Tôi có bốn máy Azure VM đang chạy Ubuntu 20.04.3 mà tôi thường xuyên tắt máy. Hôm qua tôi đã tắt chúng và sớm hôm nay tôi đã khởi động lại chúng. Thông thường điều này trình bày không có vấn đề.
Hôm nay, một trong những chiếc máy bắt đầu khiến tôi sợ hãi CẢNH BÁO: NHẬN DẠNG MÁY CHỦ TỪ XA ĐÃ THAY ĐỔI:
» ssh máy-hai
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
@ CẢNH BÁO: CÓ THỂ PHÁT HIỆN GIẢI ĐÁP DNS! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
Khóa máy chủ ECDSA cho machine-two.westeurope.cloudapp.azure.com đã thay đổi,
và khóa cho địa chỉ IP tương ứng 23.231.121.245
là không biết. Điều này có thể có nghĩa là
DNS SPOOFING đang xảy ra hoặc địa chỉ IP của máy chủ lưu trữ
và khóa máy chủ của nó đã thay đổi cùng một lúc.
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
@ CẢNH BÁO: NHẬN DẠNG MÁY CHỦ TỪ XA ĐÃ THAY ĐỔI! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @@@@@@@@@
CÓ THỂ LÀ MỘT NGƯỜI ĐANG LÀM ĐIỀU GÌ TUYỆT VỜI!
Ai đó có thể đang nghe lén bạn ngay bây giờ (tấn công trung gian)!
Cũng có thể là một khóa máy chủ vừa được thay đổi.
Dấu vân tay cho khóa ECDSA do máy chủ từ xa gửi là
SHA256:lU2tqbkQU+e3l+hymVr+lU2tqbkQUWo3/wXxdT/MGA4.
Xin vui lòng liên hệ với quản trị hệ thống của bạn.
Thêm khóa máy chủ chính xác vào /home/theuser/.ssh/known_hosts để loại bỏ thông báo này.
Vi phạm khóa ECDSA trong /home/theuser/.ssh/known_hosts:92
loại bỏ với:
ssh-keygen -f "/home/theuser/.ssh/known_hosts" -R "machine-two.westeurope.cloudapp.azure.com"
Xác thực mật khẩu bị vô hiệu hóa để tránh các cuộc tấn công trung gian.
Xác thực tương tác bàn phím bị vô hiệu hóa để tránh các cuộc tấn công trung gian.
Chào mừng bạn đến với Ubuntu 20.04.3 LTS (GNU/Linux 5.11.0-1021-azure x86_64)
Tôi chưa cài đặt lại máy - có thể tôi đã cập nhật hệ thống vào ngày hôm qua, nhưng chắc chắn là không cài đặt lại.
Những gì tôi thấy là các khóa Máy chủ thực sự được cập nhật:
» ls -l /etc/ssh/
tổng cộng 576
-rw-r--r-- 1 root root 535195 23 tháng 7 14:55 moduli
-rw-r--r-- 1 gốc gốc 1603 ngày 23 tháng 7 14:55 ssh_config
drwxr-xr-x 2 gốc gốc 4096 ngày 23 tháng 7 14:55 ssh_config.d
-rw------- 1 gốc gốc 1393 ngày 24 tháng 11 04:05 ssh_host_dsa_key
-rw-r--r-- 1 gốc gốc 610 ngày 24 tháng 11 04:05 ssh_host_dsa_key.pub
-rw------- 1 gốc gốc 513 Ngày 24 tháng 11 04:05 ssh_host_ecdsa_key
-rw-r--r-- 1 gốc gốc 182 ngày 24 tháng 11 04:05 ssh_host_ecdsa_key.pub
-rw------- 1 gốc gốc 411 Ngày 24 tháng 11 04:05 ssh_host_ed25519_key
-rw-r--r-- 1 root root 102 24 tháng 11 04:05 ssh_host_ed25519_key.pub
-rw------- 1 gốc gốc 2610 ngày 24 tháng 11 04:05 ssh_host_rsa_key
-rw-r--r-- 1 gốc gốc 574 ngày 24 tháng 11 04:05 ssh_host_rsa_key.pub
-rw-r--r-- 1 root root 342 21 tháng 10 23:45 ssh_import_id
-rw-r--r-- 1 root root 3287 21/10 23:46 sshd_config
drwxr-xr-x 2 gốc gốc 4096 ngày 22 tháng 10 00:09 sshd_config.d
Và thời gian cập nhật khớp với thời gian khởi động:
» cuối cùng -5
azureuse pts/1 216.129.44.18 Thứ tư ngày 24 tháng 11 04:10 vẫn đăng nhập
azureuse pts/0 216.129.44.18 Thứ tư ngày 24 tháng 11 04:10 vẫn đăng nhập
khởi động lại hệ thống boot x.yy.0-zzzz-azur Thứ tư ngày 24 tháng 11 04:04 vẫn đang chạy
azureuse pts/0 216.129.44.18 Thứ ba 23 tháng 11 08:22 - 23:02 (14:39)
khởi động lại hệ thống boot x.yy.0-zzzz-azur Thứ ba ngày 23 tháng 11 03:58 - 23:02 (19:04)
wtmp bắt đầu Thứ ba ngày 26 tháng 10 20:19:31 năm 2021
Các máy khác không bị ảnh hưởng bởi điều này và chưa bao giờ bị ảnh hưởng. Trên thực tế, đây là lần đầu tiên tôi thấy khóa Máy chủ thay đổi "một cách tự nhiên".
Tại sao khởi động lại sẽ cập nhật các khóa Máy chủ? Tôi nên xác minh điều gì nữa? Hiện tại, tôi đang kết nối với StrictHostKeyKiểm tra không
