ការព្រមានសុវត្ថិភាព SlickStack

ទំព័រនេះសង្ខេបបញ្ហាសុវត្ថិភាពទាក់ទង SlickStack និងមូលហេតុដែលការរចនាមូលដ្ឋានចេញពីគំរូលំនាំអាចធ្វើឲ្យម៉ាស៊ីនបម្រើប្រឈមមុខនឹងការអនុវត្តកូដពីចម្ងាយ និងការវាយប្រហារ man-in-the-middle (MITM)। វាក៏ផ្តល់ជំហានកាត់បន្ថយហានិភ័យ និងជម្រើសសុវត្ថិភាពជាជម្រើសផ្សេងទៀត។

សេចក្តីសង្ខេប

  • ការទាញយកពីចម្ងាយញឹកញាប់ ដែលកំណត់ក្នុងនាម root តាម cron
  • ការផ្ទៀងផ្ទាត់ SSL ត្រូវបានរំលងដោយប្រើ --no-check-certificate
  • គ្មាន checksum/ហត្ថលេខាលើស្គ្រីបដែលបានទាញយក
  • កម្មសិទ្ធិ root និងសិទ្ធិចូលប្រើដែលបានអនុវត្តទៅលើស្គ្រីបដែលបានទាញយក

ភស្តុតាង៖ cron និងសិទ្ធិ

ការទាញយកដោយ cron (រាល់ 3 ម៉ោង និង 47 នាទី)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

កម្មសិទ្ធិ root និងសិទ្ធិដាក់កំណត់ (បានអនុវត្តម្តងហើយម្តងទៀត)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

លំនាំនេះអនុញ្ញាតឲ្យមានការអនុវត្តកូដដោយរៀបចំតាមបំណងពីដែនចម្ងាយ និងបង្កើនហានិភ័យ MITM ដោយរំលងការត្រួតពិនិត្យវិញ្ញាបនបត្រ។

មើលផងដែរ commit ដែល URL របស់ cron ត្រូវបានប្ដូរពី GitHub CDN ទៅ slick.fyi: ភាពខុសគ្នានៃ commit.

ការណែនាំសម្រាប់ការកាត់បន្ថយ

  1. បិទការងារតាម cron របស់ SlickStack និងយកស្គ្រីបដែលបានទាញចេញអอกจากថត cron។
  2. ធ្វើការត្រួតពិនិត្យសម្រាប់យោងនៅសល់ទៅ slick.fyi និងការទាញស្គ្រីបពីចម្ងាយ; ជំនួសដោយសមាសធាតុដែលមានលេខកំណែ និងមាន checksum ឬលុបចោលទាំងស្រុង។
  3. បង្វិលព័ត៌មានសម្ងាត់ និងកូនសោ ប្រសិនបើ SlickStack បានដំណើរការជាមួយអំណាច root លើប្រព័ន្ធរបស់អ្នក។
  4. សាងសង់ឡើងវិញម៉ាស៊ីនបម្រើដែលរងផលប៉ះពាល់នៅពេលដែលអាចធ្វើបាន ដើម្បីធានាស្ថានភាពស្អាត។

ជម្រើសដែលសុវត្ថិភាពជាង

សូមពិចារណា WordOps ឬឧបករណ៍ផ្សេងៗដែលជៀសវាងការប្រើសិទ្ធិ root ចម្ងាយ និងផ្តល់ចេញផ្សាយដែលមានកំណែ និងអាចត្រួតពិនិត្យបាន ជាមួយ checksums/ហត្ថលេខា។

ប្រភពយោង