# Безопасность

> Дизайн безопасности, сообщение об уязвимостях и область охвата.

## Сообщение об уязвимостях

Если вы обнаружили уязвимость безопасности в Meridian:

1. **НЕ открывайте публичный issue**
2. Отправьте письмо автору или используйте [GitHub Security Advisories](https://github.com/uburuntu/meridian/security/advisories/new)
3. Включите шаги для воспроизведения и потенциальное влияние

Мы стремимся ответить в течение 48 часов и указанных авторов в исправлении.

## Дизайн безопасности

- **Учётные данные**: хранятся с правами `0600` в `~/.meridian/credentials/<IP>/`, секреты никогда не передаются через shell команды без `shlex.quote()`, удаляются из вывода `meridian doctor`. Директория имеет права `0700` (только владелец). Любое приложение, запущенное от вашего пользователя, может прочитать эти файлы — это свойство всех CLI-инструментов, хранящих credentials локально (SSH-ключи, токены облачных CLI и т.д.). Если локальная машина скомпрометирована на уровне пользователя, шифрование credentials не поможет: малварь может перехватить пароль или SSH-сессию. Защищайте свою локальную машину.
- **Доступ к панели**: обратно проксируется nginx на секретный HTTPS путь во всех режимах — SSH туннель не требуется. URL панели и credentials находятся в `~/.meridian/credentials/<IP>/proxy.yml`
- **SSH**: пароль аутентификация отключена по умолчанию
- **Firewall**: UFW настроен с deny-all-incoming, открыты только порты 22, 80 и 443
- **Docker**: образ 3x-ui закреплён к протестированной версии
- **TLS**: acme.sh обрабатывает сертификаты через Let's Encrypt, обслуживаются nginx

## Область охвата

Meridian настраивает прокси-серверы — он **не** реализует криптографические протоколы. Базовая безопасность зависит от:

- [Xray-core](https://github.com/XTLS/Xray-core) — протокол VLESS+Reality
- [3x-ui](https://github.com/MHSanaei/3x-ui) — панель управления
- [nginx](https://nginx.org/) — SNI маршрутизация и завершение TLS