以下内容前提是我并未深入研究其配置文件,如果您知道安全相关配置,请评论指教~
先说结论:
1、尽量不要开放外网访问、IP+端口访问
2、非docker部署的,启动服务的用户权限必须最小,且阻止该账户提权
过程:
无意间看到一些视频和文章讲部署网页版vscode的,跟着凑热闹试了试。发现其默认配置下并没有阻止暴力破解,且如果配置不当,登录成功后,可通过终端执行命令。
攻击思路:
按IP+默认端口号扫描,通的地址记录后直接暴力破解即可,简单做个脚本直接post其登录接口,都是/login
配置建议:
1、内网使用
2、如外网使用则,防火墙配合nginx反代服务端口,不用的时候停掉反代
3、修改服务端口
4、密码拉的更长(反正浏览器记住就好)
5、配合其他安全工具
6、非docker部署的,新建用户启动其服务,且配置阻止此用户提权(其实都到了这一步。。。6做不做也没啥意义了,可操作的地方太多了)
终极建议
买个win平板电脑,能简单看看代码就行了。毕竟vscode网页端这易用性。。。。
2025-01-14 add:nginx反代后通过Fail2ban来ban IP也是个思路