9-Prevent the user 'nobody' from sending out mail to remote addresses (php and cgi scripts generally run as nobody if you are not using phpsuexec and suexec respectively.)eğer phpsuexec i whm den açarsanız yani php scriptlerini cgi gibi çalışmasını sağlarsanız php ile gönderilen mailler nobody@server.com gibi gitmez bir id si olur böylece kimin spam yolladığı vs. belli olur bu seçeneği işaretlemek için ana menuden php sueexec i açmalısınız phpsuexec i açtıysanız 755 üzeri chmod vermeyin dosyalara

10-Silently Discard all FormMail-clone requests with a bcc header in the subject line bcc header a sahip formmail scriptlerini mail yollamasını engeller bu spam için çok önemli bir önlem

11-Spamassassin SquirrelMail Webmail Bunlarıda işaretliyoruz

12-The maximum each domain can send out per hour (0 is unlimited):: Bir domainini bir saatte gönderebileceği maksimum mail bence bunu 100 de sabitlemek iyidir tabi çok aktif forumlar vs. varsa üye kaydı filan devamlı olavağı için arttırılmalı ayrıca phpbb de tüm üyelere email diye bir seçenek var eğer bunu 100 olarak sınırlarsanız haliyle sadece 100 üyeye o mail gider

13-The number of times users are allowed to check their mail using pop3 per hour:10 yeterli derim bir kişinin 1 saat içinde mailini kaç kere kontrol edebileceği

14-Track the origin of messages sent though the mail server by adding the X-Source headers (exim 4.34+ required) Bunu kesin işaretliyoruz header da mailin nerden gönderildiğini görülmesi için bu yazıyı hazırlarken cpanel whm 10 release 162 de exim 4.50 vardı o yüzden 4.34 istiyormuş sorun olmayacaktır

Notifications Kısmına geldik

1-Disk Space Usage Warnings
2-Email Box Usage Warnings bu 2 seçeneği işaretliyoruz
3-Disable Suspending accounts that exceed their bandwidth limit (will clear all suspensions is disabled)Bunu boş bırakın

Software kısmına geldik

1-FormMail-clone cgiBunu müşterileriniz için işaretlemelisiniz yok form maille işim olmaz diyosanız kapayın çünkü direk flood a açık bir olay

2-Interchange Version to use (if you disable interchange, you must turn off the service in the service manager) Açmayın derim gereksiz bir servis her gereksiz servis cpu+ram yiyeceği gibi potansiyel olarak yeni bir güvenlik açığına neden olur

3-Hepsini işaretliyebilirsiniz ama bence analog stast ve awstats yeterli her yeni istatislik programı belirli aralıklarla güncelleniğinden serverınıza ek yük getiricektir
Stats Programs
Analog Stats
Awstats Reverse Dns Resolution
Awstats Stats
Webalizer Stats

4-Stats and Logs
Allow users to update Awstats from cPanel Bunu işaretlemiyoruz serverı kasabilir

5-Delete each domain's access logs after stats run İşaretliyoruz kesinlikle yoksa disk alanınız dolabilir
ve apache genelde 2 gb ın üstüdne loglarda çakılıyor

6-Do not reset /usr/local/apache/domlogs/ftpxferlog after it has been seperated into each domain name's ftp logBoş bırakın

7-Exim Stats Daemon (required for smtp bandwidth logging; must also be modified in the service manager as well)İşaretliyoruz

8-Keep Stats Log (/usr/local/cpanel/logs/stats_log) between cpanel restarts (default is off)
Keep log files at the end of the month (default is off as you can run out of disk space quickly)
Bu kısımlar boş bırakın

9-Number of days between processing log files and bandwidth usage (default 1, decimal values are ok): default değeri 1 ben 0.5 yapıyorum bunu 12 satte güncellemek serverı daha az yorar serverınıza http flood gibi bir saldırı olduğunda harddiskin atıyorum %20 si doluyken bir anda %30 olduğunu görebilirsiniz merak etmeyin o bolluk log dosyalarına ait bir sonraki gün eski boyutuna gelicektir

10-Stats Log Level (default is 1, larger numbers indicate more debug information in /usr/local/cpanel/logs/stats_log) [0...10]: 1 bırakın
The load average above the number of cpus at which logs file processing should be suspended (default 0):Llog dosyalarının loglanması saldırı anında serverı öldürürü o yüzden bu değeri 4 olarak belirleyin

11-When viewing bandwidth usage in WHM, always display in Megabytes first. işaretleyin

Status a geldik

1-The load average that will cause the server status to appear red (leave blank for default): Service status taki cpu nun ne zaman kırmızı görüneceği genelde 1 üzeri değerler bir server için normal değildir ben p.4 tek cpu lu bir alet için bu değeri 4 yaparım

System

1-Allow Sharing Nameserver Ips işaretliyoruz

2-Allow cPanel users to install SSL Hosts if they have a dedicated ip.işaretliyoruz

3-Allow cPanel users to reset their password via email
Allow perl updates from rpm based linux vendors
Always redirect users to the ssl/tls ports when visiting /cpanel, /webmail, etc.
Disable Disk Quota display caching (whm will cache disk usage which may result in the display of disk quotas being up to 15 minutes behind the actual disk usage. Disabling this may result in a large performace degradation.)
Disable Http Authentication for cPanel/WebMail/WHM Logins (forces cookie authentication)
Display Errors in cPanel instead of logging them to /usr/local/cpanel/logs/error_log
Do not warn about features that will be depreciated in later releases (Warning: If you check this box, you will not be able to learn about features that will be disappearing in future releases. This could lead to a non-functional server when the feature is finally removed.)

bu kısımlar kesinlikle boş

4-Use jailshell as the default shell for all new accounts and modified accounts
When visiting /cpanel or /whm or /webmail with ssl redirect to the servers hostname.bu 2 kısımı kesinlikle işaretliyoruz özellikle jailshell çok önemli direk complielrları filan kuullanamazlar bişey derliyemezler
daha fazla bilgiyi
JMC Research - Juan M. Casillas Web Site
burada bulabilrisiniz

whm cpanel in olayı ise 2082 2086 yerine sizi 2083 ve 2087 olan daha güvenli portlara yönlendirmesi burada yapacaığınız.işlemler biraz daha yavaştır ama daha güvenlidir emin olun eğer geçerli bir ssl sertifikası yüklemedi iseniz cpanel girişinde sertifika onaysız geçerli değil gibi bir ifade verir müşterilerinize buna rağmen ama gene ssl kullanılır

Server Setup Bölümünden tweak security bölümüne giriyoruz

1-Php open_basedir Tweak
Php's open_basedir protection prevents users from opening files outside of their home directory with php

ile başlıyoruz açıklamasındada dediği gibi biliyorsunuz php kullanılarak shell e ihtiyacınız olmadan aynı shell deymiş gibi bütün komutları filan istetebilirsiniz tabi php safe modda değil ise php open_basedir protection ın altındaki configure tuşuna basıyoruz ve yeni aaçılan menuden
Enable php open_basedir Protection.
bu şıkkı işaretliyoruz herhangi bir siteyi bu korumanın dışına almak için sitenin adının yanındaki kutuya işaret koyuyoruz

2-Mod_userdir Tweak
Apache's mod_userdir allows users to view their sites by entering a tilde(~) and their username as the uri on a specific host. For example http://test.cpanel.net/~fred will bring up the user fred's domain. The disadvantage of this feature is that any bandwidth usage used by this site will be put on the domain it is accessed under (in this case test.cpanel.net). mod_userdir protection prevents this from happening. You may however want to disable it on specific virtual hosts (generally shared ssl hosts.) yazan kısım çoğu host sahibi bunun ne olduğunu bilmez ama çok önemli bir olay ben bunla yalan olmasın hosttan 600 gb bw yemiştim bunun olayı şu eğer bu korumayı açmadı iseniz ve ana serverınızın ipsi 10.0.0.2 diyelim adamın adamında Sedoparking.com - denem.com info. This website is for sale! diye bir sitesi var ve kullanıcıadıda deneme
http://10.0.0.2/~deneme yazarak kendi sitesine girer bu korumayı açarsanız ve kendi bw sinden yiyor gözükmez
evet bu seçeneğin altındaki
Enable mod_userdir Protection.e basıyoruz ve korumayı aktif ediyoruz hehrangi bir sitenin bu korumadan yararlanmamasını istiyorsanız sitenin adresinin yanındaki kutuya işaret koyuyorsunuz

3-This tweak will disable the system's c and c++ compilers for unprivileged. Many canned exploits require a working c on the system. You can also choose to allow some users to use the compilers while they remain disabled by default. bu gerçekten çok önemli derleyicileri izini olmayan kullanıcılar için kapatıyorsunuz yani sizin sisteminize ezzploit indirip bu sistemde derliyemezler tabi yani çok aman aman bir koruma değil işini bilen her şekilde yapar ben kendi makinamda derler buraya yükler burda çalıştırırım gene ama genelde bu işlerle uğraşanlar script kiddie dediklerimiz oldukları için derinlemesine bu konulardan anlamazlar

gene configuder ye basarak disable compliers ı seçiyoruz

4-Traceroute Tweak
This tweak will disable the system's traceroute utility. traceroute seçeneğini cpaneldeki menulerden kaldırır bence sistem stabili,tesi için kaldırılmalı buraya kasan birisi gerçekten sistemi yavaşlatabilir

5- This SMTP tweak will prevent users from bypassing the mail server to send mail (This is a common practice used by spammers). It will only allow the MTA (mail transport agent), mailman, and root to connect to remote SMTP servers. çoğu serverda sisteme login olabilmeden bile temel komutlarla o sistemden mail gönderilebilmektedir bu olay ise bu dediğimiz şeyi önlemektedir
configureye basıyoruz
Allow connections to localhost on port 25. seçeneğini seçiyoruz

Server Setup Bölümünden tweak security bölümüne giriyoruz

Update Config

bu cpanelin güncelleştirilme sıklığı cpanel dediğimiz olay süper bir kontrol paneli bütün herşeyi kendi güncelleme yetisine sahip kernel ve apache ve php dışında mysql u proftpd yi pureftpd yi addon scriptleri phpbbphpnuke shopping cartlar perl versiyonunu phpmyadmini aklınıza ne geliyorsa herşeyi otomatik olarak kendi gücnelliyebiliyor


1-cPanel/WHM Updates i Automatic (RELEASE tree) olarak

2-cPanel Package Updatesi Automatic olarak

3-Security Package Updates i Automatic olarak

4-Server setup da yeni bir menüye
Shell Fork Bomb Protection shell de çalışan lokal kullanıcılar için bir önlem çok fazla sistem kaynağı kullanıp sistemin çakulmasını önlüyor belli bir sınıra geldiğinde o sınırı geçmeye çalıştığında uygulamayı durduruyor

5-Service Configuration menusune geldik orda en altta
Enable/Disable SuExec var oraya giriyoruz
cgi scriptlerinin noboy yerine bir id ile çalışmasını sağlamaktadır böylece kim ne yapıyor anlaşılabilir daha sonra phpsuexec i açıcaz oda php nin cgi gibi çalışmasına bir id sahibi olmasını sağlamaktadır böylece kimin ne yaptığı belli olmaktadır

6-Mysql menusune geliyoruz
MySQL Root Password u seçiyoıruz yeni açılan menuden bir mysql root şifresi belirliyoruz bu şifrenin harf+rakam karışımı bir şifre olmasına ve zor olmasına dikkat edin crackerlar genelde default kullanıcılar için şifreleri denemektedir ve böylece sistemde lokal yekiye sahip olabilmektedirler


7-Softwarekısmına geldik burda
şu 3 kısımı haftada bir updateleyin tıklayın o kendi updateler
Update Server Software
Update System Software
Update Backend Scripts

8-bu menuden en çok işinize yarıyacak seçeneğe geldik
Update Apache bunun yardımıyla diyelim apache 1.3.35 çıktı bunu kolayca güncelelyebilirsiniz yada php 4.3.12 çıktı yada müşterileriniz diyoe benim resim galerim var ama gd çalışmıyor yükleyin diyor napıcaksınız bu script yardımı ile apache ye kolayca yeniden dderliyeceksiniz bu olay olmasa buu işlemleri yapabilmeniz iyi bir bilgi düzeyine sahip olmanızı gerektirir tıkladığnız ve menu açıldı

burdakiler tamamen sizin ihtiyaçlarınıza göre ama ben bir serverda bulunması gereken şeyleri sizin için seçeyim burda listediklerimi sizde seçin ben bu yazıyı yazarken en son php versiiyonu 4.XX di bundan sonra çıkacak versiyonlar için en güncelini seçin

Seçilicek modüller

Expires Module
Raise FD_SETSIZE to 16384 (System Wide)
Prevent Users from reading other webroots
Frontpage Module
Gzip Module (experimental) (Version 1.3.26.1a)
Raise HARD_SERVER_LIMIT
Php Module (Version 4.XX)
Version 4.XX
Bc Math
Calendar Support
FTP
GD (Version 2.0.15)
Magic Quotes
Mysql Module
Openssl Support
Discard Path
Pear
Sockets
Track Vars
Versioning
Zlib
PHP suEXEC Support
Report Build Errors to cPanel
Rewrite Module
Skip Apache Build if up to date
SSL Module (Version 2.8.22)
suEXEC Module
Verbose Build (show configure and gcc output)

Bunları seçtikten sonra start build e basıp serverınızın hızına göre yarım saat ile 3 saat arasında bekliyebilirsiniz bağlantı hızıda önemli tabi 100 mbit bir makinada bişey etkilemez.

__________________
Click for Power!