# امنیت

> طراحی امنیت، گزارش آسیب‌پذیری، و دامنه.

## گزارش آسیب‌پذیری‌های امنیتی

اگر یک آسیب‌پذیری امنیتی در Meridian کشف کنید:

1. **یک issue عمومی باز نکنید**
2. ایمیل به نگاهبان یا استفاده کنید از [GitHub Security Advisories](https://github.com/uburuntu/meridian/security/advisories/new)
3. مراحل تکرار و تأثیر احتمالی را شامل کنید

ما بعد از 48 ساعت پاسخ دهیم و گزارش‌کنندگان را در اصلاحیه به‌رسمی تشکر می‌کنیم.

## طراحی امنیت

- **اطلاعات اعتبار**: با مجوز `0600` در `~/.meridian/credentials/<IP>/` ذخیره می‌شود، اسرار هرگز بدون `shlex.quote()` از طریق دستورات shell ارسال نمی‌شود، از خروجی `meridian doctor` حذف می‌شود. مجوز دایرکتوری `0700` (فقط مالک). هر برنامه‌ای که به‌عنوان کاربر شما اجرا شود می‌تواند این فایل‌ها را بخواند — این ویژگی ذاتی همه ابزارهای CLI است که اطلاعات اعتبار را به‌صورت محلی ذخیره می‌کنند (کلیدهای SSH، توکن‌های CLI ابری و غیره). اگر ماشین محلی شما در سطح کاربر به خطر بیفتد، رمزنگاری اطلاعات اعتبار کمکی نمی‌کند: بدافزار می‌تواند رمز عبور را ضبط کند یا نشست‌های SSH را رهگیری کند. از ماشین محلی خود محافظت کنید.
- **دسترسی پنل**: توسط nginx در همه حالت‌ها از طریق مسیر مخفی HTTPS پراکسی معکوس می‌شود — تونل SSH نیاز نیست. URL پنل و اطلاعات اعتبار در `~/.meridian/credentials/<IP>/proxy.yml` قرار دارد
- **SSH**: احراز هویت رمز رمز به طور پیش‌فرض غیرفعال است
- **Firewall**: UFW با deny-all-incoming پیکربندی می‌شود، فقط پورت‌های 22، 80، و 443 باز می‌شوند
- **Docker**: تصویر 3x-ui به نسخه تست‌شده‌ای پین شده‌اند
- **TLS**: acme.sh گواهینامه‌ها را از طریق Let's Encrypt مدیریت می‌کند، توسط nginx ارائه می‌شوند

## دامنه

Meridian سرورهای proxy را پیکربندی می‌کند — پروتکل‌های رمزنگاری را اجرا نمی‌کند. امنیت زیرین بستگی دارد به:

- [Xray-core](https://github.com/XTLS/Xray-core) — پروتکل VLESS+Reality
- [3x-ui](https://github.com/MHSanaei/3x-ui) — پنل مدیریت
- [nginx](https://nginx.org/) — مسیریابی SNI و خاتمه TLS