Назад | Перейти на главную страницу

Насколько безопасен Virtualmin?

Насколько безопасно Virtualmin? Как это сравнить с cPanel или другие панели управления веб-хостингом? Будет ли использование Virtualmin препятствовать моей совместимости с PCI?

Webmin - это то место, где в игру вступает большинство вопросов безопасности, поскольку именно здесь происходит вход в систему и тому подобное. У Webmin очень хорошая история безопасности, и ее записи о безопасности являются общедоступными: http://www.webmin.com/security.html

Прошло несколько лет с тех пор, как был обнаружен последний серьезный эксплойт корневого уровня или прямого доступа к данным, хотя за последние пару лет было обнаружено несколько уязвимостей XSS. Никакое программное обеспечение сложности Webmin не будет полностью свободным от ошибок, включая ошибки безопасности, но мы очень серьезно относимся к проблемам безопасности, и они быстро исправляются. Я думаю, что ядро ​​Webmin примерно равно OpenSSH по количеству и серьезности уязвимостей, обнаруженных за последние пять лет, и я думаю, что все мы согласны с тем, что OpenSSH имеет действительно хорошие показатели безопасности.

Соответствие PCI полностью возможно в системе Virtualmin, поскольку почти все, что связано с PCI, обеспечивается ОС (так что, если ваша ОС - CentOS, вы должны предпринять те же шаги, что и в системе CentOS, отличной от Virtualmin; не так уж и много). У нас есть сотни пользователей, которые прошли процедуру соответствия PCI.

Обратите внимание, что сканер PCI немного тупой и помечает стандартный пакет Apache CentOS (или Debian, или Ubuntu) как старый и небезопасный (и поскольку наша сборка Apache - это просто пересборка пакета, предоставленного ОС, с suexec docroot, установленным в / home, наша тоже помечается) ... но поставщик ОС применяет исправления безопасности, которые исправляют проблемы безопасности. Итак, вам нужно добавить исключение для этого конкретного пакета. Это хорошо понимают специалисты PCI, и у вас не будет никаких проблем с этим; Было бы опаснее собрать Apache из исходного кода, добиться соответствия PCI, а затем забыть, что вы установили из исходного кода. Мы видели проблемы с безопасностью из-за таких вещей много на протяжении многих лет, поэтому мы определенно рекомендуем вам по возможности придерживаться стандартных пакетов, чтобы нормальные обновления через yum или apt-get работали (а у Virtualmin есть модуль уведомления об обновлениях на странице информации о системе, чтобы вы знали, когда у вас есть обновления, если вы не запускаете их автоматически).

Короче говоря, я считаю, что безопасность Virtualmin, по крайней мере, не хуже, чем у конкурентов, хотя я уверен, что ни у кого нет идеальных показателей безопасности, поскольку цель, которую обеспечивают самые популярные продукты, - это огромный. Webmin, cPanel и Plesk являются основными целями для черных шляп, потому что они имеют привилегии root и работают на миллионах машин (я знаю, что Webmin, в любом случае, я не уверен в цифрах для cPanel или Plesk).

И, поскольку jeffatrackaid позаботился о форумах наших конкурентов, я упомяну, что у Webmin / Virtualmin также есть очень активное сообщество на http://www.virtualmin.com (и если вам нравится старый процесс поддержки списков рассылки, http://www.webmin.com есть связь).

Отказ от ответственности: я разработчик Webmin и Virtualmin.

В каком контексте вам нужна автоматизация хостинга? Это для внутреннего использования, планируете ли вы продавать услуги на основе этого решения?

Для автоматизации виртуального хостинга я предпочитаю Plesk. Я считаю, что он работает очень надежно и не мешает работе базовой ОС. Некоторые люди предпочитают cPanel, поскольку она позволяет настраивать гораздо больше точек и щелчков, таких как выбор версии PHP, выбор Apache и т. Д. Обе системы надежны, если вы используете их по назначению, но мне нравится возможность управлять ОС по умолчанию. менеджеры пакетов (в моем случае это rpm, поскольку я работаю над Red Hat и т.п.).

Раньше я имел дело с virtualmin, но нашел его довольно громоздким и неудобным продуктом. Это было пару лет назад, возможно, ситуация улучшилась.

Я думаю, что все сводится к использованию. Если это будет использоваться для деловых целей, управления важным бизнес-сайтом, продажи хостинга, я предпочитаю: Plesk cPanel в указанном порядке, а затем, если необходимо: DirectAdmin Webmin / Virtualmin

Есть несколько других панелей автоматизации хостинга, но их доля на рынке довольно мала - это означает гораздо меньшую базу пользователей, если вы столкнетесь с проблемой.

У Plesk и cPanel есть активные форумы, на которых можно получить помощь, и множество компаний, таких как наша, где вы можете получить платную поддержку.

http://www.plesk.com/

http://www.cpanel.com/

http://directadmin.com/