Cum să Configurați un Firewall pentru Găzduirea dvs. cPanel

Securizarea unui server cPanel fără un firewall configurat corespunzător este ca și cum ai lăsa ușa principală a unui centru de date descuiată. ConfigServer Security & Firewall (CSF) este standardul de facto pentru întărirea mediilor cPanel și WHM — se integrează direct în interfața WHM, se suprapune peste iptables (sau nftables pe kerneluri mai noi) și vine cu un daemon companion numit Login Failure Daemon (LFD) care gestionează detectarea intruziunilor în timp real. Acest ghid parcurge o implementare CSF completă, de nivel producție: instalare, arhitectura regulilor, atenuarea avansată a amenințărilor și un flux de lucru de întreținere continuu.

Indiferent dacă rulați un VPS cu cPanel sau un Server Dedicat complet, principiile de configurare sunt identice. Diferența constă în faptul că pe o mașină dedicată aveți acces exclusiv la kernel, ceea ce înseamnă că funcțiile mai agresive de urmărire a conexiunilor și de protecție împotriva inundațiilor SYN ale CSF pot fi utilizate mai intens fără a afecta chiriașii vecini.

De ce un Firewall Software Nu Este Opțional pe Serverele cPanel

cPanel expune o suprafață de atac mare prin design. O instalare implicită deschide zeci de porturi de servicii — WHM (2086/2087), cPanel (2082/2083), FTP (21), trimitere mail (587), IMAP (993), POP3 (995) și altele. Fiecare port deschis este un potențial vector de intrare. Fără un filtru de pachete cu stare în fața acestor servicii:

• Atacurile de forță brută împotriva SSH, FTP și webmail reușesc în tăcere
• Boții de tip credential-stuffing bombardează endpoint-urile xmlapi și cpsrvd
• Traficul DDoS bazat pe amplificare saturează NIC-ul înainte ca stratul aplicației să poată răspunde
• Conturile de găzduire partajată compromise pot pivota lateral pe server

Un firewall hardware la marginea rețelei ajută, dar nu poate vedea contextul stratului aplicației — nu știe că un IP a eșuat 20 de autentificări IMAP consecutive în 60 de secunde. CSF + LFD operează la nivel de gazdă și reacționează exact la acest tip de semnal comportamental.

CSF vs. Alte Opțiuni de Firewall pentru cPanel

CSF câștigă pe fiecare axă care contează pentru un mediu cPanel. Singurul motiv pentru a alege firewalld sau ufw este dacă rulați un stack non-cPanel și preferați un instrument mai ușor.

Pasul 1: Lista de Verificare Pre-Instalare

Înainte de a introduce o singură comandă, completați aceste verificări. Omiterea lor este modul în care administratorii se blochează accidental din serverele de producție.

Verificați accesul out-of-band. Confirmați că aveți acces la consola furnizorului de găzduire (KVM over IP, IPMI sau o consolă VNC bazată pe web). Dacă CSF vă blochează IP-ul în timpul testării, accesul la consolă este calea de recuperare.

Înregistrați adresa IP de management. Rulați următoarea comandă de pe mașina locală:

curl -4 ifconfig.me

Veți adăuga acest IP pe lista albă în CSF înainte de a activa modul de aplicare.

Verificați starea iptables existentă:

iptables -L -n --line-numbers

Dacă un alt instrument de firewall (APF, firewalld) este deja activ, opriți-l și dezactivați-l înainte de a instala CSF pentru a preveni conflictele de reguli.

Confirmați că Perl este instalat (CSF este bazat pe Perl):

perl -v

Pe un sistem CentOS/AlmaLinux/CloudLinux proaspăt instalat, Perl este prezent implicit. Pe build-uri Ubuntu minimale, instalați-l cu apt install perl.

Pasul 2: Instalați CSF pe Serverul cPanel

Conectați-vă la server ca root prin SSH:

ssh root@YOUR_SERVER_IP

Descărcați, extrageți și rulați programul de instalare:

cd /usr/src
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

Programul de instalare înregistrează CSF ca serviciu de sistem, instalează plugin-ul WHM și plasează fișierul de configurare principal la /etc/csf/csf.conf.

Rulați verificarea dependențelor integrată pentru a confirma că toate modulele Perl necesare sunt prezente:

perl /usr/local/csf/bin/csftest.pl

Orice linie marcată cu FATAL trebuie rezolvată înainte de a continua. Liniile marcate cu WARN sunt funcționalități opționale — examinați-le, dar nu vor împiedica funcționarea CSF.

Verificați versiunea instalată:

csf -v

Pasul 3: Configurare de Bază în /etc/csf/csf.conf

Deschideți fișierul de configurare principal în editorul preferat:

nano /etc/csf/csf.conf

Fișierul are comentarii extinse. Următoarele directive au cel mai mare impact asupra securității și trebuie revizuite la fiecare implementare nouă.

Modul de Testare

Când CSF este instalat pentru prima dată, TESTING = "1" este setat implicit. În acest mod, LFD nu pornește și nu se aplică nicio blocare — regulile sunt încărcate, dar temporare. Nu dezactivați modul de testare până când nu ați adăugat IP-ul de management pe lista albă și nu ați validat toate regulile de port.

TESTING = "0"   # Set this only after full validation

Liste de Permisiuni pentru Porturi de Intrare și Ieșire

TCP_IN și TCP_OUT definesc ce porturi TCP sunt permise în fiecare direcție. Un server cPanel minimal, dar funcțional, necesită:

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,2077,2078,2082,2083,2086,2087,2095,2096"
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"
UDP_IN = "20,21,53"
UDP_OUT = "20,21,53,113,123"

Notă operațională critică: Portul 2087 este WHM SSL. Portul 2083 este cPanel SSL. Dacă le eliminați din TCP_IN înainte de a adăuga IP-ul pe lista albă, veți pierde imediat accesul la panoul de control. Portul 123 (UDP ieșire) este NTP — eliminarea lui întrerupe sincronizarea timpului, care se propagă în eșecuri de validare a certificatelor SSL și respingeri ale livrării de mail.

Închideți fiecare port care nu este în uz activ. Rulați ss -tlnp pentru a audita ce ascultă efectiv înainte de a finaliza această listă.

Adăugarea IP-ului de Management pe Lista Albă

Adăugați IP-ul în /etc/csf/csf.allow înainte de a dezactiva modul de testare:

echo "YOUR.MANAGEMENT.IP # My office IP" >> /etc/csf/csf.allow

Alternativ, utilizați comanda CSF direct:

csf -a YOUR.MANAGEMENT.IP "Management workstation"

IP-urile de pe lista albă ocolesc toate blocările LFD și toate regulile de limitare a ratei. Mențineți această listă minimă — fiecare intrare este o excepție permanentă de la politica de securitate.

Blocarea IP-urilor Malițioase Cunoscute

Blocările permanente merg în /etc/csf/csf.deny:

csf -d MALICIOUS.IP.ADDRESS "Confirmed scanner"

Pentru importuri în masă din fluxuri de informații despre amenințări (Spamhaus DROP, Emerging Threats etc.), adăugați CIDR-urile direct în /etc/csf/csf.deny și reîncărcați:

csf -r

Pasul 4: Configurarea Login Failure Daemon (LFD)

LFD este componenta de detectare comportamentală a intruziunilor din CSF. Monitorizează fișierele de jurnal ale sistemului în timp real, numără eșecurile de autentificare per IP sursă și declanșează o blocare temporară când un prag este depășit. Aceasta este apărarea principală împotriva atacurilor de forță brută cu credențiale.

Directive cheie LFD în csf.conf:

Caz limită de cunoscut: Dacă serverul dvs. se află în spatele unui gateway NAT sau al unui router de birou partajat, mai mulți utilizatori legitimi partajează un singur IP extern. Setarea LF_TRIGGER prea scăzut va bloca întregul birou după câteva greșeli de tastare. Fie ridicați pragul, fie adăugați IP-ul biroului pe lista albă în csf.allow.

LFD monitorizează, de asemenea, procese suspecte, evenimente de monitorizare a directoarelor și detectarea modificărilor de fișiere (funcționalitățile LF_DIRWATCH și LF_INTEGRITY). Activați LF_INTEGRITY pentru a detecta modificările neautorizate ale binarelor de sistem:

LF_INTEGRITY = "3600"   # Check every hour

Pasul 5: Funcționalități Avansate de Atenuare a Amenințărilor

Protecție împotriva Inundațiilor SYN

Atacurile de tip SYN flood epuizează tabelul de conexiuni TCP prin trimiterea unor volume mari de pachete SYN fără a finaliza handshake-ul. Activați atenuarea integrată a CSF:

SYNFLOOD = "1"
SYNFLOOD_RATE = "100/s"
SYNFLOOD_BURST = "150"

Aceste valori permit 100 de pachete SYN noi pe secundă cu o toleranță de burst de 150 înainte ca regula să se declanșeze. Ajustați aceste valori în funcție de traficul legitim de vârf — un site de comerț electronic în timpul unei vânzări flash poate necesita valori de burst mai mari.

Urmărirea Conexiunilor

Urmărirea conexiunilor limitează numărul total de conexiuni simultane de la un singur IP pe toate porturile. Aceasta este eficientă împotriva atacurilor DDoS cu rată scăzută și a epuizării conexiunilor:

CT_LIMIT = "300"
CT_INTERVAL = "30"
CT_BLOCK_TIME = "1800"
CT_SKIP_LOCAL = "1"

CT_SKIP_LOCAL împiedică conexiunile localhost și loopback să fie contorizate față de limită — esențial pe serverele unde daemonii cPanel comunică intern prin TCP.

Detectarea Scanării Porturilor

CSF poate detecta și bloca gazdele care sondează mai multe porturi într-un interval scurt:

PS_INTERVAL = "300"
PS_LIMIT = "10"
PS_BLOCK_TIME = "3600"
PS_PERMANENT = "0"

Un IP care accesează 10 sau mai multe porturi închise în 300 de secunde este blocat timp de o oră. Setați PS_PERMANENT = "1" doar dacă sunteți sigur că utilizatorii legitimi nu vor declanșa accidental acest lucru — unii clienți de mail și instrumente de monitorizare sondează mai multe porturi în timpul negocierii conexiunii.

Blocare la Nivel de Țară

Dacă aplicația dvs. nu are utilizatori legitimi în anumite regiuni cu risc ridicat, blocarea la nivel de țară reduce dramatic zgomotul din jurnalele dvs. și volumul de lucru al LFD. Editați csf.conf:

CC_DENY = "CN,RU,KP,NG"
CC_ALLOW = ""

Codurile de țară urmează standardul ISO 3166-1 alpha-2. CSF descarcă automat datele GeoIP. Fiți precis aici — blocarea unor țări întregi este un instrument neprecis. O abordare mai bună pentru majoritatea implementărilor este CC_ALLOW (lista albă doar a țărilor unde se află utilizatorii dvs.) combinată cu CC_ALLOW_PORTS pentru a restricționa accesul bazat pe țară doar la anumite porturi.

Restricții SMTP de Ieșire

Instalările WordPress compromise și scripturile vulnerabile sunt frecvent utilizate ca relee de spam. CSF poate restricționa SMTP de ieșire doar la procesele de mail autorizate:

SMTP_BLOCK = "1"
SMTP_ALLOWUSER = "mailman"
SMTP_ALLOWGROUP = "mail"

Aceasta blochează toate conexiunile de ieșire pe portul 25, cu excepția proceselor care rulează ca utilizatorul sau grupul specificat. Livrarea legitimă de mail prin MTA-ul dvs. (Exim pe cPanel) nu este afectată deoarece Exim rulează ca grupul mail. Această singură directivă elimină o întreagă clasă de abuzuri de spam prin conturi compromise.

Dacă aveți nevoie de infrastructură de mail de ieșire de nivel profesional alături de găzduirea dvs., luați în considerare asocierea serverului cu o soluție dedicată de Găzduire Email pentru mail tranzacțional și de marketing.

Pasul 6: Aplicarea și Testarea Configurației

Odată ce ați revizuit toate directivele, reîncărcați CSF pentru a aplica modificările fără o repornire completă:

csf -r

Pentru a reporni complet atât CSF, cât și LFD:

csf -ra

Verificați starea curentă și numărul de reguli active:

csf -l

Verificați că LFD rulează:

systemctl status lfd

Testați de la un IP extern (nu IP-ul de management de pe lista albă) că blocarea porturilor funcționează conform așteptărilor. Utilizați nmap de pe o mașină separată:

nmap -sS -p 1-65535 YOUR_SERVER_IP

Doar porturile listate explicit în TCP_IN ar trebui să apară ca deschise. Toate celelalte ar trebui să returneze filtered.

Dezactivați modul de testare doar după ce această validare trece:

# In /etc/csf/csf.conf, set TESTING = "0", then:
csf -r

Pasul 7: Configurarea GUI WHM

Pentru administratorii care preferă o interfață grafică, CSF se integrează complet în WHM. Navigați la WHM > Plugins > ConfigServer Security & Firewall. De aici puteți:

• Vizualiza lista de blocări live și debloca manual IP-uri
• Adăuga intrări temporare și permanente de permisiune/blocare
• Declanșa o verificare a configurației care validează sintaxa csf.conf
• Vizualiza jurnalele LFD într-o interfață paginată și căutabilă
• Rula instrumentul de sincronizare a clusterului dacă gestionați mai multe servere

Interfața WHM este deosebit de utilă pentru personalul de suport care trebuie să deblocheze un IP de client legitim fără acces SSH. Acordați conturilor de reseller WHM acces selectiv la plugin-ul CSF — nu fiecare reseller are nevoie de capacitate de gestionare a firewall-ului.

Pasul 8: Monitorizare, Analiză Jurnale și Întreținere

Monitorizare Jurnale în Timp Real

LFD scrie evenimentele de blocare în /var/log/lfd.log. Monitorizați-l în timpul unui incident activ:

tail -f /var/log/lfd.log

Jurnalul de activitate propriu al CSF se află la /var/log/csf.log. Pentru un rezumat al IP-urilor cel mai frecvent blocate în ultimele 24 de ore:

grep "Blocked" /var/log/lfd.log | awk '{print $NF}' | sort | uniq -c | sort -rn | head -20

Alerte prin Email

Configurați LFD să trimită alerte la adresa dvs. administrativă:

LF_ALERT_TO = "admin@yourdomain.com"
LF_ALERT_FROM = "lfd@yourdomain.com"

Activați tipuri specifice de alerte:

LF_EMAIL_ALERT = "1"      # Block alerts
LT_EMAIL_ALERT = "1"      # Login tracking alerts
RT_EMAIL_ALERT = "1"      # Resource usage alerts

Evitați activarea fiecărui tip de alertă pe un server aglomerat — oboseala față de alerte îi determină pe administratori să înceapă să ignore notificările, ceea ce anulează complet scopul.

Actualizarea CSF

CSF lansează actualizări frecvent. Rulați programul de actualizare integrat:

csf -u

Aceasta descarcă cea mai recentă versiune, păstrează fișierele de configurare și repornește serviciul. Programați aceasta într-un job cron săptămânal:

0 3 * * 0 /usr/sbin/csf -u >> /var/log/csf_update.log 2>&1

Integrarea cu cPHulk

cPanel vine cu propriul instrument de protecție împotriva forței brute numit cPHulk. Rularea simultană a cPHulk și LFD creează blocări redundante și poate cauza confuzie în timpul răspunsului la incidente. Abordarea recomandată: dezactivați cPHulk și bazați-vă exclusiv pe LFD, care este mai configurabil și se integrează cu lista de blocări unificată a CSF.

Dezactivați cPHulk prin WHM sub Security Center > cPHulk Brute Force Protection.

Arhitectura Firewall pentru Medii Multi-Server

Dacă gestionați mai multe servere cPanel — un model comun cu clustere de Găzduire VPS sau un server web principal asociat cu un server de baze de date separat — funcționalitatea de sincronizare a clusterului CSF vă permite să propagați listele de blocări pe toate nodurile simultan.

Configurați membrii clusterului în /etc/csf/csf.conf:

CLUSTER_MASTER = "PRIMARY_SERVER_IP"
CLUSTER_SENDTO = "SECONDARY_SERVER_IP"
CLUSTER_RECVFROM = "PRIMARY_SERVER_IP"
CLUSTER_KEY = "your_shared_secret_key"

Când LFD blochează un IP pe serverul principal, blocarea este propagată automat tuturor membrilor clusterului în câteva secunde. Aceasta este deosebit de valoroasă când un scanner care sondează serverul web încearcă, de asemenea, forța brută SSH pe nodul bazei de date.

Pentru medii cu trafic intens sau sarcini de lucru intensive GPU care rulează alături de servicii web, infrastructura de Găzduire GPU beneficiază de aceeași abordare de întărire CSF — configurația firewall-ului este identică, dar valorile CT_LIMIT trebuie de obicei să fie mai mari pentru a acomoda conexiunile API paralele legitime.

Considerații privind SSL și Securitatea Porturilor

Un firewall controlează accesul la porturi, dar nu validează integritatea criptografică a conexiunilor pe acele porturi. Asigurați-vă că fiecare serviciu expus prin regulile firewall-ului este, de asemenea, protejat cu un certificat SSL/TLS valid. Un port 443 deschis cu un certificat expirat sau auto-semnat reprezintă un risc de phishing și MITM.

Asociați configurația firewall-ului cu certificate emise corespunzător de la o CA de încredere. AlexHost oferă Certificate SSL care se integrează direct cu fluxul de lucru AutoSSL al cPanel, asigurând că endpoint-urile HTTPS expuse sunt criptografic solide.

Capcane Comune și Cum să le Evitați

Blocarea accesului în timpul configurării inițiale. Adăugați întotdeauna IP-ul în csf.allow înainte de a seta TESTING = "0". Confirmați întotdeauna accesul la consolă înainte de a face modificări de aplicare.

Blocarea serviciilor interne proprii ale cPanel. Daemonii cPanel comunică prin localhost și uneori prin IP-ul principal al serverului. CT_SKIP_LOCAL = "1" și revizuirea atentă a TCP_OUT previn întreruperile de servicii auto-provocate.

LF_DURATION prea agresiv pe găzduirea partajată. Dacă utilizatorii legitimi partajează un IP NAT cu atacatorii, o blocare de 24 de ore pedepsește clienții inocenți. Utilizați LF_DURATION = "3600" și LF_PERMBLOCK_COUNT = "4" pentru a escalada doar infractorii repetați la interdicții permanente.

Uitarea de a deschide porturile agentului de monitorizare. Dacă utilizați un serviciu de monitorizare extern (Zabbix, Nagios, Datadog), agentul său necesită un port de intrare deschis. Adăugați-l în TCP_IN și adăugați IP-ul serverului de monitorizare pe lista albă în csf.allow.

Netestarea regulilor de ieșire. Administratorii se concentrează pe TCP_IN de intrare, dar neglijează TCP_OUT. Regulile de ieșire excesiv de restrictive întrerup sistemul de actualizare al cPanel, reînnoirile certificatelor Let’s Encrypt (portul 80 de ieșire către serverele ACME) și conexiunile MySQL la distanță.

Rularea CSF pe un server cu proxy Cloudflare. Când traficul trece prin Cloudflare, IP-ul sursă văzut de CSF este un IP al nodului edge Cloudflare, nu IP-ul real al vizitatorului. Blocarea unui IP Cloudflare blochează tot traficul prin acel nod edge. Utilizați fișierul csf.allow pentru a adăuga pe lista albă intervalele IP publicate ale Cloudflare și configurați aplicația să citească antetul CF-Connecting-IP pentru IP-urile reale ale vizitatorilor.

Matricea de Decizie Tehnică: Alegerea Profilului de Configurare CSF

Concluzii Cheie: Lista de Verificare pentru Pregătirea în Producție

Înainte de a considera implementarea CSF pregătită pentru producție, verificați fiecare element de mai jos:

• IP-ul de management este prezent în /etc/csf/csf.allow și confirmat cu csf -g YOUR.IP

TESTING = "0" este setat și csf -r a fost rulat
TCP_IN conține doar porturi cu servicii active și intenționate — verificate față de ss -tlnp

SMTP_BLOCK = "1" este activat dacă serverul nu este un releu de mail dedicat
LFD rulează — confirmat cu systemctl status lfd

LF_PERMBLOCK_COUNT și LF_PERMBLOCK_INTERVAL sunt configurate pentru a escalada infractorii repetați
CT_LIMIT este setat și ajustat la conexiunile simultane de vârf așteptate
SYNFLOOD = "1" este activat cu valori de rată adecvate pentru volumul de trafic
Alertele prin email sunt configurate și o alertă de test a fost primită
cPHulk este dezactivat în WHM pentru a preveni conflictele cu LFD
Un job cron săptămânal csf -u este programat
Accesul la consolă/IPMI a fost testat independent de SSH
Regulile de port de ieșire (TCP_OUT) au fost validate — actualizările cPanel, Let’s Encrypt și NTP funcționează corect
Dacă utilizați Cloudflare, intervalele IP Cloudflare sunt pe lista albă în csf.allow

Întrebări Frecvente

Care este diferența dintre CSF și un firewall hardware și am nevoie de ambele?

Un firewall hardware operează la perimetrul rețelei și filtrează traficul înainte de a ajunge la NIC-ul serverului. CSF operează la nivel de sistem de operare și adaugă detectare comportamentală conștientă de aplicație pe care firewall-urile hardware nu o pot oferi — cum ar fi blocarea unui IP după autentificări eșuate repetate în cPanel. Într-un mediu de producție, ambele straturi sunt complementare. Filtrarea hardware reduce sarcina DDoS volumetrică; CSF gestionează tentativele de intruziune țintite.

Cum deblochez un IP pe care CSF l-a interzis permanent?

Rulați csf -dr BLOCKED.IP.ADDRESS pentru a-l elimina din lista de blocare, apoi csf -r pentru a reîncărca regulile. Alternativ, utilizați interfața plugin-ului CSF din WHM sub „Unblock an IP.” Pentru a preveni re-blocarea, adăugați IP-ul în csf.allow cu csf -a IP.ADDRESS "reason".

Va interfera CSF cu reînnoirile certificatelor Let’s Encrypt / AutoSSL?

Doar dacă portul 80 de ieșire este blocat în TCP_OUT sau dacă IP-urile serverului de validare Let’s Encrypt se află din greșeală în csf.deny. Asigurați-vă că portul 80 este în atât TCP_IN (pentru răspunsurile la provocarea HTTP-01) cât și TCP_OUT (pentru comunicarea cu serverul ACME). Dacă reînnoirile eșuează după instalarea CSF, verificați csf.deny pentru orice intervale IP Let’s Encrypt și revizuiți /var/log/lfd.log pentru conexiunile de ieșire blocate.

Cum testez în siguranță o nouă regulă CSF fără riscul de a mă bloca?

Reactivați temporar modul de testare setând TESTING = "1" în csf.conf și rulând csf -r. În modul de testare, regulile sunt încărcate, dar nu aplicate, și LFD nu pornește. Validați modificările, apoi setați TESTING = "0" și reîncărcați. Confirmați întotdeauna accesul la consolă înainte de a reveni la modul de aplicare.

CSF protejează împotriva atacurilor la nivel de aplicație precum SQL injection sau XSS?

Nu. CSF operează la nivelurile de rețea și transport (L3/L4) și nu are vizibilitate asupra conținutului cererilor HTTP. Atacurile la nivel de aplicație necesită un Web Application Firewall (WAF) precum ModSecurity cu OWASP Core Rule Set, care se integrează cu Apache și Nginx pe serverele cPanel. CSF și ModSecurity sunt complementare — CSF gestionează amenințările la nivel de rețea, în timp ce ModSecurity gestionează atacurile la nivel HTTP. LFD poate fi configurat să blocheze IP-urile care declanșează regulile ModSecurity în mod repetat prin directiva LF_MODSEC.