Ξένοι SSH δημόσια κλειδιά προστεθεί στο αρχείο κλειδιών επιτρέπεται στον Linux VM

Αναγνώριση

Για να ελέγξετε εάν έχετε πρόσθετων κλειδιών, εξετάστε το αρχείο εξουσιοδοτημένο κλειδιά (αρχείο .ssh/authorized_keys vi) για να προσδιορίσετε αν έχουν προστεθεί πρόσθετων κλειδιών που δεν σκοπεύατε να συμπεριλάβετε.

Είναι με μη αυτόματο τρόπο ασφαλές να καταργήσετε οποιεσδήποτε πρόσθετες ssh δημόσια κλειδιά που μπορεί να έχουν προστεθεί. Αυτό θα δεν επηρεάζει τις δυνατότητες που αναπτύσσονται σε συνδυασμό με την εικονική Μηχανή. Επίσης, δεν θα επηρεαστεί το καθορισμένο SSH ζεύγος κλειδιών για έλεγχο ταυτότητας.

Εάν δεν γνωρίζετε ή δεν είναι δυνατό να διαφοροποιήσετε τα δημόσια κλειδιά στο αρχείο .ssh/authorized_keys που καθορίσατε για τον έλεγχο ταυτότητας, ακολουθήστε τα εξής βήματα:

1. Εξετάστε τα πρότυπα ανάπτυξης:

   1. SSH δημόσιων κλειδιών

   2. SSH κλειδιά σύννεφο init ρύθμισης παραμέτρων

2. Ανάκτηση του εγκατεστημένου ssh κλειδιών κατά τη δημιουργία από μέσα την εικονική Μηχανή, εάν έχετε πρόσβαση sudo/root. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:

   1. Ελέγξτε τις παραμέτρους init σύννεφο που διαβιβάστηκε CustomData: sudo cat /var/lib/waagent/ovf-env.xml | grep "<ns1:CustomData>"Χρησιμοποιήστε την τιμή CustomData και, στη συνέχεια, χρήση base64 αποκωδικοποίησης για τη λήψη των δημόσιων κλειδιών που αναπτύξατε: echo "<customData value>" | base64 -D

   2. Εναλλακτικά, ελέγξτε την υπηρεσία δεδομένων Meta (IMDS) της παρουσίας, για να δείτε τα ssh δημόσιο κλειδί που διαβιβάστηκε το ssh δημόσια ιδιότητα κλειδιού από την εικονική Μηχανή δημιουργίας: curl -H Metadata:true "http://169.254.169.254/metadata/instance/compute/publicKeys?api-version=2018-04-02&format=json"

Διόρθωση

Αν έχετε προσδιορίσει πρόσθετα πιστοποιητικά που δεν σκοπεύατε να αναπτύξετε την εικονική Μηχανή, μπορείτε να καταργήσετε τους κατά τη διαγραφή την αντίστοιχη γραμμή από το αρχείο authorized_keys.

Εκτέλεση της αποκατάστασης εύρυθμης λειτουργίας κατά τη σύνδεση με την εικονική Μηχανή με αλληλεπίδραση ή χρησιμοποιήστε την επέκταση του προσαρμοσμένη δέσμη ενεργειών ή την εκτέλεση εντολής μέσω πολλών ΣΠΣ.

VM που αναπτύσσονται χρησιμοποιώντας τις επεκτάσεις που έχουν προστατευθεί ρυθμίσεις ή μιας διαχειριζόμενης ταυτότητας

Χρησιμοποιήστε την ακόλουθη δέσμη ενεργειών, για να καταργήσετε τα δημόσια κλειδιά από τα πιστοποιητικά που την εικονική Μηχανή είχε αναπτυχθεί με επεκτάσεις ή διαχειριζόμενη ταυτότητα. Αυτό θα κατάργηση δεν τα κλειδιά που έχουν καθοριστεί όταν αναπτυχθεί μια εικονική Μηχανή ή εάν η εικονική Μηχανή είχε αναπτυχθεί με θάλαμο κλειδί κλειδιά.

#!/bin/bash
set -e

# /var/lib/waagent has *.crt files that include the crt files corresponding to 
# the user provided public keys and one additional .crt file from MSI.
# This script converts the content of the .crt file into the ssh public key and
# remove it from the authorized_keys file
readarray -t CRT_FILES < <(grep -l -E "(Microsoft.ManagedIdentity|Windows Azure)" /var/lib/waagent/*.crt)
for ((i=0; i < ${#CRT_FILES[@]}; i++))
do
    PUBKEY=$(openssl x509 -in "${CRT_FILES[$i]}" -pubkey -noout | ssh-keygen -f /dev/stdin -i -m PKCS8)
    sed -i -e "\@$PUBKEY@d" $HOME/.ssh/authorized_keys
Done 

Μετά την εκτέλεση της δέσμης ενεργειών, ανατρέξτε στο αρχείο ssh/authorized_keys ώστε να υπάρχουν μόνο τα γνωστά δημόσια κλειδιά.

VM που έχουν αναπτυχθεί με κλειδί θάλαμο μυστικά

Για να προσδιορίσετε αν το κλειδί προστέθηκε όταν αναπτυχθεί με κλειδί θάλαμο κλειδιά, ακολουθήστε τα εξής βήματα:

1. Η λήψη του ονόματος του πιστοποιητικού κλειδιού θάλαμο που αναπτύξατε χρησιμοποιώντας την εικονική Μηχανή, να ελέγξετε ανάπτυξης κώδικα Az CLI ή πρότυπα ARM ή εκτελέστε το CLI Az: az vm show --resource-group <resourceGroupName> --name <vmName> | grep certificateUrlΗ απάντηση θα εμφανίσει το όνομα του πιστοποιητικού: "certificateUrl": "https://<keyVaultname>.vault.azure.net/secrets/<certName>/xxxxxxxxxxxxx"

2. Κάντε λήψη του πιστοποιητικού: az keyvault certificate download --vault-name <keyVaultName> --name <certName> --encoding PEM --file public.pem

3. Εξαγάγετε το δημόσιο κλειδί: openssl x509 -in public.pm -pubkey -noout | ssh-keygen -f /dev/stdin -i -m PKCS8

4. Συγκρίνετε την έξοδο από το προηγούμενο βήμα για το υπόλοιπο πιστοποιητικά στο αρχείο ssh/authorized_keys. vi .ssh/authorized_keys file

Ubuntu 18.04 εικόνες

Για να ενημερώσετε μια προσαρμοσμένη εικόνα προέλευσης, πρέπει να κάνετε τις ακόλουθες τροποποιήσεις:

• Επεξεργαστείτε το ακόλουθο αρχείο: /ETC/cloud/cloud.cfg.d/90-Azure.cfg

• Προσθέστε τον ακόλουθο κώδικα στο τέλος του αρχείου.

datasource:
   Azure:
     agent_command: [service, walinuxagent, start]

RHEL 7.4/7.5/7.6 και CentOS 7.6 εικόνες

Εάν δημιουργήσατε προηγουμένως τις εικόνες RHEL/CentOS, ακολουθώντας τα εξής βήματα (ή μια παρόμοια μέθοδο), πρέπει να ενημερώσετε την εικόνα προέλευσης από το οποίο δημιουργήθηκε το ΣΠΣ. Τα παρακάτω είναι πρόσθετα βήματα που απαιτούνται για να προσθέσετε τις υπάρχουσες παραμέτρους εικόνα VM προέλευσης:

Βήμα 1

Επεξεργαστείτε το ακόλουθο αρχείο:

/etc/cloud/cloud.cfg.d/91-azure_datasource.cfg

Προσθέστε τις ακόλουθες γραμμές στο τέλος του αρχείου:

datasource:
   Azure:
     agent_command: [systemctl, start, waagent, --no-block]

Βήμα 2

Ενημερώστε τη ρύθμιση παραμέτρων του παράγοντα ως εξής:

cp /lib/systemd/system/waagent.service /etc/systemd/system/waagent.service
sed -i 's/After=network-online.target/WantedBy=cloud-init.service\\nAfter=network.service systemd-networkd-wait-online.service/g' /etc/systemd/system/waagent.service
systemctl daemon-reload

σύννεφο init πακέτα

Όλα τα πακέτα init σύννεφο που περιλαμβάνει μια ενημέρωση κώδικα είναι στη διαδικασία που ενημερώνεται. Η Microsoft ερευνά αυτό το ζήτημα και θα δημοσιεύσει περισσότερες πληροφορίες σε αυτό το άρθρο, όταν αυτές γίνουν διαθέσιμες.