Virtualmin 的安全性如何?它与cPanel或其他网络托管控制面板相比如何?使用 Virtualmin 会阻止我符合 PCI 标准吗?
Webmin 是大多数安全问题发挥作用的地方,因为它是登录等发生的地方。Webmin 的安全历史非常好,其安全记录是公开的:http : //www.webmin.com/security.html
尽管在过去几年中出现了一些 XSS 漏洞,但距离上一次严重的根级或直接数据暴露漏洞的发现已经过去了好几年。没有任何 Webmin 复杂的软件会完全没有错误,包括安全错误,但我们确实非常重视安全问题,并且它们很快就会得到修复。我认为 Webmin 核心在过去五年发现的漏洞数量和严重性方面与 OpenSSH 相当,而且我认为我们都同意 OpenSSH 具有非常好的安全记录。
在 Virtualmin 系统中完全可能符合 PCI 合规性,因为几乎所有与 PCI 相关的内容都由操作系统提供(因此,如果您的操作系统是 CentOS,那么您将采取与非 Virtualmin CentOS 系统相同的步骤;即不是那么多)。我们有数百名用户通过了 PCI 合规流程。
请注意,PCI 扫描器有点笨,会将 CentOS(或 Debian 或 Ubuntu)标准 Apache 包标记为旧且不安全(因为我们的 Apache 构建只是操作系统提供的包的重建,suexec docroot 设置为 /家,我们的也被标记)...但操作系统供应商应用了安全补丁,以纠正安全问题。因此,您必须为该特定包添加例外。PCI 人员很清楚这一点,您不会因此而遇到任何麻烦;从源代码构建 Apache,获得 PCI 合规性,然后忘记您是从源代码安装的会更危险。我们已经从这种事情中看到了很多安全问题 多年来,所以我们绝对建议您尽可能坚持使用标准软件包,以便通过 yum 或 apt-get 进行正常更新(并且 Virtualmin 在系统信息页面上有一个更新通知模块,让您知道何时有更新,如果您没有自动运行它们)。
简而言之,我相信 Virtualmin 的安全性至少与竞争对手一样好,尽管我确信没有人拥有完美的安全记录,因为最受欢迎的产品提供的目标是巨大的。Webmin、cPanel 和 Plesk 都是黑帽黑客的主要目标,因为它们具有 root 权限,并且在数百万台机器上运行(我知道 Webmin 确实如此,但我不确定 cPanel 或 Plesk 的数量)。
而且,由于 jeffatrackaid 不厌其烦地提出我们的竞争对手论坛,我会提到 Webmin/Virtualmin 在http://www.virtualmin.com 上也有一个非常活跃的社区(如果你喜欢老派邮件列表支持过程,http://www.webmin.com有转播)。
免责声明:我是 Webmin 和 Virtualmin 的开发人员。