O Webmin é o local onde a maioria das questões de segurança entra em ação, já que é onde logins e coisas assim acontecem. O Webmin tem um histórico de segurança muito bom e seu registro de segurança é público: link
Já se passaram vários anos desde a descoberta da última exploração de exposição direta a nível de raiz ou de dados diretos, embora tenha havido algumas vulnerabilidades de XSS nos últimos dois anos. Nenhum software da complexidade do Webmin será completamente livre de bugs, incluindo bugs de segurança, mas levamos os problemas de segurança muito a sério e eles são consertados rapidamente. Eu acho que o núcleo do Webmin é quase equivalente ao OpenSSH em número e gravidade das vulnerabilidades descobertas nos últimos cinco anos, e acho que todos concordamos que o OpenSSH tem um ótimo histórico de segurança.
A conformidade com o PCI é totalmente possível em um sistema Virtualmin, já que quase tudo relacionado ao PCI é fornecido pelo sistema operacional (portanto, se o seu sistema operacional for o CentOS, você executaria as mesmas etapas que executaria com o Centmin sistema, o que não é tanto assim). Temos centenas de usuários que passaram pelo processo de conformidade com PCI.
Note que o scanner PCI é meio burro e sinaliza o pacote Apache padrão do CentOS (ou Debian ou Ubuntu) como sendo antigo e inseguro (e já que nossa compilação Apache é apenas uma reconstrução do pacote fornecido pelo SO com suexec docroot definido para / home, o nosso também é sinalizado) ... mas o fornecedor do sistema operacional aplica patches de segurança, que corrigem problemas de segurança. Portanto, você precisa adicionar uma exceção para esse pacote específico. Isso é bem entendido pelo pessoal do PCI, e você não terá nenhum problema com isso; seria mais perigoso criar o Apache a partir do código-fonte, obter conformidade com o PCI e esquecer que você instalou a partir do código-fonte. Nós vimos problemas de segurança desse tipo de coisa muito ao longo dos anos, então definitivamente recomendamos que você fique com pacotes padrão sempre que possível, para que as atualizações normais via yum ou apt-get funcionem (e O Virtualmin possui um módulo de notificação de atualizações na página Informações do Sistema para informar quando houver atualizações, se você não as estiver executando automaticamente.
Em suma, acredito que a segurança do Virtualmin é pelo menos tão boa quanto a concorrência, embora eu tenha certeza de que ninguém tem um registro de segurança perfeito, já que o alvo que os produtos mais populares oferecem é enorme. . Webmin, cPanel e Plesk são os principais alvos dos black hats porque têm privilégios de root e rodam em milhões de máquinas (sei que o Webmin, de qualquer forma, não tenho certeza dos números do cPanel ou Plesk).E, como a jeffatrackaid se deu ao trabalho de abrir os fóruns de nossos concorrentes, mencionarei que o Webmin / Virtualmin também tem uma comunidade muito ativa em link (e se você gosta do processo de suporte da lista de discussão da velha escola, o link tem a conexão).
Aviso: Sou um desenvolvedor no Webmin e no Virtualmin.