maninhill
commented
1 year ago 大家有安全相关的建议,欢迎直接在这个 Issue 下留言和评论。
Closed maninhill closed 10 months ago
maninhill
commented
1 year ago 大家有安全相关的建议,欢迎直接在这个 Issue 下留言和评论。
xiaojiangclassmate
commented
1 year ago 希望添加面板安全入口 工具扫描容易直接暴露面板
wanghe-fit2cloud
commented
1 year ago 希望添加面板安全入口 工具扫描容易直接暴露面板
v1.2.0 版本支持该需求。
Felmon
commented
1 year ago 1 站点waf总开关、防御次数
2 站点waf里显示触发器、日志及误报
TIkc9
commented
1 year ago 关键文件(命令文件)加入md5哈希值监控,如对于挖矿病毒的定时/计划任务排查: /etc/crontab - 这是一个包含所有用户计划任务的配置文件,因此它是一个非常重要的文件,您应该经常检查它是否发生了任何变化。
/etc/cron.d - 这个目录包含了每个服务、应用和用户计划任务的单个文件。
/var/spool/cron - 这是一个包含所有用户计划任务的目录,特别是root用户的用户计划任务。
/etc/rc.local - 这个脚本包含了启动过程中要执行的命令。
/usr/lib/systemd/system/ - 这个目录包含运行时服务的配置文件,因此应该经常检查它们是否被修改。
/usr/local/bin /usr/bin /bin - 这些是常见的bin目录,在这些目录下检查任何新添加的或未知的二进制文件或脚本。 诸如ps、top这类常用的系统命令,其文件也建议加入监控列表
aiaiduo
commented
1 year ago 增加防火墙的命中规则明细和汇总统计,建议对源IP的归属的国家、城市名进行展示。
wanghe-fit2cloud
commented
1 year ago v1.2.0 版本,1Panel 支持了面板安全入口、auth_basic 账号密码登录功能、面板 SSL 设置、Openresty 隐藏版本号和标识等安全相关需求。
Star-caorui
commented
1 year ago 支持无密码,也就是删除密码。通过 FIDO 进行密钥验证的登录。 FIDO 支持使用硬件密钥(例:Yubikey),在设备内安全保存的密钥(例:iOS 16以上的钥匙串可存储安全密钥,Android 设备可存储安全密钥,Windows Hello) 示例产品有微软账号(支持无密码登录),Google账号(目前仅可登录,非高级保护计划不可删除密码)
heartshare
commented
1 year ago Only allow cloudflare IP access Hidden public IP https://gist.github.com/jhoelzel/1c015e667c162fc8f3f3712b1c6417c5
Anyexyz
commented
1 year ago 白名单似乎不生效,测试了各种网站均不生效,设置的单个IP
wanghe-fit2cloud
commented
1 year ago v1.3.0 版本中,1Panel 新增的安全相关需求如下:
zhengkunwang223
commented
1 year ago 白名单似乎不生效,测试了各种网站均不生效,设置的单个IP
WAF 的IP白名单作用 :白名单 IP 发出的请求不会被 WAF 拦截
cjx2022
commented
1 year ago 服务端装个ClamAV,面板可以直接设置定时扫描计划? 手动可以实现,但面板能够完成一键安装和计划配置是最好
Yuniova
commented
1 year ago 希望可以支持监控告警通知功能, 例如: 设置cpu或内存占用率和持续时间,达到这个阈值的时候通过邮件或其他可以支持的方式通知
sakuno214
commented
1 year ago 既然都已经增加MFA登录了,干脆一步到位支持FIDO2物理智能卡(Yubikey或者Google Titan key)认证呗
ts5202
commented
1 year ago 防火墙,增加国家、地区屏蔽功能。
AlwaysOnline
commented
1 year ago 防火墙功能,安全日志,攻击记录(方便针对性的拉黑IP)等,增加国家/地区屏蔽功能。
gitlsl
commented
1 year ago 面板是否会 连接你们后台上传遥测数据/版本跟新监测? , 如果有的话,请提供开关设置,并默认关闭,
现在很多GOV服务器怕是中毒,不允许主动外联,发现会报警
wanghe-fit2cloud
commented
1 year ago 面板是否会 连接你们后台上传遥测数据/版本跟新监测? , 如果有的话,请提供开关设置,并默认关闭, 现在很多GOV服务器怕是中毒,不允许主动外联,发现会报警
1Panel 面板不会连接到后台上传遥测数据或进行版本更新监测。 我们注重用户隐私和数据安全,因此我们没有此类操作。
gitlsl
commented
1 year ago 面板是否会 连接你们后台上传遥测数据/版本跟新监测? , 如果有的话,请提供开关设置,并默认关闭, 现在很多GOV服务器怕是中毒,不允许主动外联,发现会报警
1Panel 面板不会连接到后台上传遥测数据或进行版本更新监测。 我们注重用户隐私和数据安全,因此我们没有此类操作。
@wangdan-fit2cloud 好的, 那理论上 装了面板后, 不会有任何主动外联的操作产生吧, 除非那些应用自己去连
wanghe-fit2cloud
commented
1 year ago 面板是否会 连接你们后台上传遥测数据/版本跟新监测? , 如果有的话,请提供开关设置,并默认关闭, 现在很多GOV服务器怕是中毒,不允许主动外联,发现会报警
1Panel 面板不会连接到后台上传遥测数据或进行版本更新监测。 我们注重用户隐私和数据安全,因此我们没有此类操作。
@wangdan-fit2cloud 好的, 那理论上 装了面板后, 不会有任何主动外联的操作产生吧, 除非那些应用自己去连
是的。
uepuer
commented
1 year ago 网站增加功能性欠缺,比如 1.增加后端负载,只能增加一个,可以调整为动态增加 2.性能调整,可否提示brotli 3.这个单节点的,后面会支持多节点统一管理的功能吗? 4.可以支持.net core 程序部署吗?
cxy-magong
commented
1 year ago 是否支持 systemctl service 管理
wc7086
commented
1 year ago 希望增加 FIDO2 物理智能卡认证
steinvenic
commented
1 year ago oneinstack和lnmp都被投毒了
maninhill
commented
11 months ago fail2ban 集成 v1.9 上。
maninhill
commented
11 months ago maninhill
commented
11 months ago 
yzx1208
commented
10 months ago
感觉一堆人在登录系统!!! 太恐怖了!!!
zhengkunwang223
commented
10 months ago
感觉一堆人在登录系统!!! 太恐怖了!!!
云服务器的话 这个是正常的 可以用工具箱中的 Fail2ban 屏蔽这些 IP
d4renk
commented
9 months ago 面板是否会 连接你们后台上传遥测数据/版本跟新监测? , 如果有的话,请提供开关设置,并默认关闭, 现在很多GOV服务器怕是中毒,不允许主动外联,发现会报警
1Panel 面板不会连接到后台上传遥测数据或进行版本更新监测。 我们注重用户隐私和数据安全,因此我们没有此类操作。
@zhengkunwang223
[INFO] [AppStore] download file from https://apps-assets.fit2cloud.com/stable/1panel.json.zip
从系统日志上看 1Panel 貌似会定期主动更新应用商店列表
除了更新应用商店列表外 官方应用是否会主动外联呢 如果有 可以写入readme说明吗
zhengkunwang223
commented
9 months ago 面板是否会 连接你们后台上传遥测数据/版本跟新监测? , 如果有的话,请提供开关设置,并默认关闭, 现在很多GOV服务器怕是中毒,不允许主动外联,发现会报警
1Panel 面板不会连接到后台上传遥测数据或进行版本更新监测。 我们注重用户隐私和数据安全,因此我们没有此类操作。
@zhengkunwang223
[INFO] [AppStore] download file from https://apps-assets.fit2cloud.com/stable/1panel.json.zip从系统日志上看 1Panel 貌似会定期主动更新应用商店列表 除了更新应用商店列表外 官方应用是否会主动外联呢 如果有 可以写入readme说明吗
上述地址是应用商店的地址,应用商店所有资源均在阿里云 OSS 。
系统所有外联操作:
除此之外,没有其他的外联接口。 所有代码均已开源,并提供了官方开发文档。如还有疑问,可自行构建项目。
RebornForPower
commented
9 months ago 希望支持非root用户形式安装,包括在安装1Panel过程中对docker的rootless形式的安装。因为有些机构可能存在应对安全审计最小权限原则的需要。
Jaffrez
commented
8 months ago 可视化管理Fail2ban已经封禁的IP,目前无法查看被ban的具体信息,并可以从登录日志中跳转。 参考: Fail2ban-dashboard Fail2ban-web
chumacn
commented
8 months ago 关于禁ping,感觉有bug,我的系统是Ubuntu,明明设置了net.ipv4.icmp_echo_ignore_all = 1了,我甚至加了一个服务,来单独重启一下sysctl.conf,但是经常还是重启后可以被ping
d4renk
commented
8 months ago 关于禁ping,感觉有bug,我的系统是Ubuntu,明明设置了net.ipv4.icmp_echo_ignore_all = 1了,我甚至加了一个服务,来单独重启一下sysctl.conf,但是经常还是重启后可以被ping
我也遇到过 但不清楚触发条件 所以直接安全组 禁用icmp协议
QYG2297248353
commented
8 months ago 
netstat2016
commented
8 months ago 是否會考慮類似 Appnode 的節點管理模式。這樣一個後臺入口就可以管理多個服務器。
Diffused7245
commented
8 months ago 建议支持监听多个IP地址,用tailscale或者zerotier的话,走内网访问更安全,同时可以监听多个IPv6.
另外反馈一个bug,授权IP不支持IPV6的CIDR,只能输入一个IPv6地址,加不加中括号都不行。
summer413
commented
7 months ago 服务内部错误: disk I/O error (4874)
hinego
commented
6 months ago 构建过程希望为什么不使用GitHub Action?自动构建,这样最终的文件由GitHub Action来生成,同时提供Checksum,不然你们内部自行构建无法保证是否添加了额外代码吧
仅建议~
wduan123
commented
6 months ago 构建过程希望为什么不使用GitHub Action?自动构建,这样最终的文件由GitHub Action来生成,同时提供Checksum,不然你们内部自行构建无法保证是否添加了额外代码吧
仅建议~
他们已经完全开源了源代码,并提供了 Makefile 和 Action workflows 脚本,如果还有疑问,就自己动手构建吧。
反正我就是根据官方源代码自行构建的。
QQseGO
commented
6 months ago 让人给扫了,害。。。
percyc
commented
6 months ago 专业版的WAF,识别到的地址应该是IP报文里面的源ip地址,如果是做了内网端口转发或者用frp转发tcp到1Panel,会全部识别为内网地址。难道一定要使用http转发吗?记得之前nginx转发到openresty就有问题。
zhengkunwang223
commented
6 months ago 专业版的WAF,识别到的地址应该是IP报文里面的源ip地址,如果是做了内网端口转发或者用frp转发tcp到1Panel,会全部识别为内网地址。难道一定要使用http转发吗?记得之前nginx转发到openresty就有问题。
当前是从 http_x_forwarded_for,http_proxy_client_ip ,http_wl_proxy_client_ip ,http_http_client_ip,http_http_x_forwarded_for,remote_addr,http_x_real_ip 中获取 IP ,后续会支持从自定义的 Header 头中获取 IP
安全是一个 Linux 面板产品的核心,安全始终要放在第一位。我们想通过这个 Issue 汇总出 1Panel 安全相关最佳实践及需求。
对于上述列表中安全功能需求,欢迎大家认领任务、提 PR,一起努力,让 1Panel 越来越好。