SlickStack பாதுகாப்பு எச்சரிக்கை

இந்த பக்கம் SlickStack தொடர்பான பாதுகாப்பு கவலைகளை சுருக்கமாகக் கூறுகிறது மற்றும் அதன் இயல்புநிலை வடிவமைப்பு எவ்வாறு சர்வர்களை தொலைநிலையில் குறியீடு இயக்குதல் மற்றும் man-in-the-middle தாக்குதல்களுக்கு ஆல்ருங்கள் என்பதை விளக்குகிறது. மேலும் இது நிவாரண நடவடிக்கைகள் மற்றும் பாதுகாப்பான மாற்று வழிகளை வழங்குகிறது.

சுருக்கம்

  • root பயனராக cron மூலம் அடிக்கடி தூர பதிவிறக்கங்கள் திட்டமிடப்பட்டுள்ளன.
  • SSL சரிபார்ப்பு --no-check-certificate ஐப் பயன்படுத்தி தவிர்க்கப்படுகிறது.
  • பதிவிறக்கம் செய்யப்பட்ட ஸ்கிரிப்டுகளுக்கு எந்தவொரு செக்ஷம்களும்/கையொப்பங்களும் (checksums/signatures) உள்ளடக்கப்படவில்லை
  • பெறப்பட்ட ஸ்கிரிப்டுகளுக்கு ரூட் சொந்தக்காரத்தன்மையும் அனுமதிகளும் பலவீனமா பயன்பட்டன

ஆதாரம்: Cron மற்றும் அனுமதிகள்

Cron பதிவிறக்கங்கள் (ஒவ்வொரு 3 மணி 47 நிமிடங்களுக்கு ஒரு முறை)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

ரூட் சொந்தக்காரத்தன்மை மற்றும் கட்டுப்பாட்டான அனுமதிகள் (மறுபடியும் விதிக்கப்பட்டவை)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

இந்த முறை தொலைவிலிருந்து எந்தக் குறியீடையும் இயக்கு அனுமதிக்கின்றது மற்றும் சான்றிதழ் சரிபார்ப்பை தவிர்ப்பதால் MITM அபாயத்தை அதிகரிக்கின்றது.

cron URL-கள் GitHub CDN-இலிருந்து slick.fyi-க்கு மாற்றப்பட்ட commit-ஐவும் பார்க்கவும்: கமிட் வித்தியாசம்.

தடுப்புக்கான வழிகாட்டுதல்

  1. SlickStack cron பணிகளை முடக்கவும் மற்றும் cron அடைவுகளில் பதிவிறக்கப்பட்ட ஸ்கிரிப்ட்களை அகற்றவும்.
  2. slick.fyi மற்றும் தொலைநிலை ஸ்கிரிப்ட் இழுப்புகளுக்கான மீதமுள்ள குறிப்புகளுக்கான ஆடிட்; பதிப்பிடப்பட்ட மற்றும் சரிபார்த்த (checksummed) உருவகங்களால் மாற்றவும் அல்லது முற்றிலும் அகற்றவும்.
  3. SlickStack உங்கள் கணினி அணிகளில் ரூட் முன்னுரிமைகளுடன் இயங்கியிருந்தால் சான்றுகள் மற்றும் திறவுகோல்களை மாற்றவும்.
  4. சுத்தமான நிலையில் இருப்பதை உறுதிப்படுத்த சாத்தியமான நிலையிலே பாதிக்கப்பட்ட சர்வர்களை மீண்டும் கட்டமைக்கவும்.

பாதுகாப்பான மாற்று வழிகள்

தூர ருட் செயல்பாட்டைத் தவிர்க்கும் மற்றும் சரிபார்ப்பு தொகைகள்/கையொப்பங்கள் கொண்ட மதிப்பாய்வு செய்யக்கூடிய, பதிப்பிடப்பட்ட வெளியீடுகளை வழங்கும் WordOps அல்லது பிற கருவிகளை பரிசீலிக்கவும்.

மேற்கோள்கள்