Beveiliging — Defense in Depth
Niet één firewall, maar 16 in elkaar grijpende beveiligingslagen. Elke laag moet doorbroken worden voordat een aanvaller toegang krijgt tot andere klanten. Beveiliging op OS-niveau, niet alleen op bestandsniveau.
Elke klant volledig geïsoleerd
Eigen Linux-gebruiker, eigen PHP-pool, eigen temp-directory, padbeperking en functievergrendeling per klant. Beveiliging op besturingssysteemniveau.
Linux-gebruiker per klant
Elke klant krijgt een eigen UID/GID. Bestanden zijn van de klant, niet van www-data. Standaard Unix DAC voorkomt cross-tenant toegang.
PHP-FPM pool per klant
Eigen PHP-proces met eigen instellingen per klant. PHP draait onder klant-identiteit, geen gedeelde www-data. Crash van één site raakt geen andere.
open_basedir & disable_functions
PHP-verzoeken beperkt tot docroot en temp. exec, shell_exec, system, proc_open en alle pcntl_*-functies uitgeschakeld. Geen ontsnapping uit de klantdirectory.
Geïsoleerde /tmp per klant
Eigen temp-pad per klant (mode 0700). Sessiebestanden, uploads en tijdelijke data geïsoleerd. Geen cross-tenant sessie-hijacking via /tmp mogelijk.
ModSecurity WAF (OWASP CRS)
Web Application Firewall voor elke website. OWASP Core Rule Set blokkeert SQL-injectie, XSS, RCE en bekende aanvalsvectoren. Logviewer en regeluitzonderingen direct in het paneel.
nftables Firewall & fail2ban
Automatische IP-blokkering na mislukte pogingen voor SSH, mail, FTP, paneel-login en webmail. Recidive-blokkering voor herhaalde overtreders. SMTP-uitgangsblokkering voorkomt spamverzending via PHP.
ProFTPD Chroot
FTP/SFTP-gebruikers zijn opgesloten in hun homedirectory (chroot). Geen navigatie naar andere klanten of systeempaden via FTP mogelijk.
Panel-geheimen beschermd
JWT-geheim, DB-wachtwoorden en agent-token opgeslagen in /etc/netcell-webpanel/ met mode 0600 root:root. PHP-pools kunnen deze bestanden niet lezen.
Upload-pad PHP-blokkering
PHP-uitvoering in uploaddirectory's is geblokkeerd op webserverniveau. Sluit het meest voorkomende WordPress-hackpatroon: shell-upload naar /wp-content/uploads/.
2FA, Beveiligingsadviseur & Auditlog
Naast OS-isolatie: tweefactorauthenticatie, automatische beveiligingsaudit en uitgebreide logging van alle beveiligingsrelevante acties.
2FA / Tweefactorauthenticatie
TOTP-gebaseerd met QR-code en back-upcodes. Compatibel met Google Authenticator, Authy en Microsoft Authenticator. Optioneel afdwingbaar voor alle gebruikers.
Beveiligingsadviseur
Automatische beveiligingsaudit: firewall, fail2ban, 2FA, SSL, PHP-versies, SSH-configuratie, wachtwoordbeleid. Groen/geel/rood beoordeling met concrete aanbevelingen.
Auditlog
Uitgebreide logging: logins, wachtwoordwijzigingen, 2FA-events, impersonatie-toegang, firewallwijzigingen, API-sleutelbeheer. Filter op tijdsperiode, gebruiker en actie.
Beveiliging als standaard — niet als toeslag
Alle 16 beveiligingslagen zijn inbegrepen in elk enconf-pakket. 7 dagen gratis uitproberen — geen creditcard nodig.
$ curl -fsSL https://get.enconf.com | sudo bash
Copy
Copied!