Quão seguro é o Virtualmin? [fechadas]

3

Quão seguro é o Virtualmin ? Como ele se compara ao cPanel ou a outros painéis de controle de hospedagem? O uso do Virtualmin me impedirá de ser compatível com PCI?

    
por Josh 18.02.2010 / 23:48

2 respostas

6

O Webmin é o local onde a maioria das questões de segurança entra em ação, já que é onde logins e coisas assim acontecem. O Webmin tem um histórico de segurança muito bom e seu registro de segurança é público: link

Já se passaram vários anos desde a descoberta da última exploração de exposição direta a nível de raiz ou de dados diretos, embora tenha havido algumas vulnerabilidades de XSS nos últimos dois anos. Nenhum software da complexidade do Webmin será completamente livre de bugs, incluindo bugs de segurança, mas levamos os problemas de segurança muito a sério e eles são consertados rapidamente. Eu acho que o núcleo do Webmin é quase equivalente ao OpenSSH em número e gravidade das vulnerabilidades descobertas nos últimos cinco anos, e acho que todos concordamos que o OpenSSH tem um ótimo histórico de segurança.

A conformidade com o PCI é totalmente possível em um sistema Virtualmin, já que quase tudo relacionado ao PCI é fornecido pelo sistema operacional (portanto, se o seu sistema operacional for o CentOS, você executaria as mesmas etapas que executaria com o Centmin sistema, o que não é tanto assim). Temos centenas de usuários que passaram pelo processo de conformidade com PCI.

Note que o scanner PCI é meio burro e sinaliza o pacote Apache padrão do CentOS (ou Debian ou Ubuntu) como sendo antigo e inseguro (e já que nossa compilação Apache é apenas uma reconstrução do pacote fornecido pelo SO com suexec docroot definido para / home, o nosso também é sinalizado) ... mas o fornecedor do sistema operacional aplica patches de segurança, que corrigem problemas de segurança. Portanto, você precisa adicionar uma exceção para esse pacote específico. Isso é bem entendido pelo pessoal do PCI, e você não terá nenhum problema com isso; seria mais perigoso criar o Apache a partir do código-fonte, obter conformidade com o PCI e esquecer que você instalou a partir do código-fonte. Nós vimos problemas de segurança desse tipo de coisa muito ao longo dos anos, então definitivamente recomendamos que você fique com pacotes padrão sempre que possível, para que as atualizações normais via yum ou apt-get funcionem (e O Virtualmin possui um módulo de notificação de atualizações na página Informações do Sistema para informar quando houver atualizações, se você não as estiver executando automaticamente.

Em suma, acredito que a segurança do Virtualmin é pelo menos tão boa quanto a concorrência, embora eu tenha certeza de que ninguém tem um registro de segurança perfeito, já que o alvo que os produtos mais populares oferecem é enorme. . Webmin, cPanel e Plesk são os principais alvos dos black hats porque têm privilégios de root e rodam em milhões de máquinas (sei que o Webmin, de qualquer forma, não tenho certeza dos números do cPanel ou Plesk).

E, como a jeffatrackaid se deu ao trabalho de abrir os fóruns de nossos concorrentes, mencionarei que o Webmin / Virtualmin também tem uma comunidade muito ativa em link (e se você gosta do processo de suporte da lista de discussão da velha escola, o link tem a conexão).

Aviso: Sou um desenvolvedor no Webmin e no Virtualmin.

    
por 19.02.2010 / 19:46
-1

Em que contexto você precisa hospedar a automação? Isso é para uso interno, você planeja vender serviços com base nessa solução?

Para automação de hospedagem compartilhada, eu prefiro o Plesk. Eu acho que funciona de forma muito confiável e não interfere com o sistema operacional subjacente. Algumas pessoas preferem cPanel, pois permite muito mais pontos e cliques de personalização, como a escolha da versão do PHP, a escolha do Apache, etc. Ambos os sistemas são confiáveis se você usá-los como pretendido, mas eu gosto da capacidade de gerenciar o sistema operacional através do padrão gerenciadores de pacotes (rpm no meu caso, como eu trabalho na Red Hat e afins).

Já lidei com o virtualmin, mas achei-o bastante complicado e não um produto polido. Isso foi há alguns anos, então pode ter melhorado.

Eu acho que isso realmente se resume ao uso. Se isso for para fins comerciais, gerenciamento de site de negócios importante, venda de hospedagem, eu prefiro: Plesk cPanel nessa ordem e, em seguida, se você deve: DirectAdmin Webmin / Virtualmin

Existem alguns outros painéis de automação de hospedagem, mas sua participação de mercado é pequena - isso significa uma base de usuários muito menor se você encontrar um problema.

O Plesk e o cPanel têm comunidades de fóruns ativos para obter ajuda e muitas empresas como a nossa, onde você pode obter suporte pago.

link

link

link

    
por 19.02.2010 / 02:18