@sandtears 顺便一提，这漏洞并不需要用bash编写CGI，只需要用bash调用CGI就会中。

很多环境里调用CGI程序都是先fork出一个sh，然后读取CGI，再根据hashbang调用perl之类的。

如果这个sh是bash，那就中招了。

bleed的问题是数据泄露，而且是有概率泄露。
shellshock是任意执行漏洞，只要你cgi开着，bash没禁用，任何人都能直接拿到你的shell。然后爆数据库账号啊爆用户数据啊脱裤啊什么都能做了。

@ivenvd 是的。
至少应该：
1. 把主shell换成zsh，用sed替换掉/etc/passwd里所有的bash
2. 把sh链接到dash
3. 到这步了才能禁用bash

而且为了apt脚本能跑，bash还是要留着的，折衷的办法就是chmod o-x，至少root还能用。

@SoloCompany testing分支上的最新版测了

env -i X='() { (a)=>\' bash -c 'echo curl -Is google.com'; head echo

照样会执行。

dash没法运行需要bash的程序。我之前试过ln -sf dash bash，结果连apt都挂了。

老老实实 chmod o-x bash 更方便。


@Tink 有时候是没办法，比如这次，补丁迟迟不出，而且就算stable出了，等unstable版跟进还要时间，这时候直接禁用bash才是治本的方法。倒不如说现在的半吊子补丁才是治标不治本。

@pubby 因为大流量的网站，accesslog每时每刻都在更新，所以fail2ban会一直收到inotify。

@pubby -> fail2ban

不过这么频繁检查日志，对于大流量的网站来说会死得很惨哦

@omi4399 果然不应该用手机回的，语无伦次了。

一个只有千兆网络的机器，要多快的读写速度。除了Hash时快点以外，用RAID意义不大吧。

话说存视频用NAS有啥浪费的，一个家庭在共享着用呢，总不能都用USB接着吧。

@omi4399 一个只有千兆网络的机器，要多快的网…

@none 这类虚拟币就是为了规避法律风险的。市黑啊，走军私火啊，都得靠这比特币呢。哪能被这区区的律法给管辖呢

aws和heroku都是贵得发指的东西，完全用不起……

建议上便宜的VPS

@l123450 每个月赚个几毛钱真的很重要吗

@remaerd 原则上只有超过2.2TB的硬盘才会有问题。

另外其实我是不太喜欢热插拔式的NAS的。NAS本来就是一个独立的存储设备，没事拔来拔去不符合初衷啊

@omi4399 nas和raid有啥关系……存视频完全不需要用到raid吧

scanf("%d %d", &type, &data);

要思路？

@reusFork 是否用dash，与是否有bash漏洞无关吧……

@dullwit 建议好好研究一下gitflow。

我正在用的smartgit里有一个gitflow的简化版，用起来差不多感觉。

基本原理就像上面说的，fork branch做开发，功能做完测试好了merge回主线。分支如果要好看的话，merge之前先rebase本地再merge回主线。

都免费了，谁来做精良啊……

你信任他，就填。不信任，就不填。

信用卡信用卡，就是基于人与人的信任而发行出来的。