persis seperti yang Anda lihat di platform cloud lainnya.

Untuk membuat grup keamanan jaringan di Microsoft Azure,

Di pojok kiri atas portal, pilih + Buat sumber daya.

Pilih Jaringan, lalu pilih grup keamanan jaringan.

Masukkan Nama untuk grup keamanan jaringan, pilih Langganan Anda, buat Grup Sumber Daya baru, atau pilih grup sumber daya yang ada, pilih Lokasi , lalu pilih Buat .

Di kotak pencarian di bagian atas portal, masukkan grup keamanan jaringan di kotak pencarian.

Saat grup keamanan jaringan muncul di hasil pencarian, pilih grup tersebut.
Pilih grup keamanan jaringan yang ingin Anda ubah.

Pilih Aturan keamanan masuk di bawah PENGATURAN .

Beberapa aturan yang ada terdaftar.

Saat grup keamanan jaringan dibuat, beberapa aturan keamanan default dibuat di dalamnya.

Anda tidak dapat menghapus aturan keamanan default, tetapi Anda dapat menggantinya dengan aturan yang memiliki prioritas lebih tinggi.

Untuk mempelajari lebih lanjut tentang aturan keamanan default, kunjungi https://docs.microsoft.com/en-us/azure/virtual-network/security-overview#default-security-rules.

Pilih + Tambah .

Pilih atau tambahkan nilai untuk pengaturan berikut:

• Sumber (Apa saja, Grup keamanan aplikasi, Alamat IP, atau Tag Layanan)
• Rentang port sumber (0.0.0.0/0)
• Tujuan (Apa saja, Grup keamanan aplikasi, alamat IP, atau Jaringan Virtual)
• Rentang port tujuan
• Protokol (Apa saja, TCP, atau UDP)
• Tindakan (Izinkan atau Tolak)
• Prioritas (100-4096 – semakin rendah angkanya, semakin tinggi prioritasnya. Beri jarak antara angka prioritas saat membuat aturan, seperti 100, 200, 300. Meninggalkan celah memudahkan penambahan aturan di masa mendatang yang Anda mungkin perlu membuat lebih tinggi atau lebih rendah dari aturan yang ada.)
  Nama
• Deskripsi Opsional

Pilih Oke .

Alibabacloud

Masuk ke konsol ECS.

Di panel navigasi sisi kiri, pilih Jaringan dan Keamanan> Grup Keamanan .

Pilih wilayah target.

Temukan grup keamanan untuk menambahkan aturan otorisasi lalu, di kolom Tindakan, klik Tambahkan Aturan .

Pada laman Aturan Grup Keamanan, klik Tambahkan Grup Keamanan Aturan.

Di kotak dialog, atur parameter berikut:

Arah Aturan:

• Keluar:Instans ECS mengakses instans ECS lain melalui jaringan intranet, atau melalui sumber daya Internet.
• Masuk:Instance ECS lain di intranet dan sumber daya Internet mengakses instance ECS.

Tindakan:

• Pilih Izinkan atau Larang.
• Jenis Protokol dan Rentang Port
• Jenis Otorisasi dan Objek Otorisasi
• Prioritas:Rentang nilai adalah 1-100. Ingat, semakin kecil nilainya, semakin tinggi prioritasnya.

Klik Oke .

Google Cloud Platform

Di Google Cloud Platform, setiap jaringan VPC berfungsi sebagai firewall terdistribusi.

Sementara aturan firewall ditentukan di tingkat jaringan, koneksi diizinkan atau ditolak berdasarkan per-instance.

Anda dapat menganggap aturan firewall GCP tidak hanya ada di antara instance Anda dan jaringan lain, tetapi juga di antara masing-masing instance dalam jaringan yang sama.

Saat membuat aturan firewall GCP, Anda menentukan jaringan VPC dan sekumpulan komponen yang menentukan apa yang akan dilakukan aturan tersebut.

Komponen memungkinkan Anda untuk menargetkan jenis lalu lintas tertentu, berdasarkan protokol, port, sumber, dan tujuan lalu lintas

Tidak seperti AWS, aturan firewall GCP hanya mendukung traffic IPv4.

Saat menentukan sumber untuk aturan ingress atau tujuan untuk aturan egress berdasarkan alamat, Anda hanya dapat menggunakan alamat IPv4 atau blok IPv4 dalam notasi CIDR.

Ingat bahwa Anda harus membuat jaringan khusus sebelum dapat mewujudkannya.

Produk &layanan> Jaringan VPC> Jaringan VPC

Klik + BUAT JARINGAN VPC .

Lakukan hal berikut, biarkan semua bidang lain dengan nilai defaultnya:

Tentukan subnet

Klik Buat .

Kunjungi Produk &layanan> Jaringan VPC> Aturan firewall

Klik jaringan yang Anda buat.

Anda akan melihat bahwa tidak ada aturan firewall default yang dibuat untuk jaringan kustom.

Anda harus menambahkan aturan default secara manual di langkah berikutnya.

Klik + BUAT ATURAN FIREWALL .

Masukkan yang berikut, biarkan semua bidang lain dengan nilai defaultnya:

Property                         Value
 Name:                            allow-ssh-icmp-rdp-learncustom
 Network:                         learncustom
 Direction of traffic:            Ingress
 Action on match:                 Allow
 Targets:                         cpanel
 Target tags:                     cpanel, cloudlinux
 Source filter:                   IP ranges
 Source IP ranges:                0.0.0.0/0
 Protocols and ports:             Specified protocols and ports
 type:                            icmp; tcp:22; tcp:25; tcp:53; tcp:80; tcp:110; tcp:143; tcp:443; tcp:465; tcp:587; tcp:993; tcp:995; tcp:2078; tcp:2080; tcp:2083; tcp:2087; tcp:2096; udp:53; udp:123; udp:465; udp:783; udp:873; udp:6277; udp:24441

Pastikan alamat filter sumber menyertakan '/0' akhir.

Jika Anda menentukan 0.0.0.0 alih-alih 0.0.0.0/0, filter akan default ke 0.0.0.0/32 — alamat host persis yang tidak ada.

Klik Buat .

Port Firewall Layanan cPanel

Berikut adalah port yang digunakan cPanel &WHM, dan layanan yang menggunakan masing-masing port tersebut.

Kami telah menghapus semua layanan non-SSL karena penggunaan ini memungkinkan penyerang untuk mencegat informasi sensitif, seperti kredensial login.

Kami rasa Anda sudah mengetahui apa itu port.

Tetapi jika Anda tidak tahu, mari kita lihat sekilas apa itu port dalam jaringan.

Dalam model jaringan OSI, port sebagian besar merupakan bagian dari lapisan transport (tetapi juga dapat menjadi bagian dari lapisan jaringan dan bahkan lapisan sesi, tergantung pada mesin yang memulai (port sumber) dan layanan yang dipanggil (port tujuan + IP) dan siapa yang Anda tanya) dan menangani komunikasi ujung ke ujung antara berbagai layanan dan aplikasi.

Nomor port adalah 16-bit unsigned integer, sehingga berkisar dari 0 hingga 65535.

Untuk TCP, nomor port 0 dicadangkan dan tidak dapat digunakan, sedangkan untuk UDP, port sumber bersifat opsional dan nilai nol berarti tidak ada port.

Misalnya, HTTP memiliki port 80 yang ditetapkan untuknya.

Jadi, ketika klien ingin menghubungi server HTTP, ia menggunakan port tujuan 80 dan port sumber yang unik untuk proses membuat permintaan.

Hal ini memungkinkan host penerima untuk mengirim paket yang diterima dengan tujuan port 80 ke proses "mendengarkan" paket tersebut, yang jika ada, biasanya merupakan proses server HTTP.

Ketika server HTTP merespons, ia menggunakan port sumber klien sebagai port tujuan balasan dan mungkin menggunakan port 80 untuk port sumber paket balasan.

Ini memungkinkan klien asli untuk meneruskan port dengan cepat ke proses yang membuat permintaan.

Saat ini, port cPanel berkisar dari “1” (CPAN) hingga “24441” (Pyzor).

Port	Layanan	TCP	UDP	Masuk	Keluar
1	CPAN	✓			✓
22	SSH/SFTP	✓		✓
25	SMTP	✓		✓	✓
26	SMTP	✓		✓	✓
37	tanggal	✓			✓
43	siapa	✓			✓
53	mengikat	✓	✓	✓	✓
80	httpd	✓		✓	✓
110	pop3	✓		✓
113	identitas	✓			✓
143	IMAP	✓		✓
443	httpd	✓		✓
465	SMTP, SSL/TLS	✓	✓	✓	✓
579	cPHulk				✓
783	Spam Apache	✓	✓		✓
873	rsync	✓	✓		✓
993	SSL IMAP	✓		✓
995	SSL POP3	✓		✓
2703	Pisau	✓			✓
2078	SSL WebDAV	✓		✓	✓
2080	CalDAV dan CardDAV (SSL)	✓		✓	✓
2083	cPanel SSL	✓		✓
2087	SSL WHM	✓		✓
2089	Lisensi cPanel	✓			✓
2096	SSL Webmail	✓		✓
2195	APN	✓		✓
6277	DCC	✓	✓		✓
24441	Pyzor	✓	✓		✓

Yang paling penting dari proses ini adalah port masuk.

Pertimbangan lain yang mungkin Anda bawa adalah:

• izinkan akses gratis ke antarmuka loopback. Tidak seperti antarmuka eksternal, mengikat proses Anda ke localhost biasanya baik untuk keamanan, dan oleh karena itu membatasi akses ke antarmuka loopback menyebabkan lebih banyak kerugian daripada manfaat. Ini membuat Anda terbuka terhadap serangan dari pengguna lokal, tetapi itu adalah risiko yang harus Anda tanggung sendiri.
• jangan batasi semua lalu lintas Internet Control Message Protocol (ICMP). Mengizinkan ICMP sangat penting bagi Internet untuk bekerja; router dan host menggunakannya untuk mengkomunikasikan informasi penting seperti ketersediaan layanan, ukuran paket, dan keberadaan host. Tipe 3 dan 4, Destination Unreachable dan Source Quench, sangat penting, dan membatasinya dapat menyebabkan lebih banyak kerugian daripada keuntungan di masa mendatang.

Opsi Firewall Lain yang Tersedia

Firewall Untuk Skrip cPanel

Versi baru cPanel &WHM menyertakan layanan cpanel, yang mengelola semua aturan di /etc/firewalld/services/cpanel.xml mengajukan.

Ini memungkinkan akses TCP untuk port server.

Untuk mengganti aturan iptables yang ada dengan aturan di file /etc/firewalld/services/cpanel.xml, lakukan langkah-langkah berikut:

• jalankan perintah yum install firewalld untuk memastikan bahwa sistem Anda telah menginstal firewalld.
• jalankan perintah systemctl start firewalld.service untuk memulai layanan firewalld.
• jalankan perintah systemctl enable firewalld untuk memulai layanan firewalld saat server dimulai.
• jalankan perintah iptables-save> backupfile untuk menyimpan aturan firewall yang ada.
• jalankan skrip /usr/local/cpanel/scripts/configure_firewall_for_cpanel. Ini juga menghapus semua entri yang ada dari aplikasi iptables. saya
• jalankan perintah iptables-restore

Secara default, perintah firewall-cmd berlaku untuk konfigurasi runtime tetapi menggunakan flag –permanent akan membuat konfigurasi persisten.

Jadi, jika Anda perlu menambahkan port tambahan, tambahkan aturan (port atau layanan) ke set permanen dan runtime:

Anda dapat menggunakan contoh di bawah ini:

sudo firewall-cmd --zone=public --add-port=45000/tcp --permanent

sudo firewall-cmd --zone=public --permanent --add-service=ssh --permanent
sudo firewall-cmd --zone=public --permanent --add-service=ssh

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=http

sudo firewall-cmd --zone=public --permanent --add-service=https --permanent
sudo firewall-cmd --zone=public --permanent --add-service=https

sudo firewall-cmd --reload

Firewall

Setiap server yang menjalankan sistem operasi CentOS 7, CloudLinux 7, dan RHEL 7 akan memiliki daemon firewall yang sudah diinstal sebelumnya tetapi seringkali tidak aktif.

FirewallD adalah daemon layanan firewall.

Ini menggantikan antarmuka iptables dan terhubung ke kode kernel netfilter.

Menjadi dinamis, memungkinkan membuat, mengubah, dan menghapus aturan tanpa keharusan untuk me-restart daemon firewall setiap kali aturan diubah.

Firewalld menggunakan konsep zona dan layanan, yang menyederhanakan manajemen lalu lintas.

Zona adalah kumpulan aturan yang telah ditentukan sebelumnya.

Antarmuka dan sumber jaringan dapat ditetapkan ke suatu zona.

Lalu lintas yang diizinkan tergantung pada jaringan yang terhubung dengan komputer Anda dan tingkat keamanan yang ditetapkan jaringan ini.

Layanan firewall adalah aturan standar yang mencakup semua setelan yang diperlukan untuk mengizinkan lalu lintas masuk untuk layanan tertentu dan berlaku dalam suatu zona.

Untuk memeriksa status Firewalld, ketik:

systemctl status firewalld

atau

firewall-cmd --state

Untuk memulai layanan dan mengaktifkan FirewallD saat boot:

sudo systemctl start firewalld

sudo systemctl aktifkan firewalld

Untuk menghentikan dan menonaktifkannya:

sudo systemctl stop firewalld

sudo systemctl disable firewalld

Untuk melihat layanan default yang tersedia:

sudo firewall-cmd --get-services

File konfigurasi terletak di dua direktori:

• /usr/lib/FirewallD menyimpan konfigurasi default seperti zona default dan layanan umum. Hindari memperbaruinya karena file tersebut akan ditimpa oleh setiap pembaruan paket firewalld.
• /etc/firewalld menyimpan file konfigurasi sistem. File-file ini akan menimpa konfigurasi default.

Anda dapat membaca di:

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-using_firewalls#sec-Introduction_to_firewalld
https://firewalld.org/
https://fedoraproject.org/wiki/FirewallD
https://www.unix.com/man-page/centos/1/firewall-cmd/

CSF

ConfigServer adalah gratis, tepercaya Stateful Packet Inspection (SPI) firewall, Login/Deteksi Intrusi untuk server Linux dan mungkin salah satu alat termudah yang dapat Anda gunakan untuk melindungi server cPanel Anda.

Ini memiliki integrasi asli dengan cPanel/WHM, DirectAdmin dan Webmin dengan front-end ke CSF dan LFD (Login Failure Daemon) yang dapat diakses oleh akun root.

Dari antarmuka ini, Anda dapat memodifikasi file konfigurasi dan menghentikan, memulai dan memulai ulang aplikasi serta memeriksa statusnya.

Hal ini membuat konfigurasi dan pengelolaan firewall menjadi sangat sederhana.

Instalasi CSF untuk cPanel dan DirectAdmin telah dikonfigurasikan sebelumnya untuk bekerja pada mereka
server dengan semua port standar terbuka.

Ini mengonfigurasi port SSH Anda secara otomatis pada instalasi di mana ia berjalan pada non-
port standar.

CSF otomatis memasukkan alamat IP Anda yang terhubung ke daftar putih jika memungkinkan saat penginstalan.

Untuk menginstal CSF, jalankan perintah berikut sebagai pengguna root:

cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf && ./install.sh

Untuk mengonfigurasi CSF, kunjungi antarmuka ConfigServer &Firewall WHM di (Beranda>> Plugin>> ConfigServer &Firewall ).

Harap dicatat bahwa tidak disarankan untuk menjalankan beberapa firewall pada satu sistem.

Aturan ini tidak berlaku untuk Imunify360 karena dimungkinkan untuk menjalankan dan mengaktifkan CSF saat Imunify360 sudah berjalan.

Semua alamat IP dari Daftar Putih Imunify360 akan diekspor ke daftar abaikan CSF.

Jika Anda telah menginstal Imunify360, lalu instal CSF, Imunify360 beralih ke mode Integrasi CSF.

Untuk memeriksa apakah integrasi CSF diaktifkan, buka Imunify360 → Tab Firewall → Daftar Putih bagian dan periksa apakah ada pesan peringatan “CSF diaktifkan. Harap kelola IP yang masuk daftar putih di CSF menggunakan antarmuka pengguna CSF atau file konfigurasi “.

Artinya, integrasi CSF dan Imunify360 berhasil diproses.

Jika Anda menggunakan CSF sendiri, seringkali lebih baik menggunakannya bersama dengan ConfigServer ModSecurity Control (CMC) yang menyediakan antarmuka untuk implementasi mod_security cPanel dari dalam WHM.

Dengan ConfigServer ModSecurity Control Anda dapat:

• nonaktifkan aturan mod_security yang memiliki nomor ID unik di tingkat global, per pengguna cPanel, atau per domain yang dihosting
• nonaktifkan mod_security sepenuhnya, juga pada global, per pengguna cPanel atau per tingkat domain yang dihosting
• edit file yang berisi pengaturan konfigurasi mod_security di /usr/local/apache/conf
• melihat entri log mod_security terbaru

Untuk membaca tentang cara kerja Imunify360 dengan ConfigServer Security &Firewall (CSF), kunjungi https://docs.imunify360.com/ids_integration/#csf-integration.

Untuk membaca cara mengonfigurasi CSF dengan semua opsi yang tersedia, kunjungi https://download.configserver.com/csf/readme.txt.

Untuk melihat cara menginstal ConfigServer ModSecurity Control, kunjungi https://download.configserver.com/cmc/INSTALL.txt

Untuk melihat cara menginstal ConfigServer ModSecurity Control, kunjungi https://download.configserver.com/cmc/INSTALL.txt

APF

APF bertindak sebagai antarmuka front-end untuk aplikasi iptables dan memungkinkan Anda untuk membuka atau menutup port tanpa menggunakan sintaks iptables.

Contoh berikut mencakup dua aturan yang dapat Anda tambahkan ke file /etc/apf/conf.apf untuk mengizinkan akses HTTP dan HTTPS ke sistem Anda:

Common ingress (inbound) TCP ports
IG_TCP_CPORTS="80,443″# Common egress (outbound) TCP ports
EG_TCP_CPORTS="80″

Fail2ban

Fail2ban adalah perangkat lunak pencegahan intrusi dan aplikasi penguraian log yang memantau log sistem untuk gejala serangan otomatis pada server cPanel Anda.

Ketika upaya kompromi ditemukan, menggunakan parameter yang ditentukan, Fail2ban akan menambahkan aturan baru ke iptables untuk memblokir alamat IP penyerang, baik untuk jangka waktu tertentu atau secara permanen.

Fail2ban juga dapat memperingatkan Anda melalui email bahwa serangan sedang terjadi.

Ini bukan pilihan terbaik untuk server cPanel karena fungsinya terutama difokuskan pada serangan SSH dan fungsinya hampir sama dengan cPHulk Brute Force Protection .

cPHulk disertakan sebagai bagian dari semua instalasi cPanel &WHM dan dapat digunakan untuk memantau dan memblokir semua upaya login yang dilakukan ke cPanel, WHM, FTP, email, dan SSH.

Ini memberi administrator berbagai cara untuk memerangi serangan brute force baik secara otomatis maupun manual, dan cPHulk bahkan dapat digunakan untuk memblokir alamat IP berbahaya di firewall Anda.

Blok login berbahaya dapat dikeluarkan dalam jangka waktu yang berbeda dari larangan sementara hingga larangan satu hari atau bahkan permanen.

Sistem cPHulk yang sangat dapat dikonfigurasi memungkinkan banyak kontrol.

Anda dapat menentukan jumlah upaya login yang gagal sebelum alamat IP diblokir, menentukan tindakan tambahan untuk dijalankan saat memicu pemblokiran otomatis, dan bahkan mengaktifkan notifikasi ke administrator server saat peristiwa tertentu terjadi.

Namun Anda juga dapat menggunakan failban dan mengonfigurasinya agar berfungsi untuk layanan apa pun yang menggunakan file log dan dapat disusupi.

Pastikan sistem Anda mutakhir dan instal repositori EPEL:

yum update && yum install epel-release

Instal Fail2Ban:

yum install fail2ban

Mulai dan aktifkan Fail2ban:

systemctl start fail2ban
systemctl enable fail2ban

If you see the error “no directory /var/run/fail2ban to contain the socket file /var/run/fail2ban/fail2ban.sock ”, create the directory manually:

mkdir /var/run/fail2ban

Fail2ban reads .conf configuration files first, then .local files override any settings.

Because of this, all changes to the configuration are generally done in .local files, leaving the .conf files untouched.

Configure fail2ban.local

fail2ban.conf contains the default configuration profile.

The default settings will give you a reasonable working setup.

If you want to make any changes, it’s best to do it in a separate file, fail2ban.local, which overrides fail2ban.conf.

Rename a copy fail2ban.conf to fail2ban.local.

cp /etc/fail2ban/fail2ban.conf /etc/fail2ban/fail2ban.local

Configure jail.local Settings

The jail.conf file will enable Fail2ban for SSH by default for Debian and Ubuntu, but not CentOS.

All other protocols and configurations (HTTP, FTP, etc.) are commented out. If you want to change this, create a jail.local for editing:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Since we are using CentOS, you will need to change the backend option in jail.local from auto to systemd.

sudo systemctl start fail2ban
sudo systemctl enable fail2ban
sudo systemctl status -l fail2ban

To learn more about failban, here are the documentation and manual:

FAQ:https://www.fail2ban.org/wiki/index.php/FAQ
HOWTO:https://www.fail2ban.org/wiki/index.php/HOWTOs)
Official Fail2ban Documentation:https://www.fail2ban.org/wiki/index.php/Manual
Failban Configuration:https://www.fail2ban.org/wiki/index.php/Category:Configuration

Checking Your cPanel Ports

For a Linux instance, follow these steps to verify the security group rule:

Connect to a Linux instance by using a password.

Kemudian, jalankan perintah berikut:

sudo netstat -plunt

To check whether TCP 80 (replace “80” with any port) is being listened to.

sudo netstat -an | grep 80

You can also use nmap which probably is the most commonly used network mapper in the infosec world.

Nmap can be used to:

• create a complete computer network map.
• find remote IP addresses of any hosts.
• get the OS system and software details.
• detect open ports on local and remote systems.
• audit server security standards.
• find vulnerabilities on remote and local hosts.

You should run nmap ONLY on servers that you own or in situations where you’ve notified the owners.

The reason is that why you as a network administrator might be using nmap to look for possible vulnerabilities to help prevent such attacks, your action can be interpreted as “malicious cracking attempts” and most security tools and cloud providers frowns on this.

CentOS

sudo yum install nmap

To install nmap on Red Hat Enterprise Linux 8 execute the following dnf command:

sudo dnf install nmap

To install nmap on an Ubuntu or Debian machine by entering:

sudo apt-get update

sudo apt-get install nmap

Use the –version option to check the installed nmap version and correctness of the actual nmap installation. Misalnya:

nmap -version

Basic Nmap Scan against IP or host

nmap 1.1.1.1

Now, if you want to scan a hostname, simply replace the IP for the host, as you see below:

nmap cloudflare.com

These kinds of basic scans are perfect for your first steps when starting with Nmap.

Scan specific ports or scan entire port ranges on a local or remote server

nmap -p 1-65535 localhost

In this example, we scanned all 65535 ports for the localhost.