Skip to content

Security: anfixit/routerus

Security

SECURITY.md

Политика безопасности

Поддерживаемые версии

Исправления безопасности выходят только для последней мажорной ветки скрипта. Более старые версии не поддерживаются — обнови deploy-remnanode.sh до актуальной версии.

Версия Поддержка
3.9.x ✅ поддерживается
< 3.9 ❌ не поддерживается

Как сообщить об уязвимости

Не открывай публичный issue и не описывай уязвимость в PR. Публичное раскрытие до выпуска фикса подвергает риску всех, кто уже развернул ноду.

Используй один из приватных каналов:

  1. GitHub Security Advisories (предпочтительно) — вкладка Security → Report a vulnerability в этом репозитории. Канал приватный, виден только мейнтейнерам.
  2. Telegram@anfixit (замени на свой контакт, если публикуешь форк).

В сообщении по возможности укажи:

  • версию скрипта (SCRIPT_VERSION в шапке) и версию Ubuntu;
  • затронутый компонент (фаза скрипта, генерируемый конфиг nginx/Xray, cron, UFW и т. п.);
  • шаги воспроизведения и потенциальное воздействие;
  • предлагаемое исправление, если есть.

Сроки реакции

  • Подтверждение получения — в течение 72 часов.
  • Первичная оценка — в течение 7 дней.
  • Выпуск фикса — по согласованию, обычно до 30 дней в зависимости от сложности. Уязвимости, ведущие к компрометации ноды или утечке приватного ключа Reality, приоритетны.

Мы придерживаемся скоординированного раскрытия: детали публикуются после выхода исправления и разумного окна на обновление.

Область действия

В области действия — код этого репозитория:

  • deploy-remnanode.sh;
  • генерируемые ими конфигурации (sshd, nginx, UFW, sysctl, cron, docker compose, Config Profile Xray);
  • обращение с секретами (приватный ключ Reality, SECRET_KEY, права на файлы).

Вне области действия — уязвимости вышестоящих проектов, о которых следует сообщать их авторам:

Замечания по безопасной эксплуатации

  • Всегда проверяй доступ по SSH из отдельного терминала до выхода из текущей сессии — фаза хардинга меняет порт и политику аутентификации.
  • Приватный ключ Reality хранится в /opt/remnanode/keys.txt (chmod 600). Не коммить его и не пересылай в открытых каналах.
  • Скрипт запускается из-под root и подтягивает внешние ресурсы (образы Docker, geo-файлы, пакеты Docker из официального apt-репозитория с GPG-подписью). Запускай его только на доверенных серверах и проверяй источник перед bash <(wget …).

There aren't any published security advisories