Sahadaki Durum
CloudLinux’un değeri, paylaşımlı hosting hesaplarını birbirinden ayırabilmesinden gelir. CageFS, LVE ve PHP Selector doğru çalışmıyorsa güncel paketlere rağmen müşteri izolasyonu zayıflar.
Bu başlıkta amaç, güvenlik duyurusunu yalnızca haber gibi okumak değil; hosting operasyonunda hangi servislerin, hangi müşterilerin ve hangi bakım adımlarının etkileneceğini netleştirmektir. Kritik CVE dönemlerinde başarılı ekipler önce etki alanını daraltır, sonra yamayı uygular ve en son kullanıcı deneyimini ölçer.
Güncel Bulgular
CageFS kullanıcıların görebildiği dosya sistemini sınırlar. Yanlış mount, eksik skeleton veya hatalı izinler kullanıcıya gereğinden fazla alan gösterebilir.
LVE kaynak sınırları yalnızca performans politikası değildir. Aşırı CPU veya process tüketen kompromize hesap, limit yoksa tüm sunucunun erişilebilirliğini etkiler.
PHP Selector, müşteri esnekliği sağlar; fakat eski PHP sürümlerinin gereğinden uzun süre açık kalması güvenlik borcu oluşturur.
Uygulama Notları
CageFS kullanıcı listesi, disabled kullanıcılar ve remount durumu düzenli kontrol edilmelidir.
PHP sürümleri için destek politikası yazılı olmalıdır. EOL sürümler yalnızca istisnai müşterilerde ve net risk kabulüyle açık kalmalıdır.
MySQL Governor kullanılıyorsa ağır sorgu üreten hesaplar güvenlik ve performans açısından ayrı raporlanmalıdır.
Denetim Notları
Yeni açılan hesabın CageFS içine otomatik alındığını test edin.
LVE limit aşımı yaşayan hesaplarda web shell, bot trafiği veya bozuk cron ihtimali araştırılmalıdır.
PHP extension izinleri müşteri ihtiyacına göre verilmeli, tüm hesaplara geniş extension seti açılmamalıdır.