Glashkoff.com

Полезные советы и софт, создание и оптимизация сайтов на WordPress

Администрирование, Создание сайтов

VestaCP: тёмная сторона панели управления сервером

Статья написана как дополнение к инструкции «Настройка VPS для быстрой работы WordPress (VestaCP+Nginx+MySQL)», чтобы вы знали, как обстоят дела с Вестой в 2019 году. В 2020-м всё только хуже.

Пожалуй, даже самый ленивый админ что-то да слышал о панели VestaCP. Эта штука позволяет превратить сервер в легко управляемый мини-хостинг, способный быстро создавать сайты и базы данных, переносить существующие, мониторить нагрузку и так далее. Однако, как и в любом человеческом творении, у Весты есть косяки, о которых стоит знать до того, как связывать с ней админскую жизнь.

Настройка VPS 9
VestaCP

Проблема совместимости

Чтобы управлять сервером, требуется понимать устройство Linux. Панель облегчает рутинные операции, но не избавляет админа от понимания того, что творится «там». Из-за недостатка знаний начинающие пользователи, у которых всё сломалось, рассматривают проблему в контексте панели, что, в общем-то, логично. Но на деле проблема в позиционировании панели. Она не универсальна. На самом деле VestaCP беспомощна с настройками по умолчанию при какой-либо мало-мальски нестандартной конфигурации.

Вебсерверный софт, позволяющий сайтам работать, не является частью Весты. Он ставится отдельно, пускай даже и скриптом панели. Nginx, Apache, PHP и вообще любой софт может иметь разные названия служб, исполняемых файлов, их файлы конфигурации могут находится на одной ОС в одном каталоге, другой системе — в другом каталоге. Например, служба PHP-FPM может называться php-fpm, а может php7.3-fpm. Такое разнообразие Вестой не поддерживается, поэтому в какой-момент после обновления софта всё может превратиться в тыкву. Приходится либо подгонять систему под панель, либо модифицировать панель самостоятельно, либо отказываться от такой панели вовсе.

Система шаблонов

Файлы конфигураций в Linux — это обычные текстовые файлы. Vesta не редактирует их напрямую. Для того, чтобы сказать вебсерверу Nginx о новых сайтах, она генерирует файлы конфигураций, используя шаблоны — заготовки, где вместо значений параметров используются ключевые слова. Об этом я рассказывал в статье «VestaCP и WordPress: несколько советов по настройке».

Сгенерированные файлы конфигураций править нельзя — VestaCP почему-то не пересоздаёт при изменении настроек эти файлы, а пытается внедрить туда конфиг, сгенерированный по шаблону. В итоге всё ломается, потому что в текстовом документе получается мешанина из кусков старых настроек и новых. Зачем так сделано — не знаю. На мой взгляд лучше затирать пользовательские настройки, чтобы сайт хоть как-то работал (кому надо — поправит конфиг снова или изменит сами шаблоны), чем пытаться совместить несовместимое.

Концепция шаблонов в целом хороша: можно одни и те же настройки применять выборочно к любому количеству сайтов. Но шаблоны реализованы в этой панели топорно:

1. Нет внятной документации (не объяснено толком, как это работает).

2. Названия предустановленных шаблонов не интуитивно понятны.

3. Нет системы версионирования (с обновлением панели модифицированный стандартный шаблон может потерять изменения).

4. Нет явного разделения на «родные» и пользовательские шаблоны.

В общем, менять настройки софта на сервере, где установлена VestaCP — занятие неблагодарное. К тому же в какой-то из версий шаблоны были кардинально изменены, что также вызвало путаницу.

Легкомысленное отношение создателей

VestaCP — сложный программный продукт. Отношение к его развитию должно быть соответствующим. Однако то, как разработчики управляют проектом, служит примером того, как делать не следует.

  1. Нет истории изменений, где можно было бы оперативно узнать, что в новых версиях сделано. На Гитхабе о новых версиях ничего не написано, на форуме новости появляются с запозданием.
  2. Нет анонсирования выхода новых версий. Это нужно, чтобы админы подготовились к обновлению.
  3. Нет баг-трекера. Когда на форуме появляются сообщения о найденных проблемах, разработчики либо посылают заводить issue на Гитхабе, либо называют это багом какого-то стороннего софта, либо, чаще всего, просто игнорируют посты. И что писать в issue — непонятно, нет процедуры получения отладочной информации. Да и смысл туда писать, если не устранены баги, описанные в 2015 году.
  4. В случае обнаружения явных проблем с панелью — тянут время, отмалчиваясь.

Поэтому, устанавливая VestaCP на свой VPS, знайте: вам никто не поможет. Даже я, потому что давно удалил это ПО на всех серверах, мне доступных, переведя управление на Webinoly.

Авторы работают в отрыве от сообщества, в какой-то своей параллельной Вселенной. Их позиция: максимальная внезапность выхода новых версий, игнорирование просьб пользователей и сообщений о багах.

Например, несмотря на репозиторий на Гитхабе с открытым кодом, о выходе новых версий и о том, что там изменилось, можно узнать только на форуме:

Форум Весты, раздел Updates

Обратите внимание на даты — разработка версии 0.9.8-18 велась больше года. За это время пользователи, уставшие от того, что панель толком не работает с новыми версиями PHP 7.x, успели по 100500 раз самостоятельно переписать скрипты панели, сделать свои костыли, чтобы актуальный софт работал правильно.

И вдруг аккурат перед новогодними праздниками VestaCP обновилась у тех, кто забыл выключить автообновление. Да, релиз 0.9.8.-18 состоялся не 9 января, как можно судить по форуму, а 29 декабря 2017-го! Не могу представить, что было в голове у разработчиков, решивших выкатить обновление ПО, от которого зависит работа сайтов, во время новогодних отпусков. Тогда-то я и заподозрил, что авторы живут в альтернативной реальности, где новогодних праздников не существует. Естественно, многое сломалось, были багфиксы, борьба с глюками и испорченные выходные, в том числе у меня. Как человеку, написавшему о настройке VestaCP, мне писали десятки людей, отчаявшиеся получить хоть какой-то ответ на официальном форуме. Некоторые просили помочь, другие требовали, третьи угрожали непонятно зачем. В целом истерия была весьма значительной.

С тех пор (декабрь 2017-го) выходят только багфиксы и обновления, непонятно что изменяющие. На гитхабе в репозитории автора некоторые релизы вовсе без описаний, других нет (хотя на форуме о них упоминается).

Проблема коммуникации

Обратная связь разработчиков с пользователями, когда дело касается багов, практически никакая. Это довольно странно, учитывая, что авторы получают прибыль за счёт продажи платных плагинов к панели и пакетов поддержки.

О существовании проблемы коммуникации стало известно многим, когда 8 апреля 2018 года была обнародована новость о баге в VestaCP, позволяющем злоумышленникам выполнить команды с наивысшими правами под пользователем root. Крупному облачному хостингу DigitalOcean даже пришлось временно заблокировать порт 8083, чтобы остановить заражение серверов своих клиентов. Т.е. отключить доступ к Весте.

Судя по всему, уязвимость эксплуатировали уже на протяжении месяца, просто 7-8 апреля масштабы приняли гигантский размах и история получила огласку на IT-шных сайтах. О том, что злоумышленники давно нацелились на взлом Весты, указывает одно из сообщений пользователя на официальном форуме панели управления сервером:

На сайте нет раздела новостей, поэтому оповещения о проблеме со стороны разработчиков не было. Общение проходило на официальном форуме, для актуальных новостей приходилось искать сообщения от модераторов среди десятков постов возмущённых и расстроенных пользователей.

Вначале разработчики не смогли разобраться в причине взлома и за пару дней переписали возможную уязвимую функцию проверки пароля. Хорошо хоть честно признали, что уверенности в устранении уязвимости нет, просто о взломе новых версий никто не сообщил. Тут, правда, было и остаётся одно «но»: на Github не у всех аккаунты есть, чтобы issue заводить, а для регистрации на форуме требуется пройти весьма странную капчу, задающую весьма сложные для новичков вопросы:

Либо просто выглядящими издевательски для людей с нарушенным восприятием цвета:

Причём в случае неверного ответа капча исчезает и нужно полностью обновить страницу, потеряв введённые в другие поля данные.

Поэтому быть уверенными в том, что взломы прекратились, они никак не могли. До них слишком сложно достучаться.

Если вы думаете, что я сгущаю краски, что разработчики не обязаны были общаться с сообществом пользователей их творения, расскажу продолжение истории: один из модераторов (разработчиков?) под ником skid 17 октября 2018 года опубликовал на форуме сообщение, где рассказал, что инфраструктура Весты была взломана, и посоветовал скорее обновиться до свежей версии панели. Выяснилось, что с 31 мая по 13 июня установочный скрипт VestaCP был модифицирован злоумышленниками. Подробный разбор можно почитать здесь (на английском).

Каждый день, когда авторы панели управления знали о взломе и не сообщали пользователям всеми возможными средствами, можно считать гвоздями в крышку гроба для доверия. Игнорирование того факта, что о проблемах, как и успехах, нужно сообщать, окончательно подорвало позитивное расположение к этому, в общем-то, неплохому программному продукту.

Какие изменения в VestaCP будут дальше — непонятно. Если разработчики, участвующие в проекте, окончательно его забросят, если сервера с VestaCP снова взломают, а на форуме никто не ответит — это будет, безусловно, печальным событием. Такое случается.

Обновление от 3.05.2020

Друзья, извините, надо было раньше написать, но увидел только недавно в комментарии на Хабре:
Уже больше месяца авторы не закрывают 0day, так как автор пропал, я думаю стоит вынести эту информацию в статью.
github.com/serghey-rodin/vesta/issues/1984

В свете данного события VestaCP нет никакого резона устанавливать: автор пропал, исправление уязвимости в репозиторий, используемый для обновления панели, никто кроме него добавить не может.

Альтернативы VestaCP

Полноценных альтернатив, кроме форка HestiaCP, не осталось. Вот чтоб были красивые странички с кнопками, система статистики, резервирование и DNS сервер. Наступило время, когда выгоднее написать своё решение, чем ковыряться с чужим. Возможно, где-то на Github растёт проект, который станет образцом для подражания и назидания всем панелям, но в данный момент ситуация с бесплатными панелями складывается несколько… пессимистично.

BrainyCP, довольно удобная внешне, похоже, заброшена авторами. Вы только поглядите, во что превратился их официальный форум:

Спам на форуме BrainyCP
Спам на форуме BrainyCP

Если авторы не могут разобраться со спамом на собственном форуме, могут ли они своевременно исправлять баги основного продукта?

Обновление: спустя год после написания данной статьи зашёл на форум и обнаружил, что со спамом разобрались. Однако появилось как-то много сообщений о проблемах:

Также я не нашёл истории изменений, поэтому судить о том, что авторы наконец-то взялись за улучшение функций продукта, нельзя. Напишите, пожалуйста, в комментарии, если у вас есть опыт использования этой панели. Что-то мне подсказывает, что проект всё ещё в спячке.

Virtualmin, модуль для панели Webmin, вроде как развивается, но это не самый удобная панель. IMHO, проще вручную создавать виртуальные хосты.

cPanel — продукт, подходящий больше для организации хостингов, чем для управления сервером. К тому же cPanel платный и для взаимодействия с Nginx нужно долго и тщательно настраивать.

Plesk — платная платформа для веб-хостинга, слишком дорогая замена для Весты.

ISPmanager — спорное и дорогое решение, особенно в свете статей вроде «Мошенничество ISPmanager или просто хотим ваших денег». Я сам неоднократно сталкивался со страннейшими багами этой панели.

Картина получается безрадостная. В продакшне VestaCP использовать, по моему мнению, категорически нельзя, для начинающих пользователей она тоже не подходит — слишком уж «вещь в себе» и нет качественной обратной связи с разработчиками. Можно пользоваться скриптами типа Webinoly и надеяться, что кто-нибудь создаст достойную панель управления: бесплатную, с открытым исходным кодом и понятную новичкам. Правда, есть форк панели, о ней ниже — для кого-то, полагаю, это будет спасением.

HestiaCP

Домашняя страница: https://github.com/hestiacp/hestiacp

В комментариях и личных сообщениях меня неоднократно спрашивали о данном ПО. Насколько могу судить, это форк (модификация) панели от стороннего автора. Главное преимущество HestiaCP — её автор никуда не пропал, работает над ней, уязвимость оригинальной панели устранена.

Если вам не хочется терять опыт использования Весты, то переход на данную панель — разумный шаг. Есть информация, что можно перенести настройки из VestaCP в HestiaCP. Так это или не так, какие могут быть подводные камни — к сожалению, не подскажу, потому что не пользуюсь ею.

35 комментариев

  1. Сергей

    А как насчет потребления ресурсов панелью? В Дижитал Оушен бесплатно доступна Плеск панель, к примеру, она на порядок лучше Весты.

    Ответить

    • Дмитрий Глашков

      Сервис VestaCP не оказывает заметного влияния на производительность сервера, тут проблем не заметил. Сидит себе в памяти, многого не требует.
      А Plesk платная. Да, я в курсе, что версия в маркетплейсе DO бесплатна при управлении тремя доменами включительно, но часто этого маловато. Это замечательный продукт, но функционал панели избыточен для управления, скажем, сервером за 3$ в месяц при минимальной цене на месячную подписку в 10$.

      Ответить

  2. Виталий

    Дмитрий, так вы, как я понял, «пересели» с VESTA на Webinoly?

    Если да, то какие впечатления от использования? Были ли какие-то глюки, как c VESTA?

    Ответить

    • Дмитрий Глашков

      Виталий, да, я стал пользоваться Webinoly при настройке серверов. Мой опыт говорит, что этот набор скриптов работает корректно в рамках своих функций. Однако один пользователь недавно сообщил, что у него при команде удаления сайта удалились вообще все сайты и БД. Подробностей не знаю, просто сообщаю как есть. При таких инцидентах спасает резервное копирование.

      Ответить

      • Сергей

        После вашей статьи про webinoly, только ей и пользуюсь. Никаких проблемм при удалении сайтов не возникало.

        Ответить

  3. Александр

    Благодарю за статью, присмотрюсь к новой панели как альтернатива к весте

    Ответить

  4. Виктор

    Здравствуйте, рассмотрите в качестве основной панели управления BrainyCP.
    Бесплатная, гораздо более функциональная чем веста, от разработчиков с СНГ

    Webinoly — это панелью вообще нельзя назвать. Просто скрипт-помощник

    Ответить

    • Дмитрий Глашков

      Виктор, давно рассмотрел. Никому не рекомендую ею пользоваться. Поставить в виртуальную машину «поиграться» можно, для реальных проектов — ни в коем случае.
      1. Только для CentOS.
      2. Исходный код не открыт. В случае проблем посмотреть, что работает не так, не получится. Допилить под свои нужды также не выйдет. Проверить на закладки — тем более.
      3. Непонятно, где посмотреть историю версий — жизнеспособность проекта под вопросом. Непонятно, чем занимаются разработчики и что нового появляется.
      4. Странная система лицензий — зачем она нужна, если BrainyCP якобы бесплатна? Про ошибку «У вас нет лицензии», спонтанно появляющуюся у пользователей, я наслышан.
      5. Проблемы с безопасностью. Например, раньше был общедоступен на чтение каталог /etc/brainy/conf/mysql, то есть можно было узнать root пароль от БД через… да через что угодно. И даже когда разработчики это пофиксили, то не уведомили пользователей. По крайней мере я не нашёл внятных упоминаний вида «Мы тут не продумали систему прав, но сейчас исправились. Проверьте у себя, пожалуйста».
      В целом могу сделать вывод, что проект организован бестолково, хотя разработчики явно нацелились когда-нибудь перевести BrainyCP на коммерческие рельсы. Вот только они недостаточно серьёзны. Например, запустили сайт настолько, что один из разделов по ссылке в шапке работает через раз:
      https://glashkoff.com/wp-content/uploads/2019/08/06e2a5ca74ecf968c3c756c39b560d02.pngОшибка 500
      Ещё один плохой признак — разработчики шифруются, называя себя «компанией BrainyCP» в лицензионном соглашении. Вот только учредительные документы этой компании я не обнаружил.

      Ответить

  5. Вова

    Привет. Рассматривали ли вы centminmod?
    Из сообщений их форума гораздо быстрее всех остальных.
    В начале лета совместно настроили получение летс-сертов на рф домены.
    Есть лично у меня конечно много претензий, но как вариант…
    Что скажете, достойная альтернатива?

    Ответить

    • Дмитрий Глашков

      Вова, выглядит полезным инструментом, но я не пользуюсь CentOS, поэтому не писал о нём и вряд ли напишу. Кстати, а в чём быстрее по сравнению с чем? Это такой же набор скриптов, как и webinoly, то есть работает в основном по команде пользователя, без каких-то долгих самостоятельных действий.

      Ответить

      • Вова

        Я, к сожалению, внятно и содержательно не смогу объяснить. Не глубоко знаю. Только из инета, так сказать, самоучка. Если только копи-паст с форума выложить вам сюда.
        Хотя они сами модифицируют nginx, может в этом скорость кроется?
        Когда посмотрел про Webinoly, понял, что там убунту… Ну у этих сентос)).
        На серверах у меня сентос. На рабочем ноуте mxlinux, который на дебиане. Могу попробовать на серверах и убунту…
        Выложить сравнение с их форума?
        И ссылку (видел в коментах) про Webinoly покажите, пожалуйста.
        Интересно ваше мнение, на основании этой статьи.

        Ответить

      • Дмитрий Глашков

        Вова, вы можете прямую ссылку на форум, где обсуждаются преимущества centminmod, скинуть сюда. Она будет полезна тем читателям, которые заходят сюда для поиска альтернативы VestaCP. А какую ссылку про Webinoly вы имеете в виду?

        Ответить

      • Вова

        **А какую ссылку про Webinoly вы имеете в виду?
        Про статью.

        Ответить

      • Дмитрий Глашков

        Вот эта ссылка.

        Ответить

      • Дмитрий Глашков

        Посмотрел. Странные тесты. Там есть ссылка на более свежее тестирование, но ситуация яснее не становится — почему-то сравниваются разные версии софта на разных ОС. Нерепрезентативная выборка получается. Если авторы centminmod смогли подобрать оптимальные параметры nginx — молодцы, но в целом тестирование организовано не очень.

        Ответить

      • Вова

        Хотел предложить… Если тестирование организовано не очень, то напишите в их форуме, там или переделают ,или адекватный ответ дадут, как я думаю.
        К вашему мнению, пока самая положительная реакция)).

        Ответить

      • Дмитрий Глашков

        Вова, ну, я не могу заявиться на форум с претензией «ребята, вы тут неправильно всё меряете». Нужна конкретика, а для неё у меня нет ни времени, ни знаний (CentOS, в общем-то, всё тот же Linux, но я не в курсе, что смотреть, чтобы сделать окружение системы похожим на Ubuntu, где «живёт» Webinoly). Просто в тестировании были задействованы разные версии Nginx, разные ОС с наверняка с разными параметрами ядра и служб. То есть это получается не сравнение серверных панелей, а неких разных серверов.
        У меня был опыт подобного тестирования и я понимаю, как сложно получить объективные результаты. Когда проводил почти такое же сравнение времени отклика и способность обрабатывать входящие соединения у Webinoly и OpenLiteSpeed, то обнаружил, что скорость отклика «плавала» постоянно (тестировал на VPS, где всегда есть влияние соседей по реальному железу). Результаты настолько сильно менялись час от часу, что пришлось в течение суток запускать тесты, затем вычислять средние показатели. При этом у меня было два абсолютно одинаковых сервера с одинаковым набором софта, кроме собственно Nginx и OpenLiteSpeed. После, когда ради интереса обновил системы с Ubuntu 16.04 на Ubuntu 18.04, то увидел, что разрыв в показателях уменьшился. Пришлось снова пересчитывать результаты. А обсуждаемом нами тестировании участвовали:
        1. Разные ОС с разным набором драйверов и разными версиями ядер.
        2. Разные версии Nginx, а между 1.14 и 1.15 ну очень ощутимую разницу можно получить (порядка 30%), просто изменив набор шифров для HTTPS.
        3. Возможно, ещё и панели какие-то твики делали, не всегда выгодные именно для времени отклика.
        То есть системы настолько разные, что сравнение напрямую выглядит странно, о чём я и написал ранее.

        Ответить

      • Вова

        Благодарю.
        Как я понял, не существенны милисекунды отклика для разных вариаций скриптов настройки сервера.
        Самое удобное для для вас что, Webinoly?

        Ответить

      • Дмитрий Глашков

        На данный момент — да.

        Ответить

  6. Oleg

    Добрый вечер, хотел спросить, не смотрели ли в сторону ребута VestaCP под названием HestiaCP? Точно не понятно, чем именно кардинально отличается, кроме дизайна, данная панель. Хотелось бы услышать ваше мнение. Спасибо

    Ответить

    • Дмитрий Глашков

      Oleg, к сожалению, ничего не могу сказать. После опыта с VestaCP не хочется тратить время на копание ни в ней, ни в её производных.

      Ответить

  7. Kirill

    А что думаете насчет fastpanel? пробовали?

    Ответить

    • Root

      Я пробовал! Очень хорошая панель! Попробуйте тоже!

      Ответить

      • Root

        Имею в виду fastpanel.

        Ответить

      • Дмитрий Глашков

        Root, у fastpanel есть недостатки, которые в принципе не позволяют использовать на серверах с ответственными проектами. И я говорю не столько о самой панели, сколько о её продвижении как продукта:
        1. Панель платная, причем в данный момент цена на сайте не указана. Есть надпись «БЕСПЛАТНО*» с припиской, что «* В рамках ограниченной рекламной кампании получите Вашу полнофункциональную версию FASTPANEL® без ограничения на количество сайтов на срок 18 месяцев совершенно бесплатно.»
        2. Нет истории изменений. Невозможно оценить, как долго и насколько активно поддерживается данный продукт.
        3. Непонятно, есть ли техподдержка, сколько стоит её помощь.
        Видимо, следуя логике создателей, я должен увидеть на главной странице восторженные отзывы от неких Валерия, Ольги, Михаила и т.д. и ринуться ставить этот продукт, завязать все сайты на него, даже не зная стоимость всего этого и жив ли проект вообще, и счастливый ждать, пока владельцы панели не заявятся с требованием заплатить. Это выглядит как какой-то детский сад. А вдруг поддержку Ubuntu Server актуальной версии 20.04 уже никогда не сделают (на сайте упоминается только 18.04)? А вдруг стоимость панели окажется неподъёмной? А вдруг прилетит обновление, ломающее какие-то конфиги, без всякого уведомления?
        Панель управления сервером — инструмент, который должен облегчить рутинные и сложные операции: создание конфигурационных файлов, сбор статистики, резервирование данных, и, возможно, что-то ещё. Важно, чтобы это не только корректно работало, но и не вносило фактор риска. Ведь на сервере могут крутиться сервисы, кратковременное отключение которых способно загнать владельца в минус (например, из-за впустую слитой рекламной кампании). Что Vesta, что fastpanel несут в себе риски, пускай и разного характера: первая работает плохо, вторая — непонятно как и на каких условиях.

        Ответить

  8. Алексей

    Автор статьи явно привык форточки открывать на Windows.
    Без обид, правда автор ваша статья не конструктивная, даже токсичная.
    Надеюсь вы можете не предвзято смотреть на критику и с достоинством принять мой комментарий.
    Годная панель VestaCP если подойти грамотно, почитать как создаются шаблоны, как настраивать файловый менеджер, как включить Firewall, как включить весь дополнительный функционал.
    Зачем нужно закрывать доступ в VestaCP доп авторизацией средствами Nginx, как можно настроить панельку на SSL на собственном домене, разобраться как поменять порт по умолчанию!? Единственно в чем недоработка не встроенного сканера php вирусов.

    Что грешить панель бесплатная, ни кто за вас не будит решать ваши проблемы, пользуйтесь google поиском, читайте и все у вас получиться.
    Есть много решений на VestaCP которые упрощают жизнь системному администратору.
    В умелых руках можно любую панель настроить должным образом!

    Ответить

    • Дмитрий Глашков

      Алексей, вы обобщаете свой опыт человека, обладающего серьёзным багажом знаний и поэтому способного решить проблемы данного продукта. Судя по комментариям и сообщениям от пользователей, не все хотят (или не способны) делать то, что вы перечислили. Поясните, пожалуйста, почему вы считаете статью не конструктивной? Неужели у этого продукта нет проблем с обновлениями и поддержкой со стороны авторов?
      Цель панели — экономить время, упрощая рутинные действия. Если для наладки инструмента нужно идти в Гугл — возможно, стоит пересмотреть план действий. Бесплатность в данном случае — не оправдание, потому что расплачиваться приходится временем и усилиями. Представьте, пожалуйста, что у вас нет ваших знаний о Линуксе и богатого опыта. Всё, что можете — выбрать Весту в генераторе конфигурации VPS. Или, может быть, знаете, что существует SSH, где можно запустить скрипт инсталляции VestaCP. О git вы не знаете, а о том, как работает ОС и серверный софт, имеете крайне поверхностное представление. И вдруг, листая форум Весты, узнаёте о уязвимости и каким-то образом (на форуме в той теме не совсем очевидно, что это 0-day) понимаете её опасность. Вот только на сайте версия 0.9.8-26 от 29 сентября прошлого года, а исправление только в репозитории и форках. Сколько времени и усилий вам понадобится, чтобы разобраться в том, как установить с гитхаба безопасный билд?
      Может быть, проблему уже решили и автор залил на сайт новую версию, не оповестив публично. Но проблемы, так или иначе, всё же были и есть. Нет гарантий, что в будущем сопровождение VestaCP станет лучше, особенно после сравнения интенсивности развития форков и оригинала.

      Ответить

      • Алексей

        Статья описывает баги которых сейчас нет, VestaCP сейчас работает стабильно. Нужно отдавать себе отчёт это бесплатная панель.
        Любой платный и бесплатный продукт подразумевают возможные баги при обновлении.
        Часто встречал баги в хваленном ISPManager 5 и тех поддержка отвратительная.
        Любое обновление всегда нужно делать осмотрительно. Например обновление модулей вашего блога не менее важный аспект.
        Вы написали про уязвимости в какой панели хостинг панели их нет.
        Вы не обратили внимание на то что написал закрыть VestaCP доп. авторизацией средствами Nginx включая PhpMyAdmin и WebMail.
        Помимо этого можно сменить порт по умолчанию в VestaCP.
        Я знаю что такое git, ssh, rsync так сам являюсь системным администратором. Давно разобрался в узких местах не одной бесплатной панели.
        Хочу вам сказать нет в природе идеального ПО.

        Ответить

      • Алексей

        О каком безопасном Билде идёт речь?

        Ответить

      • Дмитрий Глашков

        Алексей, под «безопасным билдом» имею в виду стабильную версию без уязвимости. Да, я в курсе, что в репозитории Весты билдов нет, но обнаруживший проблему пользователь может этого не знать. Я постарался подчеркнуть проблематику, что критерии стабильности и безопасности работы у всех разные.
        Ваше мнение я вроде понял. Надеюсь, не слишком его обобщу, если скажу, что вы считаете, что раз панель бесплатная и вы умеете закрывать уязвимость к некоторым векторам атак, то всё нормально и панелью можно пользоваться. У меня другое мнение, потому что, на мой взгляд, бесплатность продукта и проблемы с другими панелями — не оправдание проблем первого. И за «сейчас работает стабильно» поручиться не могу. И рекомендовать закрывать дополнительным слоем авторизации тоже не могу, потому что это отсекает функции работы с пользователями (теоретически, зная пароль, пользователи смогут повысить свои привилегии, поэтому пользователь может быть только один). Зато могу рассказать о своём опыте использования данным продуктом, что и сделал в данной заметке.
        Иными словами: если мне нужно будет забить гвоздь и будет предоставлен выбор между бесплатным молотком с возможно слетающим оголовьем и платным молотком с треснувшей ручкой, я не буду считать бесплатный молоток идеальным и поищу третий вариант. И не буду рекомендовать другим бесплатный молоток только потому, что могу его починить.

        Ответить

      • Алексей

        VestaCP не в коем случае не подходит для работы хостинга. Только для личных нужд, vds/vps в идеале нужно закрывать 8083 порт от посторонних.

        Ответить

      • Дмитрий Глашков

        При чём тут хостинг? Неужели в случае использования «для личных нужд» можно поступиться безопасностью? Если у стабильно работающей панели есть функция работы с пользователями, почему ей нельзя пользоваться? Это одна из заявленных функций. Причём с дополнительным платным компонентом SFTP Chroot.

        Ответить

      • Алексей

        Если вы доверяете кому тогда будите хостить на VestaCP одном VPS можете дать доступ от доп авторизации.
        А для реализации полноценного хостинга глупая затея. Вот при этом хостинг. Не придирайтесь!
        Если постараться можно найти слабые места в форке HestiaCP.

        Ответить

      • Алексей

        HestiaCP с этим быстро разберусь так это форк VestaCP . В принципе годная панелька.

        Ответить

Написать комментарий

Правила:
  • 1. Уважайте стороннее мнение. Токсичные комментарии удаляются.
  • 2. Комментарии со ссылками видны после проверки модератором.
  • 3. Обсуждение нелицензионного софта и других незаконных тем запрещено.

Тема Rowling от Anders Norén. Копирование материалов сайта разрешается только с указанием автора и активной ссылкой на источник.