Безопасность

Сообщение об уязвимостях

Если вы обнаружили уязвимость безопасности в Meridian:

1. НЕ открывайте публичный issue
2. Отправьте письмо автору или используйте GitHub Security Advisories
3. Включите шаги для воспроизведения и потенциальное влияние

Мы стремимся ответить в течение 48 часов и указанных авторов в исправлении.

Дизайн безопасности

• Учётные данные: хранятся с правами 0600 в ~/.meridian/credentials/<IP>/, секреты никогда не передаются через shell команды без shlex.quote(), удаляются из вывода meridian doctor. Директория имеет права 0700 (только владелец). Любое приложение, запущенное от вашего пользователя, может прочитать эти файлы — это свойство всех CLI-инструментов, хранящих credentials локально (SSH-ключи, токены облачных CLI и т.д.). Если локальная машина скомпрометирована на уровне пользователя, шифрование credentials не поможет: малварь может перехватить пароль или SSH-сессию. Защищайте свою локальную машину.
• Доступ к панели: обратно проксируется nginx на секретный HTTPS путь во всех режимах — SSH туннель не требуется. URL панели и credentials находятся в ~/.meridian/credentials/<IP>/proxy.yml
• SSH: пароль аутентификация отключена по умолчанию
• Firewall: UFW настроен с deny-all-incoming, открыты только порты 22, 80 и 443
• Docker: образ 3x-ui закреплён к протестированной версии
• TLS: acme.sh обрабатывает сертификаты через Let’s Encrypt, обслуживаются nginx

Область охвата

Meridian настраивает прокси-серверы — он не реализует криптографические протоколы. Базовая безопасность зависит от:

• Xray-core — протокол VLESS+Reality
• 3x-ui — панель управления
• nginx — SNI маршрутизация и завершение TLS