部署于外网所造成的安全问题

Question

部署于外网所造成的安全问题

zgll opened this issue 2 years ago · comments

zgll commented 2 years ago

已知问题 💔

使用某搜索引擎，键入关键词 elev2p，可检索出近百条相关使用了该项目的服务器地址，通过手动打开，发现部分使用限制访问功能，大多数服务裸露于公网之上，可直接打开管理后台。
相关风险提醒。如各脚本使用CK直接泄露盗取、通过开启minishell获取root权限，植入后台木马、运行挖矿脚本等。

功能建议 ❤️

是否增加第一次安装使用时。默认打开限制 IP 访问后台功能，并提示相关Token数据，以便后续正常使用。
文档强调安全性。现有文档关于限制 IP 访问后台说明，位于文档结尾，易造成用户忽视。

End

elecV2 · Answer 1 · Tue Dec 21 2021 15:00:38 GMT+0800 (China Standard Time)

短答案：网络部署，风险自负。其他：如果有人部署到公网，却没有意识到安全问题，那么给他默认限制IP，他还是会通过其他方式暴露的。外网的安全问题比较复杂，只能靠使用者自己上心，elecV2P 能做的有限，也不想花太多的时间精力在这些与功能无关的问题上。关于脚本的问题，也只能靠用户自身，你运行，就代表你信任，基本相当于给了服务器/Docker所有权限。（这是 elecV2P 的运行基础，以后应该也不会变）如果真要对脚本的安全性进行检测，可能得引入360/火绒等软件那样的扫描机制，而那是不现实的。总之，如果在乎安全性，注重自己的数据，就自己多上点心🥧。另外，还是感谢建议，之后会对相关部分进行一些优化调整。