V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
通过以下 Referral 链接购买 DigitalOcean 主机,你将可以帮助 V2EX 持续发展
DigitalOcean - SSD Cloud Servers
Kvm
V2EX  ›  VPS

同学们还是带一点点节操吧, 起码别用123456的密码吧

  •  
  •   Kvm · 2013-11-11 13:20:28 +08:00 · 3256 次点击
    这是一个创建于 4024 天前的主题,其中的信息可能已经有所发展或是发生改变。


    今天收到投诉邮件说有扫ssh的现象,上去查了一下发现密码123456
    前几天放了几个vps出来,虽然没花钱就领到了,但也别这么糟蹋啊
    51 条回复    1970-01-01 08:00:00 +08:00
    loveminds
        1
    loveminds  
       2013-11-11 13:21:16 +08:00
    你这个能看到明文密码?
    halo
        2
    halo  
       2013-11-11 13:21:49 +08:00
    竟然后台能看到明文密码。。。
    Livid
        3
    Livid  
    MOD
       2013-11-11 13:22:06 +08:00 via iPhone
    你的系统是明文存密码的?
    loveminds
        4
    loveminds  
       2013-11-11 13:23:04 +08:00
    @loveminds WHMCS后台密码居然是明文保存?这样的Bug到现在还没改变?
    chilaoqi
        5
    chilaoqi  
       2013-11-11 13:25:22 +08:00
    Festival Fxxk Where Exists!
    yywudi
        6
    yywudi  
       2013-11-11 13:25:43 +08:00
    呵呵厚
    Kvm
        7
    Kvm  
    OP
       2013-11-11 13:29:49 +08:00


    whmcs默认设计是明文存储的,然后我们自己有加强改进了了一些能够变动的都做类似的密文密码

    @Livid root密码默认是随机生成的密码,用户自己修改密码后会保存一个做为默认密码,在重装系统的时候要调用到,一般Linux的root密码都是让自己用passwd修改或者密匙登陆的.
    hcw1588
        8
    hcw1588  
       2013-11-11 13:31:08 +08:00
    K肿无节操了。。
    coosir
        9
    coosir  
       2013-11-11 13:31:55 +08:00
    很多主机管理程序都是明文存密码的,然后很多人不敢用常用密码。。。anyway,尽量用个随机的密码吧
    Kvm
        10
    Kvm  
    OP
       2013-11-11 13:35:37 +08:00
    @coosir 在主机开通的时候为了防止类似的情况就默认用随机密码,不让输入密码.
    已经做过相应的措施了

    wzxjohn
        11
    wzxjohn  
       2013-11-11 13:45:03 +08:00
    @loveminds
    @halo
    @Livid
    WHMCS的这个密码是用户初始设置的密码,所以可以明文看到,但是不会随着用户的改变而改变。同时因为有的系统会自动生成初始密码,所以这个第一次登陆密码肯定要明文存储的。
    Kvm
        12
    Kvm  
    OP
       2013-11-11 13:47:29 +08:00   ❤️ 1
    @loveminds
    @halo
    @Livid

    数据库里面截图,非明文存储.

    Kvm
        13
    Kvm  
    OP
       2013-11-11 13:48:29 +08:00   ❤️ 1
    @Livid 麻烦帮忙把上面的图片删除下
    coosir
        14
    coosir  
       2013-11-11 13:53:25 +08:00
    @wzxjohn
    @Kvm
    系统初始密码名文是可以理解的,只是这样的话后台不应该让用户直接修改密码,而是重置为一个随机的密码。真的要修改为用户自己容易记忆的密码就SSH过去passwd。在我看来这样的流程比较可以接受,虽然很多主机管理程序都不是这么做的。
    Kvm
        15
    Kvm  
    OP
       2013-11-11 13:56:46 +08:00
    @coosir 重置密码也使用随机密码这个意见可以接受,马上去改进一下系统模块.
    Kvm
        16
    Kvm  
    OP
       2013-11-11 14:27:36 +08:00


    以前为了用户爱使用简单密码的事,已经写过严格禁止的条例,但是还是没人看,甚至有人因为用简单密码还嫌弃我们多管闲事.

    起初调整模块和设置的初衷就已经是坐随机密码,后期为了方便保留了自助输入密码和将自定义密码做为重装系统初始密码,v2ex的各位IT和开发者担心的安全方面其实数据库存储本身已经是密文了, 现在采纳@coosir的意见把密码做成随机,希望这样一是能解决密码安全的担心,二能解决后面一些爱喜欢简单密码带来的麻烦.

    如果继续passwd还是改成123456这类简单规则密码,还是拦不住的那种也是没办法了,
    zhttty
        17
    zhttty  
       2013-11-11 14:32:32 +08:00
    @Kvm 你在图床删除似乎可以的?
    Kvm
        18
    Kvm  
    OP
       2013-11-11 14:34:43 +08:00
    @zhttty 不知道在那儿能删,我用"围脖是个好图床" 上传的
    manoon
        19
    manoon  
       2013-11-11 14:37:15 +08:00 via Android
    @Livid

    不光是@Kvm
    貌似,大部分用whcms 的国内商家都是这样的。一开始很奇怪,后来看到都是这样就不奇怪了。
    icyalala
        20
    icyalala  
       2013-11-11 14:54:04 +08:00
    要说严格的话,找一个常用密码扫描字典,保存时先验证一下。。
    loveminds
        21
    loveminds  
       2013-11-11 15:01:41 +08:00 via Android
    @icyalala Linux自身那种验证就不错,非root那种
    Nin
        22
    Nin  
       2013-11-11 15:03:36 +08:00
    所谓不花钱的就是这样的结果吧。。正好用这种123456的密码的估计也没续费的可能吧。
    kqz901002
        23
    kqz901002  
       2013-11-11 15:08:08 +08:00
    @Kvm 你存在新浪里面已经很危险了 从新浪里删了就行
    kurtrossel
        24
    kurtrossel  
       2013-11-11 15:08:59 +08:00
    修改密码强制为随机 +1
    kqz901002
        25
    kqz901002  
       2013-11-11 15:09:44 +08:00
    @Kvm 新浪微博的图片栏目里有你的所有图片。。
    Kvm
        26
    Kvm  
    OP
       2013-11-11 15:10:45 +08:00



    @manoon whmcs的密码很久前就不是明文存储了
    @icyalala 现在用10位大小写+数据的随机密码本想把特殊字符加进去的想想算了,
    从现在来看改变一些用简单密码的习惯和用通用密码的习惯吧,
    希望这样下来大家都安心点
    Kvm
        27
    Kvm  
    OP
       2013-11-11 15:16:50 +08:00
    @kqz901002 真没找到
    kwx
        28
    kwx  
       2013-11-11 15:17:20 +08:00
    支持K总,爱K总。
    Comphuse
        29
    Comphuse  
       2013-11-11 15:18:54 +08:00
    @Kvm 请帮我删除帐号 comphuse.v2ex.com。被防火墙挡在外面了,忘记密码无法登录后台,另外不知为何收不到密码重置邮件。抱歉了,谢谢。
    moretalent
        30
    moretalent  
       2013-11-11 15:18:57 +08:00
    做个测试先。
    Kvm
        31
    Kvm  
    OP
       2013-11-11 15:24:39 +08:00
    @Comphuse 我给你发邮件了,用控制台能进入系统操作iptables.
    Showfom
        32
    Showfom  
       2013-11-11 15:45:35 +08:00
    whmcs 第一次生成的密码在后台的确是明文显示的,但是在数据库里当然是加密的,不少用户从来不会去改,安全隐患
    ericls
        33
    ericls  
       2013-11-11 19:22:02 +08:00
    一直不允许密码登录的好青年路过
    Kvm
        34
    Kvm  
    OP
       2013-11-11 19:34:44 +08:00
    @ericls 用ssh-rsa验证的搭车撸过,机器太多输密码要死人
    undeadking
        35
    undeadking  
       2013-11-12 01:44:14 +08:00
    @kqz901002 删微相册里面的图片并不会让图片链接即时失效.连被官方干掉的帐号发的图片链接都能正常访问,感觉发到微博的图根本没有删除的途径
    Admstor
        36
    Admstor  
       2013-11-12 11:42:52 +08:00
    求分享管理系统
    rffan
        37
    rffan  
       2013-11-12 13:54:57 +08:00
    K总,求一台尝尝鲜~
    Kvm
        38
    Kvm  
    OP
       2013-11-12 13:59:14 +08:00   ❤️ 1
    @rffan 阿福菌 擦干你脸颊上的jing液吧

    @Admstor 基本主体是老外的whmcs.com,每月12刀授权费,终身版带一年升级250刀直接去下单就能有,不过代码是加密的.
    nowit
        39
    nowit  
       2013-11-12 14:01:16 +08:00
    @coosir V2EX上评论是落地有声的,没有后悔药,不会删除的,你懂的!
    rffan
        40
    rffan  
       2013-11-12 14:05:48 +08:00
    @Kvm K总,求保有你的VZ~
    lixu0606
        41
    lixu0606  
       2013-11-12 20:17:24 +08:00
    你家kvmla.com 河南铁通无法访问 挂代理也不行 提示Error establishing a database connection
    Kvm
        42
    Kvm  
    OP
       2013-11-12 23:55:58 +08:00
    @lixu0606 在迁移服务器,现在已经恢复了
    hlt57fd
        43
    hlt57fd  
       2013-11-13 14:58:06 +08:00
    随机的
    xsziran
        44
    xsziran  
       2013-11-16 13:40:49 +08:00
    @Kvm 你那个OVZ 18块的是怎么回事儿啊
    Kvm
        45
    Kvm  
    OP
       2013-11-16 16:04:19 +08:00
    @xsziran 就是18块钱一个月的VPS
    wzxjohn
        46
    wzxjohn  
       2013-12-23 10:22:05 +08:00
    @Kvm 去图床把图删了啊。。。话说现在V2EXer还有优惠咩?
    Kvm
        47
    Kvm  
    OP
       2013-12-23 14:24:44 +08:00
    @wzxjohn 最近有香港机房的促销,骚年要是否来一发?
    wzxjohn
        48
    wzxjohn  
       2013-12-28 11:25:35 +08:00
    @Kvm 啥促销啊?求优惠码。首月就算了。。。
    wzxjohn
        49
    wzxjohn  
       2013-12-28 11:32:05 +08:00
    @Kvm 73.8香港也算了。。。没有诱惑力。。。我现在 用的74.25 SSD的
    Kvm
        50
    Kvm  
    OP
       2013-12-28 15:19:19 +08:00
    @wzxjohn ssd就呵呵呵吧,

    等我那天变成一个真正的奸商后就弄SSD直接开小鸡
    wzxjohn
        51
    wzxjohn  
       2013-12-28 16:19:41 +08:00
    @Kvm 为啥呢。。。感觉IO很好啊。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   911 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 20:42 · PVG 04:42 · LAX 12:42 · JFK 15:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.