Bezpieczeństwo — Obrona w głąb
Nie jeden firewall, ale 16 wzajemnie powiązanych warstw bezpieczeństwa. Każda z nich musi zostać przełamana, zanim atakujący uzyska dostęp do innych klientów. Bezpieczeństwo na poziomie systemu, nie tylko plików.
Każdy klient w pełni odizolowany
Dedykowany użytkownik Linux, dedykowana pula PHP, dedykowany katalog tymczasowy, ograniczenie ścieżki i blokada funkcji na klienta. Bezpieczeństwo na poziomie systemu operacyjnego.
Użytkownik Linux na klienta
Każdy klient otrzymuje dedykowane UID/GID. Pliki należą do klienta, nie do www-data. Standardowe Unix DAC zapobiega dostępowi między klientami.
Pula PHP-FPM na klienta
Dedykowany proces PHP z własnymi ustawieniami na klienta. PHP działa z tożsamością klienta, bez współdzielonego www-data. Awaria jednej strony nie wpływa na inne.
open_basedir i disable_functions
Żądania PHP ograniczone do docroot i temp. exec, shell_exec, system, proc_open i wszystkie funkcje pcntl_* wyłączone. Brak ucieczki z katalogu klienta.
Izolowane /tmp na klienta
Dedykowana ścieżka temp na klienta (tryb 0700). Pliki sesji, uploady i dane tymczasowe są izolowane. Brak możliwości przechwycenia sesji między klientami przez /tmp.
ModSecurity WAF (OWASP CRS)
Zapora aplikacyjna przed każdą stroną. OWASP Core Rule Set blokuje SQL injection, XSS, RCE i znane wektory ataku. Przeglądarka logów i wyjątki reguł bezpośrednio w panelu.
Firewall nftables i fail2ban
Automatyczne blokowanie IP po nieudanych próbach dla SSH, poczty, FTP, logowania do panelu i webmail. Blokada recydywistów. Blokada SMTP zapobiega wysyłaniu spamu przez PHP.
ProFTPD Chroot
Użytkownicy FTP/SFTP są zamknięci w swoim katalogu domowym (chroot). Brak możliwości nawigacji do innych klientów lub ścieżek systemowych przez FTP.
Sekrety panelu chronione
Sekret JWT, hasła DB i token agenta przechowywane w /etc/netcell-webpanel/ z trybem 0600 root:root. Pule PHP nie mogą czytać tych plików.
Blokada PHP w katalogu upload
Wykonywanie PHP w katalogach upload jest zablokowane na poziomie serwera. Zamyka najczęstszy wzorzec hackowania WordPress: upload shella do /wp-content/uploads/.
2FA, Doradca bezpieczeństwa i Dziennik audytu
Oprócz izolacji OS: uwierzytelnianie dwuskładnikowe, automatyczny audyt bezpieczeństwa i kompleksowe logowanie wszystkich działań związanych z bezpieczeństwem.
2FA / Uwierzytelnianie dwuskładnikowe
Oparte na TOTP z kodem QR i kodami zapasowymi. Kompatybilne z Google Authenticator, Authy i Microsoft Authenticator. Opcjonalnie wymuszane dla wszystkich użytkowników.
Doradca bezpieczeństwa
Automatyczny audyt bezpieczeństwa: firewall, fail2ban, 2FA, SSL, wersje PHP, konfiguracja SSH, polityki haseł. Ocena zielona/żółta/czerwona z konkretnymi rekomendacjami.
Dziennik audytu
Kompleksowe logowanie: logowania, zmiany haseł, zdarzenia 2FA, dostęp przez impersonację, zmiany zapory, zarządzanie kluczami API. Filtruj według okresu, użytkownika i akcji.
Bezpieczeństwo jako standard — nie jako dopłata
Wszystkie 16 warstw bezpieczeństwa jest w każdym pakiecie enconf. 7 dni darmowego testu — karta kredytowa nie jest wymagana.
$ curl -fsSL https://get.enconf.com | sudo bash
Copy
Copied!