我最近部署了一个新的云服务器并安装了多库。我已经设置了两个简单的应用程序,一个 PHP 和 Vue/static 应用程序以及 letsencrypt 插件。
一切都很顺利,但两天后,我注意到authorized_keys
dokku 用户的文件中有三个不寻常的条目。我想知道我的服务器是否以某种方式被入侵了,或者我是否反应过度:
密钥已被删除:
command="FINGERPRINT=SHA256:<redacted> NAME=\"admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin2\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key> jondo@debian
Dokku 有一个sshcommand
功能(关联)但我从来没有用过它。
查看last
并.bash_history
发现没有什么异常,并且/var/log/auth.log
揭示了我认为所有公共服务器都会面临的无休止的暴力破解尝试,但没有发现任何异常的登录。
答案1
杜库文档说:
警告:如果您没有通过 Web 安装程序完成安装(即使您设置了 SSH 密钥和虚拟主机),您的 Dokku 安装仍然会受到任何找到安装页面并插入密钥的人的攻击。
如果您没有这样做,有人(可能使用自动扫描仪)会找到此链接并输入他们自己的密钥。
不幸的是,我对 dokku 了解不够多,无法告诉你这是否意味着你的系统受到了损害,但我肯定会非常怀疑这种情况。