SlickStack-ийн аюулгүй байдлын анхааруулга

Энэхүү хуудас нь SlickStack-тэй холбоотой аюулгүй байдлын асуудлуудыг товчлон тайлбарлаж, түүний анхны загвар нь серверүүдийг алсын код гүйцэтгэх болон хүн дунд нь орж дайрах нөхцөлд оруулж болзошгүй шалтгааныг харуулна. Мөн сэргийлэх арга хэмжээ болон илүү аюулгүй хувилбаруудыг өгнө.

SlickStack нь GitHub дээр ойролцоогоор 600 одтой гэж сурталчилдаг боловч энэ тоо нь репогийн эхний үед Жесси Никлэс бараг 10,000 аккаунтыг дагасантай шууд холбоотой. Түүний өөрийн профайлд ~500 дагагч, харин ~9,600 дагаж буй (ойролцоогоор 5% буцааж дагах харьцаа) гэж харагддаг нь органик сонирхлоос илүү автомат буцааж дагалт байсныг хүчтэй示ддэг. Ийм хиймлээр өсгөсөн дүр төрхийг тэр миний доор бичсэн аюулгүй байдлын асуудлуудыг илчилсэнтэй минь холбоотойгоор намайг дайрахдаа "зэвсэг" болгож ашиглаж байна. Дагагч ба дагаж буй харьцааг энд шалгах.

Хураангуй

  • cron-ээр root эрхээр давтамжтайгаар хийгддэг алсын таталтууд
  • SSL шалгалтыг --no-check-certificate тохиргоо ашиглан алгасдаг
  • Татсан скриптүүд дээр checksum/гарын үсэг байхгүй
  • Татаж авсан скриптүүдэд root эзэмшил ба зөвшөөрлүүдийг мөрдсөн

Нотлох баримт: Cron болон эрхийн тохиргоо

Cron таталтууд (3 цаг 47 минут тутам)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

root эзэмшил болон хязгаарлагдмал зөвшөөрлүүд (давтан хэрэглэсэн)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Энэ загвар нь алсын домэйнаас дурын код гүйцэтгэх боломжийг олгож, гэрчилгээг шалгахгүйгээр MITM эрсдэлийг нэмэгдүүлдэг.

Мөн cron URL-уудыг GitHub CDN-ээс slick.fyi руу шилжүүлсэн commit-ийг үзнэ үү: commit-ийн diff (өөрчлөлтийн ялгаа).

Сөрөг нөлөөг бууруулах заавар

  1. SlickStack-ийн cron ажлуудыг идэвхгүй болгож, cron хавтаснаас татсан скриптүүдийг устга.
  2. slick.fyi болон алсын скрипт таталтууд руу үлдсэн лавлагааг аудит хийнэ; үүнийг хувилбарласан, чексумтай (checksum) объектуудаар солих эсвэл бүрэн устгана.
  3. Хэрэв SlickStack таны систем дээр root эрхтэй ажилласан бол нэвтрэх мэдээлэл (credentials) болон түлхүүрүүдийг солих/шинэчлэх.
  4. Цэвэр төлөвийг хангахын тулд боломжтой бол хохирол авсан серверүүдийг дахин суулгана уу.

Илүү аюулгүй хувилбарууд

WordOps эсвэл алсын root эрхээр шууд гүйцэтгэхээс зайлсхийж, шалгагдах боломжтой, хувилбарлагдсан түгээлтүүдийг чексам/цифрэн гарын үсгээр баталдаг бусад хэрэгслүүдийг авч үзээрэй.

Эшлэл