Mybookworld is not safe

我的 Mybookworld samba service 建有若干用户，各自的目录是凭各自的密码访问。昨天发现，Mybookworld 竟然不再问密码，任由我畅行在各个用户目录。Mybookworld 有一个 ip address 和一个自称的 device name，还有一个路由器指派它的 device name。凭前二者访问仍然正常，只是凭路由器指派的 device name 访问时密码失效。

我刚开始还以为我上次误点了“记住密码”，运行

net use * /d

Mybookworld 还是任由我畅通无阻。奇了怪了，难道 windows 有其他我不知道的地方记住了访问密码？转念一想，不是 windows 的原因，因为我不可能多次为多个用户误点“记住密码”。

于是重启 Mybookworld，问题依旧。正好有个 firmware 更新，更新后问题还是依旧。没辙了！

原本准备在 internet 上开放对 Mybookworld 的 ssh 访问，这下打消主意 —— Mybookworld 不够安全，samba 会出这等问题，保不准 ssh 也会出问题。

别说我是事后诸葛亮，刚拿到 Mybookworld 时，我看了一下它的配置，就觉得它很容易出现安全漏洞。举个例子：用 Mybookworld 自带的 web interface 创建的用户并不是 Linux 用户，这些用户属组全是 root:jewab，使用 root 就是一个非常不好的 bad practice，况且权限控制依赖于 Mybookworld 自带的程序，一点也没用到 Linux 强大的权限控制。开发 Mybookworld 的人水平再高，难道能高到抛弃一套完美的机制自搞一套？

再举个例子，启用 Mybookworld nfs 服务时可以指定 IP Allowed，但是 /etc/exports 却是这么写的

/nfs/myname *(rw,all_squash,sync,insecure,anonuid=65534,anongid=65534)

我非常不理解，nfs 服务明明可以限定 IP，然而 Mybookworld 又不用它，又在自搞一套。可它自搞的一套非常地不稳定，经常发生 allow list 上的用户不许访问。我不知道会不会有 deny list 上的用户反而被允许，那就更糟了。