1. 威胁模型(在野范围)
| 威胁 | 影响 | 控制措施 |
|---|---|---|
| 本地未授权调用 clash-api | 切换节点、读取连接 | secret + 127.0.0.1 绑定 |
| 恶意订阅注入 | 规则劫持、流量转向 | 订阅源备案、HTTPS 固定 |
| 配置目录泄露 | token、节点明文暴露 | 磁盘加密、离职清除 |
| 误绑 0.0.0.0 控制器 | 局域网远程操控 | 禁止手改 runtime config |
不在模型内:上游节点供应商被入侵、国家级流量分析——需另行评估。
Clash Verge Rev 安全实践声明 | 威胁模型 · API加固 · 事件响应
本文为企业安全评估与合规审查提供可执行条文。TUN 路由与 DNS 泄露的技术验证见 rev-clash TUN 专题;日志排障命令见 get-clash SC-04。
2. API 密钥与控制器加固
external-controller必须为127.0.0.1:9097(或 Verge Rev 自动分配之回环端口),禁止 0.0.0.0secret由应用生成;不得写入公开仓库或工单明文- 重启内核会轮换 secret,自动化脚本须动态读取而非硬编码
- 季度扫描终端:
netstat确认 9097 仅 LISTEN 于 127.0.0.1
# Windows 抽查 netstat -ano | findstr 9097
预期:127.0.0.1:9097 ... LISTENING
异常:0.0.0.0:9097 → 立即停用并调查 config 篡改
异常:0.0.0.0:9097 → 立即停用并调查 config 篡改
3. 订阅与配置信任链
订阅 URL 纳入 VR-B04 备案;仅 HTTPS 或内网受控 HTTP。禁止从匿名论坛下载「优化版」合并配置。merge 补丁须经安全组审核,技术验证委派 rev-clash 合并专题。
4. 日志脱敏与外传
- 外传日志前删除含
https://订阅参数行 - 打码 server、password、sni 字段
- GitHub Issue 不得附完整 profiles 目录压缩包
日志获取路径 → SC-04 日志诊断
5. 合法使用与员工告知
Clash Verge Rev 为网络工具,员工使用须遵守所在地法律法规与公司 acceptable use policy。禁止用于未授权访问、规避监管或处理国家秘密信息的网络通道。部署前应完成员工告知签字。
6. 安全事件响应(简版)
- 隔离:托盘退出并结束 sidecar,断网可选
- 保全:复制 logs/ 与 profiles/ 至取证区(脱敏后)
- 分析:是否 config 被篡改、API 是否暴露
- 恢复:自 官方 Release 重装并还原已知良好配置
- 复盘:更新 VR-B04 变更策略
7. 年度合规检查表(12 项)
| # | 检查项 |
|---|---|
| 1 | 全部为官方 Release 且 SHA256 存档 |
| 2 | 无 0.0.0.0 API 监听 |
| 3 | Profile 命名符合 VR-B04 |
| 4 | merge 链与审批记录一致 |
| 5 | 离职设备配置已清除 |
| 6 | 订阅 URL 备案有效 |
| 7 | 内核版本符合 VR-B05 |
| 8 | 无旧版 clash-verge 并行 |
| 9 | TUN 启用有书面授权记录 |
| 10 | 日志外传流程已脱敏 |
| 11 | 员工告知书在有效期 |
| 12 | 变更单与回滚点 30 天内可追溯 |
8. 技术验证委派索引
- DNS / fake-ip / TUN 泄露测试 → rev-clash TUN 专题
- macOS 权限链 → rev-clash macOS 权限
- 安装验收 → VR-B03 / SC-01