土曜日 (5 月 18 日)、VM の 1 つ (Ubuntu 18.04 Server を実行) を起動しました。
驚いたことに、VM はすぐに に接続しようとしましたd16r8ew072anqo.cloudfront.net:80。これは、これまで見たことのないものです。これは、カスタムaptリポジトリがなく、いくつかのパッケージがインストールされているだけの、Ubuntu の非常に「純粋な」インストールです。これまで疑わしいものに接続したことはなく、ほとんどが Ubuntu と Snap ドメインでした。(私は Little Snitch を使用してネットワーク トラフィックを監視しているため、接続をリアルタイムで確認し、拒否することもできます。)
何が起こったのかを解明するのにしばらく時間を費やしましたが、unattended-upgradesセキュリティ パッチのインストールが原因であると絞り込んだと思います。具体的には、intel-microcode:amd64パッケージを手動で再インストールすると、CloudFront への奇妙な接続を再現できました (偶然かもしれませんが)。
その後、月曜日に、同様のことが再び起こった場合に備えて問題を文書化したいと思ったのですが、驚いたことに、奇妙な接続を再現できなくなりました。
そして月曜日に目立った唯一の違いは、[1]からの出力に
sudo apt-get install --reinstall intel-microcode:amd64その行がなかったことですIgn:1。
私はウェブを検索しました。出典: ubuntu.com、grepVM のディスクを し、さまざまなubuntu.comサブドメインの DNS レコードを確認し、wgetさまざまな URL を試して疑わしいドメインへのリダイレクトを探しましたが、 CloudFront への奇妙な接続に関する手がかりは見つかりませんでした。
私の質問は次のとおりです:何が起こったのか知っている人、または少なくともログに同じ接続があることに気づいた人はいますか?
(ちなみに、Ubuntu チームがサーバーの負荷を軽減するために CloudFront を使用した例を 1 つ知っています。 12.04 ISO で MD5 が一致しません。何が起こっているのでしょうか? --それで、おそらくこれは同様のケースであることを期待しています。
[1]:
$ sudo apt-get install --reinstall intel-microcode:amd64
Reading package lists... Done
Building dependency tree
Reading state information... Done
0 upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 0 not upgraded.
Need to get 1,801 kB of archives.
After this operation, 0 B of additional disk space will be used.
Ign:1 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 intel-microcode amd64 3.20190514.0ubuntu0.18.04.2
Get:1 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 intel-microcode amd64 3.20190514.0ubuntu0.18.04.2 [1,801 kB]
Fetched 1,801 kB in 20s (89.2 kB/s)
(Reading database ... 107477 files and directories currently installed.)
Preparing to unpack .../intel-microcode_3.20190514.0ubuntu0.18.04.2_amd64.deb ...
Unpacking intel-microcode (3.20190514.0ubuntu0.18.04.2) over (3.20190514.0ubuntu0.18.04.2) ...
Setting up intel-microcode (3.20190514.0ubuntu0.18.04.2) ...
update-initramfs: deferring update (trigger activated)
intel-microcode: microcode will be updated at next boot
Processing triggers for initramfs-tools (0.130ubuntu3.7) ...
update-initramfs: Generating /boot/initrd.img-4.15.0-50-generic
答え1
この件について、セキュリティ チームとアーカイブ チームに問い合わせました。この 2 チームは、これが想定された動作であるかどうかの信頼できる情報源だからです。以下は、彼らが私に教えてくれた内容の要約です。
この観察された動作は、アーカイブ ミラーから Cloudfront へのトラフィック負荷のオフロードであり、特にカーネルとマイクロコードの更新に関してアーカイブ サーバーの負荷を軽減するために、5 月 15 日水曜日から 5 月 20 日月曜日の間に実行されました。
これらのチームによると、このようなオフロードがCloudFront経由で行われたのは今回が初めてであり、この特定のケースでは予想される行動。
疑わしいように見えますが、チームは IRC 経由で私に、これは想定内の動作であると確認しており、これまでこの動作に気付いた人がもっと多かったことに驚いています。
結局のところ、悪意のある動作ではなく、予想された動作であり、アーカイブ サーバーに過負荷をかけないようにするために必要なものでした。(また、このようなことを行う必要があったのは初めてだったので、少なくとも何も問題はありませんでした)
Cloudfront にオフロードしないという標準的な動作が、これで元に戻るはずです。