关于用户laokof4n跟我怼的逗比aria2一键脚本是否安全的回应

冷雨@夜

原贴地址:http://www.www.iloc.eu.org/thread-431959-1-1.html
我说了逗比aria2这个脚本不安全，laokof4n用户不相信，现在我已经改了你root密码

root@debian:~# ls
aria2.sh  BBR.sh  install.sh  ssh_port.sh  ssrmu.sh  status.sh




不知道你有何话可说？

PS：自用可以，但是RPC密码千万不要分享！！！切记

dengdeng

666
骚

doruison

摸鱼小熊猫 发表于 2018-2-28 21:18
分开更好，可以通过挂载共享卷或者同一个目录，让nextcloud直接管理aria2下载的文件 ...

完全不觉得分开好……aria2就没有安全的前端，除非你再套一层认证，不然别人打开你的前端就知道rpc密码了，但是android客户端又用不了；再要不让浏览器记，也不方便。
nextcloud是有一个插件自身就是aria2、有图比dl和curl的前端，用着还行

doruison

摸鱼小熊猫 发表于 2018-2-28 21:15
这种逃逸技术应该是少有人掌握，这样的人盯上了，早晚跑不了。
倒是好多人开放docker daemon的远程RESTfu ...

经你提醒，特地去看了我的docker，还好，端口只对lo开放

zdszf

真大佬，现在我用的一键脚本都要看，看懂了有需要就自己改改，看不懂的尽量不用一键的。
真不知道那个RPC密码这么重要。

业界没良心

这波操作666

摸鱼小熊猫

doruison 发表于 2018-2-28 18:27
我的也是，aria2内置在nextcloud容器里面

分开更好，可以通过挂载共享卷或者同一个目录，让nextcloud直接管理aria2下载的文件

摸鱼小熊猫

GeekDuanLian 发表于 2018-2-28 19:51
听说有容器逃逸方法233 不知道是否真的可行

这种逃逸技术应该是少有人掌握，这样的人盯上了，早晚跑不了。
倒是好多人开放docker daemon的远程RESTful API，我看到过有人以这个为突破口拿到容器所在主机的root权限

芒诗桃

doruison 发表于 2018-2-28 18:25
我觉得正确的说法应该是“以root权限运行”，一般/etc 或/root都不是对外服务程序应该访问的，比如nginx  ...

对的，root运行太危险了。