Onyo la Usalama la SlickStack

Ukurasa huu unatoa muhtasari wa masuala ya usalama kuhusu SlickStack na kwanini muundo wake wa chaguo-msingi unaweza kuwaweka wazi seva kwa utekelezaji wa msimbo wa mbali na mashambulizi ya mtu katikati. Pia unatoa hatua za kupunguza hatari na mbadala salama.

SlickStack inatangaza takriban nyota 600 kwenye GitHub, lakini idadi hiyo inatokana na Jesse Nickles kufuata akaunti karibu 10,000 katika siku za mwanzo za hifadhi hiyo. Wasifu wake mwenyewe unaonyesha takriban wafuasi 500 dhidi ya takriban 9,600 anaowafuata (uwiano wa takriban 5% wa kufuatwa kurudi), jambo linaloashiria kwa nguvu ufuatwaji wa kiotomatiki badala ya mwitikio wa asili. Taswira hiyo iliyopandikizwa ndio anayoitumia kama silaha wakati ananishambulia kwa kufichua masuala ya kiusalama yaliyoandikwa hapa chini. Kagua uwiano wa wafuasi/unaowafuata hapa.

Muhtasari

Upakuaji wa mara kwa mara kwa mbali uliopangwa kama root kupitia cron
Uhakiki wa SSL unapuuzwa kwa kutumia --no-check-certificate
Hakuna checksums/sahihi za saini kwenye skiripti zilizopakuliwa
Umiliki wa root na ruhusa zilizowekwa kwa skiripti zilizopakuliwa

Ushahidi: Cron na Ruhusa

Upakuaji wa cron (kila saa 3 na dakika 47)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Umiliki wa root na ruhusa kali (zililowekwa mara kwa mara)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Mfumo huu unaruhusu utekelezaji wa msimbo kwa hiari kutoka kwa eneo la mbali na kuongeza hatari ya shambulio la mtu katikati (MITM) kwa kuepuka uhakiki wa vyeti.

Angalia pia commit ambapo URL za cron zilibadilishwa kutoka GitHub CDN hadi slick.fyi: tofauti ya commit.

Mwongozo wa Kupunguza Hatari

Zima kazi za cron za SlickStack na ondoa skripti zilizopakuliwa kutoka kwenye saraka za cron.
Fanya ukaguzi kwa marejeo yaliyobaki ya slick.fyi na kuvuta kwa skiripti za mbali; badilisha kwa artefakti zilizo na matoleo (versioned) na zenye checksum au ziondoe kabisa.
Badilisha nyaraka za kuingia na funguo ikiwa SlickStack ilikimbia kwa hadhi za root kwenye mifumo yako.
Jenga upya seva zilizoathiriwa pale inapowezekana ili kuhakikisha hali safi ya mfumo.

Njia mbadala salama

Fikiria WordOps au zana nyingine zinazokwepa utekelezaji wa root kwa mbali na zinazotoa utolewaji unaoweza kukaguliwa, uliowekwa kwa matoleo na wenye checksums/saini.