xmdhs 发表于 2020-2-5 17:36
子服的 server.properties 文件中设置 server-ip=127.0.0.1
可产生类似的效果
这样不是更保险吗
mcKaiFuxia 发表于 2020-2-5 17:38
这样不是更保险吗
这样效果一样,不会有人绕过 bc 进来的了
卡后门了
检查一下有没有不是本站下载的插件
检查一下有没有不是本站下载的插件
首先打开BC服的config.yml 找到权限管理 把BC的管理员和玩家权限设置成一样的
复制代码
之后在你的各个子服务器spigot.yml里找到late-bind 改成true
复制代码
- permissions:
- default:
- - bungeecord.command.list
- admin:
- - bungeecord.command.list
之后在你的各个子服务器spigot.yml里找到late-bind 改成true
- late-bind: true
2.BC权限设置得当,管理员也删除了,但是仍然发现有人绕过了登陆插件到了子服务器取得OP权限
这种问题比较隐蔽,也是最近才发现的。有的群组服务器设置了登陆服务器,并且强制玩家只能先从登陆服务器进入群组,其他子服务器的spigot.yml里面设置了 bungeecord: true ,也就是不能直接用IP+端口访问到子服务器,而是需要通过BC端。
然后,这些服务器在登陆服务器设置了authme等登陆插件,其他子服务器没设置,并且也关闭了/server等命令权限而使用牌子或星门等传送方式。但是,却发现有人竟然能神不知鬼不觉的绕过了登录服务器直接进入了子服务器,并用OP账号做了乱七八糟的事情。
这个问题是为什么呢?
其实,bungeecord: true 只是限制了想登入此服务器必须通过bungeecord端,但是他并没说这个BC端是在哪里的!
也就是说,其实这些人是在自己电脑本地部署了BungeeCord端,然后直接指向了子服务器,从而能直接不验证密码登入进去。
事实上,我记得在1.6的时代spigot.yml里面bungeecord: true这附近还有个设置源IP的选项,但是1.7的时候不见了,可能是为了一些多BC指向同子服务器方便吧,但是这给了一些熊孩子可乘之机,让他们不是用密码便登录了OP的账号。
解决方案:
1.【网页面板需要看服务商的设置】将每个子服务器根目录下的server.properties文件中的“server-ip=”填为“server-ip=127.0.0.1”,这样子服务器就只接受来自本地的连接了(不影响子服务器里面获取玩家真实源IP),其他地方的连入请求都会被拒绝。如果你是跨IP的跨服群组,自行修改对应IP即可。
2.【此方案对网页面板/软件后台服务器无效】据说因为MC协议的漏洞,甚至可以伪造连入的IP(我没证实过,我觉得TCP这种需要握手的通讯应该是无法伪造IP的),为了以防万一,建议在上面的基础上,给你的服务器防火墙规则上面加几条,也就是把指向你的子服务器端口的连入请求一律拒绝。这种行为不影响你的内网BC端的分发请求。或者你把你的服务器放到虚拟机中,然后主机到虚拟机只开放一个BC端的端口,其他端口不开放。这样子也能实现对子服务器的保护
https://www.mcbbs.net/thread-399234-1-1.html
有帮助请您在本回复右下角点击设置最佳答案。
您的认可是对回答者最大的支持!
这种问题比较隐蔽,也是最近才发现的。有的群组服务器设置了登陆服务器,并且强制玩家只能先从登陆服务器进入群组,其他子服务器的spigot.yml里面设置了 bungeecord: true ,也就是不能直接用IP+端口访问到子服务器,而是需要通过BC端。
然后,这些服务器在登陆服务器设置了authme等登陆插件,其他子服务器没设置,并且也关闭了/server等命令权限而使用牌子或星门等传送方式。但是,却发现有人竟然能神不知鬼不觉的绕过了登录服务器直接进入了子服务器,并用OP账号做了乱七八糟的事情。
这个问题是为什么呢?
其实,bungeecord: true 只是限制了想登入此服务器必须通过bungeecord端,但是他并没说这个BC端是在哪里的!
也就是说,其实这些人是在自己电脑本地部署了BungeeCord端,然后直接指向了子服务器,从而能直接不验证密码登入进去。
事实上,我记得在1.6的时代spigot.yml里面bungeecord: true这附近还有个设置源IP的选项,但是1.7的时候不见了,可能是为了一些多BC指向同子服务器方便吧,但是这给了一些熊孩子可乘之机,让他们不是用密码便登录了OP的账号。
解决方案:
1.【网页面板需要看服务商的设置】将每个子服务器根目录下的server.properties文件中的“server-ip=”填为“server-ip=127.0.0.1”,这样子服务器就只接受来自本地的连接了(不影响子服务器里面获取玩家真实源IP),其他地方的连入请求都会被拒绝。如果你是跨IP的跨服群组,自行修改对应IP即可。
2.【此方案对网页面板/软件后台服务器无效】据说因为MC协议的漏洞,甚至可以伪造连入的IP(我没证实过,我觉得TCP这种需要握手的通讯应该是无法伪造IP的),为了以防万一,建议在上面的基础上,给你的服务器防火墙规则上面加几条,也就是把指向你的子服务器端口的连入请求一律拒绝。这种行为不影响你的内网BC端的分发请求。或者你把你的服务器放到虚拟机中,然后主机到虚拟机只开放一个BC端的端口,其他端口不开放。这样子也能实现对子服务器的保护
https://www.mcbbs.net/thread-399234-1-1.html
有帮助请您在本回复右下角点击设置最佳答案。
您的认可是对回答者最大的支持!
炫宙菌 发表于 2020-2-5 20:17
首先打开BC服的config.yml 找到权限管理 把BC的管理员和玩家权限设置成一样的
之后在你的各个子服务器spig ...
目的是什么呢
目的是取消可能用特殊ID进入而导致分配BC管理员权限,并且禁止玩家在 插件没有完全载入的情况下修改服务器以导致卡出权限,还问我目的是什么?
炫宙菌 发表于 2020-2-6 09:05
目的是取消可能用特殊ID进入而导致分配BC管理员权限,并且禁止玩家在 插件没有完全载入的情况下修改服务 ...
服务端开启了bc才开启 bc没有管理员
mcKaiFuxia 发表于 2020-2-6 16:23
服务端开启了bc才开启 bc没有管理员
第二项late-bind跟BC没有任何关系
炫宙菌 发表于 2020-2-6 17:05
第二项late-bind跟BC没有任何关系
在哪里可以找到
炫宙菌 发表于 2020-2-7 08:41
各个子服的spigot.yml
作用是防止玩家在插件载入个人数据之前就影响服务器 ...
qwq你怎么知道的
mcKaiFuxia 发表于 2020-2-7 17:11
qwq你怎么知道的
被熊过就知道了