Версия для печати темы
Нажмите сюда для просмотра этой темы в обычном формате
Онлайн-форум hostobzor.ru _ Реселлинг и партнерские программы _ BPanel
Автор: Alar 09.02.2007, 23:48
Купил BPanel за 22.22$. Даже плохой суппорт не помешал купить, купил так как у многих стоит. стал настраивать конфиги и вижу в readme
"/admin/conf/whm.php (в переменную $whmpass[1] впишите Ваш пароль на реселлерский аккаунт в WHM);" - получаеться хоть отдельный сервер бери под панель чтоб не хакнули 
)).
Кто-нибудь знает как максимизировать защиту? Кто имел опыт работы с этой панелью? Вообще делаю в основном для себя и друзей, но не хотелось бы никого подвести.
Буду благодарен любым комментариям по теме.
Автор: SavaHost.com 09.02.2007, 23:51
Купил BPanel за 22.22$. Даже плохой суппорт не помешал купить, купил так как у многих стоит. стал настраивать конфиги и вижу в readme
"/admin/conf/whm.php (в переменную $whmpass[1] впишите Ваш пароль на реселлерский аккаунт в WHM);" - получаеться хоть отдельный сервер бери под панель чтоб не хакнули
)).Кто-нибудь знает как максимизировать защиту? Кто имел опыт работы с этой панелью? Вообще делаю в основном для себя и друзей, но не хотелось бы никого подвести.
Буду благодарен любым комментариям по теме.
P.S. Панелью сам не пользуюсь, хотя лицензию года 2 назад покупал...
Автор: AdvantA.org 10.02.2007, 00:01
Цитата из readme.txt
// ######################################################## //
// 10.3 Общая информация по webnames, directi и WHM
// ######################################################## //
При включенной автоактивации аккаунтов и/или регистрации доменов настоятельно рекомендуется обзавестись выделенным сервером или VPS, предназначенным исключительно под биллинг.
Использование скрипта на сервере, на котором располагаются сайты клиентов, дает хакерам возможность с соседнего аккаунта заполучить пароли из конфиг-файлов и влезть в базу клиентов.
и
Рекомендация: если у Вас есть root доступ к серверу, создайте специального реселлера для работы с BPanel.
Желательно, чтобы у него был доступ только на создание, блокировку и разблокировку аккаунтов, а также на изменение тарифных планов. Удаление - запретить, делать это вручную через панель управления администратора.
Пароль этого реселлерского аккаунта и запишите whm.php
Автор: Alar 10.02.2007, 00:10
А закрыть директорию от чтения не пробовали? А запаролить?
P.S. Панелью сам не пользуюсь, хотя лицензию года 2 назад покупал...
Это сделали, запаролить как? писал в суппорт, сказали делайте сами. Я ответил, что покупал для того чтобы юзать, а не делать, в ответ узнал, что нужно пользоваться текущими функциями.
При включенной автоактивации аккаунтов и/или регистрации доменов настоятельно рекомендуется обзавестись выделенным сервером или VPS, предназначенным исключительно под биллинг.
Использование скрипта на сервере, на котором располагаются сайты клиентов, дает хакерам возможность с соседнего аккаунта заполучить пароли из конфиг-файлов и влезть в базу клиентов.
Читал, вынесли на другой сервер.
Пароль этого реселлерского аккаунта и запишите whm.php
Вот этого и боюсь, что пароль просто в файле, незашифрован!
Ясно, что ничего не ясно. так как осуществить шифрование, добавить дополнительной защиты? Так как, при таком раскладе ломануть можно без особых проблем.
Автор: AdvantA.org 10.02.2007, 00:22
Данный форум не является форумом технической поддержки клиентов BPanel.ru.
Все ответы на нем, включая ответы пользователя AdvantA.org, считать неофициальными.
Автор: Alar 10.02.2007, 00:47
Данный форум не является форумом технической поддержки клиентов BPanel.ru.
Все ответы на нем, включая ответы пользователя AdvantA.org, считать неофициальными.
Пускай не официальные, это же форум хостеров, а в этом у них должен быть большой опыт.
Автор: edogs 10.02.2007, 00:52
Ясно, что ничего не ясно. так как осуществить шифрование, добавить дополнительной защиты? Так как, при таком раскладе ломануть можно без особых проблем.
Может быть levb Вам сможет помочь? Он вот тут говорил http://forum.hostobzor.ru/index.php?s=&showtopic=6089&view=findpost&p=64530 что к цпанель доступ (в отличии от ДА) по хэшу возможен.
Автор: AdvantA.org 10.02.2007, 00:58
Может быть levb Вам сможет помочь? Он вот тут говорил http://forum.hostobzor.ru/index.php?s=&showtopic=6089&view=findpost&p=64530 что к цпанель доступ (в отличии от ДА) по хэшу возможен.
Заполучат хеш, сформируют запрос и все равно напакостят.
Самому интересно решение данного вопроса.
Автор: edogs 10.02.2007, 01:02
Кстати, нельзя разве ограничить доступ к cpanel/whm по IP? Если да, то не будет ли это решением проблемы?
Автор: rustelekom 10.02.2007, 04:09
а почему ж нельзя - по портам можно. но правда это будет работать на внешние коннекты. на коннекты с локала надо чего то учумучивать.
Автор: MIRhosting.com 10.02.2007, 04:45
все данные кладутся в базу, включая хеш и прочее.
config.php или подобный с данными к базе кодируется ioncube за 5 копеек.
Автор: Alar 10.02.2007, 12:09
все данные кладутся в базу, включая хеш и прочее.
config.php или подобный с данными к базе кодируется ioncube за 5 копеек.
Это я сам должен сделать? или хостер? разработчика просить?
Вообще давно всё, везде шифруеться, а тут нет...
Автор: MIRhosting.com 10.02.2007, 13:51
Это я сам должен сделать? или хостер? разработчика просить?
Вообще давно всё, везде шифруеться, а тут нет...
Это сообщение не касалось bpanel конкретно, это была реплика относительно как можно сделать безопасный вариант работы с паролями.
Сделать так не получится, насколько я понял bpanel хранит данные в файле.
Автор: MiXhost.ru 10.02.2007, 14:22
Это сообщение не касалось bpanel конкретно, это была реплика относительно как можно сделать безопасный вариант работы с паролями.
Сделать так не получится, насколько я понял bpanel хранит данные в файле.
Извеняемся за оффтоп
Продадим 2 лицензии на бпанель
по 10$ за еденицу
Автор: Re:Хостинг 10.02.2007, 15:10
Продадим 2 лицензии на бпанель
по 10$ за еденицуНа какой период?
Автор: Alar 10.02.2007, 15:10
Это сообщение не касалось bpanel конкретно, это была реплика относительно как можно сделать безопасный вариант работы с паролями.
Сделать так не получится, насколько я понял bpanel хранит данные в файле.
Да какая разница! база это тот же файл. !!! тестовый файл зашифровать ещё проще чем базу. Но не ужели купив платную лицензию я это должен сам реализовавать? Получается проще самому всё написать .. ..
Автор: Valuex.RU 10.02.2007, 15:42
Да какая разница! база это тот же файл. !!! тестовый файл зашифровать ещё проще чем базу. Но не ужели купив платную лицензию я это должен сам реализовавать? Получается проще самому всё написать .. ..
А что Вы думали? Адванта прибежит Вам файлы в зенд загонять? Пишите сами, а потом купите бипанель и будете радоваться как ребенок
Автор: X5X.RU 10.02.2007, 15:53
Качество поддержки Адванты и так очень плохое.(Не хочу обидеть Алексея, но это так)
Вы думаете, что Алексей прибежит зендить файл, да нет, он лучше сделает очередной баг ))
Автор: altura.ru 10.02.2007, 15:54
Хм, а не легче ли держать безопасность сервера на уровне..?
Автор: Valuex.RU 10.02.2007, 15:56
Качество поддержки Адванты и так очень плохое.
Вы думаете, что Алексей прибежит зендить файл, да нет, он лучше сделает очередной баг
))Вопрос, почему один? И свой биллинг не продаете?
Хотя Адванта вроде исправляется, во всяком случае, были проблемы с их чадом, решили за сутки
Автор: levb 10.02.2007, 16:57
Может быть levb Вам сможет помочь? Он вот тут говорил http://forum.hostobzor.ru/index.php?s=&showtopic=6089&view=findpost&p=64530 что к цпанель доступ (в отличии от ДА) по хэшу возможен.
Но мой совет здесь ничем не поможет, поскольку доступ не по паролю, а по хэшу должен реализовываться на уровне биллинга.
Задумываться о безопасности хорошо, но необходимо трезво оценивать ситуацию - если сервер вскрыли до уровня "чтение файлов", то уже практически без разницы пароль или хэш в файле.
Автор: AdvantA.org 11.02.2007, 01:25
Качество поддержки Адванты и так очень плохое.
Всю информацию на e-mail нашему ген.директору для дальнейшей проверки и возможно разбирательства.
Автор: dvinger 11.02.2007, 08:08
А что же вы так сразу на e-mail
Потомучто сказать больше нечегО?
Автор: AdvantA.org 11.02.2007, 10:35
А что же вы так сразу на e-mail
Потомучто сказать больше нечегО?
Вопрос непонятен, о чем Вы? Что сказать?
Автор: dvinger 11.02.2007, 11:09
Но что вы простите меня очень ужасны.Вы свой рейтинг на не офф форумах почитайте о себе
Автор: AdvantA.org 11.02.2007, 11:16
Директором разбираются ТОЛЬКО вопросы, направленные непосредственно ему.
Если хотите что-либо предложить, рассказать – пишите в стол помощи.
Автор: dvinger 11.02.2007, 14:20
Одни оправдания.
Я напишу сегодня посмотрю что за ответ мне прийдет.
Автор: Valuex.RU 11.02.2007, 14:28
Одни оправдания.
Я напишу сегодня посмотрю что за ответ мне прийдет.
Напишите, прийдут действия... Адванта лечится, во всяоком случае хамства уже нет с их стороны... А это плюс... Хотя хамство клиента = хамство адванты...
Автор: Artur 12.02.2007, 10:17
А закрыть директорию от чтения не пробовали? А запаролить?
P.S. Панелью сам не пользуюсь, хотя лицензию года 2 назад покупал...
Лучшее решение в файле пароли не вводить, аккаунты создавать самому через WHM, неужели так тяжко войти в WHM и нажать на ссылку Create account, и далее заполнить три обязательных поля, домен, логин и пароль, далее жмете create и все.
Автор: Valuex.RU 12.02.2007, 10:29
Лучшее решение в файле пароли не вводить, аккаунты создавать самому через WHM, неужели так тяжко войти в WHM и нажать на ссылку Create account, и далее заполнить три обязательных поля, домен, логин и пароль, далее жмете create и все.
Согласен, в данном случае это обойдется дешевле постоянного страха...
Я вообще не понимаю зачем гнаться за автоматизацией хостерам среднего звена для которых сделан этот биллинг, да автоматизация не всегда удобный процес...
Автор: SavaHost.com 12.02.2007, 11:55
Лично для меня любая ручная (дополнительная) работа в данной сфере абсолютно неприемлима!
Автор: Artur 12.02.2007, 12:20
Лично для меня любая ручная (дополнительная) работа в данной сфере абсолютно неприемлима!
Руки трудней поломать, так как они вне досягаемости, а вот автоматы ломают, так как они всегда доступны для любого пользователя, который знает структуру этого автомата
Автор: edogs 12.02.2007, 14:01
Лично для меня любая ручная (дополнительная) работа в данной сфере абсолютно неприемлима!
Автор: levb 12.02.2007, 14:07
А если бы пароль для whm нужно было бы вводить при заходе в биллинг для этих операций?
Пароль же не просят - к чему эти домыслы?
Автор: Artur 12.02.2007, 14:33
А если бы пароль для whm нужно было бы вводить при заходе в биллинг для этих операций? Каждый раз... зато он не хранился бы в файле?
Больше телодвижений получится, пароль же надо либо ввести ручками, либо применить Ctrl+C Ctrl+V
Автор: edogs 12.02.2007, 15:05
Автор: AdvantA.org 12.02.2007, 15:18
Вы решили "подняться" до уровни поддержки адванты?
Поподробнее и поконкретнее, пожалуйста.
Автор: edogs 12.02.2007, 15:55
Автор: levb 12.02.2007, 15:57
edogs, прошу прощения - не сразу въехал в смысл сообщения.
Автор: edogs 12.02.2007, 15:59
Автор: AdvantA.org 12.02.2007, 17:27
Что именно Вам непонятно? Попробуем угадать контекст вопроса. Вы ссылаетесь на директора, levb ссылается на Андерсона. Все решили на кого-то "поссылаться". За levb мы ранее подобного не замечали, за Вами да. Если есть еще вопросы по "разъяснениям" - в личку пожалуйста.
Директор не осуществляет техническую поддержку, для этого есть специальные люди, за работой которых уже и следит директор, в чем собственно и помогают прямые обращения клиентов.
Автор: rustelekom 12.02.2007, 21:36
вообще странно что здесь появилась эта тема. автору бы ее либо в претензии воткнуть - если он не удовлетворен качеством обслуживания софта (а оно предусмотрено вообще?), либо уж обсудить это на форуме того же софта (не знаю правда есть ли он). просто тема не укладывается в данный раздел. с тем же успехом можно мыть кости спанели за то и за другое (а мыть есть за что). им на это будет глубоко наплевать...
Русская версия Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)