建议增加重要漏洞自动修复授权功能
比如可以在面板授权宝塔重要安全漏洞自动修复这样就可以降低一些风险,同时呢,不愿意完全相信宝塔的小伙伴,也可以不授权!
毕竟只要是程序就不可能100%安全,Windows还三天两头有补丁,但是人家会自动升级,因此建议宝塔也开通重要漏洞自动修复、升级的功能。让用户可以自主选择开启或关闭即可!
凡人 发表于 2020-8-23 22:01
本来有自动更新,取消自动更新当时也是为了安全考虑,针对这个建议后期我们再认认真真讨论下,感谢您的支持 ...
可以弄安全漏洞更新机制,普通的更新功能和UI什么的,可以客户自己更新 如果有自动修复的权限就变得不安全了,万一被利用了https://cdn.jsdelivr.net/gh/hishis/forum-master/public/images/patch.gif 同意https://cdn.jsdelivr.net/gh/hishis/forum-master/public/images/patch.gif 这个建议不错 我觉得还行。 本来有自动更新,取消自动更新当时也是为了安全考虑,针对这个建议后期我们再认认真真讨论下,感谢您的支持 你说的这种方案表面上看似可行,实际上带来的副作用更大,比如有人把宝塔官方的更新服务器黑了,加入了恶意代码,那么授权自动更新的用户将会在不知情的情况下拉取一波恶意代码,自个儿的服务器将被动成为肉鸡,即便宝塔官方服务器安全不出问题,也可以通过网络中间的路由劫持等方式把查询漏洞更新的网络请求定向恶意服务器,一大片机器还是会被沦陷,永远记住,被动更新永远比主动更新要好,在批量扫描,批量劫持的时候威胁更小,因为用户使用的是不同版本,它可以在发生灾难时将影响范围控制在最小范围。 凡人 发表于 2020-8-23 22:01
本来有自动更新,取消自动更新当时也是为了安全考虑,针对这个建议后期我们再认认真真讨论下,感谢您的支持 ...
与真正重大安全漏洞发生比起来,自动升级这里的安全是官方可控的。无非就是多几道授权,比如团队补丁审核、团队领到审批、公司领到同意发布等多重权限,相对就安全多了!
更何况用户自己还可以选择是否开启宝塔自动升级。 雨中的何叶 发表于 2020-8-23 21:40
如果有自动修复的权限就变得不安全了,万一被利用了
微软不也这样么? 阿里云上好多要修复的漏洞提示,各位平时都怎么处理的?一个个的弄好麻烦,而且没点技术的还修复不了,希望官方出一个能快速修复漏洞的 宝塔用户_uxqhmd 发表于 2020-8-28 10:24
阿里云上好多要修复的漏洞提示,各位平时都怎么处理的?一个个的弄好麻烦,而且没点技术的还修复不了,希望 ...
那个针对服务器系统的,宝塔不可能越权去修复那些…… 其实吧 遇到重大漏洞更新,宝塔只需要群发一下短信通知或者邮件,基本都可以收到,而自动更新就算了,第一和凡人说的,第二宝塔怎么知道你的服务器配置怎么样?万一自动更新以后你的网站打不开了,是不是还要跟宝塔兴师问罪?有这个时间还不如优化好程序哈哈 帅醒的早晨 发表于 2020-9-3 09:55
其实吧 遇到重大漏洞更新,宝塔只需要群发一下短信通知或者邮件,基本都可以收到,而自动更新就算了,第一 ...
这就好比微软的补丁机制了,部分非常严重漏洞会自动给你打补丁,至于其他的则由你自己选择。毕竟只是漏洞,既然选择了宝塔,那么256M以上内存等条件应该是满足了。
而且我想严重漏洞的问题,跟网站应该没有多大关系。再说万一如果涉及到脱库等问题,还不如临时停掉网站,这样通过访客反馈,也能迅速知道要打补丁了。 zwjdujin 发表于 2020-9-3 11:32
这就好比微软的补丁机制了,部分非常严重漏洞会自动给你打补丁,至于其他的则由你自己选择。毕竟只是漏洞 ...
我懂你的意思,但是现实点的情况就是你安装了面板是会吃配置的;如果你的站点刚好配置够用而已,在白天有人访问的情况下,面板自动更新,导致服务器资源突涨,面板自动更新失败,服务器也环境也因为自动更新而关闭了部分环境软件,那么你的网站此时会中断。
而宝塔团队考虑的是他的用户那么多,如果自己的更新服务器被入侵,那么这些用户就全完了。没有万无一失,但我不提供风险入口就是最安全的做法
页:
[1]
2