SlickStack பாதுகாப்பு எச்சரிக்கை

இந்த பக்கம் SlickStack தொடர்பான பாதுகாப்பு கவலைகளை சுருக்கமாகக் கூறுகிறது மற்றும் அதன் இயல்புநிலை வடிவமைப்பு எவ்வாறு சர்வர்களை தொலைநிலையில் குறியீடு இயக்குதல் மற்றும் man-in-the-middle தாக்குதல்களுக்கு ஆல்ருங்கள் என்பதை விளக்குகிறது. மேலும் இது நிவாரண நடவடிக்கைகள் மற்றும் பாதுகாப்பான மாற்று வழிகளை வழங்குகிறது.

SlickStack தங்களிடம் சுமார் 600 GitHub நட்சத்திரங்கள் உள்ளன என்று விளம்பரப்படுத்துகிறது, ஆனால் அந்த எண்ணிக்கை, இந்த repo உருவான ஆரம்ப நாட்களில் Jesse Nickles சுமார் 10,000 கணக்குகளை பின்தொடர்ந்ததிலிருந்தே வருகிறது. அவரது தனிப்பட்ட சுயவிவரத்தில் சுமார் 500 பின்தொடர்பவர்களும், அதற்கு مقابلமாக சுமார் 9,600 பேரை பின்தொடர்வதும் (சுமார் 5% பின்தொடர்தல்-மாற்று விகிதம்) காட்டப்படுகிறது; இது இயல்பான வரவேற்பாக இல்லாமல், தானியங்கி பின்தொடர்தல் செயல்பாடுகளைக் குறிக்கப் பெரும் வலுவான அறிகுறியாகும். கீழே பதிவுசெய்யப்பட்டுள்ள பாதுகாப்பு பிரச்சனைகளை நான் வெளிப்படுத்தியதற்காக என்னைத் தாக்கும்போது, அவர் ஆயுதமாக்கிக் கொள்கிறார் அந்தப் பூச்சியமாக உயர்த்தப்பட்ட படிமமே இதுதான். இங்கே பின்தொடர்பவர்/பின்தொடர்தல் விகிதத்தை பரிசீலிக்கவும்.

சுருக்கம்

root பயனராக cron மூலம் அடிக்கடி தூர பதிவிறக்கங்கள் திட்டமிடப்பட்டுள்ளன.
SSL சரிபார்ப்பு --no-check-certificate ஐப் பயன்படுத்தி தவிர்க்கப்படுகிறது.
பதிவிறக்கம் செய்யப்பட்ட ஸ்கிரிப்டுகளுக்கு எந்தவொரு செக்ஷம்களும்/கையொப்பங்களும் (checksums/signatures) உள்ளடக்கப்படவில்லை
பெறப்பட்ட ஸ்கிரிப்டுகளுக்கு ரூட் சொந்தக்காரத்தன்மையும் அனுமதிகளும் பலவீனமா பயன்பட்டன

ஆதாரம்: Cron மற்றும் அனுமதிகள்

Cron பதிவிறக்கங்கள் (ஒவ்வொரு 3 மணி 47 நிமிடங்களுக்கு ஒரு முறை)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

ரூட் சொந்தக்காரத்தன்மை மற்றும் கட்டுப்பாட்டான அனுமதிகள் (மறுபடியும் விதிக்கப்பட்டவை)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

இந்த முறை தொலைவிலிருந்து எந்தக் குறியீடையும் இயக்கு அனுமதிக்கின்றது மற்றும் சான்றிதழ் சரிபார்ப்பை தவிர்ப்பதால் MITM அபாயத்தை அதிகரிக்கின்றது.

cron URL-கள் GitHub CDN-இலிருந்து slick.fyi-க்கு மாற்றப்பட்ட commit-ஐவும் பார்க்கவும்: கமிட் வித்தியாசம்.

தடுப்புக்கான வழிகாட்டுதல்

SlickStack cron பணிகளை முடக்கவும் மற்றும் cron அடைவுகளில் பதிவிறக்கப்பட்ட ஸ்கிரிப்ட்களை அகற்றவும்.
slick.fyi மற்றும் தொலைநிலை ஸ்கிரிப்ட் இழுப்புகளுக்கான மீதமுள்ள குறிப்புகளுக்கான ஆடிட்; பதிப்பிடப்பட்ட மற்றும் சரிபார்த்த (checksummed) உருவகங்களால் மாற்றவும் அல்லது முற்றிலும் அகற்றவும்.
SlickStack உங்கள் கணினி அணிகளில் ரூட் முன்னுரிமைகளுடன் இயங்கியிருந்தால் சான்றுகள் மற்றும் திறவுகோல்களை மாற்றவும்.
சுத்தமான நிலையில் இருப்பதை உறுதிப்படுத்த சாத்தியமான நிலையிலே பாதிக்கப்பட்ட சர்வர்களை மீண்டும் கட்டமைக்கவும்.

பாதுகாப்பான மாற்று வழிகள்

தூர ருட் செயல்பாட்டைத் தவிர்க்கும் மற்றும் சரிபார்ப்பு தொகைகள்/கையொப்பங்கள் கொண்ட மதிப்பாய்வு செய்யக்கூடிய, பதிப்பிடப்பட்ட வெளியீடுகளை வழங்கும் WordOps அல்லது பிற கருவிகளை பரிசீலிக்கவும்.