开发者社区> 问答> 正文

个人感觉阿里云存在严重的安全隐患

我是菜鸟刚开始使用阿里云,观点可能偏颇,写出来供大家一起讨论:


首先,用户可以在云服务器的管理控制台中重设密码。然后,该密码将在服务器重启后生效。推论:阿里云在后台明文存储即将变更的服务器密码。
恕我恶意揣测一下:也许阿里云在后台明文存储着所有云服务器的root密码?
即使不是这样,仅被修改的密码曾经在后台明文存储过,哪怕只有短短几分钟时间,也足以让我们担惊受怕了。


要知道这可是root权限,这里部署的可能是生产环境。


即使阿里云的后台对外部恶意者来说坚不可摧,那对内部恶意者呢?这年头连银行的储户数据都经常外泄。
几乎每个阿里云用户在购买服务器后的第一件事都是先修改root密码,而这个修改后的密码,可能并非只有你自己知道……
什么云盾,什么防火墙,什么修改端口,什么denyhosts/fail2ban,在明文密码前通通都是虚掩的大门。


强烈希望阿里云重视此问题,提供一个让服务器使用者放心的解决方案。
对于阿里云用户,建议直接在服务器上修改root密码,不要通过“重设密码”修改。

展开
收起
昵称未设置 2013-08-07 16:54:44 11182 0
11 条回答
写回答
取消 提交回答
  • 楼主,地球很危险,快回火星吧。
    2013-08-07 21:48:16
    赞同 展开评论 打赏
  • 你托管的话,你的硬盘都是机房随便看的,你以为安全?
    2013-08-07 21:09:46
    赞同 展开评论 打赏
  • 一般,linux用户会新建一个账号来维护
    2013-08-07 20:04:35
    赞同 展开评论 打赏
  • 楼主你真心想多了,云主机,只能发个指令,例如:setpasswd root 123456 这样,回头密码,你自已还是要改掉的。
    至于是否明文保存密码,这个真心不知道,不过,默认开通的密码,垦定是明文保存的,因为邮件里面就有。
    2013-08-07 20:01:26
    赞同 展开评论 打赏
  • Re个人感觉阿里云存在严重的安全隐患
    寡人直接关闭了root登陆权限,也就是说root登陆不进去
    2013-08-07 18:21:04
    赞同 展开评论 打赏
  • 应该没这么严重吧
    2013-08-07 17:52:43
    赞同 展开评论 打赏
  • 菜鸟变种了吗!这么专业的菜鸟不多呀。
    2013-08-07 17:44:31
    赞同 展开评论 打赏
  • 回 4楼(昵称未设置) 的帖子
    1.如果阿里云真想知道你的密码,他为何生成一串又长又难忘的随机ROOT密码给你?
    2.懂linux 的人基本都知道passwd命令
    2013-08-07 17:36:58
    赞同 展开评论 打赏
  • 回1楼enj0y的帖子
    或许不是明文,但一定是可解密的。而且一定存储在后台。否则在我们重设密码到重启服务器这段时间,新密码放在哪里呢?
    我也认为这个功能确实有用,但阿里云至少应提醒用户该功能只应在忘记密码时使用。

    我很胆小。对我来说,每当想到生产环境的root密码被保存在服务器以外的地方都让我寝食难安,呵呵
    2013-08-07 17:14:08
    赞同 展开评论 打赏
  • 各有各的想法。要知道世界上没有任何一款安全的主机
    你是不是就不用了呢
    2013-08-07 17:00:48
    赞同 展开评论 打赏
  • 您的无私奉献精神值得我们学习!向您致敬!
    2013-08-07 16:56:54
    赞同 展开评论 打赏
滑动查看更多
问答排行榜
最热
最新

相关电子书

更多
掌控企业安全威胁 立即下载
内存取证与IaaS云平台恶意行 为的安全监控 立即下载
内存取证与IaaS云平台恶意行为的安全监控 立即下载