破事水: 为什么 linux 一键安装脚本如此流行,你们敢不看内容直接贴 root 权限执行么
Siril · 2016-12-12 15:43:50 +08:00 · 18986 次点击这是一个创建于 2889 天前的主题,其中的信息可能已经有所发展或是发生改变。
类似于
#wget http://example.com/aaa/bbb/xxx.sh && sh xxx.sh
而不是这样:
$wget http://example.com/aaa/bbb/xxx.sh
$view xxx.sh
反复地看,越长越可疑。
总算放心地 sudo ./xxx.sh 了。
#wget http://example.com/aaa/bbb/xxx.sh && sh xxx.sh
而不是这样:
$wget http://example.com/aaa/bbb/xxx.sh
$view xxx.sh
反复地看,越长越可疑。
总算放心地 sudo ./xxx.sh 了。
第 1 条附言 · 2016-12-12 17:20:27 +08:00
不要误会,
我相信各种官方源(和软件原作者)的人品以及技术实力很多人已经检查过了,
这里讨论的是不知名博客上的一键安装脚本,会不会加料。
我相信各种官方源(和软件原作者)的人品以及技术实力很多人已经检查过了,
这里讨论的是不知名博客上的一键安装脚本,会不会加料。
第 2 条附言 · 2016-12-12 17:24:48 +08:00
而且官方源也不是 100%靠谱哈, 比如 deepin linux 官网镜像被替换那次事件。
那种的不但更坑,还难以检查, 不作讨论
那种的不但更坑,还难以检查, 不作讨论
第 3 条附言 · 2016-12-13 10:01:34 +08:00
我记错了, 是 mint ,不是 deepin
 |
1
likuku 2016-12-12 15:47:53 +08:00
反正是 aws/vbox 里临时起个虚拟机,装坏大不了从 snapshot 还原 /干掉系统重建
|
 |
2
Hucai 2016-12-12 15:48:26 +08:00  10
因为菜,看了内容也不懂,索性直接贴代码执行了
|
 |
3
simple26 2016-12-12 15:50:17 +08:00
因为要一条龙服务
|
 |
4
harry890829 2016-12-12 15:50:59 +08:00 1
一般这种东西我都是从 github 上直接用的,有一个心理吧,既然都是开源出来的,要是有什么大问题早就闹起来了……
|
 |
5
isCyan 2016-12-12 15:51:24 +08:00
因为大家都粘贴,反正肯定不指我一个人遭殃
|
 |
6
lhbc 2016-12-12 15:51:36 +08:00
放 github 并且有一定 star 的,稍为看下就行
|
|
7
lhbc 2016-12-12 15:54:07 +08:00
不过,我都是自己写
涉及编译的自己打包 |
 |
8
amustart 2016-12-12 15:54:43 +08:00
|
 |
9
tvallday 2016-12-12 15:55:11 +08:00
装个 SS 还要看懂脚本,太蛋疼了。
|
 |
10
jccg90 2016-12-12 15:55:54 +08:00
开发环境无所谓,生产环境的话,各种配置和优化一大堆,不用一键脚本的话要疯的。。。当然 docker 是更好的解决方案,比一键脚本更好用。。。反正都是开源的,我不看内容,总有人会看的。。。有问题早被别人喷死了,轮不到我
|
 |
11
fangxing204 2016-12-12 15:56:35 +08:00 via Android
一般作者都会测试吧
|
 |
12
Siril OP @tvallday 就是传说它的很多一键安装包有后门的呢。
@harry890829 @isCyan @amustart 用的人多不代表肯定没问题, 参考 xcode 后门事件。 如果我 fork 个 ss ,稍微改一点,粗心的人一看,哦, github 上的,不也是一样么。 看来你们认为重要的机器不会这么搞, 然而,虽然 ss 不太重要,但自建 ss 的其中一个目的大概是,对各种服务提供商的不信任吧? 自用的 ss 机器上加后门,那还有什么区别? |
 |
13
phx13ye 2016-12-12 16:12:29 +08:00
为什么社区提供的二进制,通过包管理就敢装,不用反编译看下源码吗
|
 |
14
CloudnuY 2016-12-12 16:13:31 +08:00
看啊,加密的 sh 还要解密再看看
|
|
15
isCyan 2016-12-12 16:15:35 +08:00
其实安装 ss 不就几个命令嘛,完全无需一键脚本啊
|
|
17
Siril OP @phx13ye
这是抬杠,(现在的)包管理(一般)有验证作者 key 的机制吧。使用一个 linux 发行版,就信任了其开发团队,但是,随便一个网站上的需要 root 权限的 一行安装脚本,直接贴终端就执行, 说明随便就信任了这个网站。 这两种信任,后者有些过于随便了吧。 |
|
18
Siril OP |
 |
19
qwer1234asdf 2016-12-12 16:30:26 +08:00
因为需要``全套服务``
|
 |
20
fprint 2016-12-12 16:34:58 +08:00
从来不一键,安装是省事了,但是后面配置更麻烦。原来我甚至全部自己用官方源码编译,后来据说 rpm 包跟自己编译区别也不大,就用 rpm 安装了。
|
 |
21
FreeDog 2016-12-12 16:38:18 +08:00
这叫信任。就像我们默认相信系统自带 CA 是真的(自己拉黑 WoSign 的就是因为丧失信任了)
|
 |
22
vv7ue 2016-12-12 16:40:53 +08:00
so , linux 也需要 360 这样的安全卫士
|
|
23
Siril OP @FreeDog 看 17 楼, 提的问题是, 对一个 google 随便搜到的小博客(你又不认识博主)你能拿出这种信任么。 即使是原作者发布的,虽然原作者的人品应该是值得信任,但是,不带校验的 http 下载在特定的网络环境下不是也有风险么。
后门的影响范围可能包括 一个 vps 账号( ddos 等滥用会被 ban )以及自己上网流量的安全,还包括 ss 的机器同时搭着其他服务,如果有的话。 |
 |
25
leavic 2016-12-12 16:48:12 +08:00
如果这脚本是加密的,得看看,否则没必要,你干一次坏事这辈子名声就臭了。
|
 |
26
Vindroid 2016-12-12 16:49:56 +08:00
谁叫我自己不会弄+懒得弄呢, github 上找个 star 最高的装了能用再说,其他的管他呢
|
 |
27
q397064399 2016-12-12 16:51:23 +08:00
没必要看,有坑 反正不只我一个人掉进去,生产环境有的要自己负责的话,还是稍微看看,否则出问题了 要坐牢的,
金融公司的系统,如果随意引入开源二进制包也是存在风险的, |
 |
28
aaronzjw 2016-12-12 16:51:52 +08:00 via Android
你用支付鸨看他源码吗😊
|
|
29
Siril OP |
 |
32
ragnaroks 2016-12-12 17:11:17 +08:00 1
|
 |
33
rockyou12 2016-12-12 17:12:25 +08:00
懒,而且看不懂。但是用了 docker 后我再也没有这些忧愁烦恼
|
 |
34
muyege 2016-12-12 17:13:33 +08:00
楼主这是饱汉子不知饿汉子饥,想当年哥为了学会装 Linux 还请学院老大哥吃过好几顿饭呢,有需求就有市场
|
 |
35
irainsoft 2016-12-12 17:13:57 +08:00
既然用了一键包就不要再麻烦自己了,经常用的一键包心情好时可以去检查下
如果真的是重要的服务端那还是自己去编译安装吧 |
 |
36
loading 2016-12-12 17:14:29 +08:00 via Android
没必要在公共脚本作恶,因为,别人也是有头有脸的。
|
 |
37
Kei 2016-12-12 17:15:11 +08:00
那 brew install 和 apt-get install LZ 怎么检查= =……
|
|
38
Siril OP @Kei 17 楼, 就是说官方源(和软件原作者) 的人品以及技术实力很多人已经检查过了, 这里讨论的是不知名博客上的一键安装脚本。
|
 |
39
doubleflower 2016-12-12 17:22:06 +08:00
star 多就不管了,用各种开源库不也这样,谁也不会每个都去看一遍源码查有没有加后门。
|
 |
41
zltningx 2016-12-12 17:39:19 +08:00 via Android
确实有风险哈。但是不是说大部分漏洞都是程序员懒导致的么。这么一想是不是就好受多了
|
 |
42
wsy2220 2016-12-12 17:40:35 +08:00
原来真有不看就运行的....
|
 |
43
introom 2016-12-12 17:43:23 +08:00
star 多不管
s |
 |
44
ouqihang 2016-12-12 17:52:58 +08:00
会加料的,参考各种一键脚本配置免流服务器,脚本还是加密的,专骗小白。直接打开还看不到内容。
|
 |
45
fengxiang 2016-12-12 17:57:11 +08:00
反正我是不敢用
|
 |
46
jason19659 2016-12-12 17:57:53 +08:00
|
 |
47
ToughGuy 2016-12-12 17:58:20 +08:00
|
 |
48
BOYPT 2016-12-12 18:06:26 +08:00
唉。。。。我在公司的主要工作就是把别人的项目打包成一键脚本...
|
|
49
Siril OP |
 |
50
murusu 2016-12-12 18:14:03 +08:00
脚本不看也敢用,只能说真心胆大
|
 |
51
Zzzzzzzzz 2016-12-12 18:19:12 +08:00 1
你们说的某个不可描述的软件从 debian jessie 和 ubuntu 16.04 开始就已经在仓库里了, 一个 apt 下去从启动脚本到配置文件全有了
|
 |
52
Ansen 2016-12-12 18:31:09 +08:00
吓得我赶紧看看我前两天装 kcptun 的一键脚本 (我只是想偷懒而已)
|
 |
53
rrfeng 2016-12-12 18:46:09 +08:00
从来不用这种脚本。
会报一万个错误出来,倒不是怕有后门之类的。主要是不清楚 step by step 的安装方式,不清楚依赖什么,不放心。 |
 |
54
sammo 2016-12-12 18:59:34 +08:00
自己小鸡上用用无所谓
专职的公司运维岗位也敢用一键脚本么? 如果是则难以想象 |
 |
55
sox 2016-12-12 19:03:36 +08:00
一切的前提是信任作者。
|
 |
56
allenhu 2016-12-12 19:09:30 +08:00 via Android
是小白们很流行吧,我是从来没用过,不放心
|
 |
57
everhythm 2016-12-12 19:10:50 +08:00
。。一般下载的东西,都会附上 1 个 md5 作为校验吧,除非别人把要下的东西和 md5 同时改掉
|
 |
58
Heinz 2016-12-12 19:21:45 +08:00
以前用是觉得方便,现在自己配置觉得放心
|
 |
59
XGHeaven 2016-12-12 19:51:40 +08:00 via Android
这个时候区块链就有用了 2333
|
 |
61
eccstartup 2016-12-12 20:25:39 +08:00
|
 |
62
sgissb1 2016-12-12 20:26:07 +08:00
linux 上装东西和配东西,有时候就比较恶心。比如说 pptp 和 l2tp ,由于软件包和不同发行版本的因素,导致配置起来有所差异,搞不好还有问题。因此就出现了各种一键脚本,还有就是外加某墙的功劳。
事实上在 linux 对于配置相对简单或清晰的软件包来说,我都是 apt-get/yum+手工自己弄。除了一些具复杂无比的。 LAMP 都是自己手工配(不过不同发新版本的 linux 和 LAMP 来说,确实很恶心,配置保存位置和配置项有少许区别) |
 |
63
Laobai 2016-12-12 20:42:30 +08:00
因为
嫌麻烦,最重要的是技术菜,看不懂啊 |
 |
64
uuuing 2016-12-12 20:47:40 +08:00
矫情,你装上百个机器,你用脚本试试,都是自己写个一键脚本统一配置, 不说 100 台了 来 20 台让你手动编译够你受的。
|
 |
65
bk201 2016-12-13 00:08:37 +08:00 via iPhone
看机器重要不重要了,一个 ss 玩的机器,怎么方便怎么装.重要机器肯定要细心了.
|
 |
66
d7101120120 2016-12-13 00:44:18 +08:00
估计楼主主要说的是类似于 ss 一键安装包,锐速一键安装破解脚本之类的东西吧,这个老实说我也很怀疑,虽说不至于盗取信息之类的,但是类似于发动 ddos 攻击我估计很有可能。不过我现在用的也是一键,因为锐速的事情没办法。不过现在 BBR 已经出来了,有时间还是重装一下系统然后换成 BBR 吧。
|
 |
67
msg7086 2016-12-13 02:52:21 +08:00
|
 |
69
Vicer 2016-12-13 07:27:11 +08:00 via Android
@d7101120120 啊?在说我吗?
最近在 hostloc 上写了一个 shell ,主要解决锐速断流的问题。。。。 shell 和所需的东西都放 github 上。 |
 |
70
wweir 2016-12-13 08:03:03 +08:00 via iPhone
个人放出来的脚本,会看下。有名的项目,需要使用 root 的,会考虑下对系统干了什么,不要 root 的,也是直接装。
话说,能轻松看懂脚本的人,绝大多数情况是一键式脚本的,自己会有自己的脚本集。 用脚本多数是在虚拟的环境里偷偷懒而已,也不需要那么高的安全性 |
 |
72
iCyMind 2016-12-13 08:05:11 +08:00 via Android
其实更可怕的是手机论坛的各种搬运包好吧,而且有不少都需要 root 权限
|
|
74
wweir 2016-12-13 08:07:29 +08:00 via iPhone
@wweir 漏了
能轻松看懂脚本的人,绝大多数情况是不会用那些私人的提供的一键式脚本的,他们有自己的脚本集 |
 |
75
nanpuyue 2016-12-13 08:19:56 +08:00 via iPhone 1
镜像被替换的是 Linux Mint 吧……
|
|
76
d7101120120 2016-12-13 08:33:32 +08:00
@Vicer 2333 不是了,是另一个广为使用的锐速一键脚本。
|
 |
78
linux40 2016-12-13 08:56:44 +08:00 via Android
PKGBUILD 不需要 root ,安装才需要。
|
 |
79
Clarencep 2016-12-13 09:04:59 +08:00
传统的 `./configure && make && make install` 的方式不也都是脚本吗?有多少人去看里面具体干了啥事?
|
 |
80
lrh3321 2016-12-13 09:41:59 +08:00
在虚拟机里跑,玩坏了不心疼
|
 |
81
zonghua 2016-12-13 09:49:11 +08:00
怕不怕 docker 搞事
|
 |
82
hahastudio 2016-12-13 09:50:23 +08:00
别看中文文章自动过滤 99% 可疑脚本
|
 |
83
svenFeng 2016-12-13 10:20:12 +08:00 via Android
不可靠的这种命令肯定不会跑去执行啊,要用到这种一键脚本的其实很少,一般要装个什么软件,都是先 apt 找,没有就去官网自己编译呗
|
 |
84
xjp 2016-12-13 10:37:46 +08:00 via iPhone
哈哈哈哈 因为看不懂 还有一个原因是 反正不止我一个人遭殃
|
 |
85
alouha 2016-12-13 10:47:37 +08:00
能我自己配置的,我就自己配置。如果说实在搞不定的,我就在网上找下,采用使用最广泛的方式。一键脚本用的不多,不过我也是觉得,反正又不是我一人遭殃……
|
 |
86
iRiven 2016-12-13 10:52:37 +08:00 via Android
别人都用 我也就用了
|
 |
88
lybtongji 2016-12-13 16:10:55 +08:00
反正我是每句命令都看过再执行的
|
|
89
Siril OP |
 |
90
gemini 2016-12-13 20:20:42 +08:00
极少有机会使用到 root 权限~~
|
 |
91
Showfom 2016-12-13 20:32:20 +08:00
|
 |
92
lianxiaoyi 2016-12-14 10:41:50 +08:00
反正能用的集成环境也就那几个 。。。。。
|
 |
93
salmon5 2016-12-14 11:10:52 +08:00
一键安装脚本从来不用,各种小组件都要到处 wget ,然后再编译一遍,很多组件直接 yum 就可,
把简单的问题复杂化。 |
 |
96
codehz 2016-12-20 23:17:59 +08:00
@mmmyc 有些加密我记得可以
1. 直接替换 /bin/sh 为一个输出内容的程序就可以(为了避免破坏系统,建议用 proot ) 2. 有一些解密释放并在执行完删除的可以替换 rm 3. 还有一些会校验可执行程序功能的,可以用 LD_PRELOAD 替换 libc 中的 exec , remove 4. 再高级点的可能要替换 write 5. 更加高端走编译路线的则只能上 IDA 静态分析了。。。。 之前研究过某免流脚本的加密机制,看着它不断升级加密方式,然而并没有什么卵用,毕竟最终还是要执行的。。。。 shc 属于第一种, gzexe 属于第二种 |
 |
98
mritd 2016-12-21 10:01:05 +08:00 via iPhone
我大部分都用 docker ,很多镜像也是自己写的, ss 什么的 hub 下载一个 自动编译的就可以😄 (hub 目前 第二个应该是我的)
|
 |
100
orzz 2017-11-12 21:32:26 +08:00
前几天被谷歌警告了,说有代码里有挖矿,被人值入代码了,只好删了
|
Select Language