Cum implementezi rate limiting pentru securitate în WHM. Rate limiting reprezintă o măsură de securitate esențială pentru protejarea serverelor împotriva atacurilor de tip brute-force, abuzuri API și suprasolicitări de resurse.

În contextul administrării unui server cPanel/WHM, configurarea corectă a limitărilor de acces poate preveni compromiterea conturilor și menține performanța optimă a serviciilor.

Cum implementezi rate limiting?

1. Ce este rate limiting?

Rate limiting este un mecanism care limitează numărul de cereri pe care un utilizator sau IP le poate face către un server într-o anumită perioadă de timp.

Atunci când este atinsă limita stabilită, serverul poate bloca temporar IP-ul respectiv, poate returna erori sau poate întârzia răspunsurile.

2. De ce este important în WHM?

În WHM, protejarea serviciilor precum SSH, cPanel, Webmail sau API-uri de atacuri automate este crucială. Lipsa unor limite poate duce la:

• Acces neautorizat prin brute-force
• Blocarea serviciilor din cauza supraîncărcării
• Consum excesiv de resurse CPU și RAM

3. Activarea rate limiting cu cPHulk Brute Force Protection

cPHulk este un instrument integrat în WHM care protejează serviciile împotriva atacurilor brute-force. Pentru a activa rate limiting prin cPHulk:

• Accesați WHM și navigați la „cPHulk Brute Force Protection”
• Activați opțiunea „Enable cPHulk”
• Configurați următoarele opțiuni de limitare:

Max Failures per IP: 5
Max Failures per Account: 5
Brute Force Protection Period: 300 (secunde)
Lockout Period: 900 (secunde)

Aceste setări vor bloca IP-ul după 5 încercări eșuate de autentificare în 5 minute.

4. Activarea rate limiting la nivel de firewall (CSF)

Dacă utilizați ConfigServer Security & Firewall (CSF), puteți activa rate limiting folosind opțiunea LF_TRIGGER:

• Accesați WHM → ConfigServer Security & Firewall
• Editați fișierul de configurare: „csf.conf”
• Setați:

LF_TRIGGER = "5"
LF_TRIGGER_PERM = "1"

CSF va bloca temporar IP-urile care ating limita specificată de evenimente suspecte în loguri (autentificări eșuate, atacuri etc.).

5. Limitarea cererilor în Apache (mod_evasive)

Apache poate fi configurat să limiteze cererile multiple din partea aceluiași IP cu ajutorul modulului mod_evasive:

• Instalați modulul în serverul dumneavoastră
• Adăugați în configurația Apache următoarele linii:

DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10

Această configurare blochează IP-urile care trimit mai mult de 2 cereri pe aceeași pagină într-o secundă.

6. Limitarea cererilor în NGINX (dacă este instalat)

Dacă serverul folosește NGINX în fața Apache, puteți utiliza direct directivele „limit_req_zone” și „limit_req” pentru protecție suplimentară:

limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

server {
    location / {
        limit_req zone=one burst=5;
    }
}

Acest exemplu permite 10 cereri pe secundă cu un burst maxim de 5 cereri suplimentare.

7. Monitorizarea și logarea activității

Este recomandat să monitorizați permanent activitatea suspectă din logurile:

• /var/log/secure
• /usr/local/cpanel/logs/access_log
• /var/log/messages

Puteți implementa alerte automate folosind instrumente precum Logwatch sau Fail2Ban pentru o detecție și reacție rapidă.

8. Recomandări suplimentare de securitate

• Activați autentificarea în doi pași (2FA) pentru WHM și cPanel
• Blocați accesul SSH pentru root și folosiți un user cu sudo
• Schimbați portul SSH din cel implicit (22) într-unul personalizat
• Configurați rate limiting și pentru API-ul WHM/cPanel dacă este utilizat extern

Implementarea rate limiting în WHM este o măsură critică pentru securizarea serverului împotriva abuzurilor și a atacurilor automate.

Folosind instrumente precum cPHulk, CSF, mod_evasive sau NGINX, puteți construi un sistem robust de protecție care blochează activitatea malițioasă fără a afecta utilizatorii legitimi.

Monitorizarea constantă și ajustarea regulată a parametrilor de limitare sunt esențiale pentru o protecție eficientă.