A HostDime Brasil, em parceria exclusiva com o CloudLinux, é a primeira empresa no mundo a colocar no ar um betatest da CageFS, funcionalidade do CloudLinux que proporciona um incremento de segurança no servidor. Neste artigo de hoje nós iremos entender um pouco mais esta função, que, se for satisfatória no período de testes, será liberada para todos os clientes hospedados em nossos servidores compartilhados.
Funcionamento do cPanel/CentOS
Administradores de sistemas que possuem o cPanel instalado em uma distribuição CentOS sabem que, mesmo com os maiores esforços voltados para o resguardo das informações, ainda é possível que, em modo de leitura, seja possível observar arquivos que estejam hospedados em outras pastas do servidor. Este procedimento normalmente é tomado por crackers que utilizam scripts maliciosos para a descoberta da vulnerabilidade. Em muitos casos, scripts são instalados dentro do servidor por conta do uso de softwares CMS que não estejam atualizados, conforme abordamos neste artigo.
Com isso, o investimento em segurança tem de ser alto no sentido de programar scripts de verificação automática, além de profissionais de auditoria que possam vasculhar os servidores e verificar os logs a fim de evitar quaisquer transtornos aos usuários. Mesmo que o acesso para os arquivo seja de modo leitura, há o inconveniente de usuários não autorizados terem acesso a arquivos que não estejam sob suas permissões, caso usem scripts maliciosos para tal.
O CloudLinux pretende mudar este cenário
Já falamos neste artigo que o CloudLinux é uma verdadeira mão na roda para muitos dos problemas que os hosters enfrentam no dia-a-dia da função, tais como a sobrecarga de recursos por conta do uso de scripts, acessos simultâneos, sistemas com códigos quebrados, etc. Através da concentração dos recursos individuais de cada conta (LVE), há um aumento no controle de uso de cada uma destas instâncias, o que faz com que, caso o domínio utilize muitos recursos – além daqueles disponíveis para a sua conta – apenas o seu site seja afetado com a sobrecarga, seja pelo uso de CPU, Memória, Conexões Simultâneas ou qualquer outro limitador configurado pelo administrador.
Com relação ao cenário mencionado no tópico anterior, o CloudLinux, através da função CageFS (anteriormente conhecida como SecureLVE) mantém cada conta dentro de uma espécie de gaiola. Este acesso restrito, em conjunto com a utilização das LVEs, ou seja, instâncias exclusivas para cada uma das contas, o usuário somente poderá visualizar os próprios arquivos aos quais tem permissão, sem que seja possível listar documentos de outras contas ou de configuração do sistema.
Veja os benefícios que podem ser encontrados no uso do CageFS e que estarão disponíveis nos servidores compartilhados da HostDime Brasil:
- A conta em questão não terá possibilidade de verificar outros usuários ou arquivos de outros usuários do sistema. Não poderá sequer listar as contas do servidor para um possível bruteforce;
- Apenas arquivos binários seguros estarão disponíveis para a conta;
- Mesmo na incidência do uso de scripts maliciosos, não será possível observar os arquivos de configuração do servidor, como o do Apache, por exemplo.
Não há limitação nas funções
Mesmo com as restrições disponibilizadas pelo CageFS, os usuários terão liberdade total para utilização dos scripts, códigos e funções que atualmente utilizam no sistema tradicional de hospedagem, sem o adicional de segurança. Segundo orientação da própria equipe do CloudLinux e de acordo com o que estamos percebendo no período de betatest, não haverá necessidade de qualquer modificação nos códigos atualmente utilizados nos sites.
No entanto, o sistema automaticamente limitará a utilização de qualquer tipo de execução que esteja listada abaixo:
- Apache (suexec, suPHP, mod_fcgid, mod_fastcgi);
- LiteSpeed Web Server;
- Tarefas automáticas (CronJobs) – Desde que tentem danificar o sistema;
- SSH;
- Qualquer outro serviço PAM ativo.
Sobre o período de testes
Um dos servidores nacionais da HostDime está com a função ativa há alguns dias e , com a continuidade dos testes e o sucesso na operação, a integração da funcionalidade nos outros servidores será feita gradativamente, sempre efetuando estes de compatibilidade com os atuais sites hospedados por nossos clientes.
Se você ficou com alguma dúvida sobre a nova função, entre em contato com a nossa equipe através do CORE. Explicaremos todo o procedimento e tiraremos prováveis dúvidas que existam sobre o sistema!