Як налаштувати брандмауер для вашого cPanel хостингу

Захист сервера cPanel без належно налаштованого брандмауера — це як залишити незачиненими вхідні двері центру обробки даних. ConfigServer Security & Firewall (CSF) є стандартом де-факто для захисту середовищ cPanel та WHM — він інтегрується безпосередньо в інтерфейс WHM, працює поверх iptables (або nftables на новіших ядрах) і постачається з супутнім демоном Login Failure Daemon (LFD), який забезпечує виявлення вторгнень у реальному часі. Цей посібник охоплює повне розгортання CSF виробничого рівня: встановлення, архітектуру правил, розширене пом’якшення загроз і робочий процес постійного обслуговування.

Незалежно від того, чи використовуєте ви VPS з cPanel або повноцінний Виділений сервер, принципи налаштування однакові. Різниця полягає в тому, що на виділеній машині ви маєте ексклюзивний доступ до ядра, а отже, агресивніші функції відстеження з’єднань та захисту від SYN-флуду в CSF можна задіяти на повну потужність, не впливаючи на сусідніх орендарів.

Чому програмний брандмауер є обов’язковим на серверах cPanel

cPanel за своєю природою відкриває велику поверхню атаки. Стандартна інсталяція відкриває десятки сервісних портів — WHM (2086/2087), cPanel (2082/2083), FTP (21), відправлення пошти (587), IMAP (993), POP3 (995) та інші. Кожен відкритий порт є потенційним вектором проникнення. Без фільтра пакетів зі збереженням стану перед цими сервісами:

• Атаки методом перебору на SSH, FTP і вебпошту відбуваються непомітно
• Боти для підстановки облікових даних атакують кінцеві точки xmlapi та cpsrvd
• DDoS-трафік на основі ампліфікації насичує мережевий інтерфейс раніше, ніж прикладний рівень встигає відреагувати
• Скомпрометовані акаунти спільного хостингу можуть переміщатися по серверу

Апаратний брандмауер на периметрі мережі допомагає, але не може бачити контекст прикладного рівня — він не знає, що певна IP-адреса 20 разів поспіль не пройшла автентифікацію IMAP за 60 секунд. CSF + LFD працює на рівні хоста і реагує саме на такі поведінкові сигнали.

CSF порівняно з іншими варіантами брандмауера для cPanel

CSF перемагає за всіма параметрами, що мають значення для середовища cPanel. Єдина причина обрати firewalld або ufw — якщо ви використовуєте стек без cPanel і надаєте перевагу легшому інструменту.

Крок 1: Контрольний список перед встановленням

Перш ніж виконувати будь-які команди, виконайте ці перевірки. Їх пропуск — це те, як адміністратори випадково блокують собі доступ до виробничих серверів.

Перевірте позасмуговий доступ. Переконайтеся, що у вас є доступ до консолі вашого хостинг-провайдера (KVM over IP, IPMI або вебконсоль VNC). Якщо CSF заблокує вашу IP-адресу під час тестування, доступ через консоль — це ваш шлях відновлення.

Запишіть свою IP-адресу управління. Виконайте наступне зі своєї локальної машини:

curl -4 ifconfig.me

Ви внесете цю IP-адресу до білого списку CSF перед увімкненням режиму примусового застосування.

Перевірте поточний стан iptables:

iptables -L -n --line-numbers

Якщо інший інструмент брандмауера (APF, firewalld) вже активний, зупиніть і вимкніть його перед встановленням CSF, щоб уникнути конфліктів правил.

Переконайтеся, що Perl встановлено (CSF написаний на Perl):

perl -v

На свіжій системі CentOS/AlmaLinux/CloudLinux Perl присутній за замовчуванням. На мінімальних збірках Ubuntu встановіть його за допомогою apt install perl.

Крок 2: Встановлення CSF на сервер cPanel

Підключіться до сервера як root через SSH:

ssh root@YOUR_SERVER_IP

Завантажте, розпакуйте та запустіть інсталятор:

cd /usr/src
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

Інсталятор реєструє CSF як системний сервіс, встановлює плагін WHM і розміщує основний файл конфігурації за адресою /etc/csf/csf.conf.

Запустіть вбудовану перевірку залежностей, щоб переконатися, що всі необхідні модулі Perl присутні:

perl /usr/local/csf/bin/csftest.pl

Будь-який рядок, позначений FATAL, необхідно виправити перед продовженням. Рядки, позначені WARN, є необов’язковими функціями — перегляньте їх, але вони не перешкоджатимуть роботі CSF.

Перевірте встановлену версію:

csf -v

Крок 3: Основне налаштування в /etc/csf/csf.conf

Відкрийте основний файл конфігурації у вашому редакторі:

nano /etc/csf/csf.conf

Файл містить детальні коментарі. Наступні директиви мають найбільший вплив на безпеку і повинні бути переглянуті при кожному новому розгортанні.

Режим тестування

Коли CSF вперше встановлюється, TESTING = "1" встановлено за замовчуванням. У цьому режимі LFD не запускається і жодні блокування не застосовуються — правила завантажуються, але є тимчасовими. Не вимикайте режим тестування, доки не внесете свою IP-адресу управління до білого списку та не перевірите всі правила портів.

TESTING = "0"   # Set this only after full validation

Списки дозволених вхідних і вихідних портів

TCP_IN та TCP_OUT визначають, які TCP-порти дозволені в кожному напрямку. Мінімальний, але функціональний сервер cPanel потребує:

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,2077,2078,2082,2083,2086,2087,2095,2096"
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"
UDP_IN = "20,21,53"
UDP_OUT = "20,21,53,113,123"

Важлива операційна примітка: Порт 2087 — це WHM SSL. Порт 2083 — це cPanel SSL. Якщо ви видалите їх із TCP_IN до внесення своєї IP-адреси до білого списку, ви негайно втратите доступ до панелі керування. Порт 123 (UDP вихідний) — це NTP; його видалення порушує синхронізацію часу, що призводить до збоїв перевірки SSL-сертифікатів і відхилення листів при доставці.

Закрийте кожен порт, який не використовується активно. Виконайте ss -tlnp, щоб перевірити, що насправді прослуховується, перш ніж завершити цей список.

Внесення IP-адреси управління до білого списку

Додайте свою IP-адресу до /etc/csf/csf.allow перед вимкненням режиму тестування:

echo "YOUR.MANAGEMENT.IP # My office IP" >> /etc/csf/csf.allow

Або скористайтеся командою CSF безпосередньо:

csf -a YOUR.MANAGEMENT.IP "Management workstation"

IP-адреси з білого списку обходять усі блокування LFD та всі правила обмеження швидкості. Тримайте цей список мінімальним — кожен запис є постійним винятком із вашої політики безпеки.

Блокування відомих шкідливих IP-адрес

Постійні блокування вносяться до /etc/csf/csf.deny:

csf -d MALICIOUS.IP.ADDRESS "Confirmed scanner"

Для масового імпорту з фідів розвідки загроз (Spamhaus DROP, Emerging Threats тощо) додайте CIDR безпосередньо до /etc/csf/csf.deny і перезавантажте:

csf -r

Крок 4: Налаштування Login Failure Daemon (LFD)

LFD — це компонент поведінкового виявлення вторгнень у CSF. Він відстежує системні журнали в реальному часі, підраховує невдалі спроби автентифікації для кожної IP-адреси джерела та ініціює тимчасове блокування при перевищенні порогового значення. Це ваш основний захист від атак методом перебору облікових даних.

Ключові директиви LFD у csf.conf:

Важливий граничний випадок: Якщо ваш сервер знаходиться за NAT-шлюзом або спільним офісним маршрутизатором, кілька легітимних користувачів використовують одну зовнішню IP-адресу. Занадто низьке значення LF_TRIGGER заблокує весь ваш офіс після кількох помилок введення. Або підвищте поріг, або внесіть IP-адресу офісу до білого списку в csf.allow.

LFD також відстежує підозрілі процеси, події спостереження за каталогами та виявлення змін файлів (функції LF_DIRWATCH та LF_INTEGRITY). Увімкніть LF_INTEGRITY для виявлення несанкціонованих змін системних бінарних файлів:

LF_INTEGRITY = "3600"   # Check every hour

Крок 5: Розширені функції пом’якшення загроз

Захист від SYN-флуду

Атаки SYN-флуду вичерпують таблицю TCP-з’єднань, надсилаючи великі обсяги SYN-пакетів без завершення рукостискання. Увімкніть вбудований захист CSF:

SYNFLOOD = "1"
SYNFLOOD_RATE = "100/s"
SYNFLOOD_BURST = "150"

Ці значення дозволяють 100 нових SYN-пакетів на секунду з допустимим сплеском до 150 перед спрацюванням правила. Налаштуйте ці числа відповідно до вашого легітимного пікового трафіку — сайт електронної комерції під час розпродажу може потребувати вищих значень сплеску.

Відстеження з’єднань

Відстеження з’єднань обмежує загальну кількість одночасних з’єднань з однієї IP-адреси по всіх портах. Це ефективно проти повільних DDoS-атак та вичерпання з’єднань:

CT_LIMIT = "300"
CT_INTERVAL = "30"
CT_BLOCK_TIME = "1800"
CT_SKIP_LOCAL = "1"

CT_SKIP_LOCAL запобігає врахуванню з’єднань localhost та loopback у ліміті — це важливо на серверах, де демони cPanel спілкуються внутрішньо через TCP.

Виявлення сканування портів

CSF може виявляти та блокувати хости, які зондують кілька портів у короткому часовому вікні:

PS_INTERVAL = "300"
PS_LIMIT = "10"
PS_BLOCK_TIME = "3600"
PS_PERMANENT = "0"

IP-адреса, яка звертається до 10 або більше закритих портів протягом 300 секунд, блокується на одну годину. Встановлюйте PS_PERMANENT = "1" лише якщо ви впевнені, що ваші легітимні користувачі ніколи випадково не спрацюють це — деякі поштові клієнти та інструменти моніторингу зондують кілька портів під час узгодження з’єднання.

Блокування на рівні країни

Якщо ваш застосунок не має легітимних користувачів у певних регіонах підвищеного ризику, блокування на рівні країни значно зменшує шум у журналах і навантаження на LFD. Відредагуйте csf.conf:

CC_DENY = "CN,RU,KP,NG"
CC_ALLOW = ""

Коди країн відповідають стандарту ISO 3166-1 alpha-2. CSF автоматично завантажує дані GeoIP. Будьте точні тут — блокування цілих країн є грубим інструментом. Кращий підхід для більшості розгортань — CC_ALLOW (дозволяти лише країни, де знаходяться ваші користувачі) у поєднанні з CC_ALLOW_PORTS для обмеження доступу на основі країни лише до певних портів.

Обмеження вихідного SMTP

Скомпрометовані інсталяції WordPress та вразливі скрипти часто використовуються як ретранслятори спаму. CSF може обмежити вихідний SMTP лише авторизованими поштовими процесами:

SMTP_BLOCK = "1"
SMTP_ALLOWUSER = "mailman"
SMTP_ALLOWGROUP = "mail"

Це блокує всі вихідні з’єднання на порту 25, крім процесів, що виконуються від імені вказаного користувача або групи. Легітимна доставка пошти через ваш MTA (Exim на cPanel) не зачіпається, оскільки Exim працює від групи mail. Ця єдина директива усуває цілий клас зловживань спамом через скомпрометовані акаунти.

Якщо вам потрібна професійна вихідна поштова інфраструктура поряд із хостингом, розгляньте можливість поєднання вашого сервера з виділеним рішенням Email Hosting для транзакційної та маркетингової пошти.

Крок 6: Застосування та тестування конфігурації

Після перегляду всіх директив перезавантажте CSF для застосування змін без повного перезапуску:

csf -r

Для повного перезапуску CSF та LFD:

csf -ra

Перевірте поточний стан і кількість активних правил:

csf -l

Перевірте, чи запущений LFD:

systemctl status lfd

Виконайте тест із зовнішньої IP-адреси (не з вашої IP-адреси управління з білого списку), щоб переконатися, що блокування портів працює належним чином. Використовуйте nmap з окремої машини:

nmap -sS -p 1-65535 YOUR_SERVER_IP

Лише порти, явно вказані в TCP_IN, повинні відображатися як відкриті. Всі інші повинні повертати filtered.

Вимкніть режим тестування лише після проходження цієї перевірки:

# In /etc/csf/csf.conf, set TESTING = "0", then:
csf -r

Крок 7: Налаштування через GUI WHM

Для адміністраторів, які надають перевагу графічному інтерфейсу, CSF повністю інтегрується у WHM. Перейдіть до WHM > Plugins > ConfigServer Security & Firewall. Звідси ви можете:

• Переглядати активний список блокувань і вручну розблоковувати IP-адреси
• Додавати тимчасові та постійні записи до списків дозволів/заборон
• Запускати перевірку конфігурації, яка валідує синтаксис csf.conf
• Переглядати журнали LFD у посторінковому інтерфейсі з пошуком
• Запускати інструмент синхронізації кластера при управлінні кількома серверами

Інтерфейс WHM особливо корисний для персоналу підтримки, якому потрібно розблокувати IP-адресу легітимного клієнта без доступу через SSH. Надавайте реселерським акаунтам WHM доступ до плагіна CSF вибірково — не кожному реселеру потрібні можливості управління брандмауером.

Крок 8: Моніторинг, аналіз журналів і обслуговування

Моніторинг журналів у реальному часі

LFD записує події блокування до /var/log/lfd.log. Відстежуйте його під час активного інциденту:

tail -f /var/log/lfd.log

Власний журнал активності CSF знаходиться за адресою /var/log/csf.log. Для отримання зведення найчастіше заблокованих IP-адрес за останні 24 години:

grep "Blocked" /var/log/lfd.log | awk '{print $NF}' | sort | uniq -c | sort -rn | head -20

Сповіщення електронною поштою

Налаштуйте LFD для надсилання сповіщень на вашу адміністративну адресу:

LF_ALERT_TO = "admin@yourdomain.com"
LF_ALERT_FROM = "lfd@yourdomain.com"

Увімкніть певні типи сповіщень:

LF_EMAIL_ALERT = "1"      # Block alerts
LT_EMAIL_ALERT = "1"      # Login tracking alerts
RT_EMAIL_ALERT = "1"      # Resource usage alerts

Уникайте вмикання всіх типів сповіщень на завантаженому сервері — перевантаження сповіщеннями змушує адміністраторів починати їх ігнорувати, що повністю нівелює мету.

Оновлення CSF

CSF часто випускає оновлення. Запустіть вбудований інструмент оновлення:

csf -u

Він завантажує останню версію, зберігає ваші файли конфігурації та перезапускає сервіс. Заплануйте це у щотижневому завданні cron:

0 3 * * 0 /usr/sbin/csf -u >> /var/log/csf_update.log 2>&1

Інтеграція з cPHulk

cPanel постачається з власним інструментом захисту від перебору під назвою cPHulk. Одночасний запуск cPHulk та LFD створює надлишкові блокування і може спричинити плутанину під час реагування на інциденти. Рекомендований підхід: вимкніть cPHulk і покладайтеся виключно на LFD, який є більш налаштовуваним і інтегрується з єдиним списком блокувань CSF.

Вимкніть cPHulk через WHM у розділі Security Center > cPHulk Brute Force Protection.

Архітектура брандмауера для багатосерверних середовищ

Якщо ви керуєте кількома серверами cPanel — поширена схема з кластерами VPS Hosting або основним вебсервером у парі з окремим сервером бази даних — функція синхронізації кластера CSF дозволяє поширювати списки блокувань на всі вузли одночасно.

Налаштуйте членів кластера в /etc/csf/csf.conf:

CLUSTER_MASTER = "PRIMARY_SERVER_IP"
CLUSTER_SENDTO = "SECONDARY_SERVER_IP"
CLUSTER_RECVFROM = "PRIMARY_SERVER_IP"
CLUSTER_KEY = "your_shared_secret_key"

Коли LFD блокує IP-адресу на основному сервері, блокування автоматично поширюється на всіх членів кластера протягом секунд. Це особливо цінно, коли сканер, що зондує ваш вебсервер, також намагається здійснити SSH-перебір на вашому вузлі бази даних.

Для середовищ із високим трафіком або GPU-інтенсивних навантажень, що працюють поряд із вебсервісами, інфраструктура GPU Hosting отримує переваги від того ж підходу до захисту CSF — конфігурація брандмауера ідентична, але значення CT_LIMIT зазвичай потрібно встановлювати вищими для забезпечення легітимних паралельних API-з’єднань.

Міркування щодо безпеки SSL та портів

Брандмауер контролює доступ до портів, але не перевіряє криптографічну цілісність з’єднань на цих портах. Переконайтеся, що кожен сервіс, відкритий через правила брандмауера, також захищений дійсним SSL/TLS-сертифікатом. Відкритий порт 443 із простроченим або самопідписаним сертифікатом є ризиком фішингу та атак типу «людина посередині».

Поєднайте конфігурацію брандмауера з належним чином виданими сертифікатами від довіреного центру сертифікації. AlexHost надає SSL-сертифікати, які безпосередньо інтегруються з робочим процесом AutoSSL у cPanel, забезпечуючи криптографічну надійність ваших відкритих HTTPS-кінцевих точок.

Поширені помилки та способи їх уникнення

Блокування власного доступу під час початкового налаштування. Завжди вносьте свою IP-адресу до білого списку в csf.allow перед встановленням TESTING = "0". Завжди підтверджуйте доступ через консоль перед внесенням змін до режиму примусового застосування.

Блокування власних внутрішніх сервісів cPanel. Демони cPanel спілкуються через localhost і іноді через основну IP-адресу сервера. CT_SKIP_LOCAL = "1" та ретельний перегляд TCP_OUT запобігають самостійно спричиненим збоям сервісів.

Надто агресивне LF_DURATION на спільному хостингу. Якщо легітимні користувачі використовують одну NAT IP-адресу з зловмисниками, 24-годинне блокування карає невинних клієнтів. Використовуйте LF_DURATION = "3600" та LF_PERMBLOCK_COUNT = "4" для ескалації лише повторних порушників до постійних банів.

Забуття відкрити порти агентів моніторингу. Якщо ви використовуєте зовнішній сервіс моніторингу (Zabbix, Nagios, Datadog), його агент потребує відкритого вхідного порту. Додайте його до TCP_IN та внесіть IP-адресу сервера моніторингу до білого списку в csf.allow.

Відсутність тестування вихідних правил. Адміністратори зосереджуються на вхідному TCP_IN, але нехтують TCP_OUT. Надто обмежувальні вихідні правила порушують систему оновлень cPanel, поновлення сертифікатів Let’s Encrypt (порт 80 вихідний до серверів ACME) та віддалені з’єднання MySQL.

Запуск CSF на сервері з проксюванням Cloudflare. Коли трафік проходить через Cloudflare, вихідна IP-адреса, яку бачить CSF, є IP-адресою граничного вузла Cloudflare, а не реальною IP-адресою відвідувача. Блокування IP-адреси Cloudflare блокує весь трафік через цей граничний вузол. Використовуйте файл csf.allow для внесення до білого списку опублікованих діапазонів IP-адрес Cloudflare та налаштуйте свій застосунок на читання заголовка CF-Connecting-IP для отримання реальних IP-адрес відвідувачів.

Матриця технічних рішень: вибір профілю конфігурації CSF

Ключові висновки: контрольний список готовності до виробництва

Перш ніж вважати розгортання CSF готовим до виробництва, перевірте кожен пункт нижче:

• IP-адреса управління присутня в /etc/csf/csf.allow та підтверджена за допомогою csf -g YOUR.IP
• TESTING = "0" встановлено та виконано csf -r
• TCP_IN містить лише порти з активними, навмисними сервісами — перевірено за допомогою ss -tlnp

SMTP_BLOCK = "1" увімкнено, якщо сервер не є виділеним поштовим ретранслятором
LFD запущено — підтверджено за допомогою systemctl status lfd

LF_PERMBLOCK_COUNT та LF_PERMBLOCK_INTERVAL налаштовано для ескалації повторних порушників
CT_LIMIT встановлено та налаштовано відповідно до очікуваних пікових одночасних з’єднань
SYNFLOOD = "1" увімкнено зі значеннями швидкості, відповідними для вашого обсягу трафіку
Сповіщення електронною поштою налаштовано та отримано тестове сповіщення
cPHulk вимкнено у WHM для запобігання конфліктам з LFD
Заплановано щотижневе завдання cron для csf -u

FAQ

У чому різниця між CSF та апаратним брандмауером, і чи потрібні обидва?

Апаратний брандмауер працює на периметрі мережі та фільтрує трафік до того, як він досягає мережевого інтерфейсу вашого сервера. CSF працює на рівні ОС і додає контекстно-залежне поведінкове виявлення, яке апаратні брандмауери не можуть забезпечити — наприклад, блокування IP-адреси після повторних невдалих входів у cPanel. У виробничому середовищі обидва рівні доповнюють один одного. Апаратна фільтрація зменшує об’ємне навантаження DDoS; CSF обробляє цілеспрямовані спроби вторгнення.

Як розблокувати IP-адресу, яку CSF заблокував назавжди?

Виконайте csf -dr BLOCKED.IP.ADDRESS для видалення її зі списку заборон, потім csf -r для перезавантаження правил. Або скористайтеся інтерфейсом плагіна CSF у WHM у розділі «Unblock an IP». Щоб запобігти повторному блокуванню, додайте IP-адресу до csf.allow за допомогою csf -a IP.ADDRESS "reason".

Чи заважатиме CSF поновленню сертифікатів Let’s Encrypt / AutoSSL?

Лише якщо порт 80 вихідний заблоковано в TCP_OUT або якщо IP-адреси сервера перевірки Let’s Encrypt випадково потрапили до csf.deny. Переконайтеся, що порт 80 присутній як у TCP_IN (для відповідей на виклики HTTP-01), так і в TCP_OUT (для зв’язку з сервером ACME). Якщо поновлення не вдаються після встановлення CSF, перевірте csf.deny на наявність діапазонів IP-адрес Let’s Encrypt та перегляньте /var/log/lfd.log на наявність заблокованих вихідних з’єднань.

Як безпечно протестувати нове правило CSF без ризику блокування?

Тимчасово повторно увімкніть режим тестування, встановивши TESTING = "1" у csf.conf та виконавши csf -r. У режимі тестування правила завантажуються, але не застосовуються, і LFD не запускається. Перевірте свої зміни, потім встановіть TESTING = "0" та перезавантажте. Завжди підтверджуйте доступ через консоль перед поверненням до режиму примусового застосування.

Чи захищає CSF від атак на прикладному рівні, таких як SQL-ін’єкція або XSS?

Ні. CSF працює на мережевому та транспортному рівнях (L3/L4) і не має видимості вмісту HTTP-запитів. Атаки на прикладному рівні потребують Web Application Firewall (WAF), наприклад ModSecurity з набором основних правил OWASP, який інтегрується з Apache та Nginx на серверах cPanel. CSF та ModSecurity є взаємодоповнюючими — CSF обробляє загрози мережевого рівня, тоді як ModSecurity обробляє атаки рівня HTTP. LFD можна налаштувати для блокування IP-адрес, які неодноразово спрацьовують правила ModSecurity, за допомогою директиви LF_MODSEC.