В ноябре добрый хабрачеловек karohos поделился с нами отличным рецептом организации бесплатного личного VPN на облаке Амазона (Бесплатный VPN от Amazon). Вкратце, для тех кто пропустил, идея в том, запуск и постоянный аптайм микро-образа с Ubuntu Server 10.04 с настроенным OpenVPN укладывается в бесплатную квоту Амазона (она дается только на год, но все же). Многие тогда воспользовались этой возможностью, и я в том числе.
Сегодня я получил письмо от Амазона с заголовком «Требуются ваши действия». Краткое содержание письма:
ami-c2a255ab это тот самый образ, на который давал ссылку karohos в своем топике. Гугл услужливо подсказал, что такое письмо получил не только я, какой-до добрый человек уже выложил его на PasteBin. (Забавно, PasteBin начинает конкурировать с Твиттером :)
Я зашел на свой уютный VPV-чик, проверил. Оказалось что для ubuntu я этот ключ удалил раньше, а вот для рута нет. Стал вспоминать и вспомнил, что видел эти ключи при настройке инстанса, удивился их присутствию, но подумал, что может они нужны самому Амазону. Я тогда впервые имел дело и с Amazon EC2, и с настройкой серверной Убунты. В общем, оставил из страха, что не смогу потом зайти на сервер.
В логах посторонних входов не увидел. При дефолтных настройках ротации логи у меня сохранились где-то за месяц. Если бы не постоянная долбежка каких-то ботов на SSH порт, наверное сохранилось бы и больше.
Команды для проверки:
В authorized_keys должен быть только один ключ, который выдал вам Amazon при создании инстанса. Если там есть другие ключи (не ваши), удалите их.
Не знаю, можно ли назвать это бекдором в полном смысле, ведь возможность входа никак не замаскирована. Скорее всего ключ просто остался от автора этого образа, который не имел никаких злых намерений. Более интересный вопрос, на что именно среагировали безопасники Амазона? Вероятно на жалобу одного из клиентов, что к нему залезли. (Хотя в письме об этом прямо не говорится.) Но ведь сделать это мог только обладатель секретного ключа, то есть опять же автор образа.
В любом случае, их забота о клиентах (и о своей репутации) вызывает уважение. Хороший пример для наших облачных сервисов.
UPD.
Как подсказывает SilenceAndy, На сайте Ubuntu есть страницы с указанием AMI которые можно использовать, не опасаясь: 8.04, 9.10, 10.04, 10.10, 11.04 b1
UPD2
Автор этого образа, Paulo Fisch (guru), отписался в своем блоге:
Сегодня я получил письмо от Амазона с заголовком «Требуются ваши действия». Краткое содержание письма:
Привет.
Недавно мы заметили, что общедоступный образ AMI содержит внутри публичный SSH ключ, позволяющий автору образа входить под рутом. Также, по нашим логам, у вас есть (либо были) инстансы, запущенные с этого AMI.
Скомпрометированный AMI: ami-c2a255ab
ID Вашего аккаунта: xxxxxxx
ID инстанса(ов): xxxxxxx
Бла-бла-бла, срочно переводите все на другие инстансы, с этого AMI инстансов больше не запускайте. Также запретите вход на ваши инстансы с этим ключом. Для этого найдите и удалите строчку в '/root/.ssh/authorized_keys' file and '/home/ubuntu/.ssh/authorized_keys' следующего содержания:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCU8QRvONa/Rv4mXSDMVFX7EnIiJd2nuQ0mUHPTGNUCq0PjyNemjXTLztxfbA9q8+S9T7q1UJG3dp49EzE1Gq8KAQm6vmSn80pPrm3hTHAmiBboIZzoqv6PSedkUvZyqqBn1NK0VZxGH7JvsagW95R2AfTdEwdXRjorxtPzi/MpYdoOzM41yzysyjmIZYdeOcZLliLfv9B31lTaFY2RfxpJ4TWlKh1Fo4/IyUyd3uyih17ucbKiSdJ2G5iYS01wL18o9Ett8cyjtrYXDewEsGtrL0taQMuPpiD66+HE37k4GWwNho6vsMSO1qbeTY431EQSaIrr/SKn8ToqnnLBy6On guru
Бла-бла-бла, извините за доставленные неудобства,
Команда безопасности Amazon EC2.
ami-c2a255ab это тот самый образ, на который давал ссылку karohos в своем топике. Гугл услужливо подсказал, что такое письмо получил не только я, какой-до добрый человек уже выложил его на PasteBin. (Забавно, PasteBin начинает конкурировать с Твиттером :)
Я зашел на свой уютный VPV-чик, проверил. Оказалось что для ubuntu я этот ключ удалил раньше, а вот для рута нет. Стал вспоминать и вспомнил, что видел эти ключи при настройке инстанса, удивился их присутствию, но подумал, что может они нужны самому Амазону. Я тогда впервые имел дело и с Amazon EC2, и с настройкой серверной Убунты. В общем, оставил из страха, что не смогу потом зайти на сервер.
В логах посторонних входов не увидел. При дефолтных настройках ротации логи у меня сохранились где-то за месяц. Если бы не постоянная долбежка каких-то ботов на SSH порт, наверное сохранилось бы и больше.
Команды для проверки:
# ключи для ubuntu sudo cat /home/ubuntu/.ssh/authorized_keys # ключи для рута sudo cat /root/.ssh/authorized_keys #входы по SSH в логах grep Accept /var/log/auth.log* zcat /var/log/auth.log.?.gz |grep Accept
В authorized_keys должен быть только один ключ, который выдал вам Amazon при создании инстанса. Если там есть другие ключи (не ваши), удалите их.
Не знаю, можно ли назвать это бекдором в полном смысле, ведь возможность входа никак не замаскирована. Скорее всего ключ просто остался от автора этого образа, который не имел никаких злых намерений. Более интересный вопрос, на что именно среагировали безопасники Амазона? Вероятно на жалобу одного из клиентов, что к нему залезли. (Хотя в письме об этом прямо не говорится.) Но ведь сделать это мог только обладатель секретного ключа, то есть опять же автор образа.
В любом случае, их забота о клиентах (и о своей репутации) вызывает уважение. Хороший пример для наших облачных сервисов.
UPD.
Как подсказывает SilenceAndy, На сайте Ubuntu есть страницы с указанием AMI которые можно использовать, не опасаясь: 8.04, 9.10, 10.04, 10.10, 11.04 b1
UPD2
Автор этого образа, Paulo Fisch (guru), отписался в своем блоге:
Образ ami-c2a255ab будет изъят, так как я по глупости оставил там свой публичный SSH ключ, что позволяло бы мне входить на любой инстанс, запущенный из этого AMI.
Приношу свои извинения за доставленные неудобства, и заверяю вас, что случилось это только по неопытности, а не из злого умысла.
Мне ведь в комментаниях указывали на это, но тогда я не оценил всех последствий. Моя вина!
