Seguridad — Defensa en profundidad
No un firewall, sino 16 capas de seguridad entrelazadas. Cada una debe ser superada antes de que un atacante acceda a otros clientes. Seguridad a nivel de SO, no solo a nivel de archivo.
Cada cliente completamente aislado
Usuario Linux dedicado, pool PHP dedicado, directorio temp dedicado, restricción de ruta y bloqueo de funciones por cliente. Seguridad a nivel de sistema operativo.
Usuario Linux por cliente
Cada cliente obtiene un UID/GID dedicado. Los archivos pertenecen al cliente, no a www-data. Los DAC Unix estándar previenen el acceso entre inquilinos.
Pool PHP-FPM por cliente
Proceso PHP dedicado con configuración propia por cliente. PHP se ejecuta con la identidad del cliente, sin www-data compartido. El fallo de un sitio no afecta a otros.
open_basedir y disable_functions
Peticiones PHP confinadas al docroot y temp. exec, shell_exec, system, proc_open y todas las funciones pcntl_* desactivadas. Sin escape del directorio del cliente.
/tmp aislado por cliente
Ruta temp dedicada por cliente (modo 0700). Archivos de sesión, subidas y datos temporales aislados. Sin secuestro de sesión entre inquilinos vía /tmp.
WAF ModSecurity (OWASP CRS)
Firewall de aplicaciones web frente a cada sitio. OWASP Core Rule Set bloquea inyección SQL, XSS, RCE y vectores de ataque conocidos. Visor de logs y excepciones de reglas directamente en el panel.
Firewall nftables y fail2ban
Bloqueo automático de IP tras intentos fallidos para SSH, correo, FTP, login del panel y webmail. Bloqueo recidivo para reincidentes. El bloqueo de salida SMTP previene el envío de spam vía PHP.
Chroot ProFTPD
Los usuarios FTP/SFTP están confinados en su directorio home (chroot). No es posible navegar a otros clientes o rutas del sistema vía FTP.
Secretos del panel protegidos
Secreto JWT, contraseñas DB y token de agente almacenados en /etc/netcell-webpanel/ con modo 0600 root:root. Los pools PHP no pueden leer estos archivos.
Bloqueo PHP en rutas de subida
La ejecución PHP en directorios de subida está bloqueada a nivel de servidor web. Cierra el patrón de hack de WordPress más común: shell upload en /wp-content/uploads/.
2FA, Asesor de seguridad y Registro de auditoría
Además del aislamiento del SO: autenticación de dos factores, auditoría de seguridad automática y registro completo de todas las acciones relevantes para la seguridad.
2FA / Autenticación de dos factores
Basado en TOTP con código QR y códigos de respaldo. Compatible con Google Authenticator, Authy y Microsoft Authenticator. Opcionalmente obligatorio para todos los usuarios.
Asesor de seguridad
Auditoría de seguridad automática: firewall, fail2ban, 2FA, SSL, versiones PHP, configuración SSH, políticas de contraseñas. Evaluación verde/amarillo/rojo con recomendaciones concretas.
Registro de auditoría
Registro completo: inicios de sesión, cambios de contraseña, eventos 2FA, acceso por suplantación, cambios de firewall, gestión de claves API. Filtro por período, usuario y acción.
Seguridad como estándar — no como recargo
Las 16 capas de seguridad están incluidas en cada paquete enconf. 7 días de prueba gratuita — sin tarjeta de crédito.
$ curl -fsSL https://get.enconf.com | sudo bash
Copy
Copied!