Ubuntu
SSH 密鑰在 Hetzner 雲伺服器上更改/重新生成,我收到警報“遠端主機標識已更改”
我在 Hetzner 上有小型雲伺服器,我每天凌晨 3 點從我的家庭伺服器上打開電源(使用 Hetzner API),然後我通過 SSH 登錄,做一些工作然後我關閉它(這都是自動過程)
幾個月來一切都很好,我沒有碰我的家庭伺服器或云伺服器,但今天我收到了一封帶有警告的電子郵件
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is
這是非常可疑的,因為我的伺服器沒有任何變化,所以我登錄並檢查了 /var/log/auth.log :
Dec 10 03:02:19 htznr useradd[1007]: new group: name=ubuntu, GID=1001 Dec 10 03:02:19 htznr useradd[1007]: new user: name=ubuntu, UID=1001, GID=1001, home=/home/ubuntu, shell=/bin/bash Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'adm' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'dialout' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'cdrom' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'floppy' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'sudo' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'audio' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'dip' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'video' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'plugdev' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'lxd' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'netdev' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'adm' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'dialout' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'cdrom' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'floppy' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'sudo' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'audio' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'dip' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'video' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'plugdev' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'lxd' Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'netdev' Dec 10 03:02:19 htznr passwd[1014]: password for 'ubuntu' changed by 'root' Dec 10 03:02:19 htznr systemd-logind[1057]: New seat seat0. Dec 10 03:02:19 htznr systemd-logind[1057]: Watching system buttons on /dev/input/event0 (Power Button) Dec 10 03:02:19 htznr systemd-logind[1057]: Watching system buttons on /dev/input/event1 (AT Translated Set 2 keyboard) Dec 10 03:02:19 htznr sshd[1094]: Server listening on 0.0.0.0 port 222. Dec 10 03:02:19 htznr sshd[1094]: Server listening on :: port 222.
03:02:19 是機器開機的時間。如您所見,使用者“ubuntu”是使用密碼創建的。
我還意識到 /etc/ssh/ 中的所有鍵都已更改:
-rw------- 1 root root 672 Dec 10 03:02 ssh_host_dsa_key -rw-r--r-- 1 root root 598 Dec 10 03:02 ssh_host_dsa_key.pub -rw------- 1 root root 227 Dec 10 03:02 ssh_host_ecdsa_key -rw-r--r-- 1 root root 170 Dec 10 03:02 ssh_host_ecdsa_key.pub -rw------- 1 root root 399 Dec 10 03:02 ssh_host_ed25519_key -rw-r--r-- 1 root root 90 Dec 10 03:02 ssh_host_ed25519_key.pub -rw------- 1 root root 1.7K Dec 10 03:02 ssh_host_rsa_key -rw-r--r-- 1 root root 390 Dec 10 03:02 ssh_host_rsa_key.pub
可能是什麼原因?我使用 Hetzner 的 IP 地址登錄伺服器。
我很擔心,因為我知道許多機器人嘗試使用常見的使用者名登錄,例如“centos”、“ubuntu”、“fedora”等。
我使用 Ubuntu 並啟用了無人值守升級。
這是 /etc/shadow 中的新條目
ubuntu:!:18971:0:99999:7:::
正如評論所暗示的,答案是
cloud-init
包裝。它負責重新初始化虛擬機的鏡像,初始化的步驟之一是重新生成主機的 ssh 密鑰。根據報告的實例 ID 更改“每個實例”執行一次(什麼是“實例 ID”高度依賴於雲提供商,甚至依賴於裸機“NoCloud”提供商的 ID)。