işte bu mesajınızda tamamen kopyala yapıştır şekilde ilerlediğinizin en büyük kanıtı. hiçbir şey bilmediğiniz panel hakkında yorum yapmayın. aapanel açıkları yazıp 4 sene önce bildirilmesinden 17 dakika sonra güncelleme yayınlanmış bir güvenlik açığını iletiyorsunuz. şuanda sizin sistemi daha doğrusu yapay zekanın yaptığı sistemi tarasak eminim ki bundan çok daha ciddi açıklar mevcuttur. yaklaşık 10 yıl önceki açıkları öne sürüp, güvenlik zaafiyeti var demek çok saçma.. ki bunun amacı demiş olmak zaten. sırf karşı çıkabilmek adına bir şeyler üretmeye çalışıyorsunuz. bu da tam yapay zekaya panel yaptırıp bakın ben yaptım demeyle aynı şey. çinli baota versiyonu demekte saçmalık.. adamlar zaten bunu sizlerle paylaşıyor, baota isminde bir panel geliştirmiş ve bunu bütün dünyayla paylaşmak istemiş. cpanel, plesk veya aklınıza gelebilecek diğer panellerinde kurulum dosyaları uzaktan çekiliyor. siz sanırım ubuntu ile anlaşıp bu paneli ubuntuya gömeceksiniz??
doğrulama bizzat sizsiniz, root erişimi olmayan paneli kuramıyor. http sadece belirli security entrylerde kullanıma açık. panel sizin yerinize ubuntu debian sisteminde yaklaşık 700 çeşit açık arıyor biliyor musunuz? ssh idle time'a kadar size tavsiye veriyor hiç kullandınız mı bu paneli?
dilerseniz zero trust kurulumu yapabilirsiniz, dilerseniz 22 dahil sunucunun bütün dışarıya erişimini kapatıp vnc üzerinden yönetime devam edebilirsiniz. bugüne kadar açığının çıkmamış olması onu kaliteli yapmıyor, demek ki ilgilenen yok, demek ki kullanıcı sayısı az.
zero trust kurup güvenlik açısında bununla övünecek acemilikte olmanız ötesinde bir şey yok zaten. bunun panelle bir alakası yok ki? sunucuya whm de kursan cpanelde kursan vestada kursan zero trust yine kurabilirsin zaten. 'izole container' diye de terim üretmişsiniz keza bu da çok yaygın pleskte var mı yok mu bilmiyorum plesk kullanmayı 3 yıl oldu.
yine elinize sağlık eğer yapay zeka kullanmadan yapmışsanız emek emektir ama şahsen ben bu projenin yapay zekasız geliştirildiğine inanmıyorum.
Açıkların hızlı yamalanması iyi ama benim yaklaşımım patch hızına güvenmek değil, doğrudan attack surfacei minimize etmek. Bu yüzden dışarıya açık bir panel kullanmıyorum. Benim kullandığım altyapıda dışarıya açık web paneli yok, bu yüzden taranacak bir yüzey de yok. CVE çıkmamış olmasını "ilgilenen yok" diye yorumlamışsınız ama Kullandığım altyapının Dokku'nun GitHub'da 32K star'ı var, aaPanel'in 4.4K. İlgilenen gayet var, taranacak yüzey yok.
İzole container terim üretmek değil, Docker container izolasyonu endüstri standardı bir kavram. Plesk'te bunu sağlamak için CloudLinux/CageFS lisansı alıyorsunuz, burada varsayılan olarak geliyor.
Zero Trust konusunda haklısınız, her panele kurulabilir. Ben de zaten bunu panelin özelliği olarak değil, genel güvenlik mimarisinin bir parçası olarak anlattım.
Yapay zeka kullanıp kullanmadığım konusuna gelince kullandım, kullanıyorum, bunda gizleyecek bir şey yok. Ama yapay zeka "kur bana panel" deyince güvenli sistem kurmaz. Mimari kararları, saldırı yüzeyini minimize etmeyi, altyapı seçimini ben yaptım. Aracın ne olduğu değil, sonucun ne olduğu önemli.
Sistemi tarasanız ciddi açıklar çıkar" demişsiniz ben zaten taradım. Dış saldırgan perspektifinden port ve servis taraması, web uygulama saldırıları, SSL/TLS analizi, DNS bilgi toplama yaptım. İç saldırgan perspektifinden container escape testleri, privilege escalation, credential hunting, dosya sistemi güvenliği taradım. Uygulama katmanında her sitenin API endpoint'leri, authentication bypass, input validation, SSRF, injection testlerini yaptım. Son olarak supply chain riskleri, Cloudflare bypass senaryoları, lateral movement ve cryptographic weakness analizlerini de dahil ettim. 4 farklı saldırı perspektifinden kapsamlı pentest yapıldı, bulgular severity bazlı raporlandı ve gerekli aksiyonlar alındı. Yani "tarasak açık çıkar" dediğiniz sistemi ben sizden önce taradım.
Son olarak burada ücretsiz ve iyi niyetle bir şey paylaştım, kimseye kullanın demedim. Teknik eleştiriye her zaman açığım ama "yapay zekayla böyle iş olmaz" gibi genel geçer yorumlar yerine somut teknik argümanlarla gelin, konuşalım.