V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
Siril
V2EX  ›  Linux

破事水: 为什么 linux 一键安装脚本如此流行,你们敢不看内容直接贴 root 权限执行么

  •  
  •   Siril · 2016-12-12 15:43:50 +08:00 · 19090 次点击
    这是一个创建于 2928 天前的主题,其中的信息可能已经有所发展或是发生改变。
    类似于
    #wget http://example.com/aaa/bbb/xxx.sh && sh xxx.sh


    而不是这样:
    $wget http://example.com/aaa/bbb/xxx.sh
    $view xxx.sh
    反复地看,越长越可疑。
    总算放心地 sudo ./xxx.sh 了。
    第 1 条附言  ·  2016-12-12 17:20:27 +08:00
    不要误会,

    我相信各种官方源(和软件原作者)的人品以及技术实力很多人已经检查过了,

    这里讨论的是不知名博客上的一键安装脚本,会不会加料。
    第 2 条附言  ·  2016-12-12 17:24:48 +08:00
    而且官方源也不是 100%靠谱哈, 比如 deepin linux 官网镜像被替换那次事件。

    那种的不但更坑,还难以检查, 不作讨论
    第 3 条附言  ·  2016-12-13 10:01:34 +08:00
    我记错了, 是 mint ,不是 deepin
    100 条回复    2017-11-12 21:32:26 +08:00
    likuku
        1
    likuku  
       2016-12-12 15:47:53 +08:00
    反正是 aws/vbox 里临时起个虚拟机,装坏大不了从 snapshot 还原 /干掉系统重建
    Hucai
        2
    Hucai  
       2016-12-12 15:48:26 +08:00   ❤️ 10
    因为菜,看了内容也不懂,索性直接贴代码执行了
    simple26
        3
    simple26  
       2016-12-12 15:50:17 +08:00
    因为要一条龙服务
    harry890829
        4
    harry890829  
       2016-12-12 15:50:59 +08:00   ❤️ 1
    一般这种东西我都是从 github 上直接用的,有一个心理吧,既然都是开源出来的,要是有什么大问题早就闹起来了……
    isCyan
        5
    isCyan  
       2016-12-12 15:51:24 +08:00
    因为大家都粘贴,反正肯定不指我一个人遭殃
    lhbc
        6
    lhbc  
       2016-12-12 15:51:36 +08:00
    放 github 并且有一定 star 的,稍为看下就行
    lhbc
        7
    lhbc  
       2016-12-12 15:54:07 +08:00
    不过,我都是自己写
    涉及编译的自己打包
    amustart
        8
    amustart  
       2016-12-12 15:54:43 +08:00
    这种还行,至少给你源码,更恐怖的是直接丢你一个可执行文件
    还有种套路就是 wget xxx.sh && sh xx.sh 然后脚本里下载可执行文件 执行然后删除可执行文件的
    tvallday
        9
    tvallday  
       2016-12-12 15:55:11 +08:00
    装个 SS 还要看懂脚本,太蛋疼了。
    jccg90
        10
    jccg90  
       2016-12-12 15:55:54 +08:00
    开发环境无所谓,生产环境的话,各种配置和优化一大堆,不用一键脚本的话要疯的。。。当然 docker 是更好的解决方案,比一键脚本更好用。。。反正都是开源的,我不看内容,总有人会看的。。。有问题早被别人喷死了,轮不到我
    fangxing204
        11
    fangxing204  
       2016-12-12 15:56:35 +08:00 via Android
    一般作者都会测试吧
    Siril
        12
    Siril  
    OP
       2016-12-12 16:12:07 +08:00
    @tvallday 就是传说它的很多一键安装包有后门的呢。

    @harry890829 @isCyan @amustart
    用的人多不代表肯定没问题, 参考 xcode 后门事件。
    如果我 fork 个 ss ,稍微改一点,粗心的人一看,哦, github 上的,不也是一样么。

    看来你们认为重要的机器不会这么搞,
    然而,虽然 ss 不太重要,但自建 ss 的其中一个目的大概是,对各种服务提供商的不信任吧? 自用的 ss 机器上加后门,那还有什么区别?
    phx13ye
        13
    phx13ye  
       2016-12-12 16:12:29 +08:00
    为什么社区提供的二进制,通过包管理就敢装,不用反编译看下源码吗
    CloudnuY
        14
    CloudnuY  
       2016-12-12 16:13:31 +08:00
    看啊,加密的 sh 还要解密再看看
    isCyan
        15
    isCyan  
       2016-12-12 16:15:35 +08:00
    其实安装 ss 不就几个命令嘛,完全无需一键脚本啊
    tvallday
        16
    tvallday  
       2016-12-12 16:19:24 +08:00
    @Siril 我用的是 TeddySun 的,有没有问题?
    Siril
        17
    Siril  
    OP
       2016-12-12 16:22:03 +08:00
    @phx13ye
    这是抬杠,(现在的)包管理(一般)有验证作者 key 的机制吧。使用一个 linux 发行版,就信任了其开发团队,但是,随便一个网站上的需要 root 权限的 一行安装脚本,直接贴终端就执行, 说明随便就信任了这个网站。 这两种信任,后者有些过于随便了吧。
    Siril
        18
    Siril  
    OP
       2016-12-12 16:24:50 +08:00
    @isCyan 确实就几行命令啊,
    我是从 dockerhub 上找 dockerfile 然后抄几句用到的(并检查文件下载来源)就装上了。。。

    @tvallday 没用过不知道, ss 一键安装包 带后门我也是道听途说。
    qwer1234asdf
        19
    qwer1234asdf  
       2016-12-12 16:30:26 +08:00
    因为需要``全套服务``
    fprint
        20
    fprint  
       2016-12-12 16:34:58 +08:00
    从来不一键,安装是省事了,但是后面配置更麻烦。原来我甚至全部自己用官方源码编译,后来据说 rpm 包跟自己编译区别也不大,就用 rpm 安装了。
    FreeDog
        21
    FreeDog  
       2016-12-12 16:38:18 +08:00
    这叫信任。就像我们默认相信系统自带 CA 是真的(自己拉黑 WoSign 的就是因为丧失信任了)
    vv7ue
        22
    vv7ue  
       2016-12-12 16:40:53 +08:00
    so , linux 也需要 360 这样的安全卫士
    Siril
        23
    Siril  
    OP
       2016-12-12 16:45:17 +08:00
    @FreeDog 看 17 楼, 提的问题是, 对一个 google 随便搜到的小博客(你又不认识博主)你能拿出这种信任么。 即使是原作者发布的,虽然原作者的人品应该是值得信任,但是,不带校验的 http 下载在特定的网络环境下不是也有风险么。

    后门的影响范围可能包括 一个 vps 账号( ddos 等滥用会被 ban )以及自己上网流量的安全,还包括 ss 的机器同时搭着其他服务,如果有的话。
    Siril
        24
    Siril  
    OP
       2016-12-12 16:45:52 +08:00
    @vv7ue 有道理, 360 公司赶紧做一个,商机啊! (滑稽脸)
    leavic
        25
    leavic  
       2016-12-12 16:48:12 +08:00
    如果这脚本是加密的,得看看,否则没必要,你干一次坏事这辈子名声就臭了。
    Vindroid
        26
    Vindroid  
       2016-12-12 16:49:56 +08:00
    谁叫我自己不会弄+懒得弄呢, github 上找个 star 最高的装了能用再说,其他的管他呢
    q397064399
        27
    q397064399  
       2016-12-12 16:51:23 +08:00
    没必要看,有坑 反正不只我一个人掉进去,生产环境有的要自己负责的话,还是稍微看看,否则出问题了 要坐牢的,
    金融公司的系统,如果随意引入开源二进制包也是存在风险的,
    aaronzjw
        28
    aaronzjw  
       2016-12-12 16:51:52 +08:00 via Android
    你用支付鸨看他源码吗😊
    Siril
        29
    Siril  
    OP
       2016-12-12 16:54:42 +08:00
    @aaronzjw 我的 支付鸨装在备用手机 和 win7 虚拟机 里。。。
    这种东西是(基本上)不得不用,
    而且吧, 大公司作恶, 和脚本小子作恶, 风格不同哦。
    sh1t0nu
        30
    sh1t0nu  
       2016-12-12 16:56:12 +08:00 via Android
    @jccg90 都是这么想的
    FreeDog
        31
    FreeDog  
       2016-12-12 17:04:13 +08:00
    @Siril 我指的是官方 Wiki 中或者知名大公司官方提供的命令,小博客提供的默认也不怎么信任
    ragnaroks
        32
    ragnaroks  
       2016-12-12 17:11:17 +08:00   ❤️ 1
    rockyou12
        33
    rockyou12  
       2016-12-12 17:12:25 +08:00
    懒,而且看不懂。但是用了 docker 后我再也没有这些忧愁烦恼
    muyege
        34
    muyege  
       2016-12-12 17:13:33 +08:00
    楼主这是饱汉子不知饿汉子饥,想当年哥为了学会装 Linux 还请学院老大哥吃过好几顿饭呢,有需求就有市场
    irainsoft
        35
    irainsoft  
       2016-12-12 17:13:57 +08:00
    既然用了一键包就不要再麻烦自己了,经常用的一键包心情好时可以去检查下

    如果真的是重要的服务端那还是自己去编译安装吧
    loading
        36
    loading  
       2016-12-12 17:14:29 +08:00 via Android
    没必要在公共脚本作恶,因为,别人也是有头有脸的。
    Kei
        37
    Kei  
       2016-12-12 17:15:11 +08:00
    那 brew install 和 apt-get install LZ 怎么检查= =……
    Siril
        38
    Siril  
    OP
       2016-12-12 17:19:19 +08:00
    @Kei 17 楼, 就是说官方源(和软件原作者) 的人品以及技术实力很多人已经检查过了, 这里讨论的是不知名博客上的一键安装脚本。
    doubleflower
        39
    doubleflower  
       2016-12-12 17:22:06 +08:00
    star 多就不管了,用各种开源库不也这样,谁也不会每个都去看一遍源码查有没有加后门。
    Kei
        40
    Kei  
       2016-12-12 17:36:43 +08:00
    @Siril 确实,都是随便 Google 个博客直接粘贴运行的……= =
    zltningx
        41
    zltningx  
       2016-12-12 17:39:19 +08:00 via Android
    确实有风险哈。但是不是说大部分漏洞都是程序员懒导致的么。这么一想是不是就好受多了
    wsy2220
        42
    wsy2220  
       2016-12-12 17:40:35 +08:00
    原来真有不看就运行的....
    introom
        43
    introom  
       2016-12-12 17:43:23 +08:00
    star 多不管
    s
    ouqihang
        44
    ouqihang  
       2016-12-12 17:52:58 +08:00
    会加料的,参考各种一键脚本配置免流服务器,脚本还是加密的,专骗小白。直接打开还看不到内容。
    fengxiang
        45
    fengxiang  
       2016-12-12 17:57:11 +08:00
    反正我是不敢用
    jason19659
        46
    jason19659  
       2016-12-12 17:57:53 +08:00
    你是说比如这种吗。。
    wget http://t2t2.cc/aa.sh && sh aa.sh
    ToughGuy
        47
    ToughGuy  
       2016-12-12 17:58:20 +08:00
    还记得当年 bumblebee 《一个空格引发的血案》么?

    小船不是不翻,只是时间未到。


    http://coolshell.cn/articles/4875.html
    BOYPT
        48
    BOYPT  
       2016-12-12 18:06:26 +08:00
    唉。。。。我在公司的主要工作就是把别人的项目打包成一键脚本...
    Siril
        49
    Siril  
    OP
       2016-12-12 18:07:31 +08:00
    @jason19659 对对对,就是这个意思。
    不过杀伤力不够强, 万一人家有快照呢?
    不如留木马靠谱,受害者发现之前可能 vps 账号已经被 ban 了。
    murusu
        50
    murusu  
       2016-12-12 18:14:03 +08:00
    脚本不看也敢用,只能说真心胆大
    Zzzzzzzzz
        51
    Zzzzzzzzz  
       2016-12-12 18:19:12 +08:00   ❤️ 1
    你们说的某个不可描述的软件从 debian jessie 和 ubuntu 16.04 开始就已经在仓库里了, 一个 apt 下去从启动脚本到配置文件全有了
    Ansen
        52
    Ansen  
       2016-12-12 18:31:09 +08:00
    吓得我赶紧看看我前两天装 kcptun 的一键脚本 (我只是想偷懒而已)
    rrfeng
        53
    rrfeng  
       2016-12-12 18:46:09 +08:00
    从来不用这种脚本。

    会报一万个错误出来,倒不是怕有后门之类的。主要是不清楚 step by step 的安装方式,不清楚依赖什么,不放心。
    sammo
        54
    sammo  
       2016-12-12 18:59:34 +08:00
    自己小鸡上用用无所谓
    专职的公司运维岗位也敢用一键脚本么? 如果是则难以想象
    sox
        55
    sox  
       2016-12-12 19:03:36 +08:00
    一切的前提是信任作者。
    allenhu
        56
    allenhu  
       2016-12-12 19:09:30 +08:00 via Android
    是小白们很流行吧,我是从来没用过,不放心
    everhythm
        57
    everhythm  
       2016-12-12 19:10:50 +08:00
    。。一般下载的东西,都会附上 1 个 md5 作为校验吧,除非别人把要下的东西和 md5 同时改掉
    Heinz
        58
    Heinz  
       2016-12-12 19:21:45 +08:00
    以前用是觉得方便,现在自己配置觉得放心
    XGHeaven
        59
    XGHeaven  
       2016-12-12 19:51:40 +08:00 via Android
    这个时候区块链就有用了 2333
    WinG
        60
    WinG  
       2016-12-12 20:09:28 +08:00 via Android
    @XGHeaven 关区块链什么事
    eccstartup
        61
    eccstartup  
       2016-12-12 20:25:39 +08:00
    sgissb1
        62
    sgissb1  
       2016-12-12 20:26:07 +08:00
    linux 上装东西和配东西,有时候就比较恶心。比如说 pptp 和 l2tp ,由于软件包和不同发行版本的因素,导致配置起来有所差异,搞不好还有问题。因此就出现了各种一键脚本,还有就是外加某墙的功劳。

    事实上在 linux 对于配置相对简单或清晰的软件包来说,我都是 apt-get/yum+手工自己弄。除了一些具复杂无比的。

    LAMP 都是自己手工配(不过不同发新版本的 linux 和 LAMP 来说,确实很恶心,配置保存位置和配置项有少许区别)
    Laobai
        63
    Laobai  
       2016-12-12 20:42:30 +08:00
    因为







    嫌麻烦,最重要的是技术菜,看不懂啊
    uuuing
        64
    uuuing  
       2016-12-12 20:47:40 +08:00
    矫情,你装上百个机器,你用脚本试试,都是自己写个一键脚本统一配置, 不说 100 台了 来 20 台让你手动编译够你受的。
    bk201
        65
    bk201  
       2016-12-13 00:08:37 +08:00 via iPhone
    看机器重要不重要了,一个 ss 玩的机器,怎么方便怎么装.重要机器肯定要细心了.
    d7101120120
        66
    d7101120120  
       2016-12-13 00:44:18 +08:00
    估计楼主主要说的是类似于 ss 一键安装包,锐速一键安装破解脚本之类的东西吧,这个老实说我也很怀疑,虽说不至于盗取信息之类的,但是类似于发动 ddos 攻击我估计很有可能。不过我现在用的也是一键,因为锐速的事情没办法。不过现在 BBR 已经出来了,有时间还是重装一下系统然后换成 BBR 吧。
    msg7086
        67
    msg7086  
       2016-12-13 02:52:21 +08:00
    @phx13ye 包管理有 PGP 签名。
    PGP 签名大都需要线下见面互相信任交换。
    夹带私货查到就直接计算机犯罪进局子了,谁敢做。
    ryd994
        68
    ryd994  
       2016-12-13 05:23:16 +08:00
    @lhbc bumblebee :来我帮你重装
    Vicer
        69
    Vicer  
       2016-12-13 07:27:11 +08:00 via Android
    @d7101120120 啊?在说我吗?
    最近在 hostloc 上写了一个 shell ,主要解决锐速断流的问题。。。。 shell 和所需的东西都放 github 上。
    wweir
        70
    wweir  
       2016-12-13 08:03:03 +08:00 via iPhone
    个人放出来的脚本,会看下。有名的项目,需要使用 root 的,会考虑下对系统干了什么,不要 root 的,也是直接装。

    话说,能轻松看懂脚本的人,绝大多数情况是一键式脚本的,自己会有自己的脚本集。
    用脚本多数是在虚拟的环境里偷偷懒而已,也不需要那么高的安全性
    iCyMind
        71
    iCyMind  
       2016-12-13 08:03:17 +08:00 via Android
    @uuuing 阅读理解零分
    iCyMind
        72
    iCyMind  
       2016-12-13 08:05:11 +08:00 via Android
    其实更可怕的是手机论坛的各种搬运包好吧,而且有不少都需要 root 权限
    iCyMind
        73
    iCyMind  
       2016-12-13 08:05:59 +08:00 via Android
    @everhythm 大哥,一个脚本文件哪来的 md5 啊
    wweir
        74
    wweir  
       2016-12-13 08:07:29 +08:00 via iPhone
    @wweir 漏了
    能轻松看懂脚本的人,绝大多数情况是不会用那些私人的提供的一键式脚本的,他们有自己的脚本集
    nanpuyue
        75
    nanpuyue  
       2016-12-13 08:19:56 +08:00 via iPhone   ❤️ 1
    镜像被替换的是 Linux Mint 吧……
    d7101120120
        76
    d7101120120  
       2016-12-13 08:33:32 +08:00
    @Vicer 2333 不是了,是另一个广为使用的锐速一键脚本。
    jyf007
        77
    jyf007  
       2016-12-13 08:54:25 +08:00 via Android
    @lhbc gentoo 路过了
    linux40
        78
    linux40  
       2016-12-13 08:56:44 +08:00 via Android
    PKGBUILD 不需要 root ,安装才需要。
    Clarencep
        79
    Clarencep  
       2016-12-13 09:04:59 +08:00
    传统的 `./configure && make && make install` 的方式不也都是脚本吗?有多少人去看里面具体干了啥事?
    lrh3321
        80
    lrh3321  
       2016-12-13 09:41:59 +08:00
    在虚拟机里跑,玩坏了不心疼
    zonghua
        81
    zonghua  
       2016-12-13 09:49:11 +08:00
    怕不怕 docker 搞事
    hahastudio
        82
    hahastudio  
       2016-12-13 09:50:23 +08:00
    别看中文文章自动过滤 99% 可疑脚本
    Em5O7B1JGfjQnBry
        83
    Em5O7B1JGfjQnBry  
       2016-12-13 10:20:12 +08:00 via Android
    不可靠的这种命令肯定不会跑去执行啊,要用到这种一键脚本的其实很少,一般要装个什么软件,都是先 apt 找,没有就去官网自己编译呗
    xjp
        84
    xjp  
       2016-12-13 10:37:46 +08:00 via iPhone
    哈哈哈哈 因为看不懂 还有一个原因是 反正不止我一个人遭殃
    alouha
        85
    alouha  
       2016-12-13 10:47:37 +08:00
    能我自己配置的,我就自己配置。如果说实在搞不定的,我就在网上找下,采用使用最广泛的方式。一键脚本用的不多,不过我也是觉得,反正又不是我一人遭殃……
    iRiven
        86
    iRiven  
       2016-12-13 10:52:37 +08:00 via Android
    别人都用 我也就用了
    Balthild
        87
    Balthild  
       2016-12-13 12:42:58 +08:00 via Android
    @phx13ye 有 GPG 簽名驗證
    lybtongji
        88
    lybtongji  
       2016-12-13 16:10:55 +08:00
    反正我是每句命令都看过再执行的
    Siril
        89
    Siril  
    OP
       2016-12-13 17:49:40 +08:00
    @ragnaroks 360 公司太伟大了,连 1%的用户都考虑到了。赶紧装一个, 从此再也不怕恶意脚本了! (滑稽脸)


    不过 linux 作服务器也不是 1%啦, 是 90%多吧。
    gemini
        90
    gemini  
       2016-12-13 20:20:42 +08:00
    极少有机会使用到 root 权限~~
    lianxiaoyi
        92
    lianxiaoyi  
       2016-12-14 10:41:50 +08:00
    反正能用的集成环境也就那几个 。。。。。
    salmon5
        93
    salmon5  
       2016-12-14 11:10:52 +08:00
    一键安装脚本从来不用,各种小组件都要到处 wget ,然后再编译一遍,很多组件直接 yum 就可,
    把简单的问题复杂化。
    XGHeaven
        94
    XGHeaven  
       2016-12-16 13:36:37 +08:00 via Android
    @WinG 去中心化,解决认证问题
    mmmyc
        95
    mmmyc  
       2016-12-20 01:41:06 +08:00 via Android
    @CloudnuY 请教解密方法呢?比如用 gzexe 和 shc 加密的脚本
    codehz
        96
    codehz  
       2016-12-20 23:17:59 +08:00
    @mmmyc 有些加密我记得可以

    1. 直接替换 /bin/sh 为一个输出内容的程序就可以(为了避免破坏系统,建议用 proot )
    2. 有一些解密释放并在执行完删除的可以替换 rm
    3. 还有一些会校验可执行程序功能的,可以用 LD_PRELOAD 替换 libc 中的 exec , remove
    4. 再高级点的可能要替换 write
    5. 更加高端走编译路线的则只能上 IDA 静态分析了。。。。

    之前研究过某免流脚本的加密机制,看着它不断升级加密方式,然而并没有什么卵用,毕竟最终还是要执行的。。。。 shc 属于第一种, gzexe 属于第二种
    mmmyc
        97
    mmmyc  
       2016-12-20 23:29:51 +08:00 via Android
    @codehz 好高深。
    mritd
        98
    mritd  
       2016-12-21 10:01:05 +08:00 via iPhone
    我大部分都用 docker ,很多镜像也是自己写的, ss 什么的 hub 下载一个 自动编译的就可以😄 (hub 目前 第二个应该是我的)
    alexnone
        99
    alexnone  
       2017-01-03 13:34:30 +08:00
    @mritd 大神
    orzz
        100
    orzz  
       2017-11-12 21:32:26 +08:00
    前几天被谷歌警告了,说有代码里有挖矿,被人值入代码了,只好删了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3040 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 14:13 · PVG 22:13 · LAX 06:13 · JFK 09:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.