Segurança — Defesa em profundidade
Não um firewall, mas 16 camadas de segurança interligadas. Cada uma deve ser violada antes que um atacante acesse outros clientes. Segurança no nível do SO, não apenas no nível de arquivo.
Cada cliente totalmente isolado
Usuário Linux dedicado, pool PHP dedicado, diretório temp dedicado, restrição de caminho e bloqueio de funções por cliente. Segurança no nível do sistema operacional.
Usuário Linux por cliente
Cada cliente recebe um UID/GID dedicado. Arquivos pertencem ao cliente, não ao www-data. DAC Unix padrão previne acesso entre tenants.
Pool PHP-FPM por cliente
Processo PHP dedicado com configurações próprias por cliente. PHP roda sob a identidade do cliente, sem www-data compartilhado. Crash de um site não afeta outros.
open_basedir e disable_functions
Requisições PHP confinadas ao docroot e temp. exec, shell_exec, system, proc_open e todas as funções pcntl_* desabilitadas. Sem escape do diretório do cliente.
/tmp isolado por cliente
Caminho temp dedicado por cliente (modo 0700). Arquivos de sessão, uploads e dados temporários isolados. Sem hijacking de sessão entre tenants via /tmp.
WAF ModSecurity (OWASP CRS)
Firewall de aplicação web na frente de cada site. OWASP Core Rule Set bloqueia SQL injection, XSS, RCE e vetores de ataque conhecidos. Visualizador de logs e exceções de regras diretamente no painel.
Firewall nftables e fail2ban
Bloqueio automático de IP após tentativas falhas para SSH, e-mail, FTP, login do painel e webmail. Banimento recidivo para reincidentes. Bloqueio de saída SMTP previne envio de spam via PHP.
ProFTPD Chroot
Usuários FTP/SFTP estão presos em seu diretório home (chroot). Sem navegação para outros clientes ou caminhos do sistema via FTP.
Segredos do painel protegidos
Segredo JWT, senhas do BD e token do agente armazenados em /etc/netcell-webpanel/ com modo 0600 root:root. Pools PHP não podem ler esses arquivos.
Bloqueio PHP em caminhos de upload
Execução PHP em diretórios de upload é bloqueada no nível do servidor web. Fecha o padrão mais comum de hack WordPress: upload de shell em /wp-content/uploads/.
2FA, Consultor de segurança e Log de auditoria
Além do isolamento do SO: autenticação de dois fatores, auditoria de segurança automática e registro completo de todas as ações relevantes para a segurança.
2FA / Autenticação de dois fatores
Baseado em TOTP com código QR e códigos de backup. Compatível com Google Authenticator, Authy e Microsoft Authenticator. Opcionalmente obrigatório para todos os usuários.
Consultor de segurança
Auditoria de segurança automática: firewall, fail2ban, 2FA, SSL, versões PHP, configuração SSH, políticas de senha. Classificação verde/amarelo/vermelho com recomendações acionáveis.
Log de auditoria
Registro completo: logins, alterações de senha, eventos 2FA, acesso por impersonação, alterações de firewall, gerenciamento de chaves API. Filtro por período, usuário e ação.
Segurança como padrão — não como custo adicional
Todas as 16 camadas de segurança estão incluídas em todos os pacotes enconf. 7 dias de teste gratuito — sem cartão de crédito.
$ curl -fsSL https://get.enconf.com | sudo bash
Copy
Copied!