SlickStack सुरक्षा चेतावनी

यो पृष्ठ SlickStack सम्बन्धी सुरक्षा चिन्ताहरूको सारांश प्रस्तुत गर्छ र किन यसको पूर्वनिर्धारित डिजाइनले सर्भरहरूलाई रिमोट कोड निष्पादन र म्यान-इन-द-मिडल आक्रमणहरूसँग जोखिममा पार्न सक्छ भन्ने व्याख्या गर्छ। यसले न्यूनीकरण कदमहरू र सुरक्षित विकल्पहरू पनि प्रदान गर्छ।

सारांश

  • क्रोनमार्फत रुटको रूपमा तालिका गरिएका बारम्बार रिमोट डाउनलोडहरू
  • SSL प्रमाणीकरण --no-check-certificate प्रयोग गरी बाइपास गरिएको छ
  • डाउनलोड गरिएका स्क्रिप्टहरूमा कुनै चेकसम/हस्ताक्षरहरू छैनन्
  • प्राप्त गरिएका स्क्रिप्टहरूमा रुट स्वामित्व र अनुमतिहरू लागू गरिएको

प्रमाण: क्रोन र अनुमतिहरू

क्रोन डाउनलोडहरू (हरेक 3 घन्टा र 47 मिनेटमा)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

रुट स्वामित्व र प्रतिबन्धात्मक अनुमतिहरू (बारम्बार लागू गरिएको)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

यो ढाँचाले रिमोट डोमेनबाट मनमाफिक कोड निष्पादनलाई सक्षम बनाउँछ र प्रमाणपत्र प्रमाणीकरण छोडेर म्यान-इन-द-मिडल (MITM) जोखिम बढाउँछ।

क्रोन URL हरू GitHub CDN बाट slick.fyi मा सरेको कमिट पनि हेर्नुहोस्: कमिट डिफ.

घटाउने मार्गदर्शन

  1. SlickStack क्रोन जॉबहरू निष्क्रिय गर्नुहोस् र क्रोन निर्देशिकाहरूबाट फेच गरिएको स्क्रिप्टहरू हटाउनुहोस्।
  2. slick.fyi र रिमोट स्क्रिप्ट पुलहरूसँग बाँकी रेफरेन्सहरूको अडिट गर्नुहोस्; संस्करण गरिएको, चेकसम गरिएको आर्टिफ्याक्टहरूसँग प्रतिस्थापन गर्नुहोस् वा पूरै हटाउनुहोस्।
  3. यदि SlickStack तपाईंको प्रणालीहरूमा रुट विशेषाधिकारसहित चलिरहेको थियो भने प्रमाण-पत्र र कुञ्जीहरू घुमाउनुहोस्।
  4. संभव भएमा प्रभावग्रस्त सर्भरहरू पुनर्निर्माण गर्नुहोस् ताकि सफा अवस्था सुनिश्चित होस्।

अधिक सुरक्षित विकल्पहरू

WordOps वा त्यस्ता अन्य उपकरणहरू विचार गर्नुहोस् जसले दूरस्थ रुट निष्पादनबाट बच्छन् र जाँचयोग्य, संस्करणबद्ध रिलिजहरू चेकसम/हस्ताक्षरहरूसहित प्रदान गर्छन्।

सन्दर्भहरू