 |
1
likuku Dec 12, 2016
反正是 aws/vbox 里临时起个虚拟机,装坏大不了从 snapshot 还原 /干掉系统重建
|
 |
2
Hucai Dec 12, 2016  10
因为菜,看了内容也不懂,索性直接贴代码执行了
|
 |
3
simple26 Dec 12, 2016
因为要一条龙服务
|
 |
4
harry890829 Dec 12, 2016 1
一般这种东西我都是从 github 上直接用的,有一个心理吧,既然都是开源出来的,要是有什么大问题早就闹起来了……
|
 |
5
isCyan Dec 12, 2016
因为大家都粘贴,反正肯定不指我一个人遭殃
|
 |
6
lhbc Dec 12, 2016
放 github 并且有一定 star 的,稍为看下就行
|
|
7
lhbc Dec 12, 2016
不过,我都是自己写
涉及编译的自己打包 |
 |
8
amustart Dec 12, 2016
|
 |
9
tvallday Dec 12, 2016
装个 SS 还要看懂脚本,太蛋疼了。
|
 |
10
jccg90 Dec 12, 2016
开发环境无所谓,生产环境的话,各种配置和优化一大堆,不用一键脚本的话要疯的。。。当然 docker 是更好的解决方案,比一键脚本更好用。。。反正都是开源的,我不看内容,总有人会看的。。。有问题早被别人喷死了,轮不到我
|
 |
11
fangxing204 Dec 12, 2016 via Android
一般作者都会测试吧
|
 |
12
Siril OP @tvallday 就是传说它的很多一键安装包有后门的呢。
@harry890829 @isCyan @amustart 用的人多不代表肯定没问题, 参考 xcode 后门事件。 如果我 fork 个 ss ,稍微改一点,粗心的人一看,哦, github 上的,不也是一样么。 看来你们认为重要的机器不会这么搞, 然而,虽然 ss 不太重要,但自建 ss 的其中一个目的大概是,对各种服务提供商的不信任吧? 自用的 ss 机器上加后门,那还有什么区别? |
 |
13
phx13ye Dec 12, 2016
为什么社区提供的二进制,通过包管理就敢装,不用反编译看下源码吗
|
 |
14
CloudnuY Dec 12, 2016
看啊,加密的 sh 还要解密再看看
|
|
15
isCyan Dec 12, 2016
其实安装 ss 不就几个命令嘛,完全无需一键脚本啊
|
|
17
Siril OP @phx13ye
这是抬杠,(现在的)包管理(一般)有验证作者 key 的机制吧。使用一个 linux 发行版,就信任了其开发团队,但是,随便一个网站上的需要 root 权限的 一行安装脚本,直接贴终端就执行, 说明随便就信任了这个网站。 这两种信任,后者有些过于随便了吧。 |
|
18
Siril OP |
 |
19
qwer1234asdf Dec 12, 2016
因为需要``全套服务``
|
 |
20
fprint Dec 12, 2016
从来不一键,安装是省事了,但是后面配置更麻烦。原来我甚至全部自己用官方源码编译,后来据说 rpm 包跟自己编译区别也不大,就用 rpm 安装了。
|
 |
21
FreeDog Dec 12, 2016
这叫信任。就像我们默认相信系统自带 CA 是真的(自己拉黑 WoSign 的就是因为丧失信任了)
|
 |
22
vv7ue Dec 12, 2016
so , linux 也需要 360 这样的安全卫士
|
|
23
Siril OP @FreeDog 看 17 楼, 提的问题是, 对一个 google 随便搜到的小博客(你又不认识博主)你能拿出这种信任么。 即使是原作者发布的,虽然原作者的人品应该是值得信任,但是,不带校验的 http 下载在特定的网络环境下不是也有风险么。
后门的影响范围可能包括 一个 vps 账号( ddos 等滥用会被 ban )以及自己上网流量的安全,还包括 ss 的机器同时搭着其他服务,如果有的话。 |
 |
25
leavic Dec 12, 2016
如果这脚本是加密的,得看看,否则没必要,你干一次坏事这辈子名声就臭了。
|
 |
26
Vindroid Dec 12, 2016
谁叫我自己不会弄+懒得弄呢, github 上找个 star 最高的装了能用再说,其他的管他呢
|
 |
27
q397064399 Dec 12, 2016
没必要看,有坑 反正不只我一个人掉进去,生产环境有的要自己负责的话,还是稍微看看,否则出问题了 要坐牢的,
金融公司的系统,如果随意引入开源二进制包也是存在风险的, |
 |
28
aaronzjw Dec 12, 2016 via Android
你用支付鸨看他源码吗😊
|
|
29
Siril OP |
 |
32
ragnaroks Dec 12, 2016 1
|
 |
33
rockyou12 Dec 12, 2016
懒,而且看不懂。但是用了 docker 后我再也没有这些忧愁烦恼
|
 |
34
muyege Dec 12, 2016
楼主这是饱汉子不知饿汉子饥,想当年哥为了学会装 Linux 还请学院老大哥吃过好几顿饭呢,有需求就有市场
|
 |
35
irainsoft Dec 12, 2016
既然用了一键包就不要再麻烦自己了,经常用的一键包心情好时可以去检查下
如果真的是重要的服务端那还是自己去编译安装吧 |
 |
36
loading Dec 12, 2016 via Android
没必要在公共脚本作恶,因为,别人也是有头有脸的。
|
 |
37
Kei Dec 12, 2016
那 brew install 和 apt-get install LZ 怎么检查= =……
|
 |
39
doubleflower Dec 12, 2016
star 多就不管了,用各种开源库不也这样,谁也不会每个都去看一遍源码查有没有加后门。
|
 |
41
zltningx Dec 12, 2016 via Android
确实有风险哈。但是不是说大部分漏洞都是程序员懒导致的么。这么一想是不是就好受多了
|
 |
42
wsy2220 Dec 12, 2016
原来真有不看就运行的....
|
 |
43
introom Dec 12, 2016
star 多不管
s |
 |
44
ouqihang Dec 12, 2016
会加料的,参考各种一键脚本配置免流服务器,脚本还是加密的,专骗小白。直接打开还看不到内容。
|
 |
45
fengxiang Dec 12, 2016
反正我是不敢用
|
 |
46
jason19659 Dec 12, 2016
|
 |
47
ToughGuy Dec 12, 2016
|
 |
48
BOYPT Dec 12, 2016
唉。。。。我在公司的主要工作就是把别人的项目打包成一键脚本...
|
|
49
Siril OP |
 |
50
murusu Dec 12, 2016
脚本不看也敢用,只能说真心胆大
|
 |
51
Zzzzzzzzz Dec 12, 2016 1
你们说的某个不可描述的软件从 debian jessie 和 ubuntu 16.04 开始就已经在仓库里了, 一个 apt 下去从启动脚本到配置文件全有了
|
 |
52
Ansen Dec 12, 2016
吓得我赶紧看看我前两天装 kcptun 的一键脚本 (我只是想偷懒而已)
|
 |
53
rrfeng Dec 12, 2016
从来不用这种脚本。
会报一万个错误出来,倒不是怕有后门之类的。主要是不清楚 step by step 的安装方式,不清楚依赖什么,不放心。 |
 |
54
sammo Dec 12, 2016
自己小鸡上用用无所谓
专职的公司运维岗位也敢用一键脚本么? 如果是则难以想象 |
 |
55
sox Dec 12, 2016
一切的前提是信任作者。
|
 |
56
allenhu Dec 12, 2016 via Android
是小白们很流行吧,我是从来没用过,不放心
|
 |
57
everhythm Dec 12, 2016
。。一般下载的东西,都会附上 1 个 md5 作为校验吧,除非别人把要下的东西和 md5 同时改掉
|
 |
58
Heinz Dec 12, 2016
以前用是觉得方便,现在自己配置觉得放心
|
 |
59
XGHeaven Dec 12, 2016 via Android
这个时候区块链就有用了 2333
|
 |
61
eccstartup Dec 12, 2016
|
 |
62
sgissb1 Dec 12, 2016
linux 上装东西和配东西,有时候就比较恶心。比如说 pptp 和 l2tp ,由于软件包和不同发行版本的因素,导致配置起来有所差异,搞不好还有问题。因此就出现了各种一键脚本,还有就是外加某墙的功劳。
事实上在 linux 对于配置相对简单或清晰的软件包来说,我都是 apt-get/yum+手工自己弄。除了一些具复杂无比的。 LAMP 都是自己手工配(不过不同发新版本的 linux 和 LAMP 来说,确实很恶心,配置保存位置和配置项有少许区别) |
 |
63
Laobai Dec 12, 2016
因为
嫌麻烦,最重要的是技术菜,看不懂啊 |
 |
64
uuuing Dec 12, 2016
矫情,你装上百个机器,你用脚本试试,都是自己写个一键脚本统一配置, 不说 100 台了 来 20 台让你手动编译够你受的。
|
 |
65
bk201 Dec 13, 2016 via iPhone
看机器重要不重要了,一个 ss 玩的机器,怎么方便怎么装.重要机器肯定要细心了.
|
 |
66
d7101120120 Dec 13, 2016
估计楼主主要说的是类似于 ss 一键安装包,锐速一键安装破解脚本之类的东西吧,这个老实说我也很怀疑,虽说不至于盗取信息之类的,但是类似于发动 ddos 攻击我估计很有可能。不过我现在用的也是一键,因为锐速的事情没办法。不过现在 BBR 已经出来了,有时间还是重装一下系统然后换成 BBR 吧。
|
 |
69
Vicer Dec 13, 2016 via Android
@d7101120120 啊?在说我吗?
最近在 hostloc 上写了一个 shell ,主要解决锐速断流的问题。。。。 shell 和所需的东西都放 github 上。 |
 |
70
wweir Dec 13, 2016 via iPhone
个人放出来的脚本,会看下。有名的项目,需要使用 root 的,会考虑下对系统干了什么,不要 root 的,也是直接装。
话说,能轻松看懂脚本的人,绝大多数情况是一键式脚本的,自己会有自己的脚本集。 用脚本多数是在虚拟的环境里偷偷懒而已,也不需要那么高的安全性 |
 |
72
iCyMind Dec 13, 2016 via Android
其实更可怕的是手机论坛的各种搬运包好吧,而且有不少都需要 root 权限
|
 |
75
nanpuyue Dec 13, 2016 via iPhone 1
镜像被替换的是 Linux Mint 吧……
|
|
76
d7101120120 Dec 13, 2016
@Vicer 2333 不是了,是另一个广为使用的锐速一键脚本。
|
 |
78
linux40 Dec 13, 2016 via Android
PKGBUILD 不需要 root ,安装才需要。
|
 |
79
Clarencep Dec 13, 2016
传统的 `./configure && make && make install` 的方式不也都是脚本吗?有多少人去看里面具体干了啥事?
|
 |
80
lrh3321 Dec 13, 2016
在虚拟机里跑,玩坏了不心疼
|
 |
81
zonghua Dec 13, 2016
怕不怕 docker 搞事
|
 |
82
hahastudio Dec 13, 2016
别看中文文章自动过滤 99% 可疑脚本
|
 |
83
Em5O7B1JGfjQnBry Dec 13, 2016 via Android
不可靠的这种命令肯定不会跑去执行啊,要用到这种一键脚本的其实很少,一般要装个什么软件,都是先 apt 找,没有就去官网自己编译呗
|
 |
84
xjp Dec 13, 2016 via iPhone
哈哈哈哈 因为看不懂 还有一个原因是 反正不止我一个人遭殃
|
 |
85
alouha Dec 13, 2016
能我自己配置的,我就自己配置。如果说实在搞不定的,我就在网上找下,采用使用最广泛的方式。一键脚本用的不多,不过我也是觉得,反正又不是我一人遭殃……
|
 |
86
Erskine Dec 13, 2016 via Android
别人都用 我也就用了
|
 |
88
lybtongji Dec 13, 2016
反正我是每句命令都看过再执行的
|
|
89
Siril OP |
 |
90
gemini Dec 13, 2016
极少有机会使用到 root 权限~~
|
 |
91
Showfom PRO |
 |
92
lianxiaoyi Dec 14, 2016
反正能用的集成环境也就那几个 。。。。。
|
 |
93
salmon5 Dec 14, 2016
一键安装脚本从来不用,各种小组件都要到处 wget ,然后再编译一遍,很多组件直接 yum 就可,
把简单的问题复杂化。 |
 |
96
codehz Dec 20, 2016
@mmmyc 有些加密我记得可以
1. 直接替换 /bin/sh 为一个输出内容的程序就可以(为了避免破坏系统,建议用 proot ) 2. 有一些解密释放并在执行完删除的可以替换 rm 3. 还有一些会校验可执行程序功能的,可以用 LD_PRELOAD 替换 libc 中的 exec , remove 4. 再高级点的可能要替换 write 5. 更加高端走编译路线的则只能上 IDA 静态分析了。。。。 之前研究过某免流脚本的加密机制,看着它不断升级加密方式,然而并没有什么卵用,毕竟最终还是要执行的。。。。 shc 属于第一种, gzexe 属于第二种 |
 |
98
mritd Dec 21, 2016 via iPhone
我大部分都用 docker ,很多镜像也是自己写的, ss 什么的 hub 下载一个 自动编译的就可以😄 (hub 目前 第二个应该是我的)
|
 |
100
orzz Nov 12, 2017
前几天被谷歌警告了,说有代码里有挖矿,被人值入代码了,只好删了
|
Select Language