这个一键安装脚本时我写的,不是什么“来历不明”的 shell
脚本。而且脚本不复杂,懂的人一看就明白,是否有安全隐患,后门之类的,欢迎大家测试评估,有任何问题,随时反馈我。
最近某家大厂又开始发布他们有 Linux 的软件, FAQ 里写明需要使用 root 安装, 将他们的 deb 解开, 直接使用普通用户运行一切正常.
我说这点是想说明, 今天就算是 Perl, Ruby, Python 这些系统级的语言都没有要求使用 root 去运行, 凭什么一个使用 http 明文下载的脚本即要求使用 root 来执行? 我之前就有指出过这样不安全, 但对方(我是站在使用者, 还有很多新人的角度)认为 apt 也是使用明文 http, 有签名保护所以没有关系. 今天我们知道 _javascript_ 需要同源, 否则跨站攻击太危险了, 甚至针对二进制文件如 zip 压缩包里的文件进行替换, .sh 只一个普通的文本文件, 家用级的网关就可以做到.
那是不是把网站注册一个域名, 申请一个 SSL 证书就可以发布? 或者把 .sh 文件加一个 md5 校验就是安全呢? 之前我维护的一个微博登录库被人植入代码, 原因是其中一位合作者的邮件被撞库(所幸在事情发生两小内被发现), SSL / md5 只是解决分发安全, 源头的安全呢? 服务器的安全呢? 许多大公司的基础设施被入侵许一段时间后才被发现, 这样的新闻我们常常看到.
退一步说, 如果 Debian 注脚说一句: 欢迎大家测试, 那么还有人敢在服务器安装 Debian 吗? 如果不小心安装了 A开头的公司的商业软件, 收到律师函是不是风险?
我看过之前的一键安装脚本, 确实不复杂. 但是很难保证之后不会变复杂, 因为会有容错处理, 异常处理, 不同的环境处理, 再有, 现在已经使用 点 空格 点/install.sh 这样的语法, 难保之后不会加入更多的语法糖. 如果只基于事实而作评论, 扯这些扯远了, 但现在事情的发展正在跳进一个坑.
-Never