一家托管服务提供商为我们提供了在专用服务器上设置 cPanel 的选项。虽然我确实觉得它很有用且使用起来很方便,但使用它是否存在安全风险?
答案1
cPanel/WHM 只是一个工具,它是否存在安全风险取决于您的系统管理员来处理。
超过 50% 的 Linux 托管公司使用 cPanel 或其他类似工具,它们都有其优点和缺点,而涵盖它们的是系统管理员功能。
cPanel 仅仅是您通常看到的所有应用程序,例如 apache、bind、exim、php 等,这意味着如果它们没有保持更新并且没有正确配置,则可能会导致系统出现漏洞。
我们简单地将 cPanel 视为一个全新的 Linux 安装,一旦完成,仍有许多工作要做以确保其安全。
答案2
警告:我有一段时间没有以管理员或用户身份使用 cPanel 了,但曾经管理过几个 cPanel 托管服务器。
cPanel 本身并不是一个特别的安全问题,因为大多数核心组件都是标准的,并且 cPanel 很快就会根据最近的上游安全修复发布更新。
但有几件事需要考虑:
- cPanel 通常会安装在新系统上,如果这是现有服务器而不是新委托,则可能会出现其他问题 - 至少您应该确保在安装前进行完整备份
- 虽然标准 cPanel 安装已得到合理妥善的锁定,但值得检查标准锁定技术(例如适当强化 SSHd 配置),以确保一切符合您的正常标准
- 运行 cPanel 确实意味着你有额外的服务(cPanel 管理界面)暴露给外界,并且任何额外的可公开寻址服务会增加您的潜在攻击面(例如,如果有人发现 cPanel 中存在漏洞,允许管理员在未正确身份验证的情况下进行访问,那么在 cPanel 人员诊断出问题并创建+测试+发布更新之前,您可能会受到攻击)。为了缓解这种情况(这些提示也适用于其他服务,而不仅仅是 cPanel):
- 确保及时安装 cPanel 和基本操作系统的更新。
- 确保遵循 cPanel 文档和其他可信来源的所有安全建议,除非您有充分的理由不这样做(并制定其他规定来缓解偏离建议可能引发的任何问题)
- 如果您安装 cPanel 只是为了自己的方便,即您不打算让其他人提供共享主机并让您的用户自己使用 cPanel,请设置防火墙规则,以便其管理界面只能从您的位置访问(或将其与除本地连接之外的所有连接隔离开来,并安装类似 OpenVPN 的设置,以便您可以通过这种方式访问它)
- 假设根/经销商界面仍然在与权限较低的用户界面不同的端口上运行,您可以选择使用上述防火墙规则,以便基本用户界面公开可用,但管理界面不公开
- 如果系统上还有其他用户帐户,请确保他们保持安装脚本(来自 cPanel 自动安装或其他插件)的更新 - 这不是自动管理的 IIRC。这适用于用户添加的任何代码,而不仅仅是通过 cPanel 界面或类似界面,但检查很重要,因为根据我的经验,一键安装选项会给人们一种虚假的安全感,因为他们倾向于认为系统及其管理员会自动处理更新,而通常情况并非如此。
答案3
就在这里,
首先,cPanel 中的任何漏洞显然都会使您容易受到利用它的攻击。(有了它,您的攻击面就会变得更大)
其次,它捆绑的“一键式”安装非常老旧,而且大多数都容易受到某种攻击。
除此以外没有。
如果您对安全性感兴趣,我真诚地建议您使用 suphp 和 suexec(用于 php 和 perl),因为它们将以指定用户的身份运行这些脚本(每个 vhost 一个用户),这意味着如果一个站点被利用,那么您所有其他站点都会很安全。
另一种方法(更好但稍微难以实现)是使用 Apache MPM-ITK 或 MPM-Peruser,它们还有额外的优势,可以为 Python、Ruby、Perl 提供同样的保护……
至少我发现这是有效的,而且我已经为无数客户做到了这一点。
答案4
(声誉真低啊)
仅代表我个人观点:
cPanel 的安全性取决于管理它的 SA 的经验。不过,这里有 2 个链接可以帮助您开始使用默认安装以外的其他功能:
- www.thecpaneladmin.com > 很棒的博客,提供 cPanel 中许多复杂程序的提示和技巧
- www.configserver.com > 一些与 cPanel 配合使用的最佳免费帮助脚本,特别是对于新手来说。他们的 CSF 防火墙/暴力检测脚本非常棒,非常有用!