破事水: 为什么 linux 一键安装脚本如此流行,你们敢不看内容直接贴 root 权限执行么
Siril 2016-12-12 15:43:50 +08:00 19699 次点击这是一个创建于 3228 天前的主题,其中的信息可能已经有所发展或是发生改变。
类似于
#wget http://example.com/aaa/bbb/xxx.sh && sh xxx.sh
而不是这样:
$wget http://example.com/aaa/bbb/xxx.sh
$view xxx.sh
反复地看,越长越可疑。
总算放心地 sudo ./xxx.sh 了。
#wget http://example.com/aaa/bbb/xxx.sh && sh xxx.sh
而不是这样:
$wget http://example.com/aaa/bbb/xxx.sh
$view xxx.sh
反复地看,越长越可疑。
总算放心地 sudo ./xxx.sh 了。
第 1 条附言 2016-12-12 17:20:27 +08:00
不要误会,
我相信各种官方源(和软件原作者)的人品以及技术实力很多人已经检查过了,
这里讨论的是不知名博客上的一键安装脚本,会不会加料。
我相信各种官方源(和软件原作者)的人品以及技术实力很多人已经检查过了,
这里讨论的是不知名博客上的一键安装脚本,会不会加料。
第 2 条附言 2016-12-12 17:24:48 +08:00
而且官方源也不是 100%靠谱哈, 比如 deepin linux 官网镜像被替换那次事件。
那种的不但更坑,还难以检查, 不作讨论
那种的不但更坑,还难以检查, 不作讨论
第 3 条附言 2016-12-13 10:01:34 +08:00
我记错了, 是 mint ,不是 deepin
 | 1 likuku 2016-12-12 15:47:53 +08:00 反正是 aws/vbox 里临时起个虚拟机,装坏大不了从 snapshot 还原 /干掉系统重建 |
 | 2 Hucai 2016-12-12 15:48:26 +08:00  10 因为菜,看了内容也不懂,索性直接贴代码执行了 |
 | 3 simple26 2016-12-12 15:50:17 +08:00 因为要一条龙服务 |
 | 4 harry890829 2016-12-12 15:50:59 +08:00 1 一般这种东西我都是从 github 上直接用的,有一个心理吧,既然都是开源出来的,要是有什么大问题早就闹起来了…… |
 | 5 isCyan 2016-12-12 15:51:24 +08:00 因为大家都粘贴,反正肯定不指我一个人遭殃 |
 | 6 lhbc 2016-12-12 15:51:36 +08:00 放 github 并且有一定 star 的,稍为看下就行 |
| 7 lhbc 2016-12-12 15:54:07 +08:00 不过,我都是自己写 涉及编译的自己打包 |
 | 8 amustart 2016-12-12 15:54:43 +08:00 |
 | 9 tvallday 2016-12-12 15:55:11 +08:00 装个 SS 还要看懂脚本,太蛋疼了。 |
 | 10 jccg90 2016-12-12 15:55:54 +08:00 开发环境无所谓,生产环境的话,各种配置和优化一大堆,不用一键脚本的话要疯的。。。当然 docker 是更好的解决方案,比一键脚本更好用。。。反正都是开源的,我不看内容,总有人会看的。。。有问题早被别人喷死了,轮不到我 |
 | 11 fangxing204 2016-12-12 15:56:35 +08:00 via Android 一般作者都会测试吧 |
 | 12 Siril OP @tvallday 就是传说它的很多一键安装包有后门的呢。 @harry890829 @isCyan @amustart 用的人多不代表肯定没问题, 参考 xcode 后门事件。 如果我 fork 个 ss ,稍微改一点,粗心的人一看,哦, github 上的,不也是一样么。 看来你们认为重要的机器不会这么搞, 然而,虽然 ss 不太重要,但自建 ss 的其中一个目的大概是,对各种服务提供商的不信任吧? 自用的 ss 机器上加后门,那还有什么区别? |
 | 13 phx13ye 2016-12-12 16:12:29 +08:00 为什么社区提供的二进制,通过包管理就敢装,不用反编译看下源码吗 |
 | 14 CloudnuY 2016-12-12 16:13:31 +08:00 看啊,加密的 sh 还要解密再看看 |
| 15 isCyan 2016-12-12 16:15:35 +08:00 其实安装 ss 不就几个命令嘛,完全无需一键脚本啊 |
| 17 Siril OP @phx13ye 这是抬杠,(现在的)包管理(一般)有验证作者 key 的机制吧。使用一个 linux 发行版,就信任了其开发团队,但是,随便一个网站上的需要 root 权限的 一行安装脚本,直接贴终端就执行, 说明随便就信任了这个网站。 这两种信任,后者有些过于随便了吧。 |
| 18 Siril OP |
 | 19 qwer1234asdf 2016-12-12 16:30:26 +08:00 因为需要``全套服务`` |
 | 20 fprint 2016-12-12 16:34:58 +08:00 从来不一键,安装是省事了,但是后面配置更麻烦。原来我甚至全部自己用官方源码编译,后来据说 rpm 包跟自己编译区别也不大,就用 rpm 安装了。 |
 | 21 FreeDog 2016-12-12 16:38:18 +08:00 这叫信任。就像我们默认相信系统自带 CA 是真的(自己拉黑 WoSign 的就是因为丧失信任了) |
 | 22 vv7ue 2016-12-12 16:40:53 +08:00 so , linux 也需要 360 这样的安全卫士 |
| 23 Siril OP @FreeDog 看 17 楼, 提的问题是, 对一个 google 随便搜到的小博客(你又不认识博主)你能拿出这种信任么。 即使是原作者发布的,虽然原作者的人品应该是值得信任,但是,不带校验的 http 下载在特定的网络环境下不是也有风险么。 后门的影响范围可能包括 一个 vps 账号( ddos 等滥用会被 ban )以及自己上网流量的安全,还包括 ss 的机器同时搭着其他服务,如果有的话。 |
 | 25 leavic 2016-12-12 16:48:12 +08:00 如果这脚本是加密的,得看看,否则没必要,你干一次坏事这辈子名声就臭了。 |
 | 26 Vindroid 2016-12-12 16:49:56 +08:00 谁叫我自己不会弄+懒得弄呢, github 上找个 star 最高的装了能用再说,其他的管他呢 |
 | 27 q397064399 2016-12-12 16:51:23 +08:00 没必要看,有坑 反正不只我一个人掉进去,生产环境有的要自己负责的话,还是稍微看看,否则出问题了 要坐牢的, 金融公司的系统,如果随意引入开源二进制包也是存在风险的, |
 | 28 aaronzjw 2016-12-12 16:51:52 +08:00 via Android 你用支付鸨看他源码吗 |
| 29 Siril OP |
 | 32 ragnaroks 2016-12-12 17:11:17 +08:00 1 |
 | 33 rockyou12 2016-12-12 17:12:25 +08:00 懒,而且看不懂。但是用了 docker 后我再也没有这些忧愁烦恼 |
 | 34 muyege 2016-12-12 17:13:33 +08:00 楼主这是饱汉子不知饿汉子饥,想当年哥为了学会装 Linux 还请学院老大哥吃过好几顿饭呢,有需求就有市场 |
 | 35 irainsoft 2016-12-12 17:13:57 +08:00 既然用了一键包就不要再麻烦自己了,经常用的一键包心情好时可以去检查下 如果真的是重要的服务端那还是自己去编译安装吧 |
 | 36 loading 2016-12-12 17:14:29 +08:00 via Android 没必要在公共脚本作恶,因为,别人也是有头有脸的。 |
 | 37 Kei 2016-12-12 17:15:11 +08:00 那 brew install 和 apt-get install LZ 怎么检查= =…… |
| 38 Siril OP @Kei 17 楼, 就是说官方源(和软件原作者) 的人品以及技术实力很多人已经检查过了, 这里讨论的是不知名博客上的一键安装脚本。 |
 | 39 doubleflower 2016-12-12 17:22:06 +08:00 star 多就不管了,用各种开源库不也这样,谁也不会每个都去看一遍源码查有没有加后门。 |
 | 41 zltningx 2016-12-12 17:39:19 +08:00 via Android 确实有风险哈。但是不是说大部分漏洞都是程序员懒导致的么。这么一想是不是就好受多了 |
 | 42 wsy2220 2016-12-12 17:40:35 +08:00 原来真有不看就运行的.... |
 | 43 introom 2016-12-12 17:43:23 +08:00 star 多不管 s |
 | 44 ouqihang 2016-12-12 17:52:58 +08:00 会加料的,参考各种一键脚本配置免流服务器,脚本还是加密的,专骗小白。直接打开还看不到内容。 |
 | 45 fengxiang 2016-12-12 17:57:11 +08:00 反正我是不敢用 |
 | 46 jason19659 2016-12-12 17:57:53 +08:00 |
 | 47 ToughGuy 2016-12-12 17:58:20 +08:00 |
 | 48 BOYPT 2016-12-12 18:06:26 +08:00 唉。。。。我在公司的主要工作就是把别人的项目打包成一键脚本... |
| 49 Siril OP |
 | 50 murusu 2016-12-12 18:14:03 +08:00 脚本不看也敢用,只能说真心胆大 |
 | 51 Zzzzzzzzz 2016-12-12 18:19:12 +08:00 1 你们说的某个不可描述的软件从 debian jessie 和 ubuntu 16.04 开始就已经在仓库里了, 一个 apt 下去从启动脚本到配置文件全有了 |
 | 52 Ansen 2016-12-12 18:31:09 +08:00 吓得我赶紧看看我前两天装 kcptun 的一键脚本 (我只是想偷懒而已) |
 | 53 rrfeng 2016-12-12 18:46:09 +08:00 从来不用这种脚本。 会报一万个错误出来,倒不是怕有后门之类的。主要是不清楚 step by step 的安装方式,不清楚依赖什么,不放心。 |
 | 54 sammo 2016-12-12 18:59:34 +08:00 自己小鸡上用用无所谓 专职的公司运维岗位也敢用一键脚本么? 如果是则难以想象 |
 | 55 sox 2016-12-12 19:03:36 +08:00 一切的前提是信任作者。 |
 | 56 allenhu 2016-12-12 19:09:30 +08:00 via Android 是小白们很流行吧,我是从来没用过,不放心 |
 | 57 everhythm 2016-12-12 19:10:50 +08:00 。。一般下载的东西,都会附上 1 个 md5 作为校验吧,除非别人把要下的东西和 md5 同时改掉 |
 | 58 Heinz 2016-12-12 19:21:45 +08:00 以前用是觉得方便,现在自己配置觉得放心 |
59
XGHeaven 2016-12-12 19:51:40 +08:00 via Android 这个时候区块链就有用了 2333
 | 61 eccstartup 2016-12-12 20:25:39 +08:00 |
 | 62 sgissb1 2016-12-12 20:26:07 +08:00 linux 上装东西和配东西,有时候就比较恶心。比如说 pptp 和 l2tp ,由于软件包和不同发行版本的因素,导致配置起来有所差异,搞不好还有问题。因此就出现了各种一键脚本,还有就是外加某墙的功劳。 事实上在 linux 对于配置相对简单或清晰的软件包来说,我都是 apt-get/yum+手工自己弄。除了一些具复杂无比的。 LAMP 都是自己手工配(不过不同发新版本的 linux 和 LAMP 来说,确实很恶心,配置保存位置和配置项有少许区别) |
 | 63 Laobai 2016-12-12 20:42:30 +08:00 因为 嫌麻烦,最重要的是技术菜,看不懂啊 |
 | 64 uuuing 2016-12-12 20:47:40 +08:00 矫情,你装上百个机器,你用脚本试试,都是自己写个一键脚本统一配置, 不说 100 台了 来 20 台让你手动编译够你受的。 |
 | 65 bk201 2016-12-13 00:08:37 +08:00 via iPhone 看机器重要不重要了,一个 ss 玩的机器,怎么方便怎么装.重要机器肯定要细心了. |
 | 66 d7101120120 2016-12-13 00:44:18 +08:00 估计楼主主要说的是类似于 ss 一键安装包,锐速一键安装破解脚本之类的东西吧,这个老实说我也很怀疑,虽说不至于盗取信息之类的,但是类似于发动 ddos 攻击我估计很有可能。不过我现在用的也是一键,因为锐速的事情没办法。不过现在 BBR 已经出来了,有时间还是重装一下系统然后换成 BBR 吧。 |
 | 67 msg7086 2016-12-13 02:52:21 +08:00 |
 | 69 Vicer 2016-12-13 07:27:11 +08:00 via Android @d7101120120 啊?在说我吗? 最近在 hostloc 上写了一个 shell ,主要解决锐速断流的问题。。。。 shell 和所需的东西都放 github 上。 |
 | 70 wweir 2016-12-13 08:03:03 +08:00 via iPhone 个人放出来的脚本,会看下。有名的项目,需要使用 root 的,会考虑下对系统干了什么,不要 root 的,也是直接装。 话说,能轻松看懂脚本的人,绝大多数情况是一键式脚本的,自己会有自己的脚本集。 用脚本多数是在虚拟的环境里偷偷懒而已,也不需要那么高的安全性 |
 | 72 iCyMind 2016-12-13 08:05:11 +08:00 via Android 其实更可怕的是手机论坛的各种搬运包好吧,而且有不少都需要 root 权限 |
| 74 wweir 2016-12-13 08:07:29 +08:00 via iPhone @wweir 漏了 能轻松看懂脚本的人,绝大多数情况是不会用那些私人的提供的一键式脚本的,他们有自己的脚本集 |
 | 75 nanpuyue 2016-12-13 08:19:56 +08:00 via iPhone 1 镜像被替换的是 Linux Mint 吧…… |
| 76 d7101120120 2016-12-13 08:33:32 +08:00 @Vicer 2333 不是了,是另一个广为使用的锐速一键脚本。 |
 | 78 linux40 2016-12-13 08:56:44 +08:00 via Android PKGBUILD 不需要 root ,安装才需要。 |
 | 79 Clarencep 2016-12-13 09:04:59 +08:00 传统的 `./configure && make && make install` 的方式不也都是脚本吗?有多少人去看里面具体干了啥事? |
 | 80 lrh3321 2016-12-13 09:41:59 +08:00 在虚拟机里跑,玩坏了不心疼 |
 | 81 zonghua 2016-12-13 09:49:11 +08:00 怕不怕 docker 搞事 |
 | 82 hahastudio 2016-12-13 09:50:23 +08:00 别看中文文章自动过滤 99% 可疑脚本 |
 | 83 Em5O7B1JGfjQnBry 2016-12-13 10:20:12 +08:00 via Android 不可靠的这种命令肯定不会跑去执行啊,要用到这种一键脚本的其实很少,一般要装个什么软件,都是先 apt 找,没有就去官网自己编译呗 |
 | 84 xjp 2016-12-13 10:37:46 +08:00 via iPhone 哈哈哈哈 因为看不懂 还有一个原因是 反正不止我一个人遭殃 |
 | 85 alouha 2016-12-13 10:47:37 +08:00 能我自己配置的,我就自己配置。如果说实在搞不定的,我就在网上找下,采用使用最广泛的方式。一键脚本用的不多,不过我也是觉得,反正又不是我一人遭殃…… |
 | 86 iRiven 2016-12-13 10:52:37 +08:00 via Android 别人都用 我也就用了 |
 | 88 lybtongji 2016-12-13 16:10:55 +08:00 反正我是每句命令都看过再执行的 |
|
 | 90 gemini 2016-12-13 20:20:42 +08:00 极少有机会使用到 root 权限~~ |
 | 91 Showfom PRO |
 | 92 lianxiaoyi 2016-12-14 10:41:50 +08:00 反正能用的集成环境也就那几个 。。。。。 |
 | 93 salmon5 2016-12-14 11:10:52 +08:00 一键安装脚本从来不用,各种小组件都要到处 wget ,然后再编译一遍,很多组件直接 yum 就可, 把简单的问题复杂化。 |
 | 96 codehz 2016-12-20 23:17:59 +08:00 @mmmyc 有些加密我记得可以 1. 直接替换 /bin/sh 为一个输出内容的程序就可以(为了避免破坏系统,建议用 proot ) 2. 有一些解密释放并在执行完删除的可以替换 rm 3. 还有一些会校验可执行程序功能的,可以用 LD_PRELOAD 替换 libc 中的 exec , remove 4. 再高级点的可能要替换 write 5. 更加高端走编译路线的则只能上 IDA 静态分析了。。。。 之前研究过某免流脚本的加密机制,看着它不断升级加密方式,然而并没有什么卵用,毕竟最终还是要执行的。。。。 shc 属于第一种, gzexe 属于第二种 |
 | 98 mritd 2016-12-21 10:01:05 +08:00 via iPhone 我大部分都用 docker ,很多镜像也是自己写的, ss 什么的 hub 下载一个 自动编译的就可以 (hub 目前 第二个应该是我的) |
 | 100 orzz 2017-11-12 21:32:26 +08:00 前几天被谷歌警告了,说有代码里有挖矿,被人值入代码了,只好删了 |
Select Language