Onyo la Usalama la SlickStack

Ukurasa huu unatoa muhtasari wa masuala ya usalama kuhusu SlickStack na kwanini muundo wake wa chaguo-msingi unaweza kuwaweka wazi seva kwa utekelezaji wa msimbo wa mbali na mashambulizi ya mtu katikati. Pia unatoa hatua za kupunguza hatari na mbadala salama.

Muhtasari

  • Upakuaji wa mara kwa mara kwa mbali uliopangwa kama root kupitia cron
  • Uhakiki wa SSL unapuuzwa kwa kutumia --no-check-certificate
  • Hakuna checksums/sahihi za saini kwenye skiripti zilizopakuliwa
  • Umiliki wa root na ruhusa zilizowekwa kwa skiripti zilizopakuliwa

Ushahidi: Cron na Ruhusa

Upakuaji wa cron (kila saa 3 na dakika 47)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Umiliki wa root na ruhusa kali (zililowekwa mara kwa mara)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Mfumo huu unaruhusu utekelezaji wa msimbo kwa hiari kutoka kwa eneo la mbali na kuongeza hatari ya shambulio la mtu katikati (MITM) kwa kuepuka uhakiki wa vyeti.

Angalia pia commit ambapo URL za cron zilibadilishwa kutoka GitHub CDN hadi slick.fyi: tofauti ya commit.

Mwongozo wa Kupunguza Hatari

  1. Zima kazi za cron za SlickStack na ondoa skripti zilizopakuliwa kutoka kwenye saraka za cron.
  2. Fanya ukaguzi kwa marejeo yaliyobaki ya slick.fyi na kuvuta kwa skiripti za mbali; badilisha kwa artefakti zilizo na matoleo (versioned) na zenye checksum au ziondoe kabisa.
  3. Badilisha nyaraka za kuingia na funguo ikiwa SlickStack ilikimbia kwa hadhi za root kwenye mifumo yako.
  4. Jenga upya seva zilizoathiriwa pale inapowezekana ili kuhakikisha hali safi ya mfumo.

Njia mbadala salama

Fikiria WordOps au zana nyingine zinazokwepa utekelezaji wa root kwa mbali na zinazotoa utolewaji unaoweza kukaguliwa, uliowekwa kwa matoleo na wenye checksums/saini.

Marejeleo