SlickStack öryggisviðvörun

Þessi síða dregur saman öryggisáhyggjur vegna SlickStack og útskýrir hvers vegna sjálfgefin hönnun getur gert þjóna berskjaldaða fyrir fjarkóðakeyrslu og man-in-the-middle árásum. Hún veitir einnig aðgerðir til að draga úr áhættu og öruggari valkosti.

Samantekt

  • Tíð fjarniðurhal sem keyrð eru sem rót í cron.
  • SSL-staðfestingu er sleppt með --no-check-certificate
  • Engar checksum- né undirskriftir á niðurhlaðnum skriptum
  • Root-eignarhald og aðgangsheimildir beittar á sóttar skriptur

Sönnunargögn: cron og aðgangsheimildir

Cron-niðurhal (á 3 klst. og 47 mín. fresti)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Root-eignarhald og takmarkandi aðgangsheimildir (beitt endurtekið)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Þessi mynstrun gerir kleift handahóflega kóðakeyrslu frá fjarlægu lén og eykur MITM-áhættu með því að sleppa vottorðastaðfestingu.

Sjá einnig commit-ið þar sem cron-URL-um var skipt úr GitHub CDN yfir í slick.fyi: commit-diff.

Leiðbeiningar um mótvægisaðgerðir

  1. Óvirkja cron-verk í SlickStack og fjarlægja sóttar skriftur úr cron-möppum.
  2. Úttekt á leifartilvísunum í slick.fyi og fjarköllum eftir skriptum; skiptið þeim út fyrir útgáfu- og checksum-staðfestar vörur eða fjarlægið alfarið.
  3. Skiptið um innskráningarupplýsingar og lykla ef SlickStack keyrði með root-forréttindum á kerfunum þínum.
  4. Endurbyggja þá þjóna sem urðu fyrir áhrifum þegar framkvæmanlegt er til að tryggja hreint ástand.

Öruggari valkostir

Íhugaðu WordOps eða önnur verkfæri sem forðast fjarræsingu sem krefst rótarréttinda og bjóða upp á endurskoðanlegar, útgáfustýrðar útgáfur með checksums og rafrænum undirskriftum.

Tilvísanir