Назад | Перейти на главную страницу

Является ли использование cPanel риском с точки зрения безопасности?

Хостинг-провайдер дает нам возможность настроить cPanel на нашем выделенном сервере. Хотя я определенно считаю его полезным и удобным в использовании, есть ли риск для безопасности при его использовании?

cPanel / WHM - это просто инструмент, независимо от того, есть ли в нем риск безопасности или нет, ваш системный администратор должен позаботиться о нем.

Более 50% компаний, занимающихся хостингом Linux, используют cPanel или другой аналогичный инструмент, и все они имеют свои хорошие и плохие стороны, и то, что покрывает это, - это возможности системного администратора.

cPanel - это просто все приложения, которые вы обычно видите, такие как apache, bind, exim, php и т. д., что означает, что если они не обновляются и не настроены правильно, это может привести к дыре в вашей системе.

Давайте упростим представление о cPanel как о новой установке Linux. После того, как она будет завершена, предстоит еще много работы, чтобы сделать ее безопасной.

Предостережение: я не использовал cPanel в качестве администратора или пользователя в течение некоторого времени, но использовал для администрирования нескольких управляемых серверов cPanel.

Сама по себе cPanel не представляет особой проблемы безопасности, поскольку большинство основных компонентов являются стандартными, и cPanel в наши дни быстро выпускает обновления после исправлений безопасности.

Однако есть несколько вещей, которые следует учитывать:

  • cPanel обычно устанавливается в новой системе, если это уже существующий сервер, а не новая комиссия, могут возникнуть дополнительные проблемы - по крайней мере, вы должны убедиться, что перед установкой была сделана полная резервная копия.
  • Хотя стандартная установка cPanel достаточно хорошо заблокирована, стоит изучить стандартные методы блокировки (например, усиление вашей конфигурации SSHd по мере необходимости), чтобы убедиться, что все соответствует вашим обычным стандартам.
  • Запуск cPanel означает, что у вас есть дополнительные сервисы (интерфейсы управления cPanel), доступные внешнему миру и любой дополнительная услуга, которая является общедоступной, увеличивает вашу потенциальную поверхность для атаки (если, например, кто-то обнаружит дыру в cPanel, которая разрешает доступ администратора без правильной аутентификации, вы потенциально уязвимы, пока люди cPanel не диагностируют проблему и не создадут + протестируют + выпустят Обновить). Чтобы смягчить это (эти советы актуальны и для других сервисов, а не только для cPanel):
    • Убедитесь, что вы устанавливаете обновления для cPanel и вашей базовой ОС своевременно.
    • Убедитесь, что вы следуете всем рекомендациям по безопасности из документации cPanel и других надежных источников, если у вас нет веских причин для этого (и у вас есть другие положения для смягчения любых проблем, которые может вызвать ваше отклонение от рекомендаций)
    • Если у вас установлена ​​cPanel только для вашего удобства, т. Е. Вы не собираетесь предлагать другим пользователям общий хостинг и позволяете своим пользователям использовать cPanel самостоятельно, установите такие правила брандмауэра, чтобы к его интерфейсам управления можно было получить доступ только из ваших мест (или брандмауэр отключил его от все, кроме локальных подключений, и установите что-то вроде OpenVPN, чтобы вы могли получить к нему доступ)
    • Предполагая, что интерфейс root / посредника по-прежнему работает на другом порту, чем интерфейс для менее привилегированных пользователей, вы можете выбрать правила брандмауэра, указанные выше, чтобы основной пользовательский интерфейс был общедоступным, а интерфейс (и) администратора - нет.
  • Если у вас есть другие учетные записи пользователей в системе, убедитесь, что они обновляют сценарии установки (из автоустановок cPanel или других надстроек) - это не управляется автоматически IIRC. Это учитывается для любого кода, добавляемого пользователями, а не только через интерфейс cPanel или аналогичный, но важно проверить, поскольку варианты установки одним щелчком дают людям ложное чувство безопасности, по моему опыту, поскольку они склонны предполагать, что система и ее администраторы будут заботиться об обновлениях автоматически, и это обычно не так.

(чертовски низкая репутация)

Только мои 2 цента:

cPanel так же безопасна, как и опытный SA, который ею управляет. Однако вот две ссылки, которые помогут вам начать работу с чем-то большим, чем просто установка по умолчанию:

  • www.thecpaneladmin.com> Отличный блог с советами по многим сложным процедурам в cPanel
  • www.configserver.com> Некоторые из лучших бесплатных вспомогательных скриптов для использования с cPanel, особенно если вы новичок. Их скрипт обнаружения брандмауэра / перебора CSF просто потрясающий и чрезвычайно полезный!

Да, есть,

Во-первых, любая уязвимость в cPanel, очевидно, сделает вас уязвимыми для атак, которые ее использовали. (вы увеличиваете поверхность атаки, имея ее)

Во-вторых, комплектные установки "в один клик" очень старые и большинство из них уязвимы для тех или иных атак.

Кроме этого, нет.

Если вас интересует безопасность, я бы искренне посоветовал вам использовать suphp и suexec (для php и perl), так как это будет запускать эти скрипты от имени указанного пользователя (один пользователь на vhost), что означает, что если один сайт будет эксплуатироваться, то все ваши другие сайты было бы безопасно.

Другой метод (лучший, но немного более сложный в реализации) - использовать Apache MPM-ITK или MPM-Peruser, у них есть дополнительное преимущество, заключающееся в обеспечении такой же защиты Python, Ruby, Perl ...

По крайней мере, это то, что я обнаружил, и то, что я сделал для бесчисленных клиентов.