1.使用安全密码编辑/etc/login.defs配置密码选项。一般来说,建议密码至少设置8位或者8位以上,包含大小字母和数字,有特殊符号更好。如果你想知道你设置的密码是否安全,可以用 JTR cracker之类工具来破解下,如果几个小时被破解了,说明密码不够安全。也可以使用pam_passwdqc工具来检测密码强度。2.加固SSH安全启用SSH的公共密钥并禁用密码验证。编辑/etc/ssh/sshd_config文件修改SSH的默认22端口为其它端口比如1653。使用SSHv2而不是SSHv1,方法为修改/etc/ssh/sshd_config中##Protocol 2,1为#Protocol 2。编辑/etc/security/limits.conf限制用户Shell资源的使用。3.安全Apache使用mod_security。通过EasyApache即可编译mod_security。编译Apache的时候,将suexec编辑进去确保CGI程序和脚本以拥有者的身份被拥有和执行。这样出问题的时候容易判断是哪个用户引起的。通过PHPsuexec编辑Apache和PHP。PHPsuexec强制所有的PHP脚本以拥有者的身份执行。启用PHP open_basedir保护,这样用户就不能通过PHP打开他们主目录之外的文件。为PHP 5启用safe_mode,保证PHP脚本的拥有者与所操作到的任何文件的拥有者是一直的。编辑php.ini文件,设置safe_mode = On即可。4.加固/tmp目录安全为/tmp目录使用单独的nosetuid分区,这样会强制让进程仅以执行者拥有的权限运行。cPanel安装之后以noexec方式载入/tmp。执行/scripts/securetmp将/tmp分区载入到一个临时文件。
5.升级邮件到邮件maildir格式Maildir格式更安全并且能够加速邮件系统。目前最新的cPanel版本均会自动使用Maildir。如果你的cPanel版本比较老的话,可以通过 /scripts/convert2maildir来升级到Maildir。如果执行的时候提示Maildir已经启用,就不需要再执行了。6.关闭系统的编译器大多数用户都不需要使用C和C++编译器。使用Security Center中的Complier Access功能关闭未授权使用编译器的用户使用它们,或者仅仅关闭特定用户使用编译器的权限。7.关闭不使用的服务和进程检查/etc/xinetd.conf看下哪些服务你不在使用。比如cupsd和nfs/statd这些一般都不会用到。你可以到Service Configuration中的Service Manager里关闭不用的服务。8.监控你的系统要实时监控你的系统,确保你能知道有哪些账户被创建了,哪些软件被安全了,或者哪些软件需要更新等。定期检查你的系统比如检查下面这些:netstat -anp:查找你没有安装或者授权的端口在运行的程序。find / ( -perm -a+w ) ! -type l >> world_writable.txt:查找world_wirtable.txt文件来查看所有的可写文件和目录。这样有助于发现攻击者藏在你系统上的文件。find / -nouser -o -nogroup>> no_owner.txt:查找那些不属于任何用户或者组的文件。所有的文件都必须属于某个特定用户或者组。ls /var/log/:系统日志所在目录。这里可以检查系统日志,apache日志,邮件日志等等。有一些简单易用的工具能够扫描出系统的rootkits,backdoors等:
10.保持cPanel更新确保你使用的cPanel版本能够不断更新,始终保持使用最新的稳定版本。同时确保内核、用户应用程序(如用户的CMS等)、系统软件。cPanel的自动升级更新以及系统软件的更新可以在WHM中的Server Configuration中的Update Preferences里设置。文章来源:主机侦探