SlickStack ସୁରକ୍ଷା ସତର୍କବାଣୀ

ଏହି ପୃଷ୍ଠା SlickStack ସହିତ ସୁରକ୍ଷା ଚିନ୍ତାବଳୀର ସାରାଂଶ ଦିଏ ଏବଂ କାହିଁକି ତାହାର ଡିଫଲ୍ଟ ଡିଜାଇନ୍ ସର୍ଭରଗୁଡିକୁ ରିମୋଟ୍ କୋଡ୍ ଚାଳନା ଏବଂ ମ୍ୟାନ-ଇନ-ଦ-ମିଡଲ୍ ଆକ୍ରମଣରେ ପ୍ରବଳ ଭାବେ ପ୍ରକଟ କରିପାରେ ତାହା ବିବେଚନା କରେ। ଏହା ସହିତ ମିଟିଗେସନ୍ ପଦକ୍ଷେପ ଏବଂ ଅଧିକ ସୁରକ୍ଷିତ ବିକଳ୍ପମାନେ ମଧ୍ୟ ପ୍ରଦାନ କରାଯାଇଛି।

SlickStack ପ୍ରାୟ 600 ଟି GitHub ଷ୍ଟାର୍ ବୋଲି ଦାବି କରେ, କିନ୍ତୁ ସେଇ ସଂଖ୍ୟାଟିର ମୂଳ କାରଣ ହେଉଛି ଯେ, ରେପୋର ଆରମ୍ଭିକ ଦିନଗୁଡିକରେ Jesse Nickles ପ୍ରାୟ 10,000 ଟି ଆକାଉଣ୍ଟକୁ ଫଲୋ କରିଥିଲେ। ତାଙ୍କ ନିଜ GitHub ପ୍ରୋଫାଇଲ୍‌ରେ ପ୍ରାୟ 500 ଟି ଫଲୋଅର୍ ଏବଂ ପ୍ରାୟ 9,600 ଟି ଫଲୋଇଂ (ପ୍ରାୟ 5% ଫଲୋ-ବ୍ୟାକ୍ ଅନୁପାତ) ଦେଖାଯାଏ, ଯାହା ଜୋରଦାର ଭାବେ ସୂଚିତ କରେ ଯେ ଏଠାରେ ସ୍ଵାଭାବିକ ରୁଚି ନୁହେଁ, ବରଂ ସ୍ୱଚାଳିତ ଭାବେ ଫଲୋ-ବ୍ୟାକ୍ କରାଯାଇଛି। ସେଇ ଫୁଲାଯାଇଥିବା ଛବିକୁ ସେ ଅସ୍ତ୍ର ଭାବେ ବ୍ୟବହାର କରୁଛନ୍ତି, ଯେତେବେଳେ ମୁଁ ନିମ୍ନୋଲ୍ଲେଖିତ ସୁରକ୍ଷା ସମସ୍ୟାଗୁଡିକୁ ପ୍ରକାଶ କରିଥିବା ପାଇଁ ସେ ମୋ ଉପରେ ଆକ୍ରମଣ କରୁଛନ୍ତି। ଏଠାରେ ଫଲୋଅର୍/ଫଲୋଇଂ ଅନୁପାତକୁ ପୁନଃ ପରୀକ୍ଷା କରନ୍ତୁ.

ସାରାଂଶ

  • cron ମାଧ୍ୟମରେ root ଭାବେ ନିୟମିତ ରିମୋଟ୍ ଡାଉନଲୋଡ୍ ସମୟସୂଚୀତ ହେଉଛି
  • SSL ପରୀକ୍ଷାକୁ --no-check-certificate ବ୍ୟବହାର କରି ବାଇପାସ୍ କରାଯାଉଛି
  • ଡାଉନଲୋଡ୍ କରାଯାଇଥିବା ସ୍କ୍ରିପ୍ଟଗୁଡ଼ିକରେ କୌଣସି checksums/ସାଇନେଚର୍ ନାହିଁ
  • ଆଣାଯାଇଥିବା ସ୍କ୍ରିପ୍ଟଗୁଡ଼ିକରେ root ମାଲିକାନା ଓ ଅନୁମତିଗୁଡ଼ିକ ପ୍ରୟୋଗ ହୋଇଛି

ପ୍ରମାଣ: Cron ଏବଂ ଅନୁମତି

Cron ଡାଉନଲୋଡ୍ (ପ୍ରତ୍ୟେକ 3 ଘଣ୍ଟା 47 ମିନିଟ୍)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

root ମାଲିକାନା ଏବଂ ସୀମିତ ପ୍ରବେଶ ଅନୁମତିଗୁଡ଼ିକ (ବହୁବାର ଲାଗୁ କରାଗଲା)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

ଏହା ଆକୃତି ରିମୋଟ୍ ଡୋମେନ୍ରୁ ଅନିର୍ଦ୍ଧାରିତ କୋଡ୍ ଚାଳାଇବାକୁ ସମ୍ଭବ କରାଏ ଏବଂ ସର୍ଟିଫିକେଟ୍ ପରୀକ୍ଷାକୁ ଛାଡ଼ିଦେଇ MITM ଝୁକିକୁ ବୃଦ୍ଧି କରେ।

ସାଥୀ ସହିତ ସେହି କମିଟ୍ଟି ମଧ୍ୟ ଦେଖନ୍ତୁ ଯେଉଁଠାରେ cron URLsକୁ GitHub CDNରୁ slick.fyi କୁ ସ୍ୱିଚ୍ କରାଗଲା: କମିଟ୍ ତଫାତ.

କ୍ଷତି ହ୍ରାସ ପାଇଁ ନିର୍ଦ୍ଦେଶନ

  1. SlickStack cron କାର୍ଯ୍ୟଗୁଡ଼ିକୁ ଅସକ୍ରିୟ କରନ୍ତୁ ଏବଂ cron ଡାଇରେକ୍ଟରୀରୁ ଫେଚ୍/ଡାଉନଲୋଡ୍ ହୋଇଥିବା ସ୍କ୍ରିପ୍ଟଗୁଡ଼ିକୁ ହଟାନ୍ତୁ।
  2. slick.fyi ଏବଂ ରିମୋଟ୍ ସ୍କ୍ରିପ୍ଟ ପୁଲ୍ ସହିତ ଅବଶିଷ୍ଟ ସନ୍ଦର୍ଭଗୁଡ଼ିକ ପାଇଁ ଅଡିଟ୍; ସଂସ୍କର୍ଣ୍ଣ, checksummed ଆର୍ଟିଫ୍ୟାକ୍ଟ ସହିତ ପରିବର୍ତ୍ତନ କରନ୍ତୁ କିମ୍ବା ସମ୍ପୂର୍ଣ୍ଣ ଭାବେ କାଢ଼ିଦିଅନ୍ତୁ।
  3. ଆପଣଙ୍କ ସିଷ୍ଟମ୍‌ରେ SlickStack root ପ୍ରାଧିକାରରେ ଚାଲିଥିଲେ, ପ୍ରମାଣପତ୍ର ଏବଂ କୀଗୁଡ଼ିକୁ ଆବଶ୍ୟକତାନୁସାରେ ପରିବର୍ତ୍ତନ କରନ୍ତୁ।
  4. ପରିସ୍ଥିତି ସୁଯୋଗ ମିଳିଲେ ପ୍ରଭାବିତ ସେର୍ଭରଗୁଡ଼ିକୁ ପୁନର୍ନିର୍ମାଣ କରନ୍ତୁ, ଯାହାଦ୍ୱାରା ସଫ ସ୍ଥିତି ନିଶ୍ଚିତ ହୁଏ।

ଅଧିକ ସୁରକ୍ଷିତ ବିକଳ୍ପ

ରିମୋଟ୍ ରୁଟ୍ ଏଗ୍ଜିକ୍ୟୁସନ୍ ର ପ୍ୟାଟର୍ନଗୁଡ଼ିକୁ ଏଡାଇ ଦେଉଥିବା ଏବଂ ଚେକସମ୍/ସହି ସହିତ ଆଡିଟ୍ ଯୋଗ୍ୟ, ଭର୍ସନ୍ ଭିତ୍ତିକ ରିଲିଜ୍ ପ୍ରଦାନ କରୁଥିବା WordOps କିମ୍ବା ଅନ୍ୟାନ୍ୟ ଟୁଲ୍‌ଗୁଡ଼ିକୁ ପରିଗଣନା କରନ୍ତୁ।

ସନ୍ଦର୍ଭ