在 Google Compute Engine VM 的主文件夹中看到其他用户帐户名称是否正常?或者我应该担心恶意活动吗?
ls -l 在主目录中,前两行:
drwxr-xr-x 3 ankurshukla ankurshukla 4096 Jul 28 22:20 ankurshukla
drwxr-xr-x 3 cpomeroy cpomeroy 4096 Jul 28 22:20 cpomeroy
该虚拟机于今天(8 月 23 日)创建。???
答案1
忽略一个事实VM 已被入侵,我能想到在虚拟机主目录中拥有其他用户的两种可能性:
1)云启动器功能使用预定义映像来启动新 VM。如果原始映像在投入生产之前经过测试且未完全清理,则可能在主目录中包含其他用户。我可以确认,截至今天,情况并非如此。我刚刚使用 Cloud Launcher 部署了 VM,但目录不存在。不过,一年前使用的图像可能发生了这种情况。
2)SSH 密钥在该用户的项目元数据中定义。默认情况下,GCE 实例在其操作系统中运行账户守护进程。该守护进程将与项目元数据同步并在虚拟机中创建用户。如文章,则可以阻止该功能。如果使用 GKE,您可能在虚拟机的主目录中将用户定义为“gke-xxxxxx”。