SlickStack လုံခြုံရေး သတိပေးချက်

ဤစာမျက်နှာသည် SlickStack နှင့် ဆိုင်သော လုံခြုံရေး စိုးရိမ်ချက်များကို အကျဉ်းချုပ်ပြပြီး ၎င်း၏ ပျမ်းမျိုး ဒီဇိုင်းကြောင့် ဆာဗာများကို ဝေးလံမှ ကုဒ် လည်ပတ်ခြင်း (remote code execution) နှင့် man-in-the-middle တိုက်ခိုက်မှုများအတွက် အထိခိုက်နိုင်စေသည့် အကြောင်းရင်းများကို ရှင်းပြသည်။ ထို့အပြင် ကာကွယ်ရေး အဆင့်များနှင့် ပိုမိုလုံခြုံသော အစားထိုးနည်းလမ်းများကိုလည်း ပေးထားသည်။

အကျဉ်းချုပ်

  • cron ဖြင့် root အဖြစ် မကြာခဏ အဝေးမှ ဒေါင်းလုဒ်များ စီစဉ်ထားသည်
  • SSL စစ်ဆေးမှုကို --no-check-certificate ကို သုံး၍ ရှောင်ကွယ်ထားသည်။
  • ဒေါင်းလုတ်ထားသော scripts များတွင် checksum/လက်မှတ်များ မပါရှိပါ။
  • ဆွဲယူထားသော script များတွင် root ပိုင်ဆိုင်မှုနှင့် ခွင့်ပြုချက်များ သတ်မှတ်ထားခြင်း

သက်သေ: Cron နှင့် ခွင့်ပြုချက်များ

cron ဒေါင်းလုတ်များ (တိုင်း 3 နာရီ 47 မိနစ်လျှင် တစ်ကြိမ်)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

root ပိုင်ဆိုင်မှုနှင့် ကန့်သတ်သော ခွင့်ပြုချက်များ (အကြိမ်ကြိမ် သတ်မှတ်ထားခြင်း)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

ဤပုံစံသည် ဝေးလံဒိုမိန်းမှ မည်သည့် ကုဒ်မဆို အကန့်အသတ်မရှိ လည်ပတ်နိုင်စေပြီး လက်မှတ် စစ်ဆေးမှုပေးခြင်းကို ကျော်လွှားခြင်းဖြင့် MITM အန္တရာယ်ကို တိုးမြှင့်စေသည်။

cron URL များကို GitHub CDN မှ slick.fyi သို့ ပြောင်းလဲထားသော commit ကိုလည်း ကြည့်ပါ: commit ကွဲပြားချက်.

ထိခိုက်မှု လျော့ချရေး လမ်းညွှန်ချက်များ

  1. SlickStack cron အလုပ်များကို ပိတ်ပြီး cron directory များမှ ဒေါင်းယူထားသော script များကို ဖယ်ရှားပါ။
  2. slick.fyi သို့ ဆက်လက်တွဲဆက် ရည်ညွှန်းချက်များနှင့် remote script ဆွဲယူမှုများအတွက် audit ပြုလုပ်ပါ; versioned, checksummed artifacts များဖြင့် အစားထိုးပါ သို့မဟုတ် အပြည့်အဝ ဖယ်ရှားပါ။
  3. သင်၏ စနစ်ပေါ်တွင် SlickStack ကို root အခွင့်အရေးဖြင့် ပြေးခဲ့ပါက ခွင့်ပြုချက်များ (credentials) နှင့် သော့များ (keys) ကို လှည့်ပြောင်းပါ။
  4. ဖြေရှင်းနိုင်သည့်အခါ တွေ့ရှိခံထားရသော ဆာဗာများကို ပြန်လည်တည်ဆောက်ပါ၊ သန့်စင်ထားသော အခြေအနေနှင့် အာမခံရန်။

ပိုမိုလုံခြုံသော အခြားရွေးချယ်စရာများ

remote root execution ကိုရှောင်ရှားပေးနိုင်ပြီး checksum/အဖြစ်မှတ်ပုံတင်ချက်များပါရှိသည့် audit ပြုလုပ်လို့ရသော versioned release များကို ပံ့ပိုးပေးနိုင်သော WordOps သို့မဟုတ် အခြားကိရိယာများကို အယူအဆချနှိုးကြားပါ။

အကိုးအကားများ