Amankan port panel DirectAdmin 2222 dengan SSL

SSL dirancang untuk menjaga keamanan koneksi internet dengan melindungi setiap data sensitif yang dikirim antara dua sistem, sehingga mencegah pihak ketiga membaca dan mengubah informasi apa pun yang ditransfer, termasuk informasi pribadi yang dilindungi (PPI).

Pertanyaan Keamanan atau otentikasi Dua Faktor setelah login DirectAdmin untuk lapisan keamanan tambahan

Untuk membantu meningkatkan tingkat keamanan dengan server DirectAdmin, fitur telah ditambahkan yang memungkinkan Anda menambahkan pertanyaan atau mengaktifkan autentikasi dua faktor setelah login berhasil. Pertanyaan-pertanyaan ini dapat ditentukan oleh Pengguna, dan jawaban yang salah dapat memberitahukan Pengguna.

Untuk mengaktifkan otentikasi dua faktor, masuk sebagai pengguna dan buka:
Dasbor -> Ubah Kata Sandi Anda -> Autentikasi Dua Langkah

Halaman ini juga memungkinkan Anda untuk menonaktifkan akses API ke akun menggunakan kata sandi yang sama yang digunakan untuk login. Kunci Sesi dan Kunci Login tidak berlaku untuk pengaturan ini, karena keduanya selalu diizinkan.

CATATAN: Setiap 2FA/pertanyaan keamanan yang gagal dihitung dalam berkas 'failed_logins' (di mana kata sandi yang salah dihitung). Ini berarti Anda harus mendapatkan kata sandi yang valid dan 2FA/Pertanyaan Keamanan yang valid dalam batas "brutecount", jika tidak, Anda akan dimasukkan ke dalam ip_blacklist (/usr/local/directadmin/data/admin/ip_blacklist), yang merupakan tempat IP yang melakukan bruteforce login DA diblokir. Untuk menghapus diri Anda dari daftar hitam, edit /usr/local/directadmin/data/admin/ip_blacklist dan hapus IP Anda dari daftar. Anda juga dapat memastikan bahwa Anda tidak akan pernah diblokir dengan menambahkan IP Anda ke berkas tersebut /usr/local/directadmin/data/admin/ip_whitelist

Mendeteksi dan mencegah serangan brute-force

Metode umum untuk mendapatkan akses melalui server adalah dengan menggunakan teknik yang disebut serangan brute force, atau serangan dictionary. Yang akan dilakukan penyerang adalah menggunakan skrip untuk mencoba dan masuk ke akun dengan setiap kemungkinan kombinasi kata sandi. Ini cenderung memerlukan puluhan ribu kali percobaan masuk, tetapi pada akhirnya, kombinasi yang tepat akan ditemukan, dan mereka dapat masuk seperti biasa.

Untuk mencegah hal ini, kita dapat menggunakan sistem deteksi login brute force. DirectAdmin memiliki 2 sistem untuk serangan ini.

Fitur asli dibuat di DA 1.25.5, dan akan mendeteksi dan memblokir upaya login pada DA itu sendiri (port 2222): http://www.directadmin.com/features.php?id=573 Fitur ini hanya berlaku untuk port 2222. Fitur ini hanya memblokir IP pada port ini. Fitur ini tidak memblokir IP dari port lain.

Untuk mengaktifkan fitur ini, buka Tingkat Admin -> Pengaturan Admin -> Daftar hitam IP untuk upaya login yang berlebihan, gunakan nilai sekitar 10-20 .

Mount Partisi /tmp dengan Opsi noexec dan nosuid

Mempartisi ruang penyimpanan server merupakan strategi keamanan umum bagi administrator server. Direktori /tmp berisi file yang hanya digunakan sementara, tetapi dapat digunakan untuk memasang malware di server. Beberapa file penting untuk menjalankan program, tetapi direktori /tmp juga dapat digunakan sebagai vektor bagi penyerang untuk menyimpan dan menjalankan program jahat. Strategi administrasi Linux yang umum untuk mengamankan direktori ini dari serangan adalah dengan mempartisinya dengan opsi noexec dan nosuid . Opsi noexec mencegah eksekusi program dari direktori /tmp , dan opsi pemasangan nosuid mencegah tanda setuid ditetapkan dalam izin berkas. Jika Anda tidak yakin tentang status partisi dan konfigurasinya saat ini, ketik perintah berikut untuk melihat partisi saat ini:

Nonaktifkan Fungsi PHP Berbahaya Menggunakan Daftar Disable_functions

Beberapa fungsi PHP menimbulkan ancaman terhadap integritas server jika dibiarkan aktif. Misalnya, fungsi shell_exec() memungkinkan Anda menjalankan perintah melalui shell dan mengembalikan output ke pengguna. Kecuali jika Anda benar-benar perlu mengaktifkan fungsi ini, sebaiknya nonaktifkan saja. Banyak peretas menambahkan fungsi ini (dan fungsi lainnya) ke skrip eksploitasi mereka untuk mengidentifikasi apakah fungsi tersebut dapat dijalankan oleh pengguna publik. Kerentanan ini dapat dihapus menggunakan daftar _disable_functions_ di Apache dengan mengedit versi kustom di DirectAdmin.

Tambahkan mod_security Apache

Apache memiliki modul yang tersedia gratis yang disebut Modsec atau mod_security yang menambahkan firewall aplikasi web (WAF) ke layanan hosting. WAF memblokir serangan HTTP tertentu seperti injeksi SQL, Cross-Site Scripting (XSS), unggahan berbahaya, upaya eksploitasi yang menggunakan skrip dan bot, pembajakan sesi, dan banyak lagi. Bagi para hoster web, menambahkan mod_security ke Apache mengurangi banyak ancaman yang dapat membahayakan situs pelanggan. catatan apache directadmin

Catatan : Sebelum memasang mod_security, pastikan mod_security telah diuji sepenuhnya. Jika mod_security tidak dipasang dengan benar, hal ini dapat menyebabkan halaman beranda dan bagian lain situs web rusak.

Menggunakan Versi SSL/TLS yang Lebih Baru

Versi SSL yang lebih lama tidak aman secara kriptografi dan tidak boleh digunakan untuk koneksi apa pun yang mengirimkan data sensitif. Persyaratan versi TLS tertentu juga diwajibkan oleh beberapa peraturan kepatuhan. Misalnya, kepatuhan PCI-DSS mengharuskan server untuk menggunakan setidaknya TLS 1.2. TLS 1.3 dan 2.0 juga tersedia, tetapi administrator server sering kali mendukung versi sandi enkripsi yang lebih lama untuk memastikan bahwa pengguna di setiap browser dapat terhubung ke server. Jika browser pengguna tidak mendukung TLS 2.0, misalnya, mereka tidak akan dapat terhubung ke server yang hanya mengizinkan TLS 2.0.

Mengonfigurasi server hosting untuk mendukung versi SSL/TLS bergantung pada aplikasinya. Untungnya, Mozilla memiliki generator konfigurasi SSL yang akan membantu Anda menentukan konfigurasi untuk server web Anda. Misalnya, ini adalah konfigurasi yang diperlukan untuk server Apache versi 2.4.41 dan OpenSSL 1.1.1d.

Blokir Pengguna Apache dari Menjalankan Skrip Perl

Skrip dalam bahasa pemrograman apa pun harus dikonfigurasikan sehingga hanya pengguna yang dituju yang dapat menjalankannya. Skrip Perl mungkin diperlukan bagi pemilik situs yang mengunggah dan menggunakannya, tetapi skrip tersebut tidak boleh tersedia untuk grup “apache”. Untuk memperketat keamanan, administrator harus mengunci skrip dan memblokir grup apache agar tidak menjalankannya. Grup apache digunakan oleh server web untuk menanggapi permintaan HTTP/S, jadi mengamankan grup ini akan memblokir pengguna internet agar tidak menjalankan skrip Perl. DirectAdmin punya cara cepat untuk melakukan ini:

chgrp apache /usr/bin/perl /usr/bin/wget /usr/local/bin/wget /usr/local/bin/curl /usr/bin/curl /usr/bin/python
chmod 705 /usr/bin/perl /usr/bin/wget /usr/local/bin/wget /usr/local/bin/curl /usr/bin/curl /usr/bin/python

Perintah di atas memblokir grup apache dari membaca, menulis, dan mengeksekusi skrip apa pun dalam direktori yang terdaftar.

catatan : Jika Anda memilih untuk menginstal dan mengonfigurasi suPHP, langkah ini tidak diperlukan karena skrip hanya dapat dijalankan oleh pemilik file.
Catatan 2 : Jangan blokir grup apache dari menjalankan /usr/bin/perl jika Anda menggunakan mod_ruid

Nonaktifkan Akses Langsung ke SSH untuk Pengguna root

Setelah penyerang menemukan server, mereka biasanya akan mencoba melakukan brute force pada pengguna root untuk mendapatkan akses ke sesi SSH jarak jauh. Phishing dan rekayasa sosial juga digunakan untuk mengelabui administrator agar membocorkan kredensial server. Untuk menambahkan lapisan keamanan ke SSH, administrator dapat menonaktifkan pengguna root dan admin agar tidak membuat sesi SSH dari jarak jauh.

Anda dapat menonaktifkan autentikasi pengguna root di SSH dengan mengedit file /etc/ssh/sshd_config dan mengubah konfigurasi PermitRootLogin menjadi:
PermitRootLogin tidak ada

Setelah menonaktifkan koneksi jarak jauh untuk kedua akun ini, Anda masih memerlukan cara untuk terhubung ke server. Setelah menambahkan pengguna admin ke server, Anda kemudian mengedit berkas /etc/ssh/sshd_config untuk mengizinkan pengguna baru mengakses SSH dengan menambahkan baris berikut yang mengganti username dengan akun admin baru.