Как настроить брандмауэр для вашего cPanel хостинга

Защита сервера cPanel без правильно настроенного брандмауэра — всё равно что оставить входную дверь дата-центра незапертой. ConfigServer Security & Firewall (CSF) является де-факто стандартом для защиты сред cPanel и WHM — он интегрируется непосредственно в интерфейс WHM, работает поверх iptables (или nftables на более новых ядрах) и поставляется с сопутствующим демоном Login Failure Daemon (LFD), который обеспечивает обнаружение вторжений в режиме реального времени. Это руководство охватывает полное развёртывание CSF производственного уровня: установку, архитектуру правил, расширенное противодействие угрозам и рабочий процесс текущего обслуживания.

Независимо от того, используете ли вы VPS с cPanel или полноценный Выделенный сервер, принципы настройки идентичны. Разница в том, что на выделенной машине у вас есть эксклюзивный доступ к ядру, а значит, более агрессивные функции отслеживания соединений и защиты от SYN-флуда в CSF можно задействовать в полную силу, не затрагивая соседних арендаторов.

Почему программный брандмауэр обязателен на серверах cPanel

cPanel намеренно открывает большую поверхность атаки. Стандартная установка открывает десятки портов служб — WHM (2086/2087), cPanel (2082/2083), FTP (21), отправка почты (587), IMAP (993), POP3 (995) и другие. Каждый открытый порт — потенциальный вектор проникновения. Без фильтра пакетов с отслеживанием состояния перед этими службами:

• Атаки методом перебора на SSH, FTP и веб-почту проходят незамеченными
• Боты для подстановки учётных данных атакуют конечные точки xmlapi и cpsrvd
• DDoS-трафик на основе усиления перегружает сетевой интерфейс прежде, чем прикладной уровень успевает отреагировать
• Скомпрометированные аккаунты виртуального хостинга могут использоваться для горизонтального перемещения по серверу

Аппаратный брандмауэр на периметре сети помогает, но не может видеть контекст прикладного уровня — он не знает, что IP-адрес 20 раз подряд не прошёл аутентификацию IMAP за 60 секунд. CSF + LFD работает на уровне хоста и реагирует именно на такие поведенческие сигналы.

CSF в сравнении с другими вариантами брандмауэра для cPanel

CSF превосходит конкурентов по всем параметрам, важным для среды cPanel. Единственная причина выбрать firewalld или ufw — если вы используете стек без cPanel и предпочитаете более лёгкий инструмент.

Шаг 1: Контрольный список перед установкой

Прежде чем вводить какие-либо команды, выполните следующие проверки. Их пропуск — именно то, как администраторы случайно блокируют себе доступ к рабочим серверам.

Убедитесь в наличии внеполосного доступа. Подтвердите, что у вас есть доступ к консоли вашего хостинг-провайдера (KVM over IP, IPMI или веб-консоль VNC). Если CSF заблокирует ваш IP во время тестирования, консольный доступ станет вашим путём к восстановлению.

Запишите ваш управляющий IP-адрес. Выполните следующую команду на локальной машине:

curl -4 ifconfig.me

Вы добавите этот IP в белый список CSF перед включением режима принудительного применения.

Проверьте текущее состояние iptables:

iptables -L -n --line-numbers

Если другой инструмент брандмауэра (APF, firewalld) уже активен, остановите и отключите его перед установкой CSF во избежание конфликтов правил.

Убедитесь, что Perl установлен (CSF написан на Perl):

perl -v

На свежей системе CentOS/AlmaLinux/CloudLinux Perl присутствует по умолчанию. На минимальных сборках Ubuntu установите его с помощью apt install perl.

Шаг 2: Установка CSF на сервер cPanel

Подключитесь к серверу как root через SSH:

ssh root@YOUR_SERVER_IP

Скачайте, распакуйте и запустите установщик:

cd /usr/src
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

Установщик регистрирует CSF как системную службу, устанавливает плагин WHM и размещает основной файл конфигурации по адресу /etc/csf/csf.conf.

Запустите встроенную проверку зависимостей, чтобы убедиться в наличии всех необходимых модулей Perl:

perl /usr/local/csf/bin/csftest.pl

Любая строка, помеченная FATAL, должна быть устранена перед продолжением. Строки, помеченные WARN, относятся к необязательным функциям — ознакомьтесь с ними, но они не помешают работе CSF.

Проверьте установленную версию:

csf -v

Шаг 3: Основная настройка в /etc/csf/csf.conf

Откройте основной файл конфигурации в предпочитаемом редакторе:

nano /etc/csf/csf.conf

Файл содержит подробные комментарии. Следующие директивы оказывают наибольшее влияние на безопасность и должны быть проверены при каждом новом развёртывании.

Режим тестирования

При первой установке CSF параметр TESTING = "1" установлен по умолчанию. В этом режиме LFD не запускается и никакие блокировки не применяются — правила загружаются, но являются временными. Не отключайте режим тестирования, пока не добавите управляющий IP в белый список и не проверите все правила портов.

TESTING = "0"   # Set this only after full validation

Списки разрешённых входящих и исходящих портов

TCP_IN и TCP_OUT определяют, какие TCP-порты разрешены в каждом направлении. Минимальный, но функциональный сервер cPanel требует:

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,2077,2078,2082,2083,2086,2087,2095,2096"
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"
UDP_IN = "20,21,53"
UDP_OUT = "20,21,53,113,123"

Важное операционное замечание: Порт 2087 — это WHM SSL. Порт 2083 — cPanel SSL. Если вы удалите их из TCP_IN до добавления своего IP в белый список, вы немедленно потеряете доступ к панели управления. Порт 123 (UDP исходящий) — это NTP; его удаление нарушает синхронизацию времени, что влечёт за собой сбои при проверке SSL-сертификатов и отклонение почтовых сообщений.

Закройте все порты, которые не используются. Выполните ss -tlnp для проверки того, что реально прослушивается, прежде чем окончательно составить этот список.

Добавление управляющего IP в белый список

Добавьте свой IP в /etc/csf/csf.allow перед отключением режима тестирования:

echo "YOUR.MANAGEMENT.IP # My office IP" >> /etc/csf/csf.allow

Либо используйте команду CSF напрямую:

csf -a YOUR.MANAGEMENT.IP "Management workstation"

IP-адреса из белого списка обходят все блокировки LFD и все правила ограничения скорости. Держите этот список минимальным — каждая запись является постоянным исключением из вашей политики безопасности.

Блокировка известных вредоносных IP-адресов

Постоянные блокировки добавляются в /etc/csf/csf.deny:

csf -d MALICIOUS.IP.ADDRESS "Confirmed scanner"

Для массового импорта из фидов разведки угроз (Spamhaus DROP, Emerging Threats и др.) добавляйте CIDR-диапазоны непосредственно в /etc/csf/csf.deny и перезагружайте:

csf -r

Шаг 4: Настройка Login Failure Daemon (LFD)

LFD — это компонент поведенческого обнаружения вторжений в CSF. Он отслеживает системные журналы в режиме реального времени, подсчитывает ошибки аутентификации по IP-адресу источника и инициирует временную блокировку при превышении порогового значения. Это ваша основная защита от атак методом перебора учётных данных.

Ключевые директивы LFD в csf.conf:

Важный граничный случай: Если ваш сервер находится за NAT-шлюзом или общим офисным маршрутизатором, несколько легитимных пользователей используют один внешний IP. Слишком низкое значение LF_TRIGGER заблокирует весь ваш офис после нескольких опечаток. Либо повысьте порог, либо добавьте офисный IP в белый список в csf.allow.

LFD также отслеживает подозрительные процессы, события наблюдения за каталогами и обнаружение изменений файлов (функции LF_DIRWATCH и LF_INTEGRITY). Включите LF_INTEGRITY для обнаружения несанкционированных изменений системных бинарных файлов:

LF_INTEGRITY = "3600"   # Check every hour

Шаг 5: Расширенные функции противодействия угрозам

Защита от SYN-флуда

Атаки SYN-флуда исчерпывают таблицу TCP-соединений, отправляя большие объёмы SYN-пакетов без завершения рукопожатия. Включите встроенную защиту CSF:

SYNFLOOD = "1"
SYNFLOOD_RATE = "100/s"
SYNFLOOD_BURST = "150"

Эти значения разрешают 100 новых SYN-пакетов в секунду с допуском всплеска до 150 до срабатывания правила. Настройте эти значения исходя из вашего реального пикового трафика — сайт электронной коммерции во время распродажи может потребовать более высоких значений всплеска.

Отслеживание соединений

Отслеживание соединений ограничивает общее количество одновременных подключений с одного IP-адреса по всем портам. Это эффективно против медленных DDoS-атак и исчерпания соединений:

CT_LIMIT = "300"
CT_INTERVAL = "30"
CT_BLOCK_TIME = "1800"
CT_SKIP_LOCAL = "1"

CT_SKIP_LOCAL предотвращает учёт соединений localhost и loopback в счётчике лимита — это необходимо на серверах, где демоны cPanel взаимодействуют внутренне через TCP.

Обнаружение сканирования портов

CSF может обнаруживать и блокировать хосты, которые зондируют несколько портов в короткий промежуток времени:

PS_INTERVAL = "300"
PS_LIMIT = "10"
PS_BLOCK_TIME = "3600"
PS_PERMANENT = "0"

IP-адрес, обратившийся к 10 или более закрытым портам в течение 300 секунд, блокируется на один час. Устанавливайте PS_PERMANENT = "1" только если вы уверены, что ваши легитимные пользователи никогда случайно не активируют это правило — некоторые почтовые клиенты и инструменты мониторинга зондируют несколько портов в процессе согласования соединения.

Блокировка по странам

Если у вашего приложения нет легитимных пользователей в определённых регионах с высоким уровнем риска, блокировка на уровне страны значительно снижает количество записей в журналах и нагрузку на LFD. Отредактируйте csf.conf:

CC_DENY = "CN,RU,KP,NG"
CC_ALLOW = ""

Коды стран соответствуют стандарту ISO 3166-1 alpha-2. CSF автоматически загружает данные GeoIP. Будьте точны — блокировка целых стран является грубым инструментом. Лучший подход для большинства развёртываний — CC_ALLOW (разрешить только страны, где находятся ваши пользователи) в сочетании с CC_ALLOW_PORTS для ограничения доступа по странам только к определённым портам.

Ограничения исходящего SMTP

Скомпрометированные установки WordPress и уязвимые скрипты часто используются как ретрансляторы спама. CSF может ограничить исходящий SMTP только авторизованными почтовыми процессами:

SMTP_BLOCK = "1"
SMTP_ALLOWUSER = "mailman"
SMTP_ALLOWGROUP = "mail"

Это блокирует все исходящие соединения на порту 25, кроме процессов, запущенных от имени указанного пользователя или группы. Легитимная доставка почты через ваш MTA (Exim на cPanel) не затрагивается, поскольку Exim работает от группы mail. Эта единственная директива устраняет целый класс злоупотреблений спамом через скомпрометированные аккаунты.

Если вам нужна профессиональная инфраструктура исходящей почты наряду с хостингом, рассмотрите возможность использования выделенного решения Email Хостинг для транзакционной и маркетинговой почты.

Шаг 6: Применение и тестирование конфигурации

После проверки всех директив перезагрузите CSF для применения изменений без полного перезапуска:

csf -r

Для полного перезапуска CSF и LFD:

csf -ra

Проверьте текущий статус и количество активных правил:

csf -l

Убедитесь, что LFD запущен:

systemctl status lfd

Проверьте с внешнего IP-адреса (не с вашего управляющего IP из белого списка), что блокировка портов работает корректно. Используйте nmap с отдельной машины:

nmap -sS -p 1-65535 YOUR_SERVER_IP

Только порты, явно указанные в TCP_IN, должны отображаться как открытые. Все остальные должны возвращать filtered.

Отключайте режим тестирования только после успешного прохождения этой проверки:

# In /etc/csf/csf.conf, set TESTING = "0", then:
csf -r

Шаг 7: Настройка через GUI WHM

Для администраторов, предпочитающих графический интерфейс, CSF полностью интегрирован в WHM. Перейдите в WHM > Plugins > ConfigServer Security & Firewall. Здесь вы можете:

• Просматривать список активных блокировок и вручную разблокировать IP-адреса
• Добавлять временные и постоянные записи в списки разрешений/запретов
• Запускать проверку конфигурации, которая валидирует синтаксис csf.conf
• Просматривать журналы LFD в постраничном интерфейсе с поиском
• Запускать инструмент синхронизации кластера при управлении несколькими серверами

Интерфейс WHM особенно полезен для сотрудников поддержки, которым нужно разблокировать IP легитимного клиента без доступа по SSH. Предоставляйте реселлерским аккаунтам WHM доступ к плагину CSF избирательно — не каждому реселлеру нужна возможность управления брандмауэром.

Шаг 8: Мониторинг, анализ журналов и обслуживание

Мониторинг журналов в реальном времени

LFD записывает события блокировки в /var/log/lfd.log. Отслеживайте его во время активного инцидента:

tail -f /var/log/lfd.log

Собственный журнал активности CSF находится по адресу /var/log/csf.log. Для получения сводки наиболее часто блокируемых IP-адресов за последние 24 часа:

grep "Blocked" /var/log/lfd.log | awk '{print $NF}' | sort | uniq -c | sort -rn | head -20

Оповещения по электронной почте

Настройте LFD для отправки оповещений на ваш административный адрес:

LF_ALERT_TO = "admin@yourdomain.com"
LF_ALERT_FROM = "lfd@yourdomain.com"

Включите определённые типы оповещений:

LF_EMAIL_ALERT = "1"      # Block alerts
LT_EMAIL_ALERT = "1"      # Login tracking alerts
RT_EMAIL_ALERT = "1"      # Resource usage alerts

Не включайте все типы оповещений на загруженном сервере — усталость от оповещений приводит к тому, что администраторы начинают игнорировать уведомления, что полностью нивелирует их смысл.

Обновление CSF

CSF регулярно выпускает обновления. Запустите встроенный инструмент обновления:

csf -u

Он загружает последнюю версию, сохраняет файлы конфигурации и перезапускает службу. Запланируйте это в еженедельном задании cron:

0 3 * * 0 /usr/sbin/csf -u >> /var/log/csf_update.log 2>&1

Интеграция с cPHulk

cPanel поставляется с собственным инструментом защиты от перебора паролей — cPHulk. Одновременный запуск cPHulk и LFD создаёт избыточные блокировки и может вызвать путаницу при реагировании на инциденты. Рекомендуемый подход: отключить cPHulk и полностью полагаться на LFD, который более гибко настраивается и интегрируется с единым списком блокировок CSF.

Отключите cPHulk через WHM в разделе Security Center > cPHulk Brute Force Protection.

Архитектура брандмауэра для многосерверных сред

Если вы управляете несколькими серверами cPanel — распространённая схема при использовании кластеров VPS Хостинга или основного веб-сервера в паре с отдельным сервером баз данных — функция синхронизации кластера CSF позволяет одновременно распространять списки блокировок на все узлы.

Настройте участников кластера в /etc/csf/csf.conf:

CLUSTER_MASTER = "PRIMARY_SERVER_IP"
CLUSTER_SENDTO = "SECONDARY_SERVER_IP"
CLUSTER_RECVFROM = "PRIMARY_SERVER_IP"
CLUSTER_KEY = "your_shared_secret_key"

Когда LFD блокирует IP на основном сервере, блокировка автоматически передаётся всем участникам кластера в течение нескольких секунд. Это особенно ценно, когда сканер, зондирующий ваш веб-сервер, одновременно пытается выполнить SSH-перебор на вашем узле базы данных.

Для высоконагруженных сред или GPU-интенсивных рабочих нагрузок, выполняемых совместно с веб-службами, инфраструктура GPU Хостинга выигрывает от того же подхода к защите CSF — конфигурация брандмауэра идентична, но значения CT_LIMIT обычно должны быть выше для обеспечения легитимных параллельных API-соединений.

Вопросы безопасности SSL и портов

Брандмауэр контролирует доступ к портам, но не проверяет криптографическую целостность соединений на этих портах. Убедитесь, что каждая служба, доступная через правила брандмауэра, также защищена действительным SSL/TLS-сертификатом. Открытый порт 443 с просроченным или самоподписанным сертификатом представляет риск фишинга и атак типа MITM.

Дополните конфигурацию брандмауэра правильно выданными сертификатами от доверенного центра сертификации. AlexHost предоставляет SSL-сертификаты, которые напрямую интегрируются с рабочим процессом AutoSSL в cPanel, обеспечивая криптографическую надёжность ваших открытых HTTPS-конечных точек.

Распространённые ошибки и способы их избежать

Блокировка собственного доступа при начальной настройке. Всегда добавляйте свой IP в белый список в csf.allow перед установкой TESTING = "0". Всегда подтверждайте наличие консольного доступа перед внесением изменений в режим принудительного применения.

Блокировка внутренних служб cPanel. Демоны cPanel взаимодействуют через localhost и иногда через основной IP сервера. CT_SKIP_LOCAL = "1" и тщательная проверка TCP_OUT предотвращают самостоятельно причинённые сбои служб.

Слишком агрессивный LF_DURATION на виртуальном хостинге. Если легитимные пользователи используют один NAT IP с злоумышленниками, 24-часовая блокировка наказывает невиновных клиентов. Используйте LF_DURATION = "3600" и LF_PERMBLOCK_COUNT = "4" для эскалации только повторных нарушителей до постоянных банов.

Забытые порты агентов мониторинга. Если вы используете внешний сервис мониторинга (Zabbix, Nagios, Datadog), его агенту требуется открытый входящий порт. Добавьте его в TCP_IN и внесите IP сервера мониторинга в белый список в csf.allow.

Отсутствие тестирования исходящих правил. Администраторы сосредотачиваются на входящем TCP_IN, но пренебрегают TCP_OUT. Слишком строгие исходящие правила нарушают работу системы обновлений cPanel, обновление сертификатов Let’s Encrypt (порт 80 исходящий на серверы ACME) и удалённые соединения MySQL.

Запуск CSF на сервере с проксированием Cloudflare. Когда трафик проходит через Cloudflare, исходный IP, видимый CSF, является IP пограничного узла Cloudflare, а не реальным IP посетителя. Блокировка IP Cloudflare блокирует весь трафик через этот пограничный узел. Используйте файл csf.allow для добавления в белый список опубликованных диапазонов IP Cloudflare и настройте приложение на чтение заголовка CF-Connecting-IP для получения реальных IP посетителей.

Матрица технических решений: выбор профиля конфигурации CSF

Ключевые выводы: контрольный список готовности к эксплуатации

Прежде чем считать развёртывание CSF готовым к эксплуатации, проверьте каждый пункт ниже:

• Управляющий IP присутствует в /etc/csf/csf.allow и подтверждён с помощью csf -g YOUR.IP
• Параметр TESTING = "0" установлен и выполнена команда csf -r
• TCP_IN содержит только порты с активными, намеренно используемыми службами — проверено с помощью ss -tlnp

SMTP_BLOCK = "1" включён, если только сервер не является выделенным почтовым ретранслятором
LFD запущен — подтверждено с помощью systemctl status lfd

LF_PERMBLOCK_COUNT и LF_PERMBLOCK_INTERVAL настроены для эскалации повторных нарушителей
CT_LIMIT установлен и настроен в соответствии с ожидаемым пиковым числом одновременных соединений
SYNFLOOD = "1" включён со значениями скорости, соответствующими объёму вашего трафика
Оповещения по электронной почте настроены и тестовое оповещение получено
cPHulk отключён в WHM во избежание конфликтов с LFD
Запланировано еженедельное задание cron csf -u

Часто задаваемые вопросы

В чём разница между CSF и аппаратным брандмауэром, и нужны ли оба?

Аппаратный брандмауэр работает на периметре сети и фильтрует трафик до того, как он достигает сетевого интерфейса сервера. CSF работает на уровне ОС и добавляет контекстно-зависимое поведенческое обнаружение, которое аппаратные брандмауэры не могут обеспечить — например, блокировку IP после многократных неудачных попыток входа в cPanel. В производственной среде оба уровня дополняют друг друга. Аппаратная фильтрация снижает нагрузку от объёмных DDoS-атак; CSF обрабатывает целенаправленные попытки вторжения.

Как разблокировать IP-адрес, который CSF заблокировал навсегда?

Выполните csf -dr BLOCKED.IP.ADDRESS для удаления из списка запретов, затем csf -r для перезагрузки правил. Либо используйте интерфейс плагина CSF в WHM в разделе «Unblock an IP». Чтобы предотвратить повторную блокировку, добавьте IP в csf.allow с помощью csf -a IP.ADDRESS "reason".

Будет ли CSF мешать обновлению сертификатов Let’s Encrypt / AutoSSL?

Только если порт 80 исходящий заблокирован в TCP_OUT или если IP-адреса сервера проверки Let’s Encrypt случайно попали в csf.deny. Убедитесь, что порт 80 присутствует как в TCP_IN (для ответов на HTTP-01 challenge), так и в TCP_OUT (для связи с сервером ACME). Если обновления не работают после установки CSF, проверьте csf.deny на наличие диапазонов IP Let’s Encrypt и просмотрите /var/log/lfd.log на предмет заблокированных исходящих соединений.

Как безопасно протестировать новое правило CSF без риска блокировки?

Временно повторно включите режим тестирования, установив TESTING = "1" в csf.conf и выполнив csf -r. В режиме тестирования правила загружаются, но не применяются, и LFD не запускается. Проверьте изменения, затем установите TESTING = "0" и перезагрузите. Всегда подтверждайте наличие консольного доступа перед возвратом в режим принудительного применения.

Защищает ли CSF от атак на прикладном уровне, таких как SQL-инъекции или XSS?

Нет. CSF работает на сетевом и транспортном уровнях (L3/L4) и не имеет доступа к содержимому HTTP-запросов. Атаки на прикладном уровне требуют Web Application Firewall (WAF), например ModSecurity с набором правил OWASP Core Rule Set, который интегрируется с Apache и Nginx на серверах cPanel. CSF и ModSecurity дополняют друг друга — CSF обрабатывает угрозы сетевого уровня, а ModSecurity — атаки уровня HTTP. LFD можно настроить для блокировки IP-адресов, многократно активирующих правила ModSecurity, с помощью директивы LF_MODSEC.