原帖地址:https://madelinemiller.dev/blog/root-minecraft-server/
翻译者:夏至锐
前言
在运行公共 Minecraft 服务器时,了解其安全风险至关重要。如果给予服务器过多访问您计算机的权限,可能会让黑客或其他恶意行为者造成更严重的破坏。知道如何防止此类问题,是在运行公共 Minecraft 服务器或任何实际意义上的公共互联网服务时必不可少的知识。最近,Paper 项目已经开始在启动时提供一条警告信息,提醒服务器管理员避免这种做法。如果您看到以下信息,建议参考本指南来了解相关风险并加以防范。
//原始版本
YOU ARE RUNNING THIS SERVER AS AN ADMINISTRATIVE OR ROOT USER. THIS IS NOT ADVISED.
YOU ARE OPENING YOURSELF UP TO POTENTIAL RISKS WHEN DOING THIS.
FOR MORE INFORMATION, SEE https://im.xz.cn/archives/no-root-for-minecraft-server//翻译版本(我的GeminiMC均使用此版本)
注意:你正在以 root / admin 权限执行此程序。
你需要明白你在做什么!
请立即查看:https://im.xz.cn/archives/no-root-for-minecraft-server为何这样不好
从安全角度来看,最佳实践是只为MC服务器程序提供其执行功能所需的权限。对于 Minecraft 服务器,这通常意味着仅访问MC服务器文件夹中的文件、在 Minecraft 服务器端口上具有互联网访问权限,有时还需要访问 MySQL。这意味着,如果黑客获得了你MC服务器的访问权限,他们也只能接触到你的MC服务器本身。
如果服务器以 root 权限运行或权限设置不当,攻击者就可以访问机器上的其他所有内容。如果你正在运行一个服务器网络,则一台服务器被攻破意味着所有服务器都面临风险。当恶意软件拥有 root 权限时,如果不完全重置整个机器,可能很难彻底消除其所造成的损害。
机器何时被入侵并不总是能够轻易察觉。有时候黑客会删除所有文件并阻止设备启动,而另一些情况下他们会将其用作僵尸网络的一部分或安装间谍软件。
为什么这是一个很现实的威胁
你可能会想:“这种事情不会发生在我身上”。虽然从技术上讲你可能是对的,但冒这个风险并不值得。Spigot 上曾出现过许多包含恶意代码的插件,甚至一些较知名的插件作者也遭遇过账户被盗的情况。除非你仅使用自己亲自编写的代码,否则始终存在遭受恶意攻击的风险。
意外不可预见
拥有过高权限也意味着更容易造成灾难性的错误。如果你的用户账户可以编辑整个系统中的文件,那么误删超出预期范围的文件的可能性就更大。对于那些对 Linux 命令行不太熟悉的人来说,这个问题尤其常见。
此外,插件或其配置也有可能出错并造成损害。如果某个插件或服务器意外覆盖了关键的系统文件,机器可能无法启动,并可能导致数据丢失。
针对MC的恶意程序正在滋生
每年都有越来越多的 Minecraft 服务器感染恶意软件的案例,这使其不仅成为攻击 Minecraft 服务器本身的常见目标,也成为攻击其托管设备上其他内容的常见目标。以 root 或管理员权限运行服务器会显著增加恶意软件所能造成的实际损害。你可以在这篇专门的文章中了解更多关于 Minecraft 恶意软件的信息。
活生生的案例
最近在 Log4J 中发现的漏洞(Log4Shell)就是一个这种情况的典型例子。对于任何以 root 权限运行的服务器来说,玩家加入服务器后很容易就能完全控制该服务器所在的机器。
鉴于 Minecraft 使用了许多同时也被大型商业软件所使用的代码库,因此存在较大的商业动机去寻找这些代码中的漏洞。由于 Minecraft 使用了这些代码,因此它也可能受到任何发现的漏洞的影响。
防范于未然
防止此问题的最简单方法是创建一个新用户,并仅为该用户分配对该文件夹的访问权限。对于 Linux 用户,请参考此指南了解具体操作步骤。随后,您可以在该用户的主目录中创建服务器,并在以该用户身份登录时运行服务器。
如果您正在运行多个服务器组成的网络,则应为每个服务器分别设置独立的用户。如果不这样做,可能会导致上述问题,即一个服务器被攻破后进而威胁到所有其他服务器的安全。
托管服务器(云服务器)
如果您正在使用 Minecraft 服务器托管服务,那么防止此类问题的责任在于您的托管服务商。如果您收到此消息,建议联系您的服务器托管商,或者更好的是,迁移到声誉更好的托管服务商。因为如果他们存在如此严重的安全漏洞,他们可能还存在其他问题。请查看这篇关于不良服务器托管商常见问题的文章。
