V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
这是一个专门讨论 idea 的地方。

每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。

那这个时候,不妨可以把那些 idea 分享出来,启发别人。
Stictonotus
V2EX  ›  奇思妙想

“一键服务端软件安装器” 的安全性

  •  
  •   Stictonotus · 2020-01-17 22:34:56 +08:00 · 2533 次点击
    这是一个创建于 1774 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近没事买了个(PHP)虚拟主机,发现虚机控制面板里面有类似于 “一键 PHP 软件安装器” 这样的东西。比如,在界面里面选择 "Wordpress",配置路径和管理员信息,就可以直接安装,数据库、文件什么都是配置好的。
    而且这类服务的提供商还不少,我见过的有 softaculous.com / installatron.com 这两家。而且根据 installatron.com 官网,这家提供商还有 16 年历史。

    但是在实际安装使用过程中,我发现 wordpress 中被预安装好了几个 plugin (如"访问速度限制"),甚至还有没删干净的名为 admin 的账户。所以开始怀疑这些服务的安全性。

    这些软件的安装机制似乎是直接复制数据库和文件,安装步骤中有提到这一点。但是它们的安全性有没有保证?这些软件会不会 “夹带私货”,甚至是在软件里预留后门?

    虽然个人觉得都是付费服务,看起来 “挺正规”,而且我也不用,但关于这些服务的安全性我还是很好奇。不知各位 v 友有何看法?
    另外不是国内的虚拟主机,我也不觉得阿里云万网这类国内提供商会接入这种东西。
    3 条回复    2020-01-30 19:06:23 +08:00
    AX5N
        1
    AX5N  
       2020-01-18 03:26:47 +08:00
    要主张不安全应该提供不安全的证据,否则就是用别怕,怕别用。
    ly4572615
        2
    ly4572615  
       2020-01-18 09:32:44 +08:00
    我项目的后台人员经常用一键部署,被黑了三次了,php 的 eval 千万记得限制或者关掉
    mrlmh00
        3
    mrlmh00  
       2020-01-30 19:06:23 +08:00
    有没有后门比对一下不就行了吗 wordpress 又不是闭源的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1991 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 16:18 · PVG 00:18 · LAX 08:18 · JFK 11:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.