在 2019/11/20 上午12:39, Never Min 写道: > 我说这点是想说明, 今天就算是 Perl, Ruby, Python > 这些系统级的语言都没有要求使用 root 去运行, 凭什么一个使用 http > 明文下载的脚本即要求使用 root 来执行? 我之前就有指出过这样不安全, > 但对方(我是站在使用者, 还有很多新人的角度)认为 apt 也是使用明文 http, > 有签名保护所以没有关系. 今天我们知道 JavaScript 需要同源, > 否则跨站攻击太危险了, 甚至针对二进制文件如 zip 压缩包里的文件进行替换, .sh > 只一个普通的文本文件, 家用级的网关就可以做到.
使用 apt 命令安装,必须要 root 权限。 之前是有听说部分家用级网关,本身有安全漏洞,被控制作为“肉鸡”。在这种情况下,黑客想干什么事情都方便,不一定非得要利用这个 .sh 文件。 为了确保端到端的安全,我刚才在脚本下载目录,针对脚本文件,增加了校验和文件以及 gpg 签名验证,欢迎对安全要求比较高的用户使用: 存放目录:http://118.24.9.73/debian/download/ 公钥文件:http://118.24.9.73/debian/download/public.key 校验和文件:http://118.24.9.73/debian/download/SHA512SUM.txt 校验和签名文件:http://118.24.9.73/debian/download/SHA512SUM.txt.sign > > 那是不是把网站注册一个域名, 申请一个 SSL 证书就可以发布? 或者把 .sh > 文件加一个 md5 校验就是安全呢? 之前我维护的一个微博登录库被人植入代码, > 原因是其中一位合作者的邮件被撞库(所幸在事情发生两小内被发现), SSL / md5 > 只是解决分发安全, 源头的安全呢? 服务器的安全呢? > 许多大公司的基础设施被入侵许一段时间后才被发现, 这样的新闻我们常常看到. > > 退一步说, 如果 Debian 注脚说一句: 欢迎大家测试, 那么还有人敢在服务器安装 > Debian 吗? 如果不小心安装了 A开头的公司的商业软件, 收到律师函是不是风险? 安全的水也很深,我本人并不是安全专家,我这边项目的所有内容,服务器、apt源、安装脚本、软件包等,都非常欢迎社区对安全有兴趣的朋友帮忙测试、渗透,有发现任何问题,欢迎先单独反馈我修复,谢谢!服务器 IP 为:118.24.9.73,操作系统也是 Debian。那种 DDOS 的流量攻击,就不要来了, 配置最小的云主机,不经打的。 中国商业软件的版权问题比较复杂,我这次自己打包的部分软件,有从各个网站上下载部分文件,有的是没有看到啥版权协议的,开源的,共享,最终用户允许的,商业的,各种版权混在一起,有的还历史悠久,有点搞不清了。如果有商业公司想用我的项目用于商业用途,欢迎和我联系,大家一起想办法规避解决版权问题。 > > 我看过之前的一键安装脚本, 确实不复杂. 但是很难保证之后不会变复杂, > 因为会有容错处理, 异常处理, 不同的环境处理, 再有, 现在已经使用 点 空格 > 点/install.sh 这样的语法, 难保之后不会加入更多的语法糖. > 如果只基于事实而作评论, 扯这些扯远了, 但现在事情的发展正在跳进一个坑. “点 空格 点/install.sh 这样的语法”,不是我发明的哈,这样说,主要是让普通用户更加易懂,操作不出错。有时候粘贴拷贝,容易把这个空格丢失。当时我有考虑加一条命令 chmod +x ,但这会导致多进行一次拷贝粘贴操作,操作麻烦。下载,安装,分为这两个步骤,也符合大部分用户的思维习惯。 保持脚本尽量简单、易读,是我认可的一个理念。针对新用户,脚本就分为两大逻辑,1.安装apt源,2.用 apt 命令安装软件;老用户直接用 apt 安装,和其它通用的软件安装方法一样。 > > > -Never -- 肖盛文 Faris Xiao 邮箱:[email protected] 微信:atzlinux QQ:909868357 Linux 中文桌面操作系统(基于 Debian):http://118.24.9.73/
signature.asc
Description: OpenPGP digital signature
