Yapay zekayla iş yapmak derken neyi kastediyorsunuz emin değilim ama altyapı seçimi konusunda konuşalım.
Önerdiğiniz aaPanel'in CVE kayıtlı güvenlik geçmişine bakalım: v6.8.21'de directory traversal ile root SSH private key sızdırılabiliyor. v6.8.12'de WebSocket üzerinden uzaktan komut çalıştırma açığı var.
v6.6.6'da Software Store ve Cron Job ekranından authenticated RCE mümkün. Bunların yanında aaPanel, Çinli BaoTa panelinin uluslararası versiyonu. Kurulum scripti sunucu IP'nizi BaoTa sunucularına gönderiyor. Toplanan verinin kapsamı konusunda community'de ciddi soru işaretleri var LowEndTalk'ta uzun tartışmalar mevcut.
Bir de kurulum şekline bakın: HTTP üzerinden script indirip root olarak çalıştırıyorsunuz, doğrulama yok. Panel varsayılan olarak HTTP üzerinden açık porta servis ediyor. Benim sistemde panel dışarıya açık port üzerinden erişilmiyor, Cloudflare Tunnel + Zero Trust arkasında. Her site izole container'da çalışıyor. aaPanel'de ise tüm siteler aynı OS üzerinde, izolasyon yok. Yapay zeka kullanarak mı geliştirdim, kullanmadan mı sonuçta ortaya çıkan sistem güvenlik açısından aaPanel'den kat kat sağlam.
Önemli olan araç değil, mimari. Ayrıca benim kullandığım altyapı dünkü ortaya çıkan bir sistem değil 13 yıldır aktif olarak geliştirilen, bugüne kadar tek bir CVE güvenlik açığı çıkmamış bir altyapı. Ben bu altyapının üzerine kendi panelimi geliştirdim ve web katmanında da zafiyet oluşturmadım. Yapay zekayla böyle bir şey yapmak akıl karı değil dediğinizde sanırım vibe coding'den bahsediyorsunuz ben o kategoride değilim, saldırı vektörlerini biliyorum. Panelin kendisi Cloudflare Tunnel + Zero Trust arkasında çalışıyor, dışarıya açık port yok. Panele ulaşmak için önce Cloudflare'ın kimlik doğrulamasını geçmeniz gerekiyor. Yani tartışma zaten panel seviyesinde başlamıyor bile.
işte bu mesajınızda tamamen kopyala yapıştır şekilde ilerlediğinizin en büyük kanıtı. hiçbir şey bilmediğiniz panel hakkında yorum yapmayın. aapanel açıkları yazıp 4 sene önce bildirilmesinden 17 dakika sonra güncelleme yayınlanmış bir güvenlik açığını iletiyorsunuz. şuanda sizin sistemi daha doğrusu yapay zekanın yaptığı sistemi tarasak eminim ki bundan çok daha ciddi açıklar mevcuttur. yaklaşık 10 yıl önceki açıkları öne sürüp, güvenlik zaafiyeti var demek çok saçma.. ki bunun amacı demiş olmak zaten. sırf karşı çıkabilmek adına bir şeyler üretmeye çalışıyorsunuz. bu da tam yapay zekaya panel yaptırıp bakın ben yaptım demeyle aynı şey. çinli baota versiyonu demekte saçmalık.. adamlar zaten bunu sizlerle paylaşıyor, baota isminde bir panel geliştirmiş ve bunu bütün dünyayla paylaşmak istemiş. cpanel, plesk veya aklınıza gelebilecek diğer panellerinde kurulum dosyaları uzaktan çekiliyor. siz sanırım ubuntu ile anlaşıp bu paneli ubuntuya gömeceksiniz??
doğrulama bizzat sizsiniz, root erişimi olmayan paneli kuramıyor. http sadece belirli security entrylerde kullanıma açık. panel sizin yerinize ubuntu debian sisteminde yaklaşık 700 çeşit açık arıyor biliyor musunuz? ssh idle time'a kadar size tavsiye veriyor hiç kullandınız mı bu paneli?
dilerseniz zero trust kurulumu yapabilirsiniz, dilerseniz 22 dahil sunucunun bütün dışarıya erişimini kapatıp vnc üzerinden yönetime devam edebilirsiniz. bugüne kadar açığının çıkmamış olması onu kaliteli yapmıyor, demek ki ilgilenen yok, demek ki kullanıcı sayısı az.
zero trust kurup güvenlik açısında bununla övünecek acemilikte olmanız ötesinde bir şey yok zaten. bunun panelle bir alakası yok ki? sunucuya whm de kursan cpanelde kursan vestada kursan zero trust yine kurabilirsin zaten. 'izole container' diye de terim üretmişsiniz keza bu da çok yaygın pleskte var mı yok mu bilmiyorum plesk kullanmayı 3 yıl oldu.
yine elinize sağlık eğer yapay zeka kullanmadan yapmışsanız emek emektir ama şahsen ben bu projenin yapay zekasız geliştirildiğine inanmıyorum.