Recientemente implementé un servidor en la nube nuevo e instalédokku. Configuré dos aplicaciones simples, una aplicación PHP y Vue/estática y el complemento para letsencrypt.
Todo estuvo bien, pero dos días después noté tres entradas inusuales en el authorized_keysarchivo del usuario de dokku. Me pregunto si mi servidor se vio comprometido de alguna manera o si estoy exagerando:
Las claves han sido redactadas:
command="FINGERPRINT=SHA256:<redacted> NAME=\"admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin2\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key> jondo@debian
Dokku tiene una sshcommandcaracterística (enlace)pero nunca lo usé.
Mirar lasty .bash_historyno revela nada inusual y /var/log/auth.logrevela los interminables intentos de fuerza bruta que imagino que enfrentan todos los servidores públicos, pero ningún inicio de sesión inusual.
Respuesta1
el dokkudocumentacióndice:
Advertencia: Si no completa la configuración a través del instalador web (incluso si configura claves SSH y hosts virtuales de otra manera), su instalación de Dokku seguirá siendo vulnerable a que cualquiera encuentre la página de configuración e inserte su clave.
Si no hizo esto, alguien (probablemente usando un escáner automático) encontró este enlace e ingresó sus propias claves.
Desafortunadamente, no sé lo suficiente sobre dokku para decirle si esto definitivamente significa que su sistema está comprometido, pero definitivamente sospecharía mucho que ese sea el caso.