HTML clipboard
- پارتيشن tmp را secure کنيد
بله . مخصوصا گفتم پارتيشن چون بعضي ها اصلا براش partision نمي سازند . البته اگر سرورتون را از يک ديتا سنتر درست حسابي گرفته باشيد خودشون موقع نصب سيتم عامل اين کار رو انجام ميدن.
ولي بازهم کافي نيست در قسمت fstab سيستم بايد tmp حتما با گزينه ي nosetuid بسازيد يا به اصطلاح mount کنيد. اين گزينه باعث ميشه که تک تک proccess ها با سطح دسترسي executor اجرا شوند .اين سطوح دسترسي قبلا در کرنل لينوکس تعريف شده. همچنين بعد از نصب cpanel مي توانيد گزينه ي noexec رو هم فعال کنيد. اين گزينه باعث ميشه که هيچ فايل اجرايي داخل tmp اجازه ي اجرا شدن نداشته باشه . بعد از اينکه اين کار و انجام داديد بوسيله script از پيش آماده ي خود cpanel در آدرس /scripts/securetmp براي پارتيشن tmp خود يک symlink يا شبه لينک به /var/tmp بسازيد اين خودش براي حفظ امنيت tmp موثره .
5- غير فعال کردن compiler ها براي کاربران ديگر
99 درصد کاربران نمي دونن compiler ها روي هاست به چه درد مي خوه و اصلا استفاده اي از اونها ندارند پس چه بهتره براي همه ي کاربراني که استفاده ندارند اون رو disable کنيد . اين کار رو مي تونيد در whm در قسمت Compilers Tweak انجام بديد . اکثر باگ هاي امينتي کشف شده نيار دارند تا همون موقع روي سرور compile بشن با غير فعال کردن اون حال بسياري از هکر ها رو ميگيريد.
6- از maildir به جاي mailbox استفاده کنيد
ما دونوع ذخيره سازي روي لينوکس داريم براي ايميل ها . اولي به صورت mail box هست و دومي maildir که گزينه ي دوم بسيار از لحاظ امنيتي بهتره و باعث افزايش سرعت ميل سرورتون هم ميشه . البته در نسخه ي جديد cpanel به صورت پيش فرض maildir نصب ميکنه ولي اگر سرورتون بيش از يک سال عمر داره و روش خاک نشسته بهتره همين حالا به maildir ارتقا بديد. قبلش از اطلاعاتتون backup بگيريد . بنده هيچ مسئوليتي در قبل از دست دادن اونها ندارم . مي تونيد از پشتيباني ديتا سنترتون بخوايد تا اين کار رو انجام بده.
7- سرويس هاي اضافي(services and daemons) را غير فعال کنيد
هر سرويس که روي سرور شما فعال باشه و به ديگران اجازه ي وصل شدن به اون وگرفتن اطلاعات به کاربران ميده داراي باگ امينتي هست و اگر از اون استفاده نمي کنيد بايد اون رو ببنديدش . خود لينوکس هم يک سري سرويس هاي زائد(daemons) داره که براي يک سريس دهنده ي وب نيازي به اونها نيست .
سرويس هاي رو مي تونيد در /etc/xinetd.con ويرايش کنيد .براي مثال سيستم اشتراک فايل (nfs/statd) يا سيستم مديريت پرينت (cupsd) و خيلي daemonهاي ديگه که توي آموزش مختصر مثل اين نمي گنجه همش روبگم. از داخل whm در قسمت Service Manager مي تونيد سرويس هايي که نيار نداريد رو غير فعال کنيد . مثلا اگر از chat server خود cpanel استفاده نمي کنيد اون رو غير فعالش کنيد چون خودش باعث مشکلاتي امنيتي خواهد شد .
اين بخش از مهمترين کار هايي که بايد يک مدير سرور انجام بده .