2 votes

Est-ce que l'utilisation de cPanel est un risque d'un point de vue sécurité ?

Un fournisseur d'hébergement nous donne la possibilité d'installer cPanel sur notre serveur dédié. Même si je trouve définitivement utile et pratique de l'utiliser, y a-t-il un risque de sécurité à l'utiliser?

3voto

Prix Points 4583

CPanel / WHM n'est qu'un outil, que ce soit un risque de sécurité ou non, c'est à votre administrateur système de s'en occuper.

Plus de 50 % des sociétés d'hébergement Linux utilisent cPanel ou un outil similaire, et ils ont tous leurs côtés positifs et négatifs, la clé étant les compétences de l'administrateur système.

cPanel n'est en fait que l'application que vous voyez habituellement, telle que apache, bind, exim, php, et ainsi de suite, ce qui signifie que s'ils ne sont pas maintenus à jour et correctement configurés, cela peut entraîner une faille dans votre système.

En simplifiant, pensez à cPanel comme une nouvelle installation de Linux, une fois terminée, il reste encore beaucoup de travail à faire pour la sécuriser.

1voto

David Spillett Points 22424

Avertissement : Je n'ai pas utilisé cPanel en tant qu'administrateur ou utilisateur depuis un certain temps, mais j'avais l'habitude d'administrer quelques serveurs gérés par cPanel.

cPanel en lui-même n'est pas une préoccupation particulière en termes de sécurité car la plupart des composants de base sont standard et cPanel est rapide à publier des mises à jour suite à des correctifs de sécurité en amont de nos jours.

Il y a cependant quelques points à considérer :

  • cPanel est généralement installé sur un système fraîchement installé, si cela concerne un serveur existant plutôt que d'une nouvelle mise en service, il peut y avoir des problèmes supplémentaires - au minimum, vous devriez vous assurer qu'une sauvegarde complète est effectuée avant l'installation
  • Alors qu'une installation standard de cPanel est raisonnablement sécurisée, il est conseillé de revoir les techniques de verrouillage standards (comme durcir la configuration de votre SSHd si nécessaire) pour s'assurer que tout est conforme à vos normes habituelles
  • L'utilisation de cPanel signifie que vous avez des services supplémentaires (les interfaces de gestion de cPanel) exposés au monde extérieur et tout service supplémentaire qui est accessible publiquement augmente votre surface d'attaque potentielle (si, par exemple, quelqu'un découvre une faille dans cPanel permettant un accès administratif sans authentification correcte, votre système est potentiellement vulnérable jusqu'à ce que les personnes de cPanel diagnostiquent le problème et créent+testent+publient une mise à jour). Pour atténuer ce risque (ces conseils sont pertinents pour d'autres services aussi, pas seulement cPanel) :
    • Assurez-vous d'installer les mises à jour de cPanel, et de votre système d'exploitation de base, en temps opportun.
    • Suivez toutes les recommandations de sécurité de la documentation de cPanel et d'autres sources dignes de confiance à moins d'avoir de très bonnes raisons pour ne pas le faire (et avoir pris d'autres mesures pour atténuer les problèmes posés par votre écart par rapport aux recommandations)
    • Si vous avez installé cPanel uniquement pour votre propre convenance, c'est-à-dire que vous n'avez pas l'intention de proposer de l'hébergement partagé et de laisser vos utilisateurs utiliser cPanel eux-mêmes, configurez des règles de pare-feu de sorte que ses interfaces de gestion ne puissent être accessibles que depuis vos emplacements (ou bloquez-le via le pare-feu sauf pour les connexions locales et installez quelque chose comme OpenVPN pour y accéder de cette façon)
    • En supposant que l'interface administrateur revendeur fonctionne toujours sur un port différent de l'interface pour les utilisateurs moins privilégiés, vous pouvez être sélectif avec les règles du pare-feu ci-dessus de sorte que l'interface utilisateur de base soit publiquement disponible mais que les interfaces administratives ne le soient pas
  • Si vous avez d'autres comptes utilisateurs sur le système, assurez-vous qu'ils maintiennent les scripts d'installation (à partir des installations automatiques de cPanel ou d'autres add-ons) à jour - cela n'est pas géré automatiquement de ce que je me souvienne. Cela compte pour tout code ajouté par les utilisateurs, pas seulement via l'interface cPanel ou similaire, mais il est important de vérifier car les options d'installation en un clic donnent aux gens une fausse impression de sécurité à mon avis, car ils ont tendance à supposer que le système et ses administrateurs prendront en charge les mises à jour automatiquement et ce n'est généralement pas le cas.

0voto

priestjim Points 649

(Réputation sacrément basse)

Juste mes 2 cents :

cPanel est aussi sécurisé que l'administrateur système qui le gère est expérimenté. Cependant, voici 2 liens pour vous aider à démarrer avec quelque chose de plus que l'installation par défaut :

  • www.thecpaneladmin.com > Blog génial avec des astuces pour de nombreuses procédures compliquées dans cPanel
  • www.configserver.com > Certains des meilleurs scripts d'aide gratuits à utiliser avec cPanel, surtout si vous êtes un novice. Leur script de pare-feu/détection de tentatives d'effraction CSF est tout simplement génial et extrêmement utile !

-1voto

Ian Wood Points 11

Oui, il y en a,

Tout d'abord, toute vulnérabilité dans cPanel vous expose évidemment à des attaques qui l'utilisent. (vous rendez votre surface d'attaque plus grande en l'ayant)

Deuxièmement, les installations "en un clic" incluses sont très anciennes et la plupart sont vulnérables à une attaque ou une autre.

À part ça, non.

Si vous êtes intéressé par la sécurité, je vous conseillerais sincèrement d'utiliser suphp et suexec (pour php et perl) car cela exécutera ces scripts en tant qu'utilisateur spécifié (un utilisateur par vhost) ce qui signifie que si un site est exploité, tous vos autres sites seraient en sécurité.

L'autre méthode (meilleure mais un peu plus difficile à mettre en œuvre) consiste à utiliser Apache MPM-ITK ou MPM-Peruser, qui ont l'avantage supplémentaire de fournir la même protection à Python, Ruby, Perl ......

Du moins, c'est ce que j'ai trouvé fonctionner, et ce que j'ai fait pour d'innombrables clients.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X