Aumente A Segurança De Seu Servidor

[PedroS]

A segurança é algo essencial a qualquer servidor.

É extremamente importante hospedar seus sites, sites de clientes e outros arquivos em um local seguro. Hospedar qualquer conteúdo em um servidor inseguro é muito arriscado, poder levar várias pessoas e empresas a perderem seus dados e arquivos, terem prejuízos por arquivos perdidos, pode até falir empresas. Por isso é sempre importante manter seu servidor com uma segurança extrema.

1. Configure a segurança e monitore o SSH.

O SSH é um protocolo de internet para comunicação e transferência de dados em segurança, em que o acesso é feito normalmente por um cliente, sendo o Putty (download aqui) um ótimo exemplo, e as ações são dadas por comandos. Abaixo temos boas dicas de segurança para o SSH:

• Altere a porta de conexão padrão do SSH. Todo serviço voltado para a conexão pela internet possui uma porta de conexão. Por padrão, a porta de conexão do SSH é a 22. Para alterá-la, siga os seguintes passos:
  
  
  
  1.
  Digite
  nano /etc/ssh/sshd_config
  e dê enter.
  
  
  2.
  Procure por
  #Port 22
  .
  
  
  3.
  Apague o
  #
  e altere o valor de
  22
  para uma porta qualquer que não esteja em uso - recomendamos portas entre 3000 e 7000 - de maneira que fique como este exemplo: Port 5002.
  
  
  4.
  Segure a tecla CTRL e depois a tecla X, após isso digite a letra y e dê enter para fechar e salvar o arquivo.
  
  
  5.
  Lembre-se de liberar a porta escolhida por você e bloquear a padrão (22) no Firewall do servidor
  , caso ele tenha.
  
  
  6.
  Digite agora
  service sshd restart
  para reiniciar o SSH.
  
  
  7.
  Pronto! Seu SSH já está funcionando pela porta alternativa escolhida por você.
  • Configure bem um firewall e sistemas de seguranças para bloquear o IP do usuário caso erre a senha do SSH mais de 5 ou 7 tentativas, evitando que descubram sua senha por um método chamado "Brute Force".
    
  • Use e abuse do Host Access Control ( WHM (root): Main >> Security Center >> Host Access Control ). O Host Access Control serve para bloquear e liberar o acesso por IPs de diversos sistemas como SSH, FTP, HTTP, etc. É recomendável que deixe, na segunda linha o sshd bloqueado, e caso precise do SSH, adicione uma permissão para seu IP apenas na primeira linha. Quando acabar de utilizar, apague o conteúdo da primeira linha. Veja um exemplo:
    
    
  • Use sempre senhas complicadas, não ligadas a sua vida (tanto pessoal quanto a de trabalho) e modifique sua senha frequentemente. Se sua empresa chama Host1, evite senhas como senhaHost1.
    

  2. Configure um Firewall

  O firewall tem como objetivo aplicar uma política de segurança a um determinado ponto da rede, impedindo-a de sofrer quedas provocadas de proposito, para atrapalhar o funcionamento daquele servidor. Atualmente o Firewall (software) mais utilizado para Linux com cPanel/WHM é o famoso CSF (Config&Server Firewall - Arquivo readme - Guia de instalação). Instale-o e configure da melhor maneira possível.

  3. Recompile o Apache

  Recompilar o apache é instalar os módulos necessários para o bom funcionamento do Apache, de maneira segura. Recompile o Apache em Main >> Software >> EasyApache com as opções que você julgar necessárias e seguras.

  4. Utilize monitores de recursos e monitore o seu servidor

  Instale softwares para monitorar os recursos do seu servidor, como o uso do Apache, uso da rede, os processos, etc, com esses monitores fica mais fácil para o administrador do servidor fazer o monitoramento do mesmo.

  5. Atualize sempre os softwares do servidor

  Manter softwares desatualizados é um dos maiores erros que um administrador de servidor pode cometer. Mantenha todos os softwares sempre atualizados, uma vez que sempre que há falhas, os desenvolvedores já irão corrigir e lançar uma nova versão mais segura que a anterior.

  6. Pequenas atitudes que protegem o servidor

  Desconfie sempre de estranhos, evite dar o acesso ao seu servidor a qualquer pessoa, a não ser que realmente confie nela. Utilizar senhas complicadas e sem informações pessoais protegem o servidor. Um "tópico" da área de Hacker é a Engenharia Social, que é justamente hackear a partir de dados pessoais, utilizar apenas da lábia, da conversa, da emoção e de outros artifícios para obter acesso ao servidor. Proteja-se da engenharia social com senhas do tipo 4Uagw!KoH}6Im2l e não do tipo meuhost987 ou namorada001.

  7. Cópias de segurança

  Mesmo tendo o servidor mais seguro do mundo, invista em backup (cópias de segurança), faça backup de suas hospedagens, de suas configurações, de tudo!

  E ai pessoal, o que acham das dicas acima? Vocês fazem alguma delas em seu servidor? Tem alguma dica a mais? Comente ;)

[Cristian Augusto]

Muito bacana suas dicas Pedro. Posso dizer que uso praticamente todas, principalmente a 6 rs

Quando crio uma nova senha para uma máquina ou qualquer outro aplicativo que esteja relacionado a gerenciamento, eu utilizo senhas geradas por geradores gratuitos (exemplo http://meuip.datahouse.com.br/gerador-senha.asp) utilizando sempre mais de 12 caracteres, símbolos especiais, números e letras minusculas e maiúsculas.

[PedroS]

Muito bacana suas dicas Pedro. Posso dizer que uso praticamente todas, principalmente a 6 rs

Quando crio uma nova senha para uma máquina ou qualquer outro aplicativo que esteja relacionado a gerenciamento, eu utilizo senhas geradas por geradores gratuitos (exemplo http://meuip.datahou...rador-senha.asp) utilizando sempre mais de 12 caracteres, símbolos especiais, números e letras minusculas e maiúsculas.

É uma ótima medida por sua parte :) As senhas que utilizo também são todas enormes e aleatórias, isso dá muito mais segurança pro servidor, inclusive, até um ataque por brute force demoraria muito para encontrar a senha

[JulianoP]

Isso também pode ser configurado sem cpanel ou plesk, no /etc/security/access.conf

Deve-se verificar que o modulo pam_limit está sendo chamado no /etc/pam.d/ssh

[PedroS]

Isso também pode ser configurado sem cpanel ou plesk, no /etc/security/access.conf

Deve-se verificar que o modulo pam_limit está sendo chamado no /etc/pam.d/ssh

Você se refere a qual das dicas? Só pra ficar claro pro pessoal, rs :)

Sobre as dicas, fiz pensando no cPanel.

[JulianoP]

Você se refere a qual das dicas? Só pra ficar claro pro pessoal, rs :)

Sobre as dicas, fiz pensando no cPanel.

Me refiro ao Security Center >> Host Access Control

[PedroS]

Me refiro ao Security Center >> Host Access Control

Ah sim..