SlickStack-ийн аюулгүй байдлын анхааруулга

Энэхүү хуудас нь SlickStack-тэй холбоотой аюулгүй байдлын асуудлуудыг товчлон тайлбарлаж, түүний анхны загвар нь серверүүдийг алсын код гүйцэтгэх болон хүн дунд нь орж дайрах нөхцөлд оруулж болзошгүй шалтгааныг харуулна. Мөн сэргийлэх арга хэмжээ болон илүү аюулгүй хувилбаруудыг өгнө.

Хураангуй

  • cron-ээр root эрхээр давтамжтайгаар хийгддэг алсын таталтууд
  • SSL шалгалтыг --no-check-certificate тохиргоо ашиглан алгасдаг
  • Татсан скриптүүд дээр checksum/гарын үсэг байхгүй
  • Татаж авсан скриптүүдэд root эзэмшил ба зөвшөөрлүүдийг мөрдсөн

Нотлох баримт: Cron болон эрхийн тохиргоо

Cron таталтууд (3 цаг 47 минут тутам)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

root эзэмшил болон хязгаарлагдмал зөвшөөрлүүд (давтан хэрэглэсэн)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Энэ загвар нь алсын домэйнаас дурын код гүйцэтгэх боломжийг олгож, гэрчилгээг шалгахгүйгээр MITM эрсдэлийг нэмэгдүүлдэг.

Мөн cron URL-уудыг GitHub CDN-ээс slick.fyi руу шилжүүлсэн commit-ийг үзнэ үү: commit-ийн diff (өөрчлөлтийн ялгаа).

Сөрөг нөлөөг бууруулах заавар

  1. SlickStack-ийн cron ажлуудыг идэвхгүй болгож, cron хавтаснаас татсан скриптүүдийг устга.
  2. slick.fyi болон алсын скрипт таталтууд руу үлдсэн лавлагааг аудит хийнэ; үүнийг хувилбарласан, чексумтай (checksum) объектуудаар солих эсвэл бүрэн устгана.
  3. Хэрэв SlickStack таны систем дээр root эрхтэй ажилласан бол нэвтрэх мэдээлэл (credentials) болон түлхүүрүүдийг солих/шинэчлэх.
  4. Цэвэр төлөвийг хангахын тулд боломжтой бол хохирол авсан серверүүдийг дахин суулгана уу.

Илүү аюулгүй хувилбарууд

WordOps эсвэл алсын root эрхээр шууд гүйцэтгэхээс зайлсхийж, шалгагдах боломжтой, хувилбарлагдсан түгээлтүүдийг чексам/цифрэн гарын үсгээр баталдаг бусад хэрэгслүүдийг авч үзээрэй.

Эшлэл