部署于外网所造成的安全问题
zgll opened this issue · comments
zgll commented
已知问题 💔
- 使用某搜索引擎,键入关键词 elev2p,可检索出近百条相关使用了该项目的服务器地址,通过手动打开,发现部分使用限制访问功能,大多数服务裸露于公网之上,可直接打开管理后台。
- 相关风险提醒。如各脚本使用CK直接泄露盗取、通过开启minishell获取root权限,植入后台木马、运行挖矿脚本等。
功能建议 ❤️
- 是否增加第一次安装使用时。默认打开限制 IP 访问后台功能,并提示相关Token数据,以便后续正常使用。
- 文档强调安全性。现有文档关于限制 IP 访问后台说明,位于文档结尾,易造成用户忽视。
End
elecV2 commented
短答案:网络部署,风险自负。
其他:如果有人部署到公网,却没有意识到安全问题,那么给他默认限制IP,他还是会通过其他方式暴露的。
外网的安全问题比较复杂,只能靠使用者自己上心,elecV2P 能做的有限,也不想花太多的时间精力在这些与功能无关的问题上。
关于脚本的问题,也只能靠用户自身,你运行,就代表你信任,基本相当于给了服务器/Docker所有权限。(这是 elecV2P 的运行基础,以后应该也不会变)
如果真要对脚本的安全性进行检测,可能得引入360/火绒等软件那样的扫描机制,而那是不现实的。
总之,如果在乎安全性,注重自己的数据,就自己多上点心🥧。
另外,还是感谢建议,之后会对相关部分进行一些优化调整。