关于用户laokof4n跟我怼的逗比aria2一键脚本是否安全的回应

doruison

摸鱼小熊猫 发表于 2018-2-28 16:28
我所有服务全部容器化，即使拿到了root也是容器的root，微服务架构下各个服务分散在不同的容器中。这样大 ...

我的也是，aria2内置在nextcloud容器里面

doruison

shijinqiang 发表于 2018-2-28 17:36
逗比的有毒？我还用他酸酸脚本一直用，大佬真的么

有漏洞而已，不是故意要放毒

Tran

6666 脸打的啪啪响

冻猫

doruison 发表于 2018-2-28 18:25
我觉得正确的说法应该是“以root权限运行”，一般/etc 或/root都不是对外服务程序应该访问的，比如nginx  ...

有时候就是喜欢图方便，手动折腾的时候设置权限麻烦，就全都root。看来这种坏习惯得改改了。

风铃

直接download一个shell文件就可以了, 搞得这么神秘

doruison

冻猫 发表于 2018-2-28 18:31
有时候就是喜欢图方便，手动折腾的时候设置权限麻烦，就全都root。看来这种坏习惯得改改了。 ...

是，尤其aria2没有其他什么外壳，一个js前端别人一打开就看到你rpc密码了

芒诗桃

doruison 发表于 2018-2-28 18:25
我觉得正确的说法应该是“以root权限运行”，一般/etc 或/root都不是对外服务程序应该访问的，比如nginx  ...

对的，root运行太危险了。

摸鱼小熊猫

GeekDuanLian 发表于 2018-2-28 19:51
听说有容器逃逸方法233 不知道是否真的可行

这种逃逸技术应该是少有人掌握，这样的人盯上了，早晚跑不了。
倒是好多人开放docker daemon的远程RESTful API，我看到过有人以这个为突破口拿到容器所在主机的root权限

摸鱼小熊猫

doruison 发表于 2018-2-28 18:27
我的也是，aria2内置在nextcloud容器里面

分开更好，可以通过挂载共享卷或者同一个目录，让nextcloud直接管理aria2下载的文件