个人感觉阿里云存在严重的安全隐患
我是菜鸟刚开始使用阿里云,观点可能偏颇,写出来供大家一起讨论:
首先,用户可以在云服务器的管理控制台中重设密码。然后,该密码将在服务器重启后生效。推论:阿里云在后台明文存储即将变更的服务器密码。
恕我恶意揣测一下:也许阿里云在后台明文存储着所有云服务器的root密码?
即使不是这样,仅被修改的密码曾经在后台明文存储过,哪怕只有短短几分钟时间,也足以让我们担惊受怕了。
要知道这可是root权限,这里部署的可能是生产环境。
即使阿里云的后台对外部恶意者来说坚不可摧,那对内部恶意者呢?这年头连银行的储户数据都经常外泄。
几乎每个阿里云用户在购买服务器后的第一件事都是先修改root密码,而这个修改后的密码,可能并非只有你自己知道……
什么云盾,什么防火墙,什么修改端口,什么denyhosts/fail2ban,在明文密码前通通都是虚掩的大门。
强烈希望阿里云重视此问题,提供一个让服务器使用者放心的解决方案。
对于阿里云用户,建议直接在服务器上修改root密码,不要通过“重设密码”修改。
展开
收起
11
条回答
写回答
写回答
-
-
-
-
楼主你真心想多了,云主机,只能发个指令,例如:setpasswd root 123456 这样,回头密码,你自已还是要改掉的。
至于是否明文保存密码,这个真心不知道,不过,默认开通的密码,垦定是明文保存的,因为邮件里面就有。2013-08-07 20:01:26赞同 展开评论 打赏 -
-
-
-
回 4楼(昵称未设置) 的帖子1.如果阿里云真想知道你的密码,他为何生成一串又长又难忘的随机ROOT密码给你?
2.懂linux 的人基本都知道passwd命令2013-08-07 17:36:58赞同 展开评论 打赏 -
回1楼enj0y的帖子或许不是明文,但一定是可解密的。而且一定存储在后台。否则在我们重设密码到重启服务器这段时间,新密码放在哪里呢?
我也认为这个功能确实有用,但阿里云至少应提醒用户该功能只应在忘记密码时使用。
我很胆小。对我来说,每当想到生产环境的root密码被保存在服务器以外的地方都让我寝食难安,呵呵2013-08-07 17:14:08赞同 展开评论 打赏 -
-
滑动查看更多
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
问答排行榜
最热
最新
推荐问答
