Cách cấu hình bảo mật CWP hosting control panel miễn phí

Cấu hình bảo mật cho CentOS Web Panel (CWP)

CentOS Web Panel hay CWP là một hosting control panel miễn phí rất đáng để sử dụng, nó có nhiều chức năng mà đa số các hosting control panel khác không có. Tuy nhiên một số chức năng không được active. Do đó bạn cần phải làm điều đó thủ công.

Ở bài trước chúng ta đã nói về hướng dẫn cài đặt CWP trên một VPS/ Dedicated Server (DC). Bài viết này mình sẽ viết tiếp về một số bước để cấu hình bảo mật cho CentOS Web Panel, thêm một vài lớp bảo mật cho CWP sẽ giúp cho VPS/ DC của bạn an toàn hơn rất nhiều. Bạn  có thể làm theo các bước này hoặc cấu hình theo ý mình, nhưng mình thấy đây là cấu hình chung, cơ bản nhất.

Chuẩn bị trước khi cấu hình

Một VPS/ DC đã cài đặt CWP. Nếu chưa cài, các bạn hãy làm một số bước cơ bản dưới đây:

  1. Có một VPS/ DC tối thiểu 512MB RAM (Khuyên dùng: Digital Oceanhoặc Ramnode).
  2. Cài đặt CWP với bài hướng dẫn này.
  3. Lấy một ly cafe để nhâm nhi :D.

HƯỚNG DẪN

;

A. THAY ĐỔI PORT SSH

Đây là một nhiệm vụ cần thiết mình đã đề cập trong bài viết này.

Bước 1 – Đăng nhập vào CWP Admin với đường dẫn sau:

http://dia-chi-ip-cua-ban:2030/login.php

cấu hình bảo mật cho CentOS Web Panel

Bước 2 – Bây giờ bạn vào Services Config sau đó vào SSH Configuration:

cấu hình bảo mật cho CentOS Web Panel

Trong trang tiếp theo, bạn cuộn xuống dưới cho đến khi thấy 2 button màu xanh. Bây giờ thì nhấn vào button Create File Backup để backup lại cấu hình trước khi chúng ta thao tác.

cấu hình bảo mật cho CentOS Web Panel

Bước 3 – Một khi bạn đã backup lại cấu hình thì đã đến lúc bắt tay vào điều chỉnh các thông số thôi, Tìm dòng giống như thế này:

#port 22

Xóa dấu “#” ở đâu và thay đổi số 22 thành một số bất kì giữa 1025 tới 65536, ví dụ ở đây là port 22000.

cấu hình bảo mật cho CentOS Web Panel

Đừng quên nhấn vào button Save Changes.

B. BẬT CFS FIREWALL

Config Server Firewall (hay CSF) là một tường lửa miễn phí nhưng rất mạnh mẽ, chạy trên hầu hết các hệ điều hành Linux.

Bước 1 – Vào menu Security sau đó vào CSF Firewall:

cấu hình bảo mật cho CentOS Web Panel

Bước 2 – Nhấn vào button Firewall Enable để bật tường lửa:

cấu hình bảo mật cho CentOS Web Panel

Nó sẽ chuyển bạn đến một trang kế, ở đó bạn sẽ thấy một thông báo ngắn gọn:

Bước 3 – Một khi đã active firewall, bạn đã có thể cấu hình cho nó. Nhấn vào nút Firewall Configuration.

cấu hình bảo mật cho CentOS Web Panel

Bước 4 – Đừng quên tạo file backup trước khi cấu hình bằng cách nhấn vào button Create File Backup.

Bước 5 – Ở trang kế tiếp bạn sẽ nhìn thấy rất nhiều dòng code. Hãy để ý đến dòng dưới đây và thêm vào SSH port mà bạn đã thêm vào ở trước đó.

cấu hình bảo mật cho CentOS Web Panel

Sau đó, bạn nhớ Save Changes.

Một số port mà CWP sử dụng trong đây bạn có thể chỉnh sửa:

  • Port 20: FTP data transfer
  • Port 21: FTP control
  • Port 22: Secure shell (SSH)
  • Port 25: Simple mail transfer protocol (SMTP)
  • Port 53: Domain name system (DNS)
  • Port 80: Hypertext transfer protocol (HTTP)
  • Port 110: Post office protocol v3 (POP3)
  • Port 113: Authentication service/identification protocol
  • Port 123: Network time protocol (NTP)
  • Port 143: Internet message access protocol (IMAP)
  • Port 443: Hypertext transfer protocol over SSL/TLS (HTTPS)
  • Port 465: URL Rendesvous Directory for SSM (Cisco)
  • Port 587: E-mail message submission (SMTP)
  • Port 993: Internet message access protocol over SSL (IMAPS)
  • Port 995: Post office protocol 3 over TLS/SSL (POP3S)
  • Port 2030: CWP login page (non SSL)
  • Port 2031: CWP login page (SSL)

Chú ý: một số tùy chỉnh có thể bạn muốn thực hiện.

ICMP_IN: nếu giá trị là 1 thì bạn có thể ping tới server và 0 thì server sẽ không cho ping tới. Nếu bạn đang có ý định làm một dịch vụ hosting thì nên allow ICMP, khách hàng ping tới thì biết server bạn có sống hay không.

ICMP_IN_LIMIT: cấu hình thời gian mà một IP có thể ping tới server của bạn. Thường thì bạn không cấn thay đổi thông số này 1/s.

DENY_IP_LIMIT: cấu hình để CSF chặn IP. Mình khuyên rằng hãy giữ số lượng IP ít, vì càng nhiều thì server của bạn càng chậm.

DENY_TEMP_IP_LIMIT: chức năng tương tự như trên nhưng chỉ tạm thời chặn.

PACKET_FILTER: lọc các gói (packet) không mong muốn.

SYNFLOOD, SUNFLOOD_RATE and SYNFLOOD_BURST: nó sẽ làm những kết nối tới chậm đi, bạn nên bật chức năng này nếu đang bị tấn công DDoS.

PORTFLOOD: giới hạn số kết nối mới vào port trong một khoảng thời gian.

CONNLIMIT: giới hạn số kết nối tới port trong cùng một thời điểm.

C. CÀI ĐẶT MOD SECURITY

Mod Security các bạn có thể hiểu là một tường lửa của các ứng dụng web. Có thể nói rằng, Mod Security là một module của Apache giúp chúng ta ngăn chặn được nhiều cuộc tấn công khác nhau, thằng này open source và đương nhiên là miễn phí. Chúng ta cần cài thêm nó để tăng bảo mật cho VPS/ DC của mình. Các bạn có thể xem thêm về Mod Security tại đây.

Bước 1 – Vào Security sau đó chọn Mod Security:
cấu hình bảo mật cho CentOS Web Panel

Bước 2 – Mặc định module này chưa được cài đặt vì thế đầu tiên bạn phải cài đặt nó bằng cách click vào button màu xanh:
cấu hình bảo mật cho CentOS Web Panel

Bước 3 – Sau khi đã click, một thông báo sẽ hiện ra rằng “Running compiler in background…”, điều này nghĩa là tiến trình cài đặt đang diễn ra và bạn phải đợi vài phút sau đó F5 lại sẽ được như hình dưới là thành công:
cấu hình bảo mật cho CentOS Web Panel

Ok, vậy là xong rồi. Mod Security đã có sẵn trong CWP nhưng bạn cần phải kích hoạt nó, thêm một lớp bảo vệ nữa đảm bảo cho server của bạn luôn an toàn. Nếu bạn muốn tùy chỉnh nâng cao hơn, bạn hãy edit từng file để config nó theo cấu hình bạn muốn.

Bình luận & Góp ý