讨论 关于服务器安全方面的建议

[Coquettishpig]

叠甲：以下内容仅是个人参考，如有更好建议请指正，废话不多说，直接上干货

---

前言：
当谈到服务器安全时，我们必须特别重视这个领域。从国内服务器发展至今，我们经历了许多提权、崩服和刷物品等各种大小漏洞，这些问题给服务器带来了严重的危害。因此，本帖的初衷是为了向大家提供私聊安全环境建设的指导，以及增强防范意识。

---

①登录：
这里选用velocity群组服为例
在搭建离线服务器时，需要特别注意服务器登录这一环节。服务器登录是非常敏感的，也是小白服主容易被提权的重要环节。
这里我推荐选用的登录插件有

• [免费/开源] LibreLogin - 登录插件，支持2FA
• [免费/开源] LimboAuth - 登录插件，自带limbo

这类插件自带limbo，并支持负载均衡的环境搭建。不推荐使用类似authme这样的老牌插件，因为它们可能存在过多的冗余功能，并且登录仍然停留在单个子服务器上，不利于负载均衡。

---

②服务器信息保护：
服务器信息极为重要，小白用户很容易将自己服务器的信息泄露出去。这可能会导致玩家利用插件漏洞等问题，从而对服务器产生影响
需要保护的有：

1. 服务器插件
2. 服务器核心
3. 服务器数据库
4. 服务器材质包下载链接
5. 等...

保护方面我推荐选用

• [付费] Plugin Hide Pro - 命令隐藏，插件隐藏

此插件支持插件隐藏/伪装，并且支持命令黑/白名单组，并且支持权限分组功能，是一款强大的安全插件，十分建议各位购买
服务器核心方面泄露会泄露选用的核心版本号，可能会出现玩家理由此版本存在的漏洞等情况，比如1.20.2的崩溃漏洞

---

③服务器漏洞集合：
PS：顺序随机，与时间无关

---

Vulcan反作弊在2.8.5之前的GUI可以指向控制台命令的漏洞，出处-链接

---

1.20.2等版本出现的Tab发包崩溃服务器，出处-链接

---

1.8告示牌崩溃漏洞，出处-链接

---

GrimAC的反作弊崩溃漏洞，出处-链接1，链接2

---

Multiverse-Core多世界插件的崩溃漏洞，出处-链接

---

有任何插件想选用可以在评论区提问，本帖子默认指向站内，站内没资源指向下载链接

 

[HiTech0926]

叠甲：以下内容仅是个人参考，如有更好建议请指正，废话不多说，直接上干货

---

底层类插件：

• [免费/开源] PlaceholderAPI - 变量前置
• [免费/开源] ProtocolLib - 协议包[直接去构建库下载，spigotmc更新较慢]
• [免费/开源] LuckPerms - 权限组

安全类插件：

• [免费/开源] LibreLogin - 登录插件，支持2FA
• [免费/开源] LimboAuth - 登录插件，自带limbo
• [付费] Plugin Hide Pro - 命令隐藏，插件隐藏
• [免费/开源] Multiverse-Core - 多世界管理
• [免费/开源] VoidGen - 基于多世界插件的虚空世界设置

---

有任何插件想选用可以在评论区提问，本帖子直接指向下载链接

登录插件Authme Reloaded不配存在吗（

 

[Coquettishpig]

authme reload虽然重置过，但是底层写的过于臃肿，部分功能也没必要存在，个人不是很推荐使用，单端的登录肯定不如代理方面来的安全

登录插件Authme Reloaded不配存在吗（

 

[HiTech0926]

authme reload虽然重置过，但是底层写的过于臃肿，部分功能也没必要存在，个人不是很推荐使用，单端的登录肯定不如代理方面来的安全

哦哦。感觉帖子内有些插件链接可以改成论坛里面资源的，更方便一些

 

[Coquettishpig]

哦哦。感觉帖子内有些插件链接可以改成论坛里面资源的，更方便一些

后续会写站内链接和下载链接，目前是为了方便直达，这里只是想提供一些个人选择使用的优秀插件给一些开服小白一个参考，目的是为了帮助小白少走一些没必要的弯路

 

[jjb256]

好像很酷的样子涅

 

[xiaosage]

不太懂这些插件之类的 但是支持你做更多攻略

 

[郑超舰]

常更新有意义，但是也要防上游投毒，难啊