Aller au contenu principal
Recherche de la solution ?
< Tous les thèmes
Imprimer

Comment configurer CSF dans WHM/cPanel pour une sécurité maximale ?

Affiché
Mise à jour
ParmyglobalHOST

Maintenant que vous avez installé CSF avec succès, il est temps d'affiner le moteur. Nous passerons en revue les sections essentielles du Configuration du pare-feu pour que votre serveur soit à la fois accessible et à l'épreuve des balles.

Accès au menu de configuration

  1. Se connecter à WHM comme racine.

  2. Rechercher Sécurité et pare-feu de ConfigServer dans la barre latérale gauche.

  3. Cliquez sur le bouton Configuration du pare-feu pour ouvrir le fichier des paramètres principaux (csf.conf).

1. Filtrage des ports (les “portes” de votre serveur)

Les ports sont les points d'entrée vers les services de votre serveur. Par défaut, cPanel ouvre de nombreuses portes ; nous ne voulons garder ouvertes que celles qui sont nécessaires.

TCP_IN et TCP_OUT

  • TCP_IN : Il s'agit des ports utilisés pour se connecter POUR votre serveur (sites web, SSH, courrier électronique).

    • Conseil : Si vous avez modifié votre Port SSH (par exemple, au 2222), vous doit remplacer 22 avec 2222 ici, ou vous serez bloqué.

  • TCP_OUT : Ports utilisés par votre serveur pour se connecter OUT à l'internet (mises à jour, licences).

    • Recommandation par défaut : Conservez la liste par défaut de cPanel, sauf si vous avez une raison particulière de bloquer le trafic sortant.

2. Protection par la force brute (le “serrurier”)

Les attaquants utilisent des “bots” pour deviner les mots de passe des milliers de fois par minute. CCA Démon d'échec de connexion (LFD) les arrête.

  • LF_SSHD : Régler ce paramètre sur 5. Si quelqu'un échoue 5 fois à une connexion SSH, il est bloqué.

  • LF_CPANEL : Régler sur 5. Protège vos pages de connexion WHM/cPanel.

  • LF_SMTPD & LF_POP3D : Régler sur 10. Protège vos comptes de messagerie contre le piratage.

  • LF_PERMBLOCK : Régler sur 1. Cela garantit que les blocages sont permanents plutôt que temporaires pour les récidivistes.

3. Suivi des connexions et protection contre les inondations

Si une seule adresse IP ouvre 100 connexions à la fois, il s'agit probablement d'une attaque DDoS ou d'un robot malveillant.

  • CT_LIMIT : Régler sur 150. Cela limite le nombre de connexions actives à partir d'une seule adresse IP.

  • SYNFLOOD : Régler sur 1. Cela protège votre serveur contre les attaques de type “SYN Flood” qui tentent de bloquer la pile réseau.

  • PORTFLOOD : Il s'agit d'une fonction avancée. Elle limite le nombre de nouvelles connexions qu'un port peut accepter dans un laps de temps donné.

    • Exemple : 80;tcp;20;5 signifie que si une IP tente de se connecter au port 80 plus de 20 fois en 5 secondes, elle est bloquée.

4. Sécurité du SMTP et du courrier électronique

Empêchez votre serveur de devenir un relais de spam, ce qui peut entraîner l'inscription de votre IP sur la liste noire.

  • SMTP_BLOCK : Régler sur ON (1). Cela empêche les utilisateurs ou les scripts de contourner le serveur de messagerie pour envoyer des messages directement.

  • LF_SCRIPT_LIMIT : Régler sur 100. Si un script PHP sur un site web tente d'envoyer plus de 100 courriels en une heure, LFD vous alertera et l'arrêtera.

5. Sortir le CCA du mode test

Étape cruciale : Vos modifications ne protégeront pas le serveur tant que vous n'aurez pas désactivé le mode de test.

  1. Trouver le TEST tout en haut de la configuration.

  2. Modifiez-le à partir de 1 à 0.

  3. Descendez tout en bas de l'écran et cliquez sur Changer.

  4. Cliquez sur le bouton Redémarrer csf+lfd bouton.

FAQs : Configurer le CCA en 2026

Q1 : J'ai fait une erreur et j'ai bloqué ma propre adresse IP. Que dois-je faire ? A1 : Accédez à votre serveur via la “console” de votre hébergeur ou via “VNC” (qui contourne le pare-feu). Exécuter csf -dr [votre_ip] pour supprimer le blocage, puis csf -a [votre_ip] pour l'inscrire sur la liste blanche.

Q2 : Quelle est la différence entre csf.allow et csf.ignore? A2 : csf.allow laisse passer une IP à travers le pare-feu. csf.ignore indique au démon LFD pas pour suivre cette IP en cas d'échec de connexion (à utiliser pour l'IP statique de votre bureau ou de votre domicile).

Q3 : Puis-je bloquer des pays entiers ? A3 : Oui, en utilisant le CC_DENY de la mise en place. Attention toutefois : le blocage de grands pays peut augmenter l'utilisation de l'unité centrale du serveur, car le pare-feu doit vérifier des listes massives de plages d'adresses IP.

Q4 : Comment puis-je savoir qui a été bloqué ? A4 : Dans le WHM, cliquez sur Recherche de PI ou cliquez sur Observer les journaux du système et sélectionnez /var/log/lfd.log.

Q5 : Dois-je utiliser cPHulk et CSF ensemble ? A5 : Oui, ils se complètent. cPHulk travaille au niveau de l'application (cPanel/WHM), tandis que CSF travaille au niveau du réseau (tables IP).

Q6 : Que fait le “Port Knocking” ? A6 : Il s'agit d'une fonctionnalité avancée qui permet aux ports de rester fermés jusqu'à ce que vous les “frappiez” avec une séquence spécifique de tentatives de connexion. Idéal pour un accès SSH caché.

Q7 : Comment mettre un port spécifique sur liste blanche pour une nouvelle application ? A7 : Aller à Configuration du pare-feu, ajoutez le numéro de port à TCP_IN, enregistrer et redémarrer.

Q8 : CSF peut-il protéger contre les attaques XML-RPC de WordPress ? A8 : Oui, LFD peut être configuré avec des expressions rationnelles personnalisées pour surveiller et bloquer les adresses IP qui atteignent le niveau xmlrpc.php de manière excessive.

Q9 : CSF prend-il en charge la configuration IPv6 ? A9 : Oui. S'assurer IPV6 = 1 est défini, et configurer le TCP6_IN et TCP6_OUT de la même manière que pour les paramètres IPv4.

Q10 : À quelle fréquence dois-je vérifier les paramètres du LCR ? A10 : Nous recommandons un audit mensuel ou à chaque fois que vous installez un nouveau logiciel nécessitant un accès spécifique au réseau.

Conclusion : Garder une longueur d'avance sur les cybermenaces en 2026

Configuration CSF et LFD n'est pas une tâche unique. Comme le montrent les tendances de recherche en 2026, les cyberattaques sont de plus en plus automatisées et sophistiquées. En suivant les étapes ci-dessus - limitation des ports, activation de la protection par force brute et surveillance du suivi des connexions - vous avez réussi à transformer un serveur cPanel standard en une forteresse renforcée.

Toutefois, l'efficacité d'un pare-feu dépend de l'infrastructure sur laquelle il repose. Pour de nombreux chefs d'entreprise, la gestion manuelle d'iptables et des journaux LFD peut prendre beaucoup de temps. C'est là que le choix d'un environnement performant fait la différence. Les normes d'hébergement modernes exigent désormais que la sécurité soit intégrée directement dans le matériel.

Si vous constatez que votre serveur actuel n'est pas assez rapide pour gérer efficacement ces couches de sécurité, il est peut-être temps d'envisager une infrastructure locale spécialisée. Les solutions qui offrent Serveur Web LiteSpeed et Disques SSD NVMe fournissent la puissance de traitement brute nécessaire à l'exécution de pare-feu avancés tels que CSF sans aucun impact sur la vitesse de chargement de votre site web. En hébergeant votre site sur une plateforme où ces technologies sont standard, vous vous assurez que vos mesures de sécurité ne deviendront jamais un goulot d'étranglement pour votre expérience utilisateur.

En fin de compte, que vous gériez votre propre VPS non géré ou que vous optiez pour un système plus robuste de gestion de l'information, vous devez être en mesure de gérer votre propre VPS. hébergement web géré l'objectif reste le même : protéger vos données tout en maintenant les vitesses ultrarapides auxquelles vos visiteurs s'attendent.

Prêt à éviter le casse-tête de la configuration ?

Si vous préférez un environnement pré-optimisé en termes de rapidité et de sécurité, découvrez notre gamme de produits Plans d'hébergement web. Nous prenons en charge les tâches lourdes liées à la sécurité de l'infrastructure, y compris le temps de disponibilité de 99,99% et la protection contre les logiciels malveillants alimentée par l'IA, à partir d'un simple ₹54/mois, afin que vous puissiez vous consacrer entièrement à la croissance de votre entreprise.

Table des matières
Fermer
Obtenez 75% + 10% de réduction supplémentaire sur les plans d'hébergement web par myglobalHOST

Réduction supplémentaire de 10%

Code des coupons

EXTRA10

Applicable le

Rs 100 de réduction

Code des coupons

FLAT100

Applicable le

Comment en bénéficier : Choisissez simplement le plan d'hébergement qui vous convient le mieux et bénéficiez d'une remise supplémentaire sur toutes vos commandes.