破事水： 为什么 linux 一键安装脚本如此流行，你们敢不看内容直接贴 root 权限执行么

反正是 aws/vbox 里临时起个虚拟机，装坏大不了从 snapshot 还原 /干掉系统重建

因为菜，看了内容也不懂，索性直接贴代码执行了

因为要一条龙服务

一般这种东西我都是从 github 上直接用的，有一个心理吧，既然都是开源出来的，要是有什么大问题早就闹起来了……

因为大家都粘贴，反正肯定不指我一个人遭殃

放 github 并且有一定 star 的，稍为看下就行

不过，我都是自己写
涉及编译的自己打包

这种还行，至少给你源码，更恐怖的是直接丢你一个可执行文件
还有种套路就是 wget xxx.sh && sh xx.sh 然后脚本里下载可执行文件 执行然后删除可执行文件的

装个 SS 还要看懂脚本，太蛋疼了。

开发环境无所谓，生产环境的话，各种配置和优化一大堆，不用一键脚本的话要疯的。。。当然 docker 是更好的解决方案，比一键脚本更好用。。。反正都是开源的，我不看内容，总有人会看的。。。有问题早被别人喷死了，轮不到我

一般作者都会测试吧

@tvallday 就是传说它的很多一键安装包有后门的呢。

@harry890829 @isCyan @amustart
用的人多不代表肯定没问题， 参考 xcode 后门事件。
如果我 fork 个 ss ，稍微改一点，粗心的人一看，哦， github 上的，不也是一样么。

看来你们认为重要的机器不会这么搞，
然而，虽然 ss 不太重要，但自建 ss 的其中一个目的大概是，对各种服务提供商的不信任吧？ 自用的 ss 机器上加后门，那还有什么区别？

为什么社区提供的二进制，通过包管理就敢装，不用反编译看下源码吗

看啊，加密的 sh 还要解密再看看

其实安装 ss 不就几个命令嘛，完全无需一键脚本啊

@Siril 我用的是 TeddySun 的，有没有问题？

@phx13ye
这是抬杠，（现在的）包管理（一般）有验证作者 key 的机制吧。使用一个 linux 发行版，就信任了其开发团队，但是，随便一个网站上的需要 root 权限的 一行安装脚本，直接贴终端就执行， 说明随便就信任了这个网站。 这两种信任，后者有些过于随便了吧。

@isCyan 确实就几行命令啊，
我是从 dockerhub 上找 dockerfile 然后抄几句用到的（并检查文件下载来源）就装上了。。。

@tvallday 没用过不知道， ss 一键安装包 带后门我也是道听途说。

因为需要``全套服务``

从来不一键，安装是省事了，但是后面配置更麻烦。原来我甚至全部自己用官方源码编译，后来据说 rpm 包跟自己编译区别也不大，就用 rpm 安装了。

这叫信任。就像我们默认相信系统自带 CA 是真的（自己拉黑 WoSign 的就是因为丧失信任了）

so ， linux 也需要 360 这样的安全卫士

@FreeDog 看 17 楼， 提的问题是， 对一个 google 随便搜到的小博客（你又不认识博主）你能拿出这种信任么。 即使是原作者发布的，虽然原作者的人品应该是值得信任，但是，不带校验的 http 下载在特定的网络环境下不是也有风险么。

后门的影响范围可能包括 一个 vps 账号（ ddos 等滥用会被 ban ）以及自己上网流量的安全，还包括 ss 的机器同时搭着其他服务，如果有的话。

@vv7ue 有道理， 360 公司赶紧做一个，商机啊！ （滑稽脸）

如果这脚本是加密的，得看看，否则没必要，你干一次坏事这辈子名声就臭了。

谁叫我自己不会弄+懒得弄呢， github 上找个 star 最高的装了能用再说，其他的管他呢

没必要看，有坑 反正不只我一个人掉进去，生产环境有的要自己负责的话，还是稍微看看，否则出问题了 要坐牢的，
金融公司的系统，如果随意引入开源二进制包也是存在风险的，

你用支付鸨看他源码吗

@aaronzjw 我的 支付鸨装在备用手机 和 win7 虚拟机 里。。。
这种东西是（基本上）不得不用，
而且吧， 大公司作恶， 和脚本小子作恶， 风格不同哦。

@jccg90 都是这么想的

@Siril 我指的是官方 Wiki 中或者知名大公司官方提供的命令，小博客提供的默认也不怎么信任

@Siril http://chinaossafe.360.cn/

懒，而且看不懂。但是用了 docker 后我再也没有这些忧愁烦恼

楼主这是饱汉子不知饿汉子饥,想当年哥为了学会装 Linux 还请学院老大哥吃过好几顿饭呢,有需求就有市场

既然用了一键包就不要再麻烦自己了，经常用的一键包心情好时可以去检查下

如果真的是重要的服务端那还是自己去编译安装吧

没必要在公共脚本作恶，因为，别人也是有头有脸的。

那 brew install 和 apt-get install LZ 怎么检查= =……

@Kei 17 楼， 就是说官方源（和软件原作者） 的人品以及技术实力很多人已经检查过了， 这里讨论的是不知名博客上的一键安装脚本。

star 多就不管了，用各种开源库不也这样，谁也不会每个都去看一遍源码查有没有加后门。

@Siril 确实，都是随便 Google 个博客直接粘贴运行的……= =

确实有风险哈。但是不是说大部分漏洞都是程序员懒导致的么。这么一想是不是就好受多了

原来真有不看就运行的....

star 多不管
s

会加料的，参考各种一键脚本配置免流服务器，脚本还是加密的，专骗小白。直接打开还看不到内容。

反正我是不敢用

你是说比如这种吗。。
wget http://t2t2.cc/aa.sh && sh aa.sh

还记得当年 bumblebee 《一个空格引发的血案》么？

小船不是不翻，只是时间未到。


http://coolshell.cn/articles/4875.html

唉。。。。我在公司的主要工作就是把别人的项目打包成一键脚本...

@jason19659 对对对，就是这个意思。
不过杀伤力不够强， 万一人家有快照呢？
不如留木马靠谱，受害者发现之前可能 vps 账号已经被 ban 了。

脚本不看也敢用，只能说真心胆大

你们说的某个不可描述的软件从 debian jessie 和 ubuntu 16.04 开始就已经在仓库里了， 一个 apt 下去从启动脚本到配置文件全有了

吓得我赶紧看看我前两天装 kcptun 的一键脚本 (我只是想偷懒而已)

从来不用这种脚本。

会报一万个错误出来，倒不是怕有后门之类的。主要是不清楚 step by step 的安装方式，不清楚依赖什么，不放心。

自己小鸡上用用无所谓
专职的公司运维岗位也敢用一键脚本么？ 如果是则难以想象

一切的前提是信任作者。

是小白们很流行吧，我是从来没用过，不放心

。。一般下载的东西，都会附上 1 个 md5 作为校验吧，除非别人把要下的东西和 md5 同时改掉

以前用是觉得方便，现在自己配置觉得放心

这个时候区块链就有用了 2333

@XGHeaven 关区块链什么事

steam 也一样牛啊

https://github.com/ValveSoftware/steam-for-linux/issues/3671

linux 上装东西和配东西，有时候就比较恶心。比如说 pptp 和 l2tp ，由于软件包和不同发行版本的因素，导致配置起来有所差异，搞不好还有问题。因此就出现了各种一键脚本，还有就是外加某墙的功劳。

事实上在 linux 对于配置相对简单或清晰的软件包来说，我都是 apt-get/yum+手工自己弄。除了一些具复杂无比的。

LAMP 都是自己手工配（不过不同发新版本的 linux 和 LAMP 来说，确实很恶心，配置保存位置和配置项有少许区别）

因为







嫌麻烦，最重要的是技术菜，看不懂啊

矫情，你装上百个机器，你用脚本试试，都是自己写个一键脚本统一配置， 不说 100 台了 来 20 台让你手动编译够你受的。

看机器重要不重要了，一个 ss 玩的机器，怎么方便怎么装.重要机器肯定要细心了.

估计楼主主要说的是类似于 ss 一键安装包，锐速一键安装破解脚本之类的东西吧，这个老实说我也很怀疑，虽说不至于盗取信息之类的，但是类似于发动 ddos 攻击我估计很有可能。不过我现在用的也是一键，因为锐速的事情没办法。不过现在 BBR 已经出来了，有时间还是重装一下系统然后换成 BBR 吧。

@phx13ye 包管理有 PGP 签名。
PGP 签名大都需要线下见面互相信任交换。
夹带私货查到就直接计算机犯罪进局子了，谁敢做。

@lhbc bumblebee ：来我帮你重装

@d7101120120 啊？在说我吗？
最近在 hostloc 上写了一个 shell ，主要解决锐速断流的问题。。。。 shell 和所需的东西都放 github 上。

个人放出来的脚本，会看下。有名的项目，需要使用 root 的，会考虑下对系统干了什么，不要 root 的，也是直接装。

话说，能轻松看懂脚本的人，绝大多数情况是一键式脚本的，自己会有自己的脚本集。
用脚本多数是在虚拟的环境里偷偷懒而已，也不需要那么高的安全性

@uuuing 阅读理解零分

其实更可怕的是手机论坛的各种搬运包好吧，而且有不少都需要 root 权限

@everhythm 大哥，一个脚本文件哪来的 md5 啊

@wweir 漏了
能轻松看懂脚本的人，绝大多数情况是不会用那些私人的提供的一键式脚本的，他们有自己的脚本集

镜像被替换的是 Linux Mint 吧……

@Vicer 2333 不是了，是另一个广为使用的锐速一键脚本。

@lhbc gentoo 路过了

PKGBUILD 不需要 root ，安装才需要。

传统的 `./configure && make && make install` 的方式不也都是脚本吗？有多少人去看里面具体干了啥事？

在虚拟机里跑，玩坏了不心疼

怕不怕 docker 搞事

别看中文文章自动过滤 99% 可疑脚本

不可靠的这种命令肯定不会跑去执行啊，要用到这种一键脚本的其实很少，一般要装个什么软件，都是先 apt 找，没有就去官网自己编译呗

哈哈哈哈 因为看不懂 还有一个原因是 反正不止我一个人遭殃

能我自己配置的，我就自己配置。如果说实在搞不定的，我就在网上找下，采用使用最广泛的方式。一键脚本用的不多，不过我也是觉得，反正又不是我一人遭殃……

别人都用 我也就用了

@phx13ye 有 GPG 名

反正我是每句命令都看过再执行的

@ragnaroks 360 公司太伟大了，连 1%的用户都考虑到了。赶紧装一个， 从此再也不怕恶意脚本了！ （滑稽脸）


不过 linux 作服务器也不是 1%啦， 是 90%多吧。

极少有机会使用到 root 权限~~

@Siril https://zh.wikipedia.org/wiki/%E6%93%8D%E4%BD%9C%E7%B3%BB%E7%BB%9F%E4%BD%BF%E7%94%A8%E4%BB%BD%E9%A2%9D#.E4.BC.BA.E6.9C.8D.E5.99.A8.E4.BD.9C.E6.A5.AD.E7.B3.BB.E7.B5.B1

60% 多啦

反正能用的集成环境也就那几个 。。。。。

一键安装脚本从来不用，各种小组件都要到处 wget ，然后再编译一遍，很多组件直接 yum 就可，
把简单的问题复杂化。

@WinG 去中心化，解决认证问题

@CloudnuY 请教解密方法呢？比如用 gzexe 和 shc 加密的脚本

@mmmyc 有些加密我记得可以

1. 直接替换 /bin/sh 为一个输出内容的程序就可以（为了避免破坏系统，建议用 proot ）
2. 有一些解密释放并在执行完删除的可以替换 rm
3. 还有一些会校验可执行程序功能的，可以用 LD_PRELOAD 替换 libc 中的 exec ， remove
4. 再高级点的可能要替换 write
5. 更加高端走编译路线的则只能上 IDA 静态分析了。。。。

之前研究过某免流脚本的加密机制，看着它不断升级加密方式，然而并没有什么卵用，毕竟最终还是要执行的。。。。 shc 属于第一种， gzexe 属于第二种

@codehz 好高深。

我大部分都用 docker ，很多镜像也是自己写的， ss 什么的 hub 下载一个 自动编译的就可以 (hub 目前 第二个应该是我的)

@mritd 大神

前几天被谷歌警告了，说有代码里有挖矿，被人值入代码了，只好删了