クロクソ
| クロクソ | |
|---|---|
| 開発者 | クロクソ次世代 |
| 安定版リリース | 8.0.0 |
| リポジトリ | github |
| 書かれた | PHP |
| プラットフォーム | リナックス |
| タイプ | コントロールパネル |
| ライセンス | AGPL v3 |
| Webサイト | kloxo.org |
Kloxo(旧称Lxadmin)は、Red HatおよびCentOS Linuxディストリビューション用の無料かつオープンソースの[ 1 ]ウェブホスティングコントロールパネルでした。[ 2 ] 2017年10月現在、このプロジェクトは多くの未解決の問題を抱えてメンテナンスされておらず、プロジェクトのウェブサイトはオフラインになっています。
Kloxo は、ホスト管理者が lighttpd または Apache をdjbdnsまたはBINDと組み合わせて実行できるようにし、データを失うことなくこれらのプログラムを切り替えるためのグラフィカルインターフェースを提供します。Kloxo Enterprise は、Apache を実行しているサーバーから lighttpd を実行している別のサーバーに、Web/メール/DNS を透過的に移行できます。Kloxo はかつて、cPanel ホスティングコントロールパネルの優れた無料代替手段と考えられていました。
Kloxoには、ホストされているウェブサイトにインストールできる約130個のウェブアプリケーションをバンドルしたInstallappが統合されています。Installappは、サードパーティ製のアプリケーションインストーラ(Fantasticoに類似) であるInstallatron [ 3 ]のプラグインとしてサポートされています。
2017 年 10 月現在、LxCenter Web サイト全体がダウンしているようで、 GitHubリポジトリ (およびいくつかのフォーク)のみが残っており、最後の注目すべき変更は 3 年前のものです。
Lxadmin/Kloxo の名前変更
名前(Lxadmin)の流用に関する懸念から、Kloxoに変更されました。名前の変更にはファイル構造の完全なアップグレードが必要だったため、ユーザーから激しい抗議が起こり、ホスティング会社向けのアップグレードスクリプトが公開されるまでに約2週間かかりました。
セキュリティ問題
2009年6月初旬、セキュリティ関連のブログやウェブサイトで、LxAdmin/Kloxoのセキュリティホールに関する詳細が発表されました。同時期には、同じベンダーが開発した別のソフトウェアであるHyperVMが、英国の格安ウェブホスティング会社VAservへの大規模な攻撃で悪用されたとの噂が流れていました。クラッカーたちはシステムのルートアクセスを取得し、10万件のホスティングウェブサイトのコンテンツを一挙に削除しました。これらの出来事の詳細なタイムラインは、数ヶ月後に公開されました。
ハッカーや関係者の間で広く認識されているように、今回の脆弱性の核心は、VPSの管理者がすべてのインストールで同じパスワードを使い回し、SSLセキュリティ機能を利用していなかったことにあります。専門家は、これがパスワードを平文で送信し、ハッカーがホストを盗聴して攻撃する原因になったと考えています。[ 4 ]
2012年初頭、InstallAppページの上部に「これらのアプリをインストールしないでください。InstallAppに含まれるアプリケーションは著しく古く、既知のセキュリティ上の脆弱性を含んでいます。この機能をライブサーバーで有効にすると、サーバーとユーザーが深刻なセキュリティ上の欠陥にさらされることになります」というメッセージが目立つように表示されました。このメッセージは2014年1月にもまだ表示されていました。
2012 年後半、Kloxo の lxsuexec および lxrestart プログラムでローカル権限昇格の脆弱性が見つかり、攻撃者が権限を root に昇格できる状態になりました。
プロジェクトの履歴
Kloxo は当初、プロプライエタリなコントロールパネルとしてスタートしましたが、CEO の死後、社内で問題が発生しました。[ 5 ] [ 6 ] その後、2009 年 7 月 10 日に、Kloxo と HyperVM は Arthur Thornton、Danny Terweij、S Bhargava によって結成されるオープンソースコンソーシアムで継続されることが発表されました。しかし、2009 年 10 月 25 日、Arthur Thornton は、Kloxo と HyperVM の主任開発者を正式に辞任しました。彼の辞任後、HyperVM と Kloxo のソースコードは正式に公開されました。Arthur Thornton は、2010 年 2 月中旬に裏方で Kloxo と HyperVM の作業を再開しました。2010 年 5 月現在、彼は公の場に復帰しており、主任開発者ではないものの、まもなくフルタイムで復帰する予定です。 Andre Allen は、Danny Terweij の決定により、2010 年 2 月下旬に LxCenter のプロジェクト マネージャーに就任しました。
このプロジェクトのフォークは、Mustafa Ramadhan によって作成され、Kloxo_MRと呼ばれています。プロジェクトに追加機能を追加するための作業は、2012年後半に開始されました。
2020年9月、既存のKloxo_MRユーザー向けのアップグレードパスとして、Kloxo Next Generation(KloxoNG)と呼ばれる新しいフォークがリリースされました。KloxoNGは、Fedora Coprビルドシステムを使用してKloxo_MRを再構築したものです。その後のリリースでは、バグ修正とPHP 7.4のサポートが追加されました。
2024年8月、Kloxo Next GenerationはKloxo 8をリリースしました。Kloxo 8は、Rocky LinuxやAlma LinuxなどのRHEL 8およびRHEL 9互換OS向けのKloxoNGのアップグレードです。Kloxo 8には、KloxoNGの機能に加え、PHP 8のサポートが追加されています。
参考文献
- ^ “Kloxo” . GitHub . 2022年3月19日.
- ^ "Waltern", LxCenterスタッフ (2010年9月29日). 「Debian VPSにkloxoをインストールできますか?」 LxCenterフォーラム. 2011年7月27日時点のオリジナルよりアーカイブ。 2010年11月6日閲覧。
- ^ 「Kloxo/LxAdmin サーバーに Installatron をインストールする」。Installatron Web サイト。
- ^ 「ハッカーが攻撃を説明」 2009年6月9日。
- ^ 「ウェブホストのハッキングで10万人分のデータが消失」 The Register。
- ^ 「技術者がHSRレイアウトで首を吊る」 The Times Of India、2009年6月9日。
