Onderwerp: Standaard Plesk servers onveilig?

Beste webhostingtalkers,

Ik heb enkele servers met alles up2date van Plesk, PHP, MySQL, kernel. Alle software is zonder bugs dus.

Tevens heb ik hierop APF firewall met SSH zo geconfigureerd dat er slechts enkele ip's toegang tot hebben.

En als laatste heb ik safemode op de hele server uitgezet, omdat veel php-scripts anders niet meer functioneerden.

Houdt dit in dat de server door het uitzetten van safemode onveilig en zelfs hackbaar is door mijn clienten?

Ik heb het gevoel dat klanten gewoon bij belangrijke bestanden kunnen als safemode uit staat op een standaard Plesk-server.

Welke maatregelen nemen jullie verder om een Plesk-server te beveiligen tegen hackers?

Most definitely. Ik raad je sterk aan om vhost.conf bestanden te plaatsen om per site de safe_mode uit te zetten.

Extreme maatregelen kan je treffen om bij een aanroep een chmod 600 te doen op de file, in te lezen, en weer een chmod 000 te doen, zodat apache niet er bij kan. Maar dat wil je ook niet

Plesk is redelijk secure by default. Waarom zou je dat veranderen?

Bij Plesk staat toch standaard Open Base Dir aan. Dus echt ver kom je niet buiten je eigen dir. Correct me if im wrong

Gewoon beveiliging op OS niveau doen, niet op php niveau, zoals hier al veel gezegd is. Zie ook het "Poll: safe_mode aan of uit" topic waar enkele tips in staan. Ook al staat open_basedir aan, het is niet 100% veilig.

Als je safe_mode off zet voor 1 klant en zijn populair scriptje wordt gehackt (want als het safe_mode off nodig heeft, dan is het waarschijnlijk sowieso al crappy gecode), dan houdt dit ook een veel groter risico in.

Maar Plesk's populairste applicatie Mambo functioneert niet eens volledig met safemode aan... dan kun je geen .zip-modules uploaden en installeren via de admin oid.

Dan vraag ik me af... moet ik safemode nu uitzetten, zodat die klant de beloofde applicaties kan gebruiken of moet ik stug volhouden?

Ik zou het uitzetten op 2 voorwaarden:

- Hij verplicht zich tot bijhouden van de applicatie. Aantoonbaar
- Hacks welke plaatsvinden worden doorberekend aan de klant op een uurtarief van 250 euro per uur. De herinstallatie van de server is hij BIJ. Zal 'm leren wat 'ie gedaan heeft als hij de airco van de colo in zijn nek voelt.

tuurlijk safe mode uit zetten, zoals ik (en vele anderen) zei, je moet niet op php niveau beginnen securen, maar op OS niveau. Dus safe mode af, en zorgen dat php scriptjes uitgevoerd worden op zijn UID bijvoorbeeld.

250 euro per uur aanrekenen als alle sites van je server defaced zijn door een hacker lijkt me geen fout van de klant, maar eerder van de hoster. Doorrekenen aan klant is dus belachelijk. Het enige wat zou kunnen en mogen voorvallen is dat zijn eigen webspace gehackt is, dus dat er backups terug gezet moeten worden, wat je dan wel kunt doorrekenen natuurlijk.