Sécurité — Défense en profondeur
Pas un seul pare-feu, mais 16 couches de sécurité imbriquées. Chacune doit être franchie avant qu'un attaquant n'accède à d'autres clients. Sécurité au niveau OS, pas seulement au niveau fichier.
Chaque client entièrement isolé
Utilisateur Linux dédié, pool PHP dédié, répertoire temp dédié, restriction de chemin et verrouillage de fonctions par client. Sécurité au niveau du système d'exploitation.
Utilisateur Linux par client
Chaque client obtient un UID/GID dédié. Les fichiers appartiennent au client, pas à www-data. Les DAC Unix standard empêchent l'accès inter-locataires.
Pool PHP-FPM par client
Processus PHP dédié avec ses propres paramètres par client. PHP s'exécute sous l'identité du client, pas de www-data partagé. Le crash d'un site n'affecte pas les autres.
open_basedir & disable_functions
Requêtes PHP confinées au docroot et temp. exec, shell_exec, system, proc_open et toutes les fonctions pcntl_* désactivées. Pas d'évasion du répertoire client.
/tmp isolé par client
Chemin temp dédié par client (mode 0700). Fichiers de session, uploads et données temporaires isolés. Pas de détournement de session inter-locataires via /tmp.
WAF ModSecurity (OWASP CRS)
Pare-feu applicatif web devant chaque site. OWASP Core Rule Set bloque les injections SQL, XSS, RCE et les vecteurs d'attaque connus. Visualiseur de logs et exceptions de règles directement dans le panneau.
Pare-feu nftables & fail2ban
Blocage automatique des IP après des tentatives échouées pour SSH, mail, FTP, connexion panel et webmail. Blocage récidive pour les récidivistes. Le blocage SMTP sortant empêche l'envoi de spam via PHP.
Chroot ProFTPD
Les utilisateurs FTP/SFTP sont confinés dans leur répertoire personnel (chroot). Pas de navigation vers d'autres clients ou chemins système via FTP.
Secrets du panneau protégés
Secret JWT, mots de passe DB et jeton agent stockés dans /etc/netcell-webpanel/ en mode 0600 root:root. Les pools PHP ne peuvent pas lire ces fichiers.
Blocage PHP des uploads
L'exécution PHP dans les répertoires d'upload est bloquée au niveau du serveur web. Ferme le pattern de hack WordPress le plus courant : upload de shell dans /wp-content/uploads/.
2FA, Conseiller sécurité & Journal d'audit
En plus de l'isolation OS : authentification à deux facteurs, audit de sécurité automatique et journalisation complète de toutes les actions liées à la sécurité.
2FA / Authentification à deux facteurs
Basé sur TOTP avec QR code et codes de secours. Compatible avec Google Authenticator, Authy et Microsoft Authenticator. Optionnellement imposable pour tous les utilisateurs.
Conseiller sécurité
Audit de sécurité automatique : pare-feu, fail2ban, 2FA, SSL, versions PHP, configuration SSH, politiques de mots de passe. Évaluation vert/jaune/rouge avec recommandations concrètes.
Journal d'audit
Journalisation complète : connexions, changements de mot de passe, événements 2FA, accès par usurpation, modifications du pare-feu, gestion des clés API. Filtre par période, utilisateur et action.
La sécurité en standard — pas en supplément
Les 16 couches de sécurité sont incluses dans chaque forfait enconf. 7 jours d'essai gratuit — aucune carte de crédit requise.
$ curl -fsSL https://get.enconf.com | sudo bash
Copy
Copied!