Купил BPanel за 22.22$. Даже плохой суппорт не помешал купить, купил так как у многих стоит. стал настраивать конфиги и вижу в readme

"/admin/conf/whm.php (в переменную $whmpass[1] впишите Ваш пароль на реселлерский аккаунт в WHM);" - получаеться хоть отдельный сервер бери под панель чтоб не хакнули )).

Кто-нибудь знает как максимизировать защиту? Кто имел опыт работы с этой панелью? Вообще делаю в основном для себя и друзей, но не хотелось бы никого подвести.

Буду благодарен любым комментариям по теме.

А закрыть директорию от чтения не пробовали? А запаролить?
P.S. Панелью сам не пользуюсь, хотя лицензию года 2 назад покупал...

Цитата из readme.txt

// ######################################################## //
// 10.3 Общая информация по webnames, directi и WHM
// ######################################################## //

При включенной автоактивации аккаунтов и/или регистрации доменов настоятельно рекомендуется обзавестись выделенным сервером или VPS, предназначенным исключительно под биллинг.
Использование скрипта на сервере, на котором располагаются сайты клиентов, дает хакерам возможность с соседнего аккаунта заполучить пароли из конфиг-файлов и влезть в базу клиентов.

и

Рекомендация: если у Вас есть root доступ к серверу, создайте специального реселлера для работы с BPanel.
Желательно, чтобы у него был доступ только на создание, блокировку и разблокировку аккаунтов, а также на изменение тарифных планов. Удаление - запретить, делать это вручную через панель управления администратора.
Пароль этого реселлерского аккаунта и запишите whm.php

Это сделали, запаролить как? писал в суппорт, сказали делайте сами. Я ответил, что покупал для того чтобы юзать, а не делать, в ответ узнал, что нужно пользоваться текущими функциями.




Читал, вынесли на другой сервер.



Вот этого и боюсь, что пароль просто в файле, незашифрован!


Ясно, что ничего не ясно. так как осуществить шифрование, добавить дополнительной защиты? Так как, при таком раскладе ломануть можно без особых проблем.

Данный форум не является форумом технической поддержки клиентов BPanel.ru.
Все ответы на нем, включая ответы пользователя AdvantA.org, считать неофициальными.

Пускай не официальные, это же форум хостеров, а в этом у них должен быть большой опыт.

Может быть levb Вам сможет помочь? Он вот тут говорил http://forum.hostobzor.ru/index.php?s=&...ost&p=64530 что к цпанель доступ (в отличии от ДА) по хэшу возможен.

Заполучат хеш, сформируют запрос и все равно напакостят.
Самому интересно решение данного вопроса.

Кстати, нельзя разве ограничить доступ к cpanel/whm по IP? Если да, то не будет ли это решением проблемы?

а почему ж нельзя - по портам можно. но правда это будет работать на внешние коннекты. на коннекты с локала надо чего то учумучивать.

все данные кладутся в базу, включая хеш и прочее.
config.php или подобный с данными к базе кодируется ioncube за 5 копеек.

Это я сам должен сделать? или хостер? разработчика просить?
Вообще давно всё, везде шифруеться, а тут нет...

Это сообщение не касалось bpanel конкретно, это была реплика относительно как можно сделать безопасный вариант работы с паролями.

Сделать так не получится, насколько я понял bpanel хранит данные в файле.

Извеняемся за оффтоп
Продадим 2 лицензии на бпанель по 10$ за еденицу

На какой период?

Да какая разница! база это тот же файл. !!! тестовый файл зашифровать ещё проще чем базу. Но не ужели купив платную лицензию я это должен сам реализовавать? Получается проще самому всё написать .. ..

А что Вы думали? Адванта прибежит Вам файлы в зенд загонять? Пишите сами, а потом купите бипанель и будете радоваться как ребенок

Качество поддержки Адванты и так очень плохое.(Не хочу обидеть Алексея, но это так)
Вы думаете, что Алексей прибежит зендить файл, да нет, он лучше сделает очередной баг ))

Хм, а не легче ли держать безопасность сервера на уровне..?

Вопрос, почему один? И свой биллинг не продаете?

Хотя Адванта вроде исправляется, во всяком случае, были проблемы с их чадом, решили за сутки

Да возможен.
Но мой совет здесь ничем не поможет, поскольку доступ не по паролю, а по хэшу должен реализовываться на уровне биллинга.

Задумываться о безопасности хорошо, но необходимо трезво оценивать ситуацию - если сервер вскрыли до уровня "чтение файлов", то уже практически без разницы пароль или хэш в файле.

Всю информацию на e-mail нашему ген.директору для дальнейшей проверки и возможно разбирательства.

А что же вы так сразу на e-mail
Потомучто сказать больше нечегО?

Вопрос непонятен, о чем Вы? Что сказать?

Но что вы простите меня очень ужасны.Вы свой рейтинг на не офф форумах почитайте о себе

Директором разбираются ТОЛЬКО вопросы, направленные непосредственно ему.
Если хотите что-либо предложить, рассказать – пишите в стол помощи.

Одни оправдания.
Я напишу сегодня посмотрю что за ответ мне прийдет.

Напишите, прийдут действия... Адванта лечится, во всяоком случае хамства уже нет с их стороны... А это плюс... Хотя хамство клиента = хамство адванты...

Лучшее решение в файле пароли не вводить, аккаунты создавать самому через WHM, неужели так тяжко войти в WHM и нажать на ссылку Create account, и далее заполнить три обязательных поля, домен, логин и пароль, далее жмете create и все.

Согласен, в данном случае это обойдется дешевле постоянного страха...

Я вообще не понимаю зачем гнаться за автоматизацией хостерам среднего звена для которых сделан этот биллинг, да автоматизация не всегда удобный процес...

Ответ очень прост - стоимость рабочего времени. Всё зависит от того, кто во что ценит свои 5 минут, отданные на открытие акконта, и еще несколько (каждый месяц) - на сверку даты оплаты акконта и рассылку уведомлений.
Лично для меня любая ручная (дополнительная) работа в данной сфере абсолютно неприемлима!

Руки трудней поломать, так как они вне досягаемости, а вот автоматы ломают, так как они всегда доступны для любого пользователя, который знает структуру этого автомата

А если бы пароль для whm нужно было бы вводить при заходе в биллинг для этих операций? Каждый раз... зато он не хранился бы в файле?

Как писал Андерсон:"Если бы да кабы, во рту росли грибы - это был бы не рот, а целый огород".
Пароль же не просят - к чему эти домыслы?

Больше телодвижений получится, пароль же надо либо ввести ручками, либо применить Ctrl+C Ctrl+V

Вы решили "подняться" до уровни поддержки адванты?
Какие домыслы? Что Вам привиделось? Вы о чем?
Есть сохранялки паролей, так что не обязательно их будет больше.

Поподробнее и поконкретнее, пожалуйста.

Что именно Вам непонятно? Попробуем угадать контекст вопроса. Вы ссылаетесь на директора, levb ссылается на Андерсона. Все решили на кого-то "поссылаться". За levb мы ранее подобного не замечали, за Вами да. Если есть еще вопросы по "разъяснениям" - в личку пожалуйста.

edogs, прошу прощения - не сразу въехал в смысл сообщения.

Без обид, извините если резко ответили.

Директор не осуществляет техническую поддержку, для этого есть специальные люди, за работой которых уже и следит директор, в чем собственно и помогают прямые обращения клиентов.

вообще странно что здесь появилась эта тема. автору бы ее либо в претензии воткнуть - если он не удовлетворен качеством обслуживания софта (а оно предусмотрено вообще?), либо уж обсудить это на форуме того же софта (не знаю правда есть ли он). просто тема не укладывается в данный раздел. с тем же успехом можно мыть кости спанели за то и за другое (а мыть есть за что). им на это будет глубоко наплевать...