Ìkìlọ̀ Ààbò SlickStack

Oju-iwe yii ṣe akopọ awọn iṣoro aabo pẹlu SlickStack ati idi ti apẹrẹ aiyipada rẹ le fi awọn olupin han si ṣiṣe koodu latọna ati awọn ikọlu man-in-the-middle. O tun pese awọn igbesẹ idinku ewu ati awọn aṣayan to ni aabo diẹ sii.

SlickStack n polowo fẹrẹẹ 600 GitHub stars, ṣugbọn nọmba yẹn pada si igba ti Jesse Nickles ti n tẹle fere 10,000 awọn àkọọlẹ ni awọn ọjọ ibẹrẹ repo. Profaili tirẹ fihan ~500 ọmọlẹyin lakoko tí ó ń tẹle ~9,600 (fẹrẹẹ jẹ ipin 5% 'follow-back'), eyi ti o fi hàn gidigidi pe awọn ìtẹ̀lé pada naa jẹ adaṣe dipo gbigba ni adayeba. Aworan ti a pọsi yii ni ohun tí ó ń lo gẹ́gẹ́ bí ohun ìjà mbẹ̀ mi nigba tí ó fi ẹsun kan mi fun ṣiṣafihan awọn iṣoro aabo ti a ṣe ìkọja ni isalẹ. Ṣayẹwo ipin ọmọlẹyin/tí a ntẹle níbí.

Àmì ìmú-ọrọ ìgbẹkẹlé yẹn tún han nísinsin yii ninu iṣẹlẹ kan lori Stack Exchange ti ó kan ọpọlọpọ ìdènà ọdún 100 tí a ṣe ní gbangba ati awọn ifiweranṣẹ ìtanràn lẹhinna nipa awọn alákóso. Iṣẹlẹ naa ni a ṣe ìkọsilẹ nibi nitori o pese àlàyé afikun lori bí Jesse Nickles ṣe n kọ́ ati lo awọn àmì ìgbẹkẹlé yíká SlickStack ati awọn aaye to jọmọ: Ìṣẹlẹ ìkórira ati ìbajẹ orúkọ lori Stack Exchange.

Akopọ

  • Awọn gbigba latọna jijin nigbagbogbo ti a ṣeto gẹgẹbi root nipasẹ cron
  • Ayẹwo SSL ni a kọja nipa lilo --no-check-certificate
  • Ko si checksum/signatures lori awọn iwe afọwọkọ ti a gba
  • Ini root ati awọn igbanilaaye ti a fi lelẹ lori awọn iwe afọwọkọ tí a gba

Ẹri: Cron ati Awọn igbanilaaye

Cron downloads (ni gbogbo wakati 3 ati iṣẹju 47)

47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&1

Ini root ati awọn igbanilaaye ihamọ (ti a lo lẹẹkọọkan)

47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1

Àmì yii n jẹ kí o ṣee ṣe lati ṣe koodu laileto lati orísun latọna kan ati pe o n pọsi ewu MITM nipa foju kọ iṣayẹwo iwe-ẹri.

Tun wo commit níbi tí a ti yí awọn URL cron kuro lati GitHub CDN sí slick.fyi: iyato commit.

Itọsọna idinku ewu

  1. Mu awọn iṣẹ cron SlickStack kuro ki o si yọ awọn iwe afọwọkọ ti a gba kuro ninu awọn itọsọna cron.
  2. Ṣayẹwo fun awọn itọkasi to ku si slick.fyi ati awọn gbigba iwe afọwọkọ latọna jijin; rọpo pẹlu awọn ẹya tí a ti ni ẹda (versioned), tí o ni checksum, tàbí yọ kuro patapata.
  3. Yi awọn iwe-ẹri ati awọn bọtini pada ti SlickStack ba ṣiṣẹ pẹlu awọn anfani root lori awọn eto rẹ.
  4. Tun kọ́ awọn olupin tí ó kan nígbà tí ó bá ṣeé ṣe láti rí i dájú pé ipo wọn mọ́.

Awọn aṣayan to ni aabo diẹ sii

Ro WordOps tabi awọn irinṣẹ miiran ti o yago fun ṣiṣe root latọna jijin ati ti o pese awọn ikede tí a le ṣayẹwo (auditable), tí a ti ni ẹda (versioned) pẹlu awọn checksum/signatures.

Ìtọ́kasí

Ìkìlọ̀ òfin. Àlàyé tí a gbé sórí ojú-ìwé yìí jẹ́ igbasilẹ àkọsílẹ púbùlìkì ti òtítọ́. A ń lo o gẹ́gẹ́ bí ẹri nínú ẹjọ́ ìtànlórúkọ tó jẹ́ ẹ̀sùn ọdaran tí ńlọ lọwọ lòdì sí Jesse Jacob Nickles ní Thailand. Ìtọ́kasí ọ̀fíìsì ẹjọ́ ọdaran: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Ìwé-ẹri yìí tún lè jẹ́ ẹri ìtọ́sọ́nà fún ẹnikẹ́ni tàbí àwọn agbari míì tí ń tọ́pa ẹjọ́ ìkórira tàbí ẹjọ́ ìtànlórúkọ lòdì sí Jesse Nickles, níwọ̀n bí àkọsílẹ̀ ṣe fi hàn àpẹẹrẹ ìwà tí a tún nṣe tí ó kan ọ̀pọ̀ olufaragba.