默认的SS有安全漏洞,表现为:如果同一台主机还运行了Mysql服务,用本地的Mysql客户端放到proxifier里面用SS处理,然后连接本地127.0.0.1:****端口,可以访问到主机上的Mysql数据库。因此,需要对SS进行额外的设置:

方法一

让ss-server用一个专用user(这里以user为用户名)运行。如果是shadowsocks-libev则修改/etc/default/shadowsocks-libev;然后加上防火墙规则,禁止专用user连接本地地址。在/etc/ufw/before.rules里面# End required lines之后加上

-A user-before-output -m owner –uid-owner shadowsocks -p tcp -s 127.0.0.1 -j DROP

方法二

参加SS文档