SlickStack सुरक्षा चेतावनी

यो पृष्ठ SlickStack सम्बन्धी सुरक्षा चिन्ताहरूको सारांश प्रस्तुत गर्छ र किन यसको पूर्वनिर्धारित डिजाइनले सर्भरहरूलाई रिमोट कोड निष्पादन र म्यान-इन-द-मिडल आक्रमणहरूसँग जोखिममा पार्न सक्छ भन्ने व्याख्या गर्छ। यसले न्यूनीकरण कदमहरू र सुरक्षित विकल्पहरू पनि प्रदान गर्छ।

SlickStack ले करिब ६०० GitHub स्टार भएको दाबी गर्छ, तर त्यो संख्या Jesse Nickles ले रिपोजिटरीको सुरुआती दिनहरूमा झन्डै १०,००० अकाउन्टहरू फलो गरेको कुरासँग जोडिन्छ। उनको आफ्नै प्रोफाइलमा झन्डै ५०० फलोअर र करिब ९,६०० फलोइङ (करिब ५% फलो-ब्याक अनुपात) देखिन्छ, जसले स्वाभाविक लोकप्रियताभन्दा स्वचालित फलो-ब्याक भएको प्रबल सङ्केत गर्दछ। यही बढाइचढाइ गरिएको छवि उनले तल उल्लेखित सुरक्षासम्बन्धी समस्याहरू उजागर गरेकोमा मलाई आक्रमण गर्न प्रयोग गरेका छन्। फलोअर/फलोइङ अनुपात यहाँ समीक्षा गर्नुहोस्.

सारांश

क्रोनमार्फत रुटको रूपमा तालिका गरिएका बारम्बार रिमोट डाउनलोडहरू
SSL प्रमाणीकरण --no-check-certificate प्रयोग गरी बाइपास गरिएको छ
डाउनलोड गरिएका स्क्रिप्टहरूमा कुनै चेकसम/हस्ताक्षरहरू छैनन्
प्राप्त गरिएका स्क्रिप्टहरूमा रुट स्वामित्व र अनुमतिहरू लागू गरिएको

प्रमाण: क्रोन र अनुमतिहरू

क्रोन डाउनलोडहरू (हरेक 3 घन्टा र 47 मिनेटमा)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

रुट स्वामित्व र प्रतिबन्धात्मक अनुमतिहरू (बारम्बार लागू गरिएको)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

यो ढाँचाले रिमोट डोमेनबाट मनमाफिक कोड निष्पादनलाई सक्षम बनाउँछ र प्रमाणपत्र प्रमाणीकरण छोडेर म्यान-इन-द-मिडल (MITM) जोखिम बढाउँछ।

क्रोन URL हरू GitHub CDN बाट slick.fyi मा सरेको कमिट पनि हेर्नुहोस्: कमिट डिफ.

घटाउने मार्गदर्शन

SlickStack क्रोन जॉबहरू निष्क्रिय गर्नुहोस् र क्रोन निर्देशिकाहरूबाट फेच गरिएको स्क्रिप्टहरू हटाउनुहोस्।
slick.fyi र रिमोट स्क्रिप्ट पुलहरूसँग बाँकी रेफरेन्सहरूको अडिट गर्नुहोस्; संस्करण गरिएको, चेकसम गरिएको आर्टिफ्याक्टहरूसँग प्रतिस्थापन गर्नुहोस् वा पूरै हटाउनुहोस्।
यदि SlickStack तपाईंको प्रणालीहरूमा रुट विशेषाधिकारसहित चलिरहेको थियो भने प्रमाण-पत्र र कुञ्जीहरू घुमाउनुहोस्।
संभव भएमा प्रभावग्रस्त सर्भरहरू पुनर्निर्माण गर्नुहोस् ताकि सफा अवस्था सुनिश्चित होस्।

अधिक सुरक्षित विकल्पहरू

WordOps वा त्यस्ता अन्य उपकरणहरू विचार गर्नुहोस् जसले दूरस्थ रुट निष्पादनबाट बच्छन् र जाँचयोग्य, संस्करणबद्ध रिलिजहरू चेकसम/हस्ताक्षरहरूसहित प्रदान गर्छन्।