امنیت

گزارش آسیب‌پذیری‌های امنیتی

اگر یک آسیب‌پذیری امنیتی در Meridian کشف کنید:

1. یک issue عمومی باز نکنید
2. ایمیل به نگاهبان یا استفاده کنید از GitHub Security Advisories
3. مراحل تکرار و تأثیر احتمالی را شامل کنید

ما بعد از 48 ساعت پاسخ دهیم و گزارش‌کنندگان را در اصلاحیه به‌رسمی تشکر می‌کنیم.

طراحی امنیت

• اطلاعات اعتبار: با مجوز 0600 در ~/.meridian/credentials/<IP>/ ذخیره می‌شود، اسرار هرگز بدون shlex.quote() از طریق دستورات shell ارسال نمی‌شود، از خروجی meridian doctor حذف می‌شود. مجوز دایرکتوری 0700 (فقط مالک). هر برنامه‌ای که به‌عنوان کاربر شما اجرا شود می‌تواند این فایل‌ها را بخواند — این ویژگی ذاتی همه ابزارهای CLI است که اطلاعات اعتبار را به‌صورت محلی ذخیره می‌کنند (کلیدهای SSH، توکن‌های CLI ابری و غیره). اگر ماشین محلی شما در سطح کاربر به خطر بیفتد، رمزنگاری اطلاعات اعتبار کمکی نمی‌کند: بدافزار می‌تواند رمز عبور را ضبط کند یا نشست‌های SSH را رهگیری کند. از ماشین محلی خود محافظت کنید.
• دسترسی پنل: توسط nginx در همه حالت‌ها از طریق مسیر مخفی HTTPS پراکسی معکوس می‌شود — تونل SSH نیاز نیست. URL پنل و اطلاعات اعتبار در ~/.meridian/credentials/<IP>/proxy.yml قرار دارد
• SSH: احراز هویت رمز رمز به طور پیش‌فرض غیرفعال است
• Firewall: UFW با deny-all-incoming پیکربندی می‌شود، فقط پورت‌های 22، 80، و 443 باز می‌شوند
• Docker: تصویر 3x-ui به نسخه تست‌شده‌ای پین شده‌اند
• TLS: acme.sh گواهینامه‌ها را از طریق Let’s Encrypt مدیریت می‌کند، توسط nginx ارائه می‌شوند

دامنه

Meridian سرورهای proxy را پیکربندی می‌کند — پروتکل‌های رمزنگاری را اجرا نمی‌کند. امنیت زیرین بستگی دارد به:

• Xray-core — پروتکل VLESS+Reality
• 3x-ui — پنل مدیریت
• nginx — مسیریابی SNI و خاتمه TLS