Koishi 实例安全性公告

近期,我们注意到许多 Koishi 实例直接暴露在公网中,且未采取有效的安全防护措施,详情参见:

为了最大限度地保护 Koishi 公网实例的安全以及用户信息的安全,我们提出了《可以喜露出保卫计划》。

我们如何实施保卫计划?

我们将通过合法且公开的渠道不定期收集 Koishi 公开实例,并计划自动化审查筛选未进行有效防护措施的公开实例。

我们的具体行动是?

对于筛选出的未进行有效防护的实例,我们将尝试进行以下措施:

  • 如果能获得管理员联系方式,我们会发送邮件进行提醒。

  • 如果能够开启提醒插件,管理员会在控制台上方看到红色醒目提醒。

  • 如果上述手段无效,我们会尝试开启 auth 插件并设置一个足够复杂的随机密码。如需了解如何知道和修改密码,请查看 关于公网部署的基本信息安全 - #4,来自 MirrorCY

同时,将在此贴发布我们的发现与处理,在不泄露实例的情况下尽可能地披露相关信息。

如何保证 Koishi 实例的安全?

Koishi 控制台实例的特殊性使得如果不对控制台进行访问限制,任何人都可能获取控制台控制权,从而泄露配置项中的各项 Token、密钥等敏感信息,甚至可能暴露数据库中用户的隐私信息。

因此,我们推荐您采取以下安全措施:

  • 开启 auth 插件:auth 插件可以有效地限制对控制台的访问。请设置一个不常见且足够复杂的密码以保证安全。

  • 启用服务器防火墙:只放行 Koishi 实例的端口,限制其他端口的访问,以防止服务器被其他攻击手段攻破。

  • 使用非标准端口:将 ssh 或远程桌面地址以及 Koishi 实例等的端口更改为非标准端口,以降低被攻击的风险。

  • 定期更新和补丁:保持系统和应用程序的更新,及时应用安全补丁,可以有效防止已知漏洞被利用。

  • 使用 HTTPS:如果可能,使用 HTTPS 来加密传输的数据,防止数据在传输过程中被窃取或篡改。

本贴为 wiki ,欢迎大家编辑添加其他有效的安全措施。

6 个赞

关键词检出

4 个赞

歪歪的xp增加了!

4 个赞

这么长你就只能看到这个? :anger: :anger: :anger:

4 个赞