要是 get.acme.sh 这种网站被入侵了,是不是很多服务器都会遭遇

2019-05-24 16:55:33 +08:00
 mytry
acme 官方的安装命令 curl https://get.acme.sh | sh,而且需要 root 权限。在想万一哪天这个站的内容被篡改了,感觉很多系统都会中毒
3491 次点击
所在节点    程序员
14 条回复
mywaiting
2019-05-24 17:01:46 +08:00
希望黑客可以良心地增加一个 rm -rf /
ThirdFlame
2019-05-24 17:04:15 +08:00
DOCKER 同理。

curl -fsSL https://get.docker.com -o get-docker.sh
sh get-docker.sh
boris1993
2019-05-24 17:12:16 +08:00
所以可以的情况下,不要直接甩给 shell,下载下来先人肉看一眼
hgc81538
2019-05-24 17:14:13 +08:00
mytry
2019-05-24 17:14:37 +08:00
不过 acme.sh 也资瓷从 github 的链接安装,感觉会安全一些,除非 github 账号泄露了。
mytry
2019-05-24 17:16:42 +08:00
@hgc81538 供应链攻击最大的目标应该是 nodejs,网上一个 helloworld 都要装几百库,说不定其中一个就是有后门的。
hgc81538
2019-05-24 17:19:23 +08:00
feng1234
2019-05-24 17:24:45 +08:00
目前已经有很多供应链投毒的案例了,灰产安全意识是远远高于普通人的,所以我觉得完全有可能被投毒过
mytry
2019-05-24 17:40:17 +08:00
以前发布了假冒的 uglifyjs (中间没有 -)还有几十万安装量,没留个后门亏大了~ 🐶
boris1993
2019-05-24 17:49:03 +08:00
@mytry #6 去年 NodeJS 的那几个瓜是真的甜(逃
pmispig
2019-05-24 17:53:26 +08:00
最危险的是 node.js -> npm install
所以我 npm install 都在 docker 里面执行的
chenoe
2019-05-25 10:13:48 +08:00
怎么不劫持 example.com
jinliming2
2019-05-25 10:45:30 +08:00
所以,不要图方便,什么一行代码完成安装,一个脚本搞定一切。
除非你先把那一行代码做的所有动作全部搞明白,或是把脚本先下载下来一行一行审查过。
楼上说的 docker 官方是有从源安装的方式的,检验 gpg key,几乎不可能被篡改,除非从一开始下载的 public key 就是篡改过的,或是遭到攻击的时候百度一下,告诉你关掉校验就能成功之类的鬼话……
neilp
2019-05-27 22:16:27 +08:00
有没有人推荐一个 github 的非授权代码变更通知, 或者类似的工具.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/567362

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX