Deny access localhost and localnet#70
Conversation
|
See the comments in shadowsocks/shadowsocks-nodejs#70 |
|
我的意思是,SS 用户可以通过代理连接 127.0.0.1,即让 SS Server 连接 127.0.0.1。由于服务器防火墙一般直接信任 local loop [来源请求],这相当于使服务器的全部 TCP 端口对 SS 用户暴露。这点比较容易被忽视 [来源请求],从而形成安全隐患。 |
|
有很多人把 shadowsocks Python 版放在路由器或者一台特定的电脑上跑,比如我。 改防火墙配置比改 shadowsocks 配置更适合解决这个问题。 |
|
呃.. 你可能还没理解我的意思? |
|
Sorry,和其它几个 issue 弄混了。这个我再想想。感觉这样配置太复杂了。 |
|
On Mon, Oct 14, 2013 at 07:21:08AM -0700, BlueN wrote:
插一句,如果有 SELinux 的话还是很简单的~ 另外,iptables 我记得是有按用户 ID 处理的模块的。 Best regards, Linux Vim Python 我的博客: http://lilydjwg.is-programmer.com/A: Because it obfuscates the reading. |
|
我也不是很确定是否必要。我是最近想私下公开一台服务器才遇到的这个问题。如果 SS 设计之初就是个人使用绝对信任用户的,这个问题就不存在了,最多在 README 加上一条风险提示… |
|
MySQL 一般单机使用的时候用 unix socket,方便权限管理。 |
3 participants
Shadowsocks make user get through not only firewall on client side, but also server's firewall.
Since Shadowsocks server is often setted up with other services, such as MySQL. It may increase the risk.
(Though the implement may not be good...)