ifmkl 8달전 | parent | ★ favorite | on: Show GN: NotionSSH - VPN 없이도 Notion으로 원격 서버를 제어하세요(github.com/mirseo)

엄밀하게 보면 RCE 인거죠. 엄청 위험한데요. 이건 보안을 위한 검증이 없는거잖아요? 서버에서 실행되는 에이전트에서 주기적으로 외부 페이지의 명령을 실행하는건데. 이때 외부 페이지를 검증없이 무조건적인 신뢰하도록 하는건데. 노션 api를 사용한다고 해도,, 음.. 위험하군요.

mirseo 8달전  [-]

보안 장치를 추가했어요!

  1. CA 검증 - 3 스텝 구성으로 1. CA 인증서 체인 검증, 2. DoH DNS 검증( cf, google ), 3. 인증서 핀 ( 공개키 검증)

  2. ACL 추가 ( 사용자 이메일 권한 계정 별 명령어 사용 권한 제어 추가 + 팀 기반 권한 제어 추가 )

  3. Allow에 없는 명령어 기본 차단

답변달기
mirseo 8달전  [-]

음.. 사실 맞아요
지금은 초기 버전이라 차후 버전에 계정명을 기반으로 실행을 차단하는 기능을 추가하려고 하는데
(NotionAPI로 받은 계정명과 시스템 환경변수로 실행 가능한 계정을 제한하고 권한 레이어를 넣으려고 해요!! )
보안 강화가 중점이 될 것 같아요!!

답변달기