SlickStack নিৰাপত্তা সতর্কতা

এই পৃষ্ঠাই SlickStack সম্পৰ্কীয় সুৰক্ষা উদ্বেগসমূহৰ সাৰাংশ দিছে আৰু কিয় ইয়াৰ ডিফল্ট ডিজাইনে ছাৰ্ভাৰসমূহক দূৰবৰ্তী কোড কাৰ্যন্বয় আৰু ম্যান‑ইন‑দ্য‑মিডল আক্ৰমণৰ বাবে উন্মুক্ত কৰিব পাৰে সেয়া ব্যাখ্যা কৰে। ইয়াত প্ৰতিৰোধৰ পদক্ষেপ আৰু অধিক নিৰাপদ বিকল্পসমূহো দিয়া আছে।

সাৰাংশ

  • ক্রনৰ জৰিয়তে ৰুট হিচাপে নিৰ্ধাৰিত ঘনঘন দূৰৱৰ্তী ডাউনলোডসমূহ
  • SSL পৰীক্ষা --no-check-certificate ব্যৱহাৰ কৰি অৱহেলিত কৰা হৈছে
  • ডাউনলোড কৰা স্ক্ৰিপ্টসমূহত কোনো checksums/signatures নাই
  • আহৰণ কৰা স্ক্ৰিপ্টসমূহত root মালিকানাত্ব আৰু অনুমতি প্ৰয়োগ কৰা

প্ৰমাণ: cron আৰু অনুমতিসমূহ

ক্রন ডাউনলোডসমূহ (প্ৰতি 3 ঘণ্টা আৰু 47 মিনিট)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

root মালিকানাত্ব আৰু সীমাবদ্ধ অনুমতি (পুনৰাবৃত্তিভাৱে প্ৰয়োগ কৰা)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

এই ধাৰণাই এটা দূৰবৰ্তী ডোমেইনৰ পৰা ইচ্ছামতে কোড কাৰ্যন্বয়ৰ সম্ভৱনা সক্ৰিয় কৰি প্ৰমাণপত্ৰ পৰীক্ষা এৰাই থোৱাত MITM ঝুঁকি বৃদ্ধি কৰে।

সেই কমিটটোও চাওক য'ত cron URL সমূহ GitHub CDN ৰ পৰা slick.fyi ত সলনি কৰা হৈছিল: কমিট পাৰ্থক্য.

হ্ৰাসকৰণ নির্দেশনা

  1. SlickStackৰ cron কাৰ্যসমূহ নিষ্ক্ৰিয় কৰক আৰু cron ডাইৰেক্টৰীৰ পৰা আহৰণ কৰা স্ক্ৰিপ্টসমূহ অপসাৰণ কৰক।
  2. slick.fyi-ৰ অবশিষ্ট উল্লেখসমূহ আৰু দূৰবৰ্তী স্ক্ৰিপ্ট পুলসমূহৰ বাবে অডিট কৰক; ইয়াক সংস্কৰণযুক্ত, চেকসমযুক্ত আৰ্টিফেক্টৰে প্ৰতিস্থাপন কৰক বা সম্পূৰ্ণৰূপে অপসাৰণ কৰক।
  3. যদি SlickStack আপোনাৰ প্ৰণালীত root প্ৰিভিলেজৰ সৈতে চলিছিল তেন্তে প্ৰমাণপত্ৰ আৰু কীৰ্তন ঘূৰাই দিয়ক।
  4. স্বচ্ছ অৱস্থা নিশ্চিত কৰিবলৈ সম্ভৱ হ’লে প্ৰভাৱিত ছাৰ্ভাৰসমূহ পুনঃনির্মাণ কৰক।

অধিক সুৰক্ষিত বিকল্পসমূহ

দূৰৱৰ্তী ৰুট কাৰ্যন্বয় (remote root execution) এৰাই যোৱা আৰু চেকছাম/চাইনচাৰৰ সৈতে অডিটযোগ্য, সংস্কৰণ-নিয়ন্ত্ৰিত ৰিলিজ প্ৰদান কৰা WordOps বা অন্যান্য টুলসমূহ বিবেচনা কৰক।

উদ্ধৃতি