Plesk/cPanel Lisans Ücretlerinden Bıktım, Kendi Hosting Panelimi Yazdım

Herkese selam,

Plesk ve cPanel lisans ücretleri artık VPS ücretlerinden daha pahalı hale geldi.
Reverse lisanslar ise malum — içi miner dolu, sunucunuz başkasının madencisine
dönüyor, güvenlik araçlarınızı sessizce kaldırıyor.

Bu durumdan bıktığım için uzun bir araştırma sürecine girdim. Sonuç olarak
altyapısı kanıtlanmış, açık kaynak ve güvenlik odaklı bir sistem üzerine
modern bir yönetim paneli geliştirdim.

Ne sunuyor:

— Uygulama yönetimi (site ekleme, silme, başlatma, durdurma, yeniden başlatma)
— Veritabanı yönetimi (PostgreSQL, MariaDB, Redis — oluşturma, bağlama, yedekleme)
— SSL sertifika yönetimi (Let's Encrypt veya Cloudflare entegrasyonu)
— Domain yönetimi (çoklu domain, subdomain desteği)
— Mail sunucusu entegrasyonu (SMTP, IMAP, POP3, spam koruması dahil)
— Gerçek zamanlı sunucu izleme (CPU, RAM, Disk, Network grafikleri)
— Güvenlik paneli (Fail2ban, firewall kuralları, başarısız giriş logları)
— Web tabanlı terminal (sunucuya tarayıcıdan komut gönderme)
— Environment variable yönetimi
— Deploy logları ve geçmişi
— Türkçe arayüz

Güvenlik yaklaşımı:

Panel dışarıya açık bir port üzerinden erişilmiyor. Cloudflare Tunnel +
Zero Trust arkasında çalışıyor — yani panele erişmek için önce Cloudflare'ın
kimlik doğrulamasından geçmeniz gerekiyor (email OTP). Sunucuda ekstra port
açılmıyor, saldırı yüzeyi sıfıra yakın.

Her site kendi izole container'ında çalışıyor — bir site hacklense bile
diğerlerine sıçrama riski yok. Plesk'te bunu sağlamak için CloudLinux/CageFS
gibi ek lisanslara ihtiyacınız var, burada varsayılan olarak geliyor.

Teknik detaylar:

— Container tabanlı izolasyon (her uygulama bağımsız)
— Git push ile deploy (kodu push et, otomatik build ve yayınla)
— PHP, Node.js, Python, Go, Ruby, Java desteği
— Docker entegrasyonu
— Otomatik SSL yenileme
— Persistent storage desteği (medya dosyaları deploy'larda korunur)
— Multi-domain tek panel üzerinden yönetim
— WordPress dahil tüm CMS'ler desteklenir

Maliyet:

Panel: Ücretsiz
VPS: Hetzner CX22 = €6/ay (kendi kullandığım)
Toplam: Ayda ~300₺ — Plesk lisansı + VPS toplamının yarısından az

Kimler kullanabilir:

— Kendi sitelerini yöneten geliştiriciler
— Küçük ajanslar (müşteri siteleri tek panelden)
— Plesk/cPanel lisansından bıkan herkes
— Reverse lisans kullanıp güvenlik riski taşımak istemeyen herkes

Yakında GitHub'da açık kaynak olarak paylaşmayı düşünüyorum.
İlgilenen varsa bu konuyu takipte kalsın.

Sorularınız varsa yazın, elimden geldiğince yanıtlamaya çalışırım.

hayırlı olsun.
Hestiacp açık kaynak onu geliştirebilirdiniz.

emegıne sağlık konu takip

HestiaCP'yi biliyorum, güzel proje. Ama mimari olarak farklı bir yaklaşım bu.
HestiaCP klasik shared hosting mantığında çalışıyor — tüm siteler aynı işletim sistemi üzerinde, aynı Nginx/Apache instance'ını paylaşıyor. PHP-FPM pool'ları site bazlı ayrılsa da gerçek izolasyon yok — siteler aynı dosya sistemini ve network'ü paylaşıyor. Bir site hacklendiğinde saldırgan aynı sunucudaki diğer sitelere erişebilir. Bunu çözmek için CloudLinux/CageFS gibi ek katmanlar lazım.
Benim yaptığım şey HestiaCP'ye tema yapmak değil. Alttaki mimari farklı: her site kendi container'ında çalışıyor, birbirinden tamamen izole. Bir site hacklenirse diğerleri etkilenmiyor. Bu shared hosting panellerine sonradan ekleyebileceğin bir özellik değil, temel mimari kararı.
HestiaCP'yi fork edip container desteği eklemek, sıfırdan yazmaktan daha zor olurdu — çünkü tüm yapı "tek sunucu, ortak servisler" üzerine kurulu. Temeli değiştirmen lazım.
Kısacası aynı soruna farklı bir çözüm. HestiaCP iyi iş yapıyor ama ben izolasyon ve güvenliği varsayılan olarak istedim, sonradan eklenen bir katman olarak değil.

hocam yapay zekayla böyle bir iş yapmak akıl karı değil.
aapanel öneririm.

Merhaba hocam,hayirli olsun.
Nasil deneyebiliriz?

Yapay zekayla iş yapmak derken neyi kastediyorsunuz emin değilim ama altyapı seçimi konusunda konuşalım.
Önerdiğiniz aaPanel'in CVE kayıtlı güvenlik geçmişine bakalım: v6.8.21'de directory traversal ile root SSH private key sızdırılabiliyor. v6.8.12'de WebSocket üzerinden uzaktan komut çalıştırma açığı var.
v6.6.6'da Software Store ve Cron Job ekranından authenticated RCE mümkün. Bunların yanında aaPanel, Çinli BaoTa panelinin uluslararası versiyonu. Kurulum scripti sunucu IP'nizi BaoTa sunucularına gönderiyor. Toplanan verinin kapsamı konusunda community'de ciddi soru işaretleri var — LowEndTalk'ta uzun tartışmalar mevcut.
Bir de kurulum şekline bakın: HTTP üzerinden script indirip root olarak çalıştırıyorsunuz, doğrulama yok. Panel varsayılan olarak HTTP üzerinden açık porta servis ediyor. Benim sistemde panel dışarıya açık port üzerinden erişilmiyor, Cloudflare Tunnel + Zero Trust arkasında. Her site izole container'da çalışıyor. aaPanel'de ise tüm siteler aynı OS üzerinde, izolasyon yok. Yapay zeka kullanarak mı geliştirdim, kullanmadan mı — sonuçta ortaya çıkan sistem güvenlik açısından aaPanel'den kat kat sağlam.

Önemli olan araç değil, mimari. Ayrıca benim kullandığım altyapı dünkü ortaya çıkan bir sistem değil — 13 yıldır aktif olarak geliştirilen, bugüne kadar tek bir CVE güvenlik açığı çıkmamış bir altyapı. Ben bu altyapının üzerine kendi panelimi geliştirdim ve web katmanında da zafiyet oluşturmadım. Yapay zekayla böyle bir şey yapmak akıl karı değil dediğinizde sanırım vibe coding'den bahsediyorsunuz — ben o kategoride değilim, saldırı vektörlerini biliyorum. Panelin kendisi Cloudflare Tunnel + Zero Trust arkasında çalışıyor, dışarıya açık port yok. Panele ulaşmak için önce Cloudflare'ın kimlik doğrulamasını geçmeniz gerekiyor. Yani tartışma zaten panel seviyesinde başlamıyor bile.

Merhabalar hocam, yakın zamanda github linki paylaşacağım kurulum vs hakkında son sistem testlerini yapıyorum. Bitince pm iletirim

işte bu mesajınızda tamamen kopyala yapıştır şekilde ilerlediğinizin en büyük kanıtı. hiçbir şey bilmediğiniz panel hakkında yorum yapmayın. aapanel açıkları yazıp 4 sene önce bildirilmesinden 17 dakika sonra güncelleme yayınlanmış bir güvenlik açığını iletiyorsunuz. şuanda sizin sistemi daha doğrusu yapay zekanın yaptığı sistemi tarasak eminim ki bundan çok daha ciddi açıklar mevcuttur. yaklaşık 10 yıl önceki açıkları öne sürüp, güvenlik zaafiyeti var demek çok saçma.. ki bunun amacı demiş olmak zaten. sırf karşı çıkabilmek adına bir şeyler üretmeye çalışıyorsunuz. bu da tam yapay zekaya panel yaptırıp bakın ben yaptım demeyle aynı şey. çinli baota versiyonu demekte saçmalık.. adamlar zaten bunu sizlerle paylaşıyor, baota isminde bir panel geliştirmiş ve bunu bütün dünyayla paylaşmak istemiş. cpanel, plesk veya aklınıza gelebilecek diğer panellerinde kurulum dosyaları uzaktan çekiliyor. siz sanırım ubuntu ile anlaşıp bu paneli ubuntuya gömeceksiniz??
doğrulama bizzat sizsiniz, root erişimi olmayan paneli kuramıyor. http sadece belirli security entrylerde kullanıma açık. panel sizin yerinize ubuntu debian sisteminde yaklaşık 700 çeşit açık arıyor biliyor musunuz? ssh idle time'a kadar size tavsiye veriyor hiç kullandınız mı bu paneli?
dilerseniz zero trust kurulumu yapabilirsiniz, dilerseniz 22 dahil sunucunun bütün dışarıya erişimini kapatıp vnc üzerinden yönetime devam edebilirsiniz. bugüne kadar açığının çıkmamış olması onu kaliteli yapmıyor, demek ki ilgilenen yok, demek ki kullanıcı sayısı az.

zero trust kurup güvenlik açısında bununla övünecek acemilikte olmanız ötesinde bir şey yok zaten. bunun panelle bir alakası yok ki? sunucuya whm de kursan cpanelde kursan vestada kursan zero trust yine kurabilirsin zaten. 'izole container' diye de terim üretmişsiniz keza bu da çok yaygın pleskte var mı yok mu bilmiyorum plesk kullanmayı 3 yıl oldu.

yine elinize sağlık eğer yapay zeka kullanmadan yapmışsanız emek emektir ama şahsen ben bu projenin yapay zekasız geliştirildiğine inanmıyorum.