HyperVM - Falha de Segurança

[noxhost]

Bom, eu já conheci dois amigos que tinham empresas que vendiam VPS usando o Hypervm e ambos tiveram problemas de segurança o que facilitou a invasão e deleção de todos os VPS que eles tinham.

Também uso esses sistema e queria ver aqui no PDH se existe alguma forma de melhorar a segurança desse painel para evitar esse tipo de problemas.

[tekobr]

Além do HyperVM há o SolusVM, mas não sei se este tem mais segurança ou se é pago.

[noxhost]

Pois é, eu andei olhando esse SolusVM, ele é pago mas é baratinho $10 por dedicado. Será que é mais seguro? Alguem aqui usa?

[Jesmarcelo]

Eu uso o VePortal e acho ele muito bom...

[tekobr]

jesmarcelo, o VePortal é pago ou gratuito? Ele tem algum problema sério de segurança?

[Jesmarcelo]

jesmarcelo, o VePortal é pago ou gratuito? Ele tem algum problema sério de segurança?

é pago, http://www.veportal.com/

[tekobr]

Eu utilizo ele na Burst e funciona maravilhosamente bem, pelo menos na parte de reinstalação do sistema operacional e mudança do hostname! :)

[Jesmarcelo]

Para utilização como cliente é tranquilo, agora para administrar somente não esqueça de uma coisa, "nunca faça atualização do VePortal de cara" espere pelo menos 1 mês de lançada a atualização para poder atualizar, pois eles não tem uma boa organização quanto a isso, ou seja, "tá feito? coloca em produção." esse é o pensamento deles, eles não gostam de testar, e se isso acontecer só vai ser bom pra vc aprender como mexer no VPS direto no shell, sem passar pelo painel ;)

[noxhost]

Vou testar esse VePortal também, acho que a limes coloca ele de graça lá :)

[LxCenter]

Bom, eu já conheci dois amigos que tinham empresas que vendiam VPS usando o Hypervm e ambos tiveram problemas de segurança o que facilitou a invasão e deleção de todos os VPS que eles tinham.

Também uso esses sistema e queria ver aqui no PDH se existe alguma forma de melhorar a segurança desse painel para evitar esse tipo de problemas.

Olá noxhost,

Faço parte do projeto LxCenter que hoje mantém o HyperVM e o Kloxo. Sobre problemas de segurança, apenas 2 empresas até hoje alegaram que perderam dados (e clientes) por causa de falhas de segurança no HyperVM: VAServ (e filiais fsck, cheapvps, etc - a mesma empresa com os mesmos funcionarios mas nomes diferentes) e Santrex.

Na verdade, a empresa VAserv teve a senha do "root" comprometida sem ajuda do HyperVM. Leia http://www.inquisitr.com/25617/update-new-information-on-the-vaserv-hack-that-wiped-100k-sites/ (em inglês). É uma das poucas publicações que corrigiram a notícia mas o google pode te ajudar nisso com outras análises.

A Santrex foi um caso parecido mas depois foi "descoberto" que um ex funcionário ainda tinha acesso root aos nodes. Só não foi difundido pois estavam entrando com processo contra ele e queriam manter em segredo (conveniente, não?).

A verdade é que são amadores. Mais fácil culpar o software que expor suas próprias falhas. Se você usa login ssh com senha ao invés de chaves, não muda de X em X dias e ainda fornece todos os dados aos "funcionários" via e-mail - é uma bomba relógio.

Não há disputa que o HyperVM (e também o Kloxo) teve falhas graves de segurança em maio de 2009, mas é preciso reafirmar que foram corrigidas em menos de 24h após o release 0-day do grupo milw0rm. Não há qualquer caso comprovado que o HyperVM facilitou tais "hacks" até hoje.

O pessoal do LxCenter leva muito a sério isso. Antes mesmo de se tornar "open source", eu pedi à um colega consultor em segurança para realizar testes (pentest) de exploits remotos e o HyperVM/Kloxo passaram. Com isso liberamos o código há mais de 1 ano atrás.

Desde então não houve qualquer relato público ou privado de "remote exploits" verdadeiros. Eu mesmo auditei alguns servidores que os administradores juravam que o problema estava no hypervm mas na verdade era o bom e velho "senha root via e-mail/msn".

Basta ter uma boa politica de segurança. O mesmo é válido para qualquer outro gerenciador/painel.

No final das contas, basta uma busca avançada no Google (usando intitle e amigos) e você vai encontrar muitos servidores HyperVM disponiveis. Um dos principais patrocinadores da LxCenter é 100% HyperVM. Alguns o escondem atrás de um painél próprio usando a API.

Mas mudando um pouco de assunto, os painéis que os colegas postaram aqui são ótimas opções. No final o que interessa é maturidade e suporte.

No caso do HyperVM, é grátis e open source mas o suporte é da comunidade. Os outros tem custo mas você tem com quem brigar quando algo dá errado. Pelos valores citados aqui você não deve pensar em preço. É mais uma questão de ideologia.

A vantagem do HyperVM na minha opinião pessoal é a API completa e estável. Você pode literalmente criar um painel por cima dele em poucas horas com vantagens óbvias. Muitos fazem isso e ninguém imagina o que tem por trás.

É até curioso como alguns dos novos painéis "comerciais" são "compativeis" com o HyperVM - pra não dizer cópia - para aproveitar os plugins do AWBS/Hostbill/WHMCS/etc e importar/exportar backups. :)