Cum restricționezi accesul la WHM prin IP whitelist și cheie SSH

WHM (Web Host Manager) oferă control complet la nivel de server: crearea de conturi, modificarea configurațiilor, accesul la toate datele clienților. Dacă WHM este accesibil de pe orice adresă IP de pe internet, atacatorii automatizați pot încerca să ghicească parola root prin atacuri brute force. Restricționarea accesului la WHM doar de la adresele IP de administrare este una dintre cele mai importante măsuri de securitate pe un server cPanel.

Există două mecanisme complementare pentru protecția accesului la WHM: Host Access Control (nativ în WHM) și CSF (ConfigServer Security and Firewall). Ambele pot fi configurate pentru a permite accesul la WHM doar de la IP-urile autorizate, blocând toate celelalte.

Cum restricționezi accesul la WHM prin IP whitelist și cheie SSH

Înainte de a restricționa accesul, asigurați-vă că știți cu certitudine adresa IP de pe care vă veți autentifica la WHM. Dacă restricționați accesul și uitați să adăugați IP-ul propriu, vă veți bloca singur accesul la WHM. Verificați IP-ul curent accesând https://api.ipify.org din browserul dumneavoastră.

Metoda 1: Host Access Control nativ din WHM

Host Access Control este un modul WHM care gestionează accesul la serviciile serverului (WHM, cPanel, SSH, FTP, email) pe baza regulilor definite de administrator.

Navigați în WHM la Security Center, Host Access Control. Interfața afișează o listă de reguli în ordine de prioritate. Regulile sunt evaluate de sus în jos, prima regulă care se potrivește este aplicată.

Configurarea whitelist-ului pentru WHM

Adăugați regulile în această ordine (ordinea este critică):

1. Regula 1, Daemon: whostmgrd, Access List: IP_PROPRIU_1, Action: Allow
2. Regula 2, Daemon: whostmgrd, Access List: IP_PROPRIU_2 (dacă lucrați din mai multe locații), Action: Allow
3. Regula finală, Daemon: whostmgrd, Access List: ALL, Action: Deny

Atenție la formatul IP-urilor. WHM acceptă adrese individuale (192.168.1.100) și intervaluri în format CIDR corect (192.168.1.0/255.255.255.0, nu 192.168.1.0/24). Verificați că ați introdus formatul corect înainte de salvare.

Faceți click pe Save Host Access List. Testați imediat accesul la WHM din IP-ul dumneavoastră. Dacă accesul funcționează, restricția este activ aplicată. Dacă nu, aveți acces SSH la server pentru a corecta configurația.

Metoda 2: Restricționare prin CSF

CSF (ConfigServer Security and Firewall) oferă control mai granular la nivel de firewall, blocând traficul la porturile WHM (2086, 2087) de la toate IP-urile cu excepția celor din lista albă.

Dacă CSF este instalat pe server (verificați din WHM, Plugins), configurați whitelist-ul astfel:

# Adaugati IP-ul propriu in lista alba CSF
# Din interfata WHM > Plugins > ConfigServer Security & Firewall
# Campul Quick Allow: introduceti IP-ul si click Allow

# Sau din terminal SSH
csf -a IP_PROPRIU "Acces WHM administrator"

# Blocati accesul la porturile WHM pentru toate celelalte IP-uri
# In /etc/csf/csf.conf, limitati porturile 2086 si 2087:
# TCP_IN = "nu includeti 2086,2087 in porturile deschise global"

# Porturile WHM raman accesibile doar prin reguli de allow specifice

Configurarea autentificarii SSH cu cheie publica pentru root

Pe langa restricțiile de IP, înlocuiți autentificarea cu parolă pentru SSH cu autentificarea prin cheie publică. Aceasta elimina complet posibilitatea atacurilor brute force pe SSH, chiar daca un atacator ajunge la portul SSH.

Generarea perechii de chei pe calculatorul local

# Pe calculatorul local (Linux/Mac) sau Git Bash (Windows)
ssh-keygen -t ed25519 -C "admin-server-vostru"
# Salvati in ~/.ssh/id_ed25519
# Setati o parola pentru cheia privata (recomandat)

Copierea cheii publice pe server

# Metoda automata (daca aveti acces SSH cu parola)
ssh-copy-id -i ~/.ssh/id_ed25519.pub root@IP_SERVER

# Sau manual: copiati continutul id_ed25519.pub
# si adaugati-l pe server in /root/.ssh/authorized_keys

# Pe server:
mkdir -p /root/.ssh
chmod 700 /root/.ssh
echo "CONTINUTUL_CHEII_PUBLICE" >> /root/.ssh/authorized_keys
chmod 600 /root/.ssh/authorized_keys

Dezactivarea autentificarii cu parola pentru SSH

# Editati configuratia SSH
sudo nano /etc/ssh/sshd_config

# Setati:
PasswordAuthentication no
PermitRootLogin prohibit-password
# (permite root login dar NUMAI cu cheie, nu cu parola)

# Testati cheia INAINTE de a dezactiva parola!
# Deschideti o noua sesiune SSH cu cheia si verificati ca functioneaza
# Abia dupa reporniti SSH:
sudo systemctl restart sshd

Verificarea finala a securitatii accesului

# Verificati ca WHM este accesibil doar de la IP-ul propriu
# Testati de pe un alt IP (ex: un telefon cu date mobile)
# Trebuie sa returneze Connection refused sau timeout

# Verificati regula de acces SSH din jurnale
journalctl -u sshd -n 20 | grep -E "Accepted|Failed"

# Verificati ca autentificarea cu cheie functioneaza
ssh -i ~/.ssh/id_ed25519 root@IP_SERVER

Concluzie

Combinarea restricției de IP pentru WHM prin Host Access Control cu autentificarea SSH prin cheie publică reduce dramatic suprafata de atac a serverului cPanel. Un atacator care nu cunoaște IP-ul de administrare nici măcar nu poate initia o tentativă de autentificare. Această configuratie ar trebui să fie standard pe orice server cPanel de producție, nu o optiune avansata.

Serverele noastre VPS cu cPanel sunt livrate cu CSF preinstalat, simplificând semnificativ configurarea regulilor de acces și whitelist-ului pentru administrare.