Хостер FirstVDS залишив ключ доступу SSH у поставляються клієнтам VDS

Хостер FirstVDS (у них є блог на хабре) постачає VDS своїм користувачам з ось таким ось вмістом файлу /root/.ssh/authorized_keys:



Тобто це дає можливість отримувати доступ через SSH до орендованих користувачами VDS тим особистостям, які встановили цей ключ. Коментар у файлі свідчить, що цей ключ — для доступу техпідтримки. При цьому ніякого оповіщення користувачеві не видається. базі знань відповіді теж не знайшлося. Вирішив написати в техпідтримку для роз'яснення цієї ситуації і отримав ось таку відповідь:



Після останнього повідомлення листування була переведена в архів. Тобто, як я зрозумів, була заблокована для відповіді. Ось такі у них чуйні менеджери відділу Турботи про клієнтів.

Тобто мені пропонують стати клієнтом (тобто заплатити за продукт з лазівкою), а потім скажуть, навіщо його ставлять мені та іншим клієнтам.

Наскільки я можу бачити, файл ключа містять самі образи виртуалок. І переустановка ОС з наданого хостером образу ситуацію не виправляє. Помічено як мінімум на образах з Ubuntu.

Один з варіантів рішення — видалення файлу /root/.ssh/authorized_keys

UPD
Наводжу справедливі слова SilverFire коментаря щодо того чим погані такі ключі:

Сама наявність ключа — не проблема. Проблема в тому, що він один на всіх супортів і не обмежений по IP. Що в цьому поганого:

  1. якщо немає обмеження по IP, немає і єдиного access-сервера, звідки супорти мають право ходити на клієнтські сервера, причому бажано за локальним management IP адресам;
  2. неможливо швидко позбавити співробітника прав доступу. Доведеться обходити всі сервери і змінювати публічний ключ, плюс роздавати всім чинним сорудникам новий приватний ключ;

  3. всі співробітники ходять під одним ключем і логинятся рутом. Якщо хтось налажал і не зізнається — майже нереально з'ясувати, хто саме це був;
  4. співробітники мають на руках приватний ключ і можуть випадково (чи не випадково) його скомпрометувати. Так як немає обмеження по IP, хто завгодно може ним скористатися і, знову таки, буде незрозуміло хто із співробітників став винуватцем.


Залишати на всіх виртуалках один і той же ключ доступу тим дивніше, що є й інші, більш безпечні варіанти термінового доступу. Деякі панелі управління VDS (наприклад, SolusVM) дозволяють у випадку втрати пароля рута, задати новий пароль. Якщо ж проблема не в забутому паролі, а в неправильних налаштуваннях iptables чи налаштуваннях мережевого адаптера — підключення по VNC до спеціальній машині резервного доступу. При цьому доступ до виртуалке такий же, як якщо б був фізичний доступ до неї. Тобто спрацює навіть якщо сталися проблеми в мережного адаптера (неправильно налаштований або ще щось).

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.