Исправления безопасности выходят только для последней мажорной ветки скрипта.
Более старые версии не поддерживаются — обнови deploy-remnanode.sh до
актуальной версии.
| Версия | Поддержка |
|---|---|
| 3.9.x | ✅ поддерживается |
| < 3.9 | ❌ не поддерживается |
Не открывай публичный issue и не описывай уязвимость в PR. Публичное раскрытие до выпуска фикса подвергает риску всех, кто уже развернул ноду.
Используй один из приватных каналов:
- GitHub Security Advisories (предпочтительно) — вкладка Security → Report a vulnerability в этом репозитории. Канал приватный, виден только мейнтейнерам.
- Telegram — @anfixit (замени на свой контакт, если публикуешь форк).
В сообщении по возможности укажи:
- версию скрипта (
SCRIPT_VERSIONв шапке) и версию Ubuntu; - затронутый компонент (фаза скрипта, генерируемый конфиг nginx/Xray, cron, UFW и т. п.);
- шаги воспроизведения и потенциальное воздействие;
- предлагаемое исправление, если есть.
- Подтверждение получения — в течение 72 часов.
- Первичная оценка — в течение 7 дней.
- Выпуск фикса — по согласованию, обычно до 30 дней в зависимости от сложности. Уязвимости, ведущие к компрометации ноды или утечке приватного ключа Reality, приоритетны.
Мы придерживаемся скоординированного раскрытия: детали публикуются после выхода исправления и разумного окна на обновление.
В области действия — код этого репозитория:
deploy-remnanode.sh;- генерируемые ими конфигурации (sshd, nginx, UFW, sysctl, cron, docker compose, Config Profile Xray);
- обращение с секретами (приватный ключ Reality,
SECRET_KEY, права на файлы).
Вне области действия — уязвимости вышестоящих проектов, о которых следует сообщать их авторам:
- Remnawave Panel / Node
- XTLS/Xray-core
- henrygd/beszel
- пакеты Ubuntu, Docker, certbot, fail2ban
- Всегда проверяй доступ по SSH из отдельного терминала до выхода из текущей сессии — фаза хардинга меняет порт и политику аутентификации.
- Приватный ключ Reality хранится в
/opt/remnanode/keys.txt(chmod 600). Не коммить его и не пересылай в открытых каналах. - Скрипт запускается из-под root и подтягивает внешние ресурсы (образы Docker,
geo-файлы, пакеты Docker из официального apt-репозитория с GPG-подписью).
Запускай его только на доверенных серверах и проверяй источник перед
bash <(wget …).