На Linux-серверах, использующих панель управления хостингом Cpanel, выявлен (http://blog.sucuri.net/2013/04/apache-binary-backdoors-on-cp...) новый бэкдор, поражающий компоненты http-сервера Apache. В отличие от ранее встречающихся (http://www.opennet.me/opennews/art.shtml?num=36573) способов внедрения в Apache, основанных на загрузке отдельного троянского модуля, новое вредоносное ПО отличается прямой интеграцией в исполняемый файл httpd. Вредоносная вставка добавляется непосредственно в исполняемый файл и перенаправляет на свой код несколько обработчиков, вызываемых в процессе обслуживания внешних запросов к http-серверу.
Вся связанная с бэкдором информация сохраняется в разделяемой памяти. Команды управления бэкдором передаются через специальные HTTP GET-запросы, которые обрабатываются вредоносной вставкой молча, без отображения каких-либо данных в логе (при использовании вредоносного apache-модуля активность злоумышленников отслеживалась по логу). В рамках подобного HTTP GET-запроса передаётся IP и номер порта, по которому бэкдор осуществляет ответное соединение. Таким образом связанная с работой бэкдора не оседает в логах на сервере, а поражённый хост продолжает выглядеть как обычный web-сервер.Цели внедрения нового вредоносного ПО схожи с целями ранее выявленных атак, манипулирующих руткитом (http://www.opennet.me/opennews/art.shtml?num=35392) для ядра Linux или троянским модулем (http://www.opennet.me/opennews/art.shtml?num=35669) для Apache для незаметной подмены транзитного трафика, отдаваемого на запросы клиентов. Метод нового бэкдора отличается от тем, что вместо добавления вредоносных JavaScript или iframe-блоков в процессе передачи контента клиенту, используется другая схема: в определённые случайные моменты времени (примерно раз вдень для каждого IP) вместо отдачи запрошенной страницы осуществляется редирект на внешний сайт с кодом эксплуатации известных уязвимостей в web-браузерах и плагинах к ним.
При этом в качестве аргумента при редиректе указывается изначально запрошенный URL, который используется для возвращения пользователя на изначальное запрошенную страницу после активации кода эксплуатации уязвимости в браузере. В дальнейшем, при успешной эксплуатации уязвимости на стороне клиента на его систему устанавливается вредоносное ПО, используемое для перехвата конфиденциальных данных или для участие в ботнете, который может привлекаться для осуществления DDoS-атак или рассылки спама.
Интересно, что при редиректе фигурируют поддомены легитимных доменов (например, dcb84fc82e1f7b01.alarm-gsm.be). При этом имена меняются достаточно интенсивно, всего было зафиксировано около 30 тысяч вариантов доменов для проброса на вредоносный код. Пока непонятно, каким образом злоумышленники создают подобные поддомены - большинство из DNS-записей фигурирующих в них хостов связаны с DNS-сервисом dothost.co.kr, не исключается компрометация аккаунтов клиентов данной системы или взлом инфраструктуры данного сервиса.Пока непонятно каким способом атакующие получили root-доступ для размещения бэкдора. В качестве предположения упоминается проведение атаки по подбору типовых паролей доступа к SSH. Бэкдором поражаются только системы с Apache, установленный вместе с Cpanel. Так как компоненты установленного таким образом apache не охватываются пакетными менеджерами дистрибутивов, остаются только обходные способы выявления фактов модификации файла httpd. В частности, можно использовать то, что бэкдром используется вызов open_tty, которого нет в обычном httpd, поэтому если при выполнении "grep -r open_tty /usr/local/apache/" будут выявлены файлы, то вероятно хост поражён вредоносным ПО.
URL: http://blog.sucuri.net/2013/04/apache-binary-backdoors-on-cp...
Новость: http://www.opennet.me/opennews/art.shtml?num=36810
красота
начинается?
> начинается?Продолжается.
Joomla, Wordpress, Drupal, cPanel, Plesk и другие дуршлаги прочно обосновались на веб-хостингах. Как и винды - на юзерских компах. Так что в обозримой перспективе ботнетчики без площадок не останутся.
Альтернативы?
> Альтернативы?Есть, но всем не по кармасу
;)
Битрикс, штоле? Он разве что для распила пригоден.
<trollmode>Bricolage+Mason</trollmode>
> <trollmode>Bricolage+Mason</trollmode>Кстати, да.
Портанут на Mason 2, обязательно посмотрю.
Сам сижу на Mason 2 больше года, очень доволен.
> Альтернативы?Вовремя обновлять апач и не запускать cpanel под рутом.
Зато ботнетчики хотя бы от родителей отстанут и перестанут стрелять мелочь на сигареты.
Там деньги "чуток" побольше крутятся. Эдак с шестью нуликами в баксах, если не с семью.
Ага, они родителям смогут уже сами деньги давать.
> Ага, они родителям смогут уже сами деньги давать.За такие деньги можно поплавать в тазике с цементом, чувак. Там и люди другие совсем рулят. Это тебе не мелочь по карманам тырить.
> grep -r open_tty /usr/local/apache/
> /usr/local/FreeBSD-specific?
> FreeBSD-specific?Там же не /usr/local/bin, а /usr/local/apache.
PS. Поди через http://secunia.com/advisories/49363/ или http://secunia.com/advisories/51494/ сломали.PPS. Году в 2002 был дан приказ внедрить это чуду на нашем хостинге. Еле отбились, показав, что за считанные минуты там можно выкопать проблемы с безопасностью. Как была на коленке собранная свалка, так и остаётся.
>> FreeBSD-specific?
> Там же не /usr/local/bin, а /usr/local/apache.
> PS. Поди через http://secunia.com/advisories/49363/ или http://secunia.com/advisories/51494/
> сломали.
> PPS. Году в 2002 был дан приказ внедрить это чуду на нашем
> хостинге. Еле отбились, показав, что за считанные минуты там можно выкопать
> проблемы с безопасностью. Как была на коленке собранная свалка, так и
> остаётся.Что Вы можете порекомендовать из того что, есть на рынке (неважно, платное или нет)? Я сам не вижу в этом необходимости, но клиентам бывает нужно. Интересует самое безопасное по вашему мнению на настоящий момент, разумеется (условности и обсуждение, что безопасного не бывает, можем опустить :)
> Что Вы можете порекомендовать из того что, есть на рынке (неважно, платное
> или нет)? Я сам не вижу в этом необходимости, но клиентам
> бывает нужно. Интересует самое безопасное по вашему мнению на настоящий момент,
> разумеется (условности и обсуждение, что безопасного не бывает, можем опустить :)Я рекомендую работать. Улицы мести.
плохо вы работаете - все улицы засраны
> плохо вы работаете — все улицы засранытак да: пока одного типа тебя на работу вернёшь — десять сбегут. вопрос о том, чтобы после второго побега расстреливать, лоббируется.
> плохо вы работаете - все улицы засраныОтож. Все подметальщики ушли в админы, и бесплатных рекомендаций, как работать, по опеннетам побирают.
> Что Вы можете порекомендовать из того что, есть на рынке (неважно, платное или нет)?Грамотного админа.
Если нет грамотного админа — никакая панель не поможет.
> Интересует самое безопасное
А в чём измерять безопасность — в микронюках? Вот порекомендовать тебе софтину XYZ, завтра в ней найдут дыру, и что ты будешь делать?
> Что Вы можете порекомендовать из того что, есть на рынкеgoogle app engine
> Что Вы можете порекомендовать из того что, есть на рынке (неважно, платное или нет)?ssh
ISPmanager юзайте, там весь софт из репозитория системы и обновлять будете через yum update
А найдется дыра в бинарнике панели? Что делать будем?
Кстати, по поводу старого бэкдора с libkeyutils. Так и не нашли, через какую дыру он распространялся?
Через дыры в CPANEL поди и распостранялся. Энтерпрайзятина, что вы хотите?
Afaik, он обнаруживался даже на системах без cpanel. "Дотянулся проклятый Сталин"?
> Afaik, он обнаруживался даже на системах без cpanel.Как вы понимаете, могут быть средства доставки и то что они собственно доставляют. Это могут быть два вообще разных "продукта" доставивших один и тот же "payload". Ну то-есть наблюдается некая специализация малвари. Одни желают ракеты для доставки, вторые термоядерный заряд собирают. Обычное такое разделение труда.
может стоит признать что linux не такой уж и защищенный? и как только стал хоть сколько нить популярным - сразу стал источником заразы?
Так ведь уязвимость не в оси, а в стороннем софте, да еще и проприетарном.
аха..только как они сломал апач смогли модуль положить? я про keyutils. апач же не от рута работает. ТО биш дело не только в дырках апача/веб-поделок
> апач же не от рута работаетcpanel тоже не от рута работает?
Дело в том, что cpanel использует easyapache - собственную специальную систему для сборки апача прямо на сервере. Перед этим скачивая все компоненты с инета. Естественно все эти файлы находятся не под контролем пакетного менеджера. И подменить не сложно.
> Дело в том, что cpanel использует easyapache - собственную специальную систему для
> сборки апача прямо на сервере. Перед этим скачивая все компоненты с
> инета. Естественно все эти файлы находятся не под контролем пакетного менеджера.
> И подменить не сложно.А пакетный менеджер сорцы читает и - страшно подумать! - анализирует?
Может стоит признать, что не так уж и внимательно вы читали новость. И как только разберётесь, что есть источник проблемы- сразу продолжим дискуссию.
> может стоит признать что linux не такой уж и защищенныйЛинукс не такой защищенный, как винды. Он защищен куда лучше.
Линукс не такой защищенный, как сейф с заваренной дверцей. Таких защит вообще не бывает.Может, стоит признать, что примитивные суждения и передергивания не к лицу технически грамотным людям?
> может стоит признать что linux не такой уж и защищенный? и как
> только стал хоть сколько нить популярным - сразу стал источником заразы?"Как тольку" уже лет 20, десятки тысяч боевых серверов. "Популярность" - это не обилие хомячковых машин у домохозяек...
именно это оно :-) Вам не нравится?
Новость о серверах - "На серверах с Cpanel ...".
Повторю, если Вам для понимание нужно два раза говорить, "На серверах с Cpanel ...".
И как раз на серверах Linux давно популярней, не от linux'а головного мозга админов, а как раз из-за лучшей безопасности.
ну да.. только что-то с безопасностью не то.. За последние 2 месяца - пережили 3 эпидемии (ботнет из роутров, потом подмены libutils, добавленый модуль к апачу).Как-то выглядело это как неуловимый джо...
Хватит кормить этого тугого троля.
Через перехваченные пароли к ssh. Нет там бэкдоров.
хитрО однако
Это очень элегантные шорты ! Однако очень даже не глупые люди эти вредители. Интересно можно ли направить эту "творческую энергию" в мирное, так сказать, русло ?
> Это очень элегантные шорты ! Однако очень даже не глупые люди эти
> вредители. Интересно можно ли направить эту "творческую энергию" в мирное, так
> сказать, русло ?Конечно можно. Мани-мани гони только :)
>Конечно можно. Мани-мани гони только :)Ну ну, это примерно как перевоспитать карманника заставив его работать на хорошо оплачиваемой работе.
Вообще-то народ, которые эти штуки пишет, в большинстве своем абсолютно прагматичен. Только привык к несколько большим суммам за час работы, чем в "честном" программировании, и начальтсва/заказчиков над собой не любит - это две основные причины
> Вообще-то народ, которые эти штуки пишет, в большинстве своем абсолютно прагматичен. Только
> привык к несколько большим суммам за час работы, чем в "честном"
> программировании, и начальтсва/заказчиков над собой не любит - это две основные
> причинытолько эти суммы весьма не регулярны.. а "большим" - это еще вопрос..
Дороговато обойдётся. Прибыль автора от продаж более-менее нового зловреда - это минимум несколько десятков тысяч баксов.
Собственно панели управления хостингом, которые устанавливают софт не из репозитория дистрибутива, вызывают ряд неприятностей, тут описана одна из них. Панели, которые строят свой огород, обходя пакетную базу дистрибутива, не контролируют процесс обновления ПО в своём огороде. Поэтому ПО со временем стареет, а обновлять вручную сложнее, так как этот процесс обычно либо плохо описан, либо не описан вообще. За симпатичной и красочной веб оболочкой часто прячется такой лес кода, который может удивить даже бывалого разработчика.P.S. Работая с cpanel, лично у меня она, никаких приятных эмоций не вызвала. Никого не хочу обидеть это только мое мнение.
вы такой не один
Это все проблема головного мозка админа.
> Это все проблема головного мозка админа.Вовсе нет. Разрабы панелей никогда не делают оптимальной конфигурации софтов. Они строят "универсальный" конфиг, который так-сяк реализует некий функционал, и не более. Конфиги эти, разумеется, "панельно-ориентированы" под скриптовую модификацию, что сильно добавляет перчику в администрирование хостов с панелями.
Самое гнусное, с чем приходилось сталкиваться - феерический гемор при скрещивании спанели с вайлдкардными сертификатами, и ее же монструозный "все в одном" конфиг экзима.
Нафиг-нафиг. Пусть эти панели покупают себе те, кому не по карману нанять админа. А бонусом получат бэкдоры и ограниченность настройки.
>> Это все проблема головного мозка админа.
> Нафиг-нафиг. Пусть эти панели покупают себе те, кому не по карману нанять
> админа. А бонусом получат бэкдоры и ограниченность настройки.Так и покупают. Зачем платить админу 100 баксов час, когда можно купить поддержку за 200 уе в год и время от времени донимать сапорт панели?
давай посмотрим с другой стороны - тебе что бы оттюнить сервак - надо заплатить за 8 часов работы (и то не факт что успеешь справиться) - эта цена - оплатить на год стоимость еще одного сервера. Только арендавав еще один сервер - результат получишь прям вот сейчас, а твоя работа - не обязательно удводит пропускную способность. А значит экономически не обоснована..
Или это просто крик души, что никто не хочет нанимать?
> давай посмотрим с другой стороны - тебе что бы оттюнить сервак -
> надо заплатить за 8 часов работы (и то не факт что
> успеешь справиться) - эта цена - оплатить на год стоимость еще
> одного сервера. Только арендавав еще один сервер - результат получишь прям
> вот сейчас, а твоя работа - не обязательно удводит пропускную способность.
> А значит экономически не обоснована..Ну да, ну да! А если арендовать два дырявых сервера, то надежность увеличится вдвое!
Моя клиентура состоит из тех, кто находится выше уровня говносайтов-визиток или "еще один магазин на магенте/оскоммерсе". Они прекрасно знают, за что платят - и готовы платить, ибо им это выгодно. И, что характерно, примерно половина моей клиентуры - бывшие юзеры панелей, осознавшие, что грамотный специалист эффективнее кривой проприетарщины.
да причем тут твоя клиентура? есть миллионы людей которым нужен гогнохостинг за 3 бакса в месяц для сайта-визитки. и именно эти люди -- основные потребители гогнопанелей.
Господа!
Прошу перечислить кому следует волноваться. Только пользователям шаред-хостингов? Если у меня свой сервер - это не про меня? Я_ничего_не_понял.jpg
Скрипт (dump_cdorked_config.py), поиска зловреды в ОЗУ
http://www.welivesecurity.com/wp-content/uploads/2013/04/dum...
Если у тебя свой сервер с Apache и Cpanel.
> Если у тебя свой сервер с Apache и Cpanel.Если у тебя ЛЮБОЙ сервер с Apache и Cpanel...
Доооо. При nginx'e такого небыло, ага.
Упс. Опять быдлопанельку сломали.
>В частности, можно использовать то, что бэкдром используется вызов open_tty, которого нет в обычном httpd, поэтому если при выполнении "grep -r open_tty /usr/local/apache/" будут выявлены файлы, то вероятно хост поражён вредоносным ПО.В Линуксе что ? До сих пор не научились подписывать бинарники ? ... от жеж вундерфафе
> В Линуксе что ? До сих пор не научились подписывать бинарники ?Подписывать у Майкрософта? Нет, до этого еще далеко, делаются только первые робкие шаги.
>Подписывать у Майкрософта?Конкретно вы можете у Микрософта. Кто ж вам запретит то ?
>До сих пор не научились подписывать бинарники ? ... от жеж вундерфафеЧитайте новость внимательнее, речь идёт о бинарниках, установленных в обход пакетного менеджера.
> Читайте новость внимательнее, речь идёт о бинарниках, установленных в обход пакетного менеджера.А подписывать и проверять подписи умеет только пакетный менеджер ? Воистину вундерфафе
>>В частности, можно использовать то, что бэкдром используется вызов open_tty, которого нет в обычном httpd, поэтому если при выполнении "grep -r open_tty /usr/local/apache/" будут выявлены файлы, то вероятно хост поражён вредоносным ПО.
> В Линуксе что ? До сих пор не научились подписывать бинарники ?
> ... от жеж вундерфафеА нафига? Есть же md5.
И кстати, а кто его будет подписывать? Если самосбор - тут способов немало, начиная с тех же хэшей. А в случае пакетного менеджера - там подписи давно есть.
>А нафига?Что бы не искать в теле бинарника некую строчку в надежде таким образом вычислить факт хака - не ?
>Есть же md5.
Где то есть наверняка есть, но в новости отчего то предлагают open_tty искать
> И кстати, а кто его будет подписывать? Если самосбор - тут способов
> немало, начиная с тех же хэшей. А в случае пакетного менеджера
> - там подписи давно есть.Немало способов - тут скорее всего означает отсутствие хотя бы одного толкового, и,или инфраструктуры где самосборный софт легко и просто
1 - подписывается ключом админа с паролем (настройка сервера)
2 - легко и и планово проверяется на соответствие (штатный аудит сервера)Что до пакетных менеджеров да, подписи есть, на увы только пакеты ...
А как быть с коллизиями в md5?
>А как быть с коллизиями в md5?Теоретически допустимо, практически нет мотивации на подмену. Либо размер резко отличается и потому заметен, либо неработоспособный экземпляр получается. Легче подменить md5 на сайте разработчика, если разработчик вообще md5 удосужился нормально поставить.
FreeBSD-10 использует SHA-512
> А как быть с коллизиями в md5?Дистроклёп? Сорцы в твоем долбаном распоряжении. Используй SHA, Люк.
Для этого создавался и есть РЕПОЗИТОРИЙ, школо-ло-ололо-шенька...
Помимо быстрой установки и обновления ПО (читай - исправления безопасости), есть еще и контрольная сумма (MD5,SHA) которая вычислена сразу по нескольким алгоритмам. А за целостность сборки отвечает мейнтейнер и админ репозитория, за осходный код - разработчик.
Плюс ко всему - применяется цифровая подпись GnuPG/PGP.А в данном инциденте, мы имеем Windows-way soft install со всеми букетами, жаль что не цветов...
Это какой то детский сад.
Если у меня есть рут, никакие пакетные менеджеры и прочие системы контроля _на этой машине_ не помогут узнать администратору что я сделал с сервером.
В общем случае это не так, есть системы с немодифицируемым аудитом.
> В общем случае это не так, есть системы с немодифицируемым аудитом.Ага, проприетарь клятая.
Выдающиеся пункты пятого шага установки cPanel ( http://docs.cpanel.net/twiki/bin/view/11_30/InstallationGuid... ):"Removing YUM groups" - в т.ч. удалите штатный апач и почтовый сервер
"Disabling SELinux security features" - типа система нипочём не позволила-бы себя так изнасиловать, как мы собираемся это сделать.
"Deactivating default firewall" - не знаю как в rhel, а в centos 4 и 5 фаервол по умолчанию разрешает только ssh. Возможно, что firewall потом настраивается; но в этом случае нет необходомости удалять дефолтный.
Так что всякий устанавливающий cPanel ССЗБ.
И что же иных так тянет вляпываться в дерьмо-то типа cpanel. Ну на кой? Того же плана вопрос, что при установке, к примеру, Windows Server и Windows вообще, Joomla, WordPress и т.д., и т.п. Ведь есть же хорошие вещи.
> "Disabling SELinux security features" - типа система нипочём не позволила-бы себя так
> изнасиловать, как мы собираемся это сделать.Они что, неосилили профиль SELinux для своей панельки? Мда...
Нет, я с SELinux не работал, но думаю что это не так сложно - есть опыт использования AppArmor и написания профилей. А в случае таких критичных для безопасности вещей - это просто необходимо.
P.S.: долбаный глючный постинг комментов с мобильной версии!
> Нет, я с SELinux не работал, но думаю что это не так сложно - есть опыт использования AppArmor и написания профилей.Смотря что для тебя сложно.
Вот если погуглить настройку каких либо сервисов - так в туче мануалов и хаутушек рекомендуются отключать SELinux к чертовой матери.Есть мнение что если бы написание профилей было бы простым и хорошо задокументированным, то такого стереотипа не сложилось бы.
Меня всегда поражали люди, которые вместо того, чтобы прочитать документацию на программное обеспечение, пытаются настроить боевой сервер по найденным в Интернете "хаутушкам".А что касается написания профилей для _любой_ MAC-системы (хоть SELinux, хоть AppArmor, хоть ещё чёрт-те что) -- оно никогда простым не будет. А задокументирован SELinux достаточно. Кончая тем, что можно загрузиться в пермиссивном режиме, покурить логи и написать профиль, перезагрузившись потом в режим с энфорсингом.
>А задокументирован SELinux достаточно.Вы настраивали ? Сколько раз успешно ?
>Кончая тем, что можно загрузиться в пермиссивном режиме, покурить логи и написать профиль, перезагрузившись потом в режим с энфорсингом.
Понимаешь ли в чем дело, это итерационный процесс.
Вот включили ты строгий режим, софт бац и отвалился на каком либо этапе, покурил логи (кстати какие, и кто вам гарантировал что они будут), предположим нашел, написал правило, перегрузился в энфорсинг, а софт все равно не пашет, потому что теперь он валиться на следующем этапе, до которого в пермисивном режиме тупо не доходил.И так до бесконечности, а людям знаете ли работать нужно.
да нормально SELinux настраивается, сколько уж их настроил. страхи тут не уместны
> Меня всегда поражали люди, которые вместо того, чтобы прочитать документацию на программное
> обеспечение, пытаются настроить боевой сервер по найденным в Интернете "хаутушкам".В документации к программному обеспечению написано :
rpm -ivh soft-xxxx.x.x.xxx.x-x.platform.rpm
что успешно и без ошибок выполняется, вот только софт не работает.
Не подскажите какое именно место в документации читать ?
> что успешно и без ошибок выполняется, вот только софт не работает.
> Не подскажите какое именно место в документации читать ?что ж вы такой не везучий??
Надо сделать все, чтобы не мешать cpanel работать, даже если это идет в ущерб всей системе. Подобное ПО должно учитывать все факторы включая особенности дистрибутива, на котором данное ПО будет работать.Панель управления хостингом не заменяет администратора, она только разгружает его от части банальных действий и делает их выполнение проще. А то комментарии типа не ставь панель управления найми администратора звучит настолько глупо, что смешно читать. Но у столь умных людей хочется спросить, сколько надо нанять администраторов, что бы можно было обслуживать серверный парк хостинговой компании?!
Задачи стандартные: добавить домен, поменять пароль, создать почту и так далее, и это десяткам людей.
> хостинговой компании?!
> Задачи стандартные: добавить домен, поменять пароль, создать почту и так далее, и
> это десяткам людей.Почту-то уж имей у себя в конторе (судя по десяткам - контора немаленькая), а не у хостера.
> Почту-то уж имей у себя в конторе (судя по десяткам - контора
> немаленькая), а не у хостера.Речь идет о массовом хостинге, а не ободном домене компании. Как я уже говорил ранее, панель частично избавляет администратора от однообразной работы. Эту работу клиент может выполнить и сам через панель управления хостингом.
Надо сделать все, чтобы не мешать cpanel внедрять бэкдоры. // Fixed.
> Но у столь умных людей хочется спросить, сколько надо нанять
> администраторов, что бы можно было обслуживать серверный парк хостинговой компании?!
> Задачи стандартные: добавить домен, поменять пароль, создать почту и так далее, и
> это десяткам людей.Ну или виндюзятников-сипанелистов по числу хостов, или одного, умеющего скриптик коротенький написать. Еще его заместителя на случай если первый в декрет или под трамвай угодит.
> Ну или виндюзятников-сипанелистов по числу хостов, или одного, умеющего скриптик коротенький
> написать. Еще его заместителя на случай если первый в декрет или
> под трамвай угодит.Да некоторые хостеры пошли по такому пути и у них есть свои панели управления. Но они применяются только на площадках компании и соответствуют их задачам, по принципу ничего лишнего. Эти панели не избавляют от администратора, они сделаны для облегчения работы клиентов компании, и не более. В таких панелях прослеживается индивидуальность, вместо принципа пусть будет может кому то пригодится.
>> Но у столь умных людей хочется спросить, сколько надо нанять
>> администраторов, что бы можно было обслуживать серверный парк хостинговой компании?!
>> Задачи стандартные: добавить домен, поменять пароль, создать почту и так далее, и
>> это десяткам людей.
> Ну или виндюзятников-сипанелистов по числу хостов, или одного, умеющего скриптик коротенький
> написать. Еще его заместителя на случай если первый в декрет или
> под трамвай угодит.какой, блеать, скриптик написать? панель используется для того чтобы твой клиент(который вообще не ебёт что такое POP3, FTP и такое прочее) мог одной кнопкой создать себе почтовый ящик или установить ту же Joomla! или Wordpress. и у каждого хостера таких клиентов могут быть десятки тысяч. конечно, что если у тебя 10 -- 100 клиентов, то можешь фигачить все вручную по запросу. с этим никто не спорит.
>вручнуюВручную виндюзятники только все делают.
>>вручную
> Вручную виндюзятники только все делают.так не могут же, потому им и дают говнопанели.
secure by design
Друзья предлагаю ОДНУ аксиому - Второй программист ни чем не хуже ПервогоГлавное следствия - если Первый сделает, то Второй сможет повторить
Главное последствие - не обижай Художника
> Друзья предлагаю ОДНУ аксиому - Второй программист ни чем не хуже Первого
> Главное следствия - если Первый сделает, то Второй сможет повторить
> Главное последствие - не обижай ХудожникаЗнал одного такого ... художника ... а, может, как сказал персонаж Шукшина в "Калине красной" - "чудака ... на букву М".
Проект Cpanel должен быть закрыт.
> Проект Cpanel должен быть закрыт.Любой проект время от времени, должен поглядывать на свой список приоритетов, для того чтобы убедится в том что они не сбились с курса, более того иногда нужно пересматривать свои приоритеты, чтобы не приплыть в никуда.
> Проект Cpanel должен быть закрыт.cPanel является достаточно популярным ПО, возможно, даже самой популярной из всех коммерческих панелей управления для хостинга, особенно хостинг-провайдеров Европы и Северной Америки. Не последняя причина в том, что cPanel имеет расширенную функциональность для перепродажи хостинга.
и не последняя причина также в том что многие конкурирующие панели, например, вторая по популярности Parallels Plesk, гораздо более кривые и сложные как в администрировании так и с точки зрения UX.
> и не последняя причина также в том что многие конкурирующие панели, например,
> вторая по популярности Parallels Plesk, гораздо более кривые и сложные как
> в администрировании так и с точки зрения UX.или купили более интересную PSoft H-Sphere, если не смогли ее задавить качеством..
> и не последняя причина также в том что многие конкурирующие панели, например,
> вторая по популярности Parallels Plesk, гораздо более кривые и сложные как
> в администрировании так и с точки зрения UX.а с учетом того что Cpanel и Plesk разливаются из одной бочки ... :)))
а в plesk собирают rpm или deb со своим, модифицированным апачем. Так и надо делать...
из реп системы должно все ставиться
> из реп системы должно все ставитьсяда да, потом федоре захочется что-то поменять в пакете - а в панельке все отватился.. вот не собирал RH postfix с поддеркой MySQL а панельке он нужен. И удобно так - что делать то будем?
В случае с cPanel имеем выбор нескольких версий апача и пхп плюс кастомизацию -- так исторически сложилось что apache и php компилировался прямо на текущем сервере с выбранными модулями. Изначально поддерживали целый зоопарк ОС -- в том числе FreeBSD, Gentoo, SuSe и так было проще, чем пакетировать под каждую систему. В последних версиях они, правда, уже дропнули всё кроме RedHat клонов и переходят к rpm пакетированию всего-всего.
> В случае с cPanel имеем выбор нескольких версий апача и пхп плюс
> кастомизацию -- так исторически сложилось что apache и php компилировался прямо
> на текущем сервере с выбранными модулями. Изначально поддерживали целый зоопарк ОС
> -- в том числе FreeBSD, Gentoo, SuSe и так было проще,
> чем пакетировать под каждую систему. В последних версиях они, правда, уже
> дропнули всё кроме RedHat клонов и переходят к rpm пакетированию всего-всего.Да в курсе.. Только вот куча горе админов которые гнут пальцы - слабо представляют что возможна кастомизация, и вдруг где-то могут поменять в репе.. или чего-то там не хватает..
> Да в курсе.. Только вот куча горе админов которые гнут пальцы -
> слабо представляют что возможна кастомизация, и вдруг где-то могут поменять в
> репе.. или чего-то там не хватает..Не на правах рекламы, а для просветления заблудившихся. Например ISPsystem имеет продукты которые работают используя репозиторий дистрибутивов, при этом они ничего не патчат ради того чтобы их продукт заработал. Все ПО стандартное и работает исключительно в том окружении, которое предоставляется дистрибутивом. В конце концов, у всех дистрибутивов столько разнообразных репозиториев что почти не осталось ПО которого нет в дистрибутиве. Например, cpanel ничего не мешает создать свои репозиторий, если их потребности столь специфичны.
P.S. Так что не стоит гнуть пальцы, крича про то о чем вы не знаете. Попросту не стоит троллить
>[оверквотинг удален]
>> репе.. или чего-то там не хватает..
> Не на правах рекламы, а для просветления заблудившихся. Например ISPsystem имеет продукты
> которые работают используя репозиторий дистрибутивов, при этом они ничего не патчат
> ради того чтобы их продукт заработал. Все ПО стандартное и работает
> исключительно в том окружении, которое предоставляется дистрибутивом. В конце концов,
> у всех дистрибутивов столько разнообразных репозиториев что почти не осталось ПО
> которого нет в дистрибутиве. Например, cpanel ничего не мешает создать свои
> репозиторий, если их потребности столь специфичны.
> P.S. Так что не стоит гнуть пальцы, крича про то о чем
> вы не знаете. Попросту не стоит троллитьВ ISPmanager все как раз неправильно в этом отношении: Plesk свои файлы пакетирует, а ISPmanager сваливает в /usr/local
Хотя все панели есть кривое зло :) Лучше без них. Они решение для продвинутых пользователей-вебмастеров, решивших сделать свой небольшой хостинг.
> В ISPmanager все как раз неправильно в этом отношении: Plesk свои файлы
> пакетирует, а ISPmanager сваливает в /usr/local
> Хотя все панели есть кривое зло :) Лучше без них. Они решение
> для продвинутых пользователей-вебмастеров, решивших сделать свой небольшой хостинг.Любое ПО должно делать то для чего его сделали, но не менее важно то, как это ПО устроено, иначе вместо облегчения работы оно ее добавляет. Панели управления хостингом не исключения из правил, и продуманное устройство архитектуры ПО только показывает уровень профессионализма ее разработчиков. Я с вами не соглашусь, так как панели управления хостингом применяют как маленькие, так и крупные хостеры. Верно, сказано есть много панелей, и есть свои плюсы и минусы, но, на мой взгляд, интереснее те, что просты и функциональны, и легки в обслуживание. Но каждому свое, так что это только мое мнение, никого не стараюсь обидеть
>[оверквотинг удален]
>> для продвинутых пользователей-вебмастеров, решивших сделать свой небольшой хостинг.
> Любое ПО должно делать то для чего его сделали, но не менее
> важно то, как это ПО устроено, иначе вместо облегчения работы оно
> ее добавляет. Панели управления хостингом не исключения из правил, и продуманное
> устройство архитектуры ПО только показывает уровень профессионализма ее разработчиков.
> Я с вами не соглашусь, так как панели управления хостингом применяют
> как маленькие, так и крупные хостеры. Верно, сказано есть много панелей,
> и есть свои плюсы и минусы, но, на мой взгляд, интереснее
> те, что просты и функциональны, и легки в обслуживание. Но каждому
> свое, так что это только мое мнение, никого не стараюсь обидетьЯ рваботаю в крупном хостере, и у нас Cpanel используется только из-за того, что куча вебмастеров не умеют ничего, кроме интерфейса Cpanel. К самой Cpanel у нас приставлено множество костылей, что бы уменьшить хоть немного ее кривость: например, лично я сделала кластер для разгрузки почтовой нагрузки с хостинговых Cpanel и Plesk-серверов.
Если бы не вебмастера, мы бы cpanel не использовали.
Так же мы ставим панели (обычно другие, не Cpanel) клиентам-дедикам, по тому, что администрируют эти серверы далеко не всегда квалифицированные администраторы.
Резюме: хостинговые панели не нужны, если Вы как администратор хоть что-то умеете.
> Резюме: хостинговые панели не нужны, если Вы как администратор хоть что-то умеете.резюме - котенок опять решил погнуть пальцы. Уже поднялись с должности младшего админа ?:)
домашнее задание - посчитать сколько ваших клиентов (ресселеров) имеют своих админов, а не нанимают время от времени админа датацентра?
домашнее задание номер 2 - подумать что панелька (особенно вещи типа h-sphere/plesk) - решает вопрос не только управления ресурсами, но и главное - выставления счетов за услуги потребленные клиентом.
Клиент запросил ssl сертификат - ему его установили, за одно выставили счет.. захотел больше диска - ему выставили счет.. трафика и тп.. и кто-то это все должен считать, следуя вашей логике - нужно еще нагрузить админа выставлением счетов и учетом ресурсов..
> домашнее задание номер 2 - подумать что панелька (особенно вещи типа h-sphere/plesk)
> - решает вопрос не только управления ресурсами, но и главное -
> выставления счетов за услуги потребленные клиентом."Панелька" в РФ не может решать вопрос "выставления счетов" по потребленным услугам - и - тем более - трафику, поскольку не является СЕРТИФИЦИРОВАННЫМ биллингом / средством учета. Да - это только местечковая специфика страны, но она есть.
>> Резюме: хостинговые панели не нужны, если Вы как администратор хоть что-то умеете.
> резюме - котенок опять решил погнуть пальцы. Уже поднялись с должности младшего
> админа ?:)Года три как уже, а Вы?
> домашнее задание - посчитать сколько ваших клиентов (ресселеров) имеют своих админов, а
> не нанимают время от времени админа датацентра?
> домашнее задание номер 2 - подумать что панелька (особенно вещи типа h-sphere/plesk)
> - решает вопрос не только управления ресурсами, но и главное -
> выставления счетов за услуги потребленные клиентом.Гон. Панель != биллингу
> Клиент запросил ssl сертификат - ему его установили, за одно выставили счет..
Кажется, Вы понятия не имеете о том, что крупные хостеры пишут свою систему управления хостингом, интегрированную с биллингом, и о том, что есть такие решения как puppet.
> В конце концов, у всех дистрибутивов столько разнообразных репозиториев что почти не осталось ПО которого нет в дистрибутиве.Да ну? пример с СenOS - postfix & mysql backend - мало?
> Например, cpanel ничего не мешает создать свои репозиторий, если их потребности столь специфичны.
и чем это отличается от сборки пакетов?:) или услышали слово "репозиторий" и повторяете везде - не задумываясь? :)
лана - лень пинать маленького..