Da bisher kein offizieller Patch bereit steht, empfehlen wir, den Plesk Zugriff per Firewall Regel zu unterbinden.
Plesk in aktivierter Plesk-Firewall deaktivieren – von der Kommandozeile
Die Plesk Firewall konfigurieren
vi /usr/local/psa/var/modules/firewall/firewall-active.sh
Darin die Zeilen für den Zugriff auf Plesk auskommentieren – z.B.:
#/sbin/iptables -A INPUT -p tcp --dport 8443 -j ACCEPT #/sbin/iptables -A INPUT -p tcp --dport 8880 -j ACCEPT
Dann Plesk-Firewall neu starten:
/etc/init.d/psa-firewall restart
Plesk per iptables Regel unzugänglich machen
Zuerst sollte man prüfen, welche Regeln aktiv sind:
iptables -L -vn --line-numbers
Dort Ausschau halten nach Zeilen mit Zielport 8443 und 8880.
Wenn kaum Zeilen zu sehen sind, dann ist die Firewall nicht konfiguriert und man sollte beispielsweise eine Werkzeug wie “lokkit” verwenden, um Basisregeln auf einfache Weise auf das System zu bringen.
Wenn zahlreiche Firewall-Regeln konfiguriert sind, lohnt es sich herauszufinden, von welchem Werkzeug die Regeln auf dem System erzeugt wurden. Manchmal lässt sich das an den “Chain”-Namen ableiten.
Für schnelle Hilfe bis zu einem Restart, geht man folgendermaßen vor, wenn man ACCEPT-Zeilen für die Plesk Dienste gefunden hat.
iptables -D Chain-Name Nummer-der-Regel
also z.B.
ipatbles -D INPUT 5
Wenn man keine Firewall definiert hat oder keine Regel findet, die Plesk explizit verbietet, gibt man folgendes ein:
iptables -I INPUT 1 -p tcp --dport 8443 -j DROP iptables -I INPUT 2 -p tcp --dport 8880 -j DROP
Das fügt ganz oben in den INPUT Chain die Regeln ein, dass niemand auf Plesk Zugriff bekommt.
Man kann die Regeln immer wieder löschen und beispielsweise nur der eigenen IP Zugriff auf Plesk geben.
Löschen
iptables -D INPUT 1 iptables -D INPUT 2
Nur eigener Zugriff (eigene IP hier als “87.12.34.56” definiert)
iptables -I INPUT 1 -p tcp -s 87.12.34.56 --dport 8443 -j ACCEPT iptables -I INPUT 2 -p tcp -s 87.12.34.56 --dport 8880 -j ACCEPT iptables -I INPUT 3 -p tcp --dport 8443 -j DROP iptables -I INPUT 4 -p tcp --dport 8880 -j DROP
Die Änderungen an der Firewall sollten immer auch getestet werden, indem man versucht, die Seite aufzurufen.