V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yiyezhihan
V2EX  ›  问与答

有关于宝塔这次的严重漏洞,你是否还会信赖类似的面板

  •  
  •   yiyezhihan · 2020-08-23 19:35:04 +08:00 · 17191 次点击
    这是一个创建于 1553 天前的主题,其中的信息可能已经有所发展或是发生改变。
    有关于宝塔这次的严重漏洞,你是否还会信赖类似的面板



    https://www.bt.cn/bbs/thread-54644-1-1.html

    不需要任何权限直接访问数据库,不需要登录!!

    ###如果服务器上的宝塔面板版本 7.4.2 ,请及时更新。


    我自己是会逐渐转移到 oneinstack,lnmp 吧

    宝塔这次真的是一生黑!!
    116 条回复    2020-08-26 15:14:13 +08:00
    1  2  
    hundan
        101
    hundan  
       2020-08-24 19:14:41 +08:00 via iPhone   ❤️ 1
    windows 爆 rce 的时候也没见多少人真就不用 windows 了

    mac 出现长按回车 bypass 登录的时候 也没人说“我都是用自己写的系统”之类的话吧

    说到底就是看不起用面板的呗

    一个个手动敲命令的又高到哪里去 效率低下 最后还是写 sh 脚本 然而自己 sh 脚本集成度和兼容性又不高 然后就看不起使用高集成度的面板了 但是敢比比效率和安全性吗?

    我们认为 bt 从诞生以来 安全问题都做的不错 这次配置错误的原因可以参考 phithon 师傅的文章
    Vitta
        102
    Vitta  
       2020-08-24 21:22:42 +08:00
    A 看 B 不顺眼,有一天 B 犯了个大错,A 高高兴兴的发了个帖子:
    B 连这种错误都能能犯,果然 B 是个垃圾,用 B 的也都是辣鸡,只有我这种不用 B 的才是天龙人
    nnnToTnnn
        103
    nnnToTnnn  
       2020-08-24 22:54:26 +08:00
    @HertzHz 扯淡,命令行的简单,和学习难度低是 GUI 完全无法比拟的。 很简单,例如安装一个软件

    apt install 安装的方便 还是 点击 exe 下一步下一步方便?

    其次命令行的互动性是比 GUI 好非常非常多的。 而且难度也比 GUI 简单很多很多。

    为什么现在大家觉得命令行会比 GUI 难?

    原因很简单,故意将难度变得复杂,提高门槛过滤一些低端用户的伸手党。

    你刚才说的之前使用 apt install nginx 的用户,相信大部分做运维的对这些重复的操作基本上都会写一些自己的脚本。

    大部分都是 ./install.sh 执行以下就可以安装了。以问答的形式配置以下动态参数。都会用脚本进行简单化。

    我并不是觉得 CLI 有什么优越感,而且觉得用三方脚本,或工具,实在是不放心。

    我永远记得 linux 的这句话。

    ```
    我们信任您已经从系统管理员那里了解了日常注意事项。
    总结起来无外乎这三点:
    1. 尊重别人的隐私。
    输入前要先考虑(后果和风险)。
    #3) 权力越大,责任越大
    ```
    nnnToTnnn
        104
    nnnToTnnn  
       2020-08-24 22:55:57 +08:00
    @nnnToTnnn 为什么要过滤低端伸手党用户? 因为他们总会问以下比较低级的问题,甚至在百度上都能找到答案的问题,还需要去询问,这极大的浪费了彼此的时间。
    HertzHz
        105
    HertzHz  
       2020-08-24 23:04:04 +08:00
    @nnnToTnnn 自己 apt 装一套 LNMP 原来比宝塔简单?学到了学到了
    nnnToTnnn
        106
    nnnToTnnn  
       2020-08-24 23:08:09 +08:00
    @HertzHz 自己 apt 一套难道不会写下安装的 shell 脚本吗?
    HertzHz
        107
    HertzHz  
       2020-08-24 23:08:44 +08:00
    @nnnToTnnn 我真是没事找事做了,自己整一套脚本不去用现成的,现成的还有 GUI
    nnnToTnnn
        108
    nnnToTnnn  
       2020-08-24 23:11:20 +08:00
    @HertzHz 我已经很长时间没有写类似的安装脚本了。 现在采用 docker 来替代。 以前安装软件,我都有自己的安装脚本,在 u 盘里面,直接上传到服务器就可以了。 里面有安装的源码文件,依赖文件。然后 make 。如果有外网,就更加简单了。
    hcymk2
        109
    hcymk2  
       2020-08-24 23:12:12 +08:00
    docker-compose 估计就一句话。 之后不满意改改配置
    MASAILA
        110
    MASAILA  
       2020-08-24 23:12:13 +08:00
    更新了继续用 还是挺省事的
    HertzHz
        111
    HertzHz  
       2020-08-24 23:14:22 +08:00
    @nnnToTnnn
    好像什么东西都存在着一条歧视链,OpenWrt 用户歧视 TP-Link 用户,Archlinux 用户歧视 Manjaro 用户,自己编译 nginx 的用户歧视用宝塔的用户。存在即合理,宝塔有这么多的用户,我想大家都认可至少在建 LNMP 方面 GUI 操作比 CLI 简单? CLI 有 CLI 的强项,要调试路由 birdc show route for 就行,要写盘、测速 dd 就行,但是 GUI 也有 GUI 的强项,不然想想看修张图,剪个视频用 CLI 要修几年。
    存在即合理,追求简单是人类的本性,大多数发明都是因为人类的懒惰才被创造出来的 。
    nnnToTnnn
        112
    nnnToTnnn  
       2020-08-24 23:15:16 +08:00
    @HertzHz 方便的东西只会带来更大的代价,可能我比较保守把,三方的脚本文件,我一定会谨慎的执行,对比 hash,以及看看脚本内容到底写了什么。
    ts8zs
        113
    ts8zs  
       2020-08-24 23:20:01 +08:00
    加 http 验证 加奇怪的域名绑定...
    HertzHz
        114
    HertzHz  
       2020-08-24 23:22:51 +08:00
    @nnnToTnnn 那我信任宝塔及其公司,我相信他们不会在这个政企都在使用的软件上插马,自己去审核每一个在机器上执行的东西显然是不可能且没必要的。另外宝塔真的是比较注重安全的了,随机登陆路径 & 随机登陆密码。
    nnnToTnnn
        115
    nnnToTnnn  
       2020-08-25 14:17:08 +08:00
    @HertzHz 作为一个运维人员,去审核每一个在机器上执行的东西。这是工作,不然你想想一但出一次事故那就很可怕了。
    azoon
        116
    azoon  
       2020-08-26 15:14:13 +08:00
    @xiaket 哦吼。。这个漏洞关 pma 事? 明显是程序逻辑漏洞。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2892 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 08:53 · PVG 16:53 · LAX 00:53 · JFK 03:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.