ApisCP (antigo APNSCP) - Painel de controle de gerenciamento de hospedagem

[Renato Frota]

Eu estava revisitando os tópicos sobre os aumentos de preços do cPanel que rolaram aqui no PDH e no WHT e encontrei um tópico onde fizeram uma auditoria nos painéis que foram levantados como alternativa.

Tópico no WHT: https://www.webhostingtalk.com/showthread.php?t=1770951

Resultado da auditoria: http://web.archive.org/web/20211027153347/https://www.rack911labs.com/research/security-analysis-of-alternative-control-panels/

"Conclusão" do artigo acima, traduzido para PT-BR:
 

Citar

No total, encontramos quase 90 vulnerabilidades de segurança com muitas falhas no nível raiz que seriam fáceis de explorar. Embora isso possa parecer muito, é importante lembrar que a maioria, se não todos, desses painéis de controle nunca tiveram uma auditoria de segurança completa por uma empresa respeitável.

O RACK911 Labs se concentrou nos grandes painéis de controle por muitos anos, encontrando facilmente centenas de falhas de segurança nesses produtos. Algumas empresas, como cPanel e Plesk, têm programas de recompensa de bugs ativos, com novas falhas de segurança sendo encontradas todos os meses por pesquisadores de segurança qualificados.

Os painéis de controle alternativos mencionados acima[*] não têm os recursos que as grandes empresas milionárias têm; Eles não podem nos contratar, nem fazer um programa de recompensas por bugs ou ter uma equipe de segurança dedicada. Há pouco incentivo para que os pesquisadores de segurança se concentrem na auditoria de seus produtos, especialmente painéis de controle menos conhecidos que não possuem uma base de usuários considerável.

Para nós, pessoalmente, ficaríamos com DirectAdmin, Plesk ou InterWorx apenas porque sabemos em primeira mão não apenas como a segurança é boa, mas também como os desenvolvedores são eficazes na correção de falhas.

Com isso dito, se tivéssemos que escolher entre os 6 painéis de controle alternativos acima, seria ISPConfig, Virtualmin e APNSCP. Recomendamos fortemente que os usuários evitem o CentOS Web Panel e o VestaCP. Os desenvolvedores são péssimos em comunicação e, em nossa opinião, sua experiência de programação não possui uma mentalidade de segurança, o que provavelmente levaria a mais vulnerabilidades de segurança no futuro.

Quanto ao CyberPanel, embora eles tenham encontrado a maior quantidade de vulnerabilidades de segurança, eles também corrigiram tudo em tempo hábil e sua comunicação foi decente. Os desenvolvedores parecem interessados em melhorar seu produto e, embora ainda não estejamos prontos para recomendá-los, também não achamos que eles mereçam ser evitados. É seguro assumir que revisitaremos o CyberPanel no futuro para outra auditoria para ver como estão as coisas.

[*] Marquei esse "acima"  no terceiro parágrafo da conclusão apenas para esclarecer que ele faz referência a lista dos 6 painéis que foram avaliados (ISPConfig, CentOS Web Panel, Virtualmin, CyberPanel, VestaCP, APNSCP) e não ao cPanel e Plesk do parágrafo anterior.

Eu conheço o Virtualmin e gosto bastante dele. Foi um dos painéis recomendados. Outro recomendado foi o então chamado APNSCP (hoje ApisCP). Não falaram com muita ênfase mas, olhando os gráficos da própria auditoria, é o mais seguro. Dei uma olhada nele e me pareceu muito interessante, em especial a ferramenta chamada Fortification, dentre outras bastante curiosas.

Não encontrei referências aqui no fórum. Então esse tópico fica como dica para quem não conhece ainda e, ao mesmo tempo, para levantar potenciais experiências que os colegas tenham tido com esse painel, ainda não relatadas aqui.

Link do ApisCP: https://apiscp.com

Empresas que usam esse painel:
- Hostineer ( https://hostineer.com ), que é do autor do painel e serve de "laboratório" de desenvolvimento.
- Lithium ( https://lithiumhosting.com ).

Integração WHMCS (oferecimento da Lithium): https://github.com/LithiumHosting/apiscp-whmcs

Breve documentação sobre o ApisCP na DigitalOcean (com alguns links relevantes no final): https://docs.digitalocean.com/products/marketplace/catalog/apiscp/

Dicas para servidores com 500+ contas: https://docs.apiscp.com/admin/Mass hosting/

Curiosidade: ele permite rebranding muito facilmente (a Lithium chama ele de "LiPanel").

[LucasMoraes]

Achei interessante, é bom para testes , mas para ser sincero prefiro utilizar Directadmin ou Plesk a alternativas do Cpanel, quando pagamos algo podemos cobrar suporte e solução do problema.

 

Vou lhe dar um exemplo, possuo hoje um cliente que optou por colocar em uma VPS dele o Cloudpanel.io

 

Painel é bom , cumpre com o que promete, porém não tenho suporte nenhum.... e nem quem cobrar! 

tive problemas com ele no Ubuntu, e só consegui rodar 100% no Debian.

 

São pormenores que fazem a diferença em ambientes de produção

[Renato Frota]

29 minutos atrás, LucasMoraes disse:

Achei interessante, é bom para testes , mas para ser sincero prefiro utilizar Directadmin ou Plesk a alternativas do Cpanel, quando pagamos algo podemos cobrar suporte e solução do problema.

 

Vou lhe dar um exemplo, possuo hoje um cliente que optou por colocar em uma VPS dele o Cloudpanel.io

 

Painel é bom , cumpre com o que promete, porém não tenho suporte nenhum.... e nem quem cobrar! 

tive problemas com ele no Ubuntu, e só consegui rodar 100% no Debian.

 

São pormenores que fazem a diferença em ambientes de produção

Fiquei com a impressão de que você entendeu que o painel ApisCP é gratuito, o que não é o caso.

[LucasMoraes]

31 minutos atrás, Renato Frota disse:

Fiquei com a impressão de que você entendeu que o painel ApisCP é gratuito, o que não é o caso.

Realmente tive essa sensação, agora acessando melhor o site, verifiquei que cobram 20 $ por mes .

 

 

[chuvadenovembro]

Vestacp eu ja usei pra projetos pessoais e no relatório tem apenas 3 vulnerabilidades...Confesso que fiquei surpreso, pois tenho uma vaga lembrança que ele teve um sério problema de segurança.

Ele tem softaculous e tem um custo menor, só não vi nada sobre o uso do mesmo pra revenda:

https://vestacp.com/features/

 

[Marks]

9 horas atrás, Renato Frota disse:

Eu estava revisitando os tópicos sobre os aumentos de preços do cPanel que rolaram aqui no PDH e no WHT e encontrei um tópico onde fizeram uma auditoria nos painéis que foram levantados como alternativa.

Tópico no WHT: https://www.webhostingtalk.com/showthread.php?t=1770951

Resultado da auditoria: http://web.archive.org/web/20211027153347/https://www.rack911labs.com/research/security-analysis-of-alternative-control-panels/

"Conclusão" do artigo acima, traduzido para PT-BR:
 

Eu conheço o Virtualmin e gosto bastante dele. Foi um dos painéis recomendados. Outro recomendado foi o então chamado APNSCP (hoje ApisCP). Não falaram com muita ênfase mas, olhando os gráficos da própria auditoria, é o mais seguro. Dei uma olhada nele e me pareceu muito interessante, em especial a ferramenta chamada Fortification, dentre outras bastante curiosas.

Não encontrei referências aqui no fórum. Então esse tópico fica como dica para quem não conhece ainda e, ao mesmo tempo, para levantar potenciais experiências que os colegas tenham tido com esse painel, ainda não relatadas aqui.

Link do ApisCP: https://apiscp.com

Empresas que usam esse painel:
- Hostineer ( https://hostineer.com ), que é do autor do painel e serve de "laboratório" de desenvolvimento.
- Lithium ( https://lithiumhosting.com ).

Integração WHMCS (oferecimento da Lithium): https://github.com/LithiumHosting/apiscp-whmcs

Breve documentação sobre o ApisCP na DigitalOcean (com alguns links relevantes no final): https://docs.digitalocean.com/products/marketplace/catalog/apiscp/

Dicas para servidores com 500+ contas: https://docs.apiscp.com/admin/Mass hosting/

Curiosidade: ele permite rebranding muito facilmente (a Lithium chama ele de "LiPanel").

Lembra bastante o AAPANEL

[Renato Frota]

7 horas atrás, chuvadenovembro disse:

Vestacp eu ja usei pra projetos pessoais e no relatório tem apenas 3 vulnerabilidades...Confesso que fiquei surpreso, pois tenho uma vaga lembrança que ele teve um sério problema de segurança.

Ele tem softaculous e tem um custo menor, só não vi nada sobre o uso do mesmo pra revenda:

https://vestacp.com/features/

 

Apesar do baixo número de vulnerabilidades encontradas na versão mais recente à época que a Rack911 o avaliou, a empresa fez essas observações:

"Some of the control panels, such as CentOS Web Panel and VestaCP have extremely poor reputations when it comes to security."

"Another popular control panel, VestaCP fared pretty well against our security audit with only 3 flaws discovered. The developer indicated that patches were in the works, but there has been no communication since despite repeated attempts."

"We would strongly recommend users avoid CentOS Web Panel and VestaCP. The developers are terrible at communicating and it’s our opinion that their programming experience has no security mindset in place which would likely lead to further security vulnerabilities in the future."

Além disso, o VestaCP teve vários CVE reportados em outras versões lançadas em datas posteriores à auditoria, incluindo vulnerabilidades de injeção de arquivos e execução remota de comandos sem a exigência de qualquer autenticação anterior, o que acabou provando o ponto da Rack911. Na lista não consta nada na coluna "Gained Access Level" mas o tipo de vulnerabilidade daria abertura para comprometimento total do servidor e não são vulnerabilidades "herdadas" de outros softwares que compõem o ecossistema do painel.

Se você gosta da forma como o VestaCP funciona, o HestiaCP (um dos forks do VestaCP) é provavelmente uma opção melhor, pois é um painel mais focado em segurança, tendo até mesmo opção de 2FA (baseado em OTP) nativa.

Quanto ao ApisCP, pelo que eu pude ver, ele se propõe a ser um painel mais completo, eliminando a necessidade de tantos complementos, diferentemente de painéis como cPanel, Plesk, DirectAdmin e outros, que precisam de uma série de sistemas auxiliares.

[dougllasvieira]

HestiaCP fork do VestaCP está bem legal, constantemente atualizado e várias melhorias no nginx, o painel tem instalador automatico wordpress, prestashop.
Sinto falta de um melhor controle do recebimento de spam via painel que não tem igual no cyberpanel mas sabendo editar no exim SpamAssassin consegue contornar isso.

Vesta cp parece que 1x ao ano soltam alguma correção, pararam no tempo é arriscado usar para produção.

11 horas atrás, Renato Frota disse:

Apesar do baixo número de vulnerabilidades encontradas na versão mais recente à época que a Rack911 o avaliou, a empresa fez essas observações:

"Some of the control panels, such as CentOS Web Panel and VestaCP have extremely poor reputations when it comes to security."

"Another popular control panel, VestaCP fared pretty well against our security audit with only 3 flaws discovered. The developer indicated that patches were in the works, but there has been no communication since despite repeated attempts."

"We would strongly recommend users avoid CentOS Web Panel and VestaCP. The developers are terrible at communicating and it’s our opinion that their programming experience has no security mindset in place which would likely lead to further security vulnerabilities in the future."

Além disso, o VestaCP teve vários CVE reportados em outras versões lançadas em datas posteriores à auditoria, incluindo vulnerabilidades de injeção de arquivos e execução remota de comandos sem a exigência de qualquer autenticação anterior, o que acabou provando o ponto da Rack911. Na lista não consta nada na coluna "Gained Access Level" mas o tipo de vulnerabilidade daria abertura para comprometimento total do servidor e não são vulnerabilidades "herdadas" de outros softwares que compõem o ecossistema do painel.

Se você gosta da forma como o VestaCP funciona, o HestiaCP (um dos forks do VestaCP) é provavelmente uma opção melhor, pois é um painel mais focado em segurança, tendo até mesmo opção de 2FA (baseado em OTP) nativa.

Quanto ao ApisCP, pelo que eu pude ver, ele se propõe a ser um painel mais completo, eliminando a necessidade de tantos complementos, diferentemente de painéis como cPanel, Plesk, DirectAdmin e outros, que precisam de uma série de sistemas auxiliares.

 

[Renato Frota]

Em 27/03/2023 em 09:23, LucasMoraes disse:

Realmente tive essa sensação, agora acessando melhor o site, verifiquei que cobram 20 $ por mes .

 

 

Tem licenças mais baratas:

- Startup: $50 por ano (até 30 contas/domínios)

- Mini: $20 por ano (até 10 contas/domínios)

e licenças free:

- dev (só aceita domínios ".test")

- dns-only (para fazer dns cluster)