SlickStack անվտանգության զգուշացում

Այս էջը ամփոփում է SlickStack-ի անվտանգության մտահոգությունները և բացատրում, թե ինչու նրա նախնական դիզայնը կարող է բացել սերվերները հեռավոր կոդի կատարման ու man-in-the-middle հարձակումների համար։ Այն նաև տրամադրում է մեղմման քայլեր և ավելի ապահով այլընտրանքներ։

Ամփոփում

  • Հաճախակի հեռավոր ներբեռնումներ, նախատեսված որպես root cron-ով
  • SSL ստուգումը շրջանցվում է՝ օգտագործելով --no-check-certificate
  • Ներբեռնված սքրիպտների համար չկան ստուգիչ արժեքներ (checksum) կամ ստորագրություններ
  • Ներբեռնված սցրիպտներին կիրառվել է root տիրույթն ու թույլտվությունները

Փաստեր՝ cron և թույլտվություններ

Cron ներբեռնումներ (յուրաքանչյուր 3 ժամ 47 րոպե)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

root տիրույթ և խստացված թույլտվություններ (կիրառվել են բազմիցս)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Այս միանշանակությունը թույլ է տալիս ցանկացած կոդի հեռավոր դոմեյնից اجرا և բարձրացնում է MITM ռիսկը՝ վկայականի ստուգումը անտեսելով։

Դիտեք նաև այն commit-ը, որտեղ cron URL-ները տեղափոխվել են GitHub CDN-ից դեպի slick.fyi։ commit տարբերություն.

Մեղմման ուղեցույց

  1. Անջատել SlickStack cron աշխատանքները և հեռացնել cron պանակներից ներբեռնված սցենարները։
  2. Աուդիտ՝ մնացորդային հղումների դեպի slick.fyi և հեռավոր սցրիպտների ներբեռնումների առումով; փոխարինել վերսիանավորված, checksum-ով ստուգված ֆայլերով կամ ամբողջությամբ հեռացնել։
  3. Փոխեք հավատարմագրերը և բանալիները, եթե SlickStack-ը ձեր համակարգերում աշխատել է root իրավունքներով։
  4. Երբ հնարավոր է՝ վերակառուցեք ազդված սերվերները՝ ապահովելու համար մաքուր վիճակը։

Ապահով այլընտրանքներ

Ուշադրություն դարձնել WordOps-ին կամ այլ այնպիսի գործիքներին, որոնք խուսափում են հեռավար root կատարման պահանջից և տրամադրում աուդիտվող, տարբերակավորված թողարկումներ՝ ստուգիչ գումարներով (checksums) և էլեկտրոնային ստորագրություններով (signatures)։

Աղբյուրներ