security.txt は、サービス所有者にセキュリティの脆弱性を報告するための標準として広く普及しています。 security.txt の主な目的は、Plesk ドメインで脆弱性を発見したときに、クライアントとセキュリティリサーチャーの両方が簡単に連絡できるようにすることです。

バージョン 18.0.62 以降、Plesk Obsidian はこの標準に完全に対応しています。

  • Plesk サーバでホストされているすべてのドメインに対して security.txt ファイルが生成されます。
  • Plesk は、security.txt ファイルが一度作成され、機能が有効になると、その後も継続的に管理します。
  • Plesk はドメインのカスタム security.txt ファイルを考慮し、このドメインにはサーバファイルのセキュリティポリシーを適用しません。
  • Plesk はファイルの有効期限を自動的に更新します。

Plesk サーバで security.txt に対応するには:

  1. Plesk にログインします

  2. "Native security.txt compliance" 拡張をインストールします

  3. 拡張がインストールされたら、 [開く] をクリックします。

  4. Select the "Enable compliance with the "security.txt" standard in Plesk" checkbox.

    image security txt extension

  5. (Optional) To modify the default security.txt file generated by Plesk, select the "Use the custom security.txt text" checkbox, and then specify what needs to be changed in the "Security.txt text" field that becomes available. You can also change the file from the command line.

  6. 次のいずれかをクリックして変更を保存します。

  • [Save] (保存) をクリックすると、構成が保存され、後で変更を手動で適用できます。これにより、たとえば、変更に応じてドメインを再構成する時間の猶予をクライアントに与え、起こりうる問題を回避することができます。 plesk repair web CLI コマンド を実行することで、サーバを手動で再構成できます。
  • [Save and Reconfigure] (保存して再構成) をクリックすると、変更が適用され、今すぐ Plesk サーバが再構成されます。

Now your Plesk server is security.txt-compliant.

Using the Command Line Utility

You can use the plesk ext security-txt-plesk command line utility to update your security.txt configuration. The utility accepts the following commands:

  • --help - This prints all available security-txt-plesk commands.

  • --status - This shows whether the Plesk server uses the security.txt policies. If you have enabled the default security.txt policy, this will return value: on. If you have enabled a custom security.txt policy or used a custom file path, this will return value: custom.

  • --enable - This sets all domains on your Plesk server to use the default security.txt policies. It will disable any custom file paths and the "Use the custom security.txt text" option in the extension menu.

  • --disable - This sets all domains on your Plesk server to ignore all security.txt policies.

  • -path - This sets a new file path for the security.txt file. To set a new path for a security.txt file, you must first have a security.txt file in the new file location.
    注釈:

    For this command to work, you must first enable the "Use the custom security.txt text" option in the "Native security.txt compliance" extension menu. Then, you must include the --reconfigure-all command. For example, to use a custom security directory for your security.txt file, create the new file and directory, then use the following command: plesk ext security-txt-plesk -path /security/security.txt --reconfigure-all.

  • --reconfigure-all - This updates all domains on the Plesk server to use the new security.txt configuration.