很久之前就测试过这个面板,但一直没有用于生产环境,是因为安全考虑,但时至今日使用最新的v1.4.3版本,发现在使用普通建站php环境时,仍然存在严重的跨站风险,我使用这个脚本: p0wny-shell,可以直接跨到其他站点。
建议是在创建php 运行docker时,每个站点的volume bind限制为当前域名,下图这种,等于是把所有网站都赋予给php 容器的,非常危险。
另外,控制面板中的设置属主身份,这个在当前容器环境里是不起作用的。容器内的属主身份仍然是www-data,仍然可以访问其他uid的文件
