飞牛登录 token 生成逻辑安全问题,并且尽快更新 rsa private key
根据已有公开信息,可以通过/usr/trim/etc/rsa_private_key.pem 来生成 token 。 token 应该在内存中,不落盘,或者做好权限管理。从而减少文件泄露导致的风险。
应该改为安全的随机数来生成, 比如 golang https://pkg.go.dev/crypto/[email protected] , 或者是 /dev/urandom ,不要用成 math/rand 或者是 /dev/random
对应用应该加强管控,尽可能的不适用 root 运行程序,同时使用比如 SELinux AppArmor 限制文件读取访问,
需要 尽快更新现有的/usr/trim/etc/rsa_private_key.pem 文件,避免历史有人保存数据,从而再次入侵,参考如下
via V2EX - 技术 (author: qianlongzt)
根据已有公开信息,可以通过/usr/trim/etc/rsa_private_key.pem 来生成 token 。 token 应该在内存中,不落盘,或者做好权限管理。从而减少文件泄露导致的风险。
应该改为安全的随机数来生成, 比如 golang https://pkg.go.dev/crypto/[email protected] , 或者是 /dev/urandom ,不要用成 math/rand 或者是 /dev/random
对应用应该加强管控,尽可能的不适用 root 运行程序,同时使用比如 SELinux AppArmor 限制文件读取访问,
需要 尽快更新现有的/usr/trim/etc/rsa_private_key.pem 文件,避免历史有人保存数据,从而再次入侵,参考如下
#!/bin/bash
# 备份老的 rsa 密钥对
FN_RSA_BACKUP_DIR=/usr/trim/etc/backup/fn-rsa-$(date +"%Y-%m-%dT%H-%M-%S%z")
mkdir -p "$FN_RSA_BACKUP_DIR"
mv /usr/trim/etc/rsa_private_key.pem /usr/trim/etc/rsa_public_key.pem "$FN_RSA_BACKUP_DIR"
# 重新生成 rsa 密钥对
openssl genrsa -out /usr/trim/etc/rsa_private_key.pem 2048
openssl rsa -in /usr/trim/etc/rsa_private_key.pem -pubout -out /usr/trim/etc/rsa_public_key.pem
# 查看已经备份 且 生成 rsa 密钥对
ls -lah "$FN_RSA_BACKUP_DIR"
ls -lah /usr/trim/etc/rsa_*.pem
via V2EX - 技术 (author: qianlongzt)
