Mybookworld is not safe

我的 Mybookworld samba service 建有若干用户,各自的目录是凭各自的密码访问。昨天发现,Mybookworld 竟然不再问密码,任由我畅行在各个用户目录。Mybookworld 有一个 ip address 和一个自称的 device name,还有一个路由器指派它的 device name。凭前二者访问仍然正常,只是凭路由器指派的 device name 访问时密码失效。

我刚开始还以为我上次误点了“记住密码”,运行

net use * /d

Mybookworld 还是任由我畅通无阻。奇了怪了,难道 windows 有其他我不知道的地方记住了访问密码?转念一想,不是 windows 的原因,因为我不可能多次为多个用户误点“记住密码”。

于是重启 Mybookworld,问题依旧。正好有个 firmware 更新,更新后问题还是依旧。没辙了!

原本准备在 internet 上开放对 Mybookworld 的 ssh 访问,这下打消主意 —— Mybookworld 不够安全,samba 会出这等问题,保不准 ssh 也会出问题。

别说我是事后诸葛亮,刚拿到 Mybookworld 时,我看了一下它的配置,就觉得它很容易出现安全漏洞。举个例子:用 Mybookworld 自带的 web interface 创建的用户并不是 Linux 用户,这些用户属组全是 root:jewab,使用 root 就是一个非常不好的 bad practice,况且权限控制依赖于 Mybookworld 自带的程序,一点也没用到 Linux 强大的权限控制。开发 Mybookworld 的人水平再高,难道能高到抛弃一套完美的机制自搞一套?

再举个例子,启用 Mybookworld nfs 服务时可以指定 IP Allowed,但是 /etc/exports 却是这么写的

/nfs/myname *(rw,all_squash,sync,insecure,anonuid=65534,anongid=65534)

我非常不理解,nfs 服务明明可以限定 IP,然而 Mybookworld 又不用它,又在自搞一套。可它自搞的一套非常地不稳定,经常发生 allow list 上的用户不许访问。我不知道会不会有 deny list 上的用户反而被允许,那就更糟了。

4 Replies to “Mybookworld is not safe”

  1. 我还真发现一个 ssh 方面的问题:如果开放 ssh 访问,Mybookworld 每次 firmware update 以后,root 密码会被重置为 welc0me。即使升级前禁止了 root 登录,升级后又恢复了出厂设置,非常不安全!

  2. 哦,我目前用的是网络开发固件,安全确实是个问题。但目前MLDonkey的DNS解析问题确实有些头痛,好像在MLDonkey本身的bug,从2.8.x就有提出和补丁,目前到了3.0.0版还显示DNS解析故障。

Leave a Reply

Your email address will not be published. Required fields are marked *