Ubuntu

SSH 密鑰在 Hetzner 雲伺服器上更改/重新生成,我收到警報“遠端主機標識已更改”

  • December 15, 2021

我在 Hetzner 上有小型雲伺服器,我每天凌晨 3 點從我的家庭伺服器上打開電源(使用 Hetzner API),然後我通過 SSH 登錄,做一些工作然後我關閉它(這都是自動過程)

幾個月來一切都很好,我沒有碰我的家庭伺服器或云伺服器,但今天我收到了一封帶有警告的電子郵件

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ECDSA key sent by the remote host is

這是非常可疑的,因為我的伺服器沒有任何變化,所以我登錄並檢查了 /var/log/auth.log :

Dec 10 03:02:19 htznr useradd[1007]: new group: name=ubuntu, GID=1001
Dec 10 03:02:19 htznr useradd[1007]: new user: name=ubuntu, UID=1001, GID=1001, home=/home/ubuntu, shell=/bin/bash
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'adm'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'dialout'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'cdrom'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'floppy'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'sudo'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'audio'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'dip'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'video'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'plugdev'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'lxd'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to group 'netdev'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'adm'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'dialout'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'cdrom'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'floppy'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'sudo'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'audio'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'dip'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'video'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'plugdev'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'lxd'
Dec 10 03:02:19 htznr useradd[1007]: add 'ubuntu' to shadow group 'netdev'
Dec 10 03:02:19 htznr passwd[1014]: password for 'ubuntu' changed by 'root'
Dec 10 03:02:19 htznr systemd-logind[1057]: New seat seat0.
Dec 10 03:02:19 htznr systemd-logind[1057]: Watching system buttons on /dev/input/event0 (Power Button)
Dec 10 03:02:19 htznr systemd-logind[1057]: Watching system buttons on /dev/input/event1 (AT Translated Set 2 keyboard)
Dec 10 03:02:19 htznr sshd[1094]: Server listening on 0.0.0.0 port 222.
Dec 10 03:02:19 htznr sshd[1094]: Server listening on :: port 222.

03:02:19 是機器開機的時間。如您所見,使用者“ubuntu”是使用密碼創建的。

我還意識到 /etc/ssh/ 中的所有鍵都已更改:

-rw-------  1 root root  672 Dec 10 03:02 ssh_host_dsa_key
-rw-r--r--  1 root root  598 Dec 10 03:02 ssh_host_dsa_key.pub
-rw-------  1 root root  227 Dec 10 03:02 ssh_host_ecdsa_key
-rw-r--r--  1 root root  170 Dec 10 03:02 ssh_host_ecdsa_key.pub
-rw-------  1 root root  399 Dec 10 03:02 ssh_host_ed25519_key
-rw-r--r--  1 root root   90 Dec 10 03:02 ssh_host_ed25519_key.pub
-rw-------  1 root root 1.7K Dec 10 03:02 ssh_host_rsa_key
-rw-r--r--  1 root root  390 Dec 10 03:02 ssh_host_rsa_key.pub

可能是什麼原因?我使用 Hetzner 的 IP 地址登錄伺服器。

我很擔心,因為我知道許多機器人嘗試使用常見的使用者名登錄,例如“centos”、“ubuntu”、“fedora”等。

我使用 Ubuntu 並啟用了無人值守升級。

這是 /etc/shadow 中的新條目

ubuntu:!:18971:0:99999:7:::

正如評論所暗示的,答案是cloud-init包裝。它負責重新初始化虛擬機的鏡像,初始化的步驟之一是重新生成主機的 ssh 密鑰。

根據報告的實例 ID 更改“每個實例”執行一次(什麼是“實例 ID”高度依賴於雲提供商,甚至依賴於裸機“NoCloud”提供商的 ID)。

引用自:https://serverfault.com/questions/1085921