토요일(5월 18일)에 VM 중 하나(Ubuntu 18.04 서버 실행)를 시작했습니다.
놀랍게도 VM은 거의 즉시 d16r8ew072anqo.cloudfront.net:80이전에 본 적이 없는 에 연결을 시도했습니다. 이는 사용자 정의 apt리포지토리가 없고 단지 몇 개의 패키지만 설치된 Ubuntu의 "원래" 설치였습니다. 이전에는 주로 Ubuntu 및 Snap 도메인과 같은 의심스러운 항목에 연결한 적이 없었습니다. (저는 Little Snitch를 사용하여 네트워크 트래픽을 모니터링하므로 연결을 실시간으로 확인하고 거부할 수도 있습니다.)
무슨 일이 일어났는지 알아내려고 시간을 보냈고 unattended-upgrades보안 패치를 설치하는 것으로 범위를 좁혔습니다. 특히 intel-microcode:amd64패키지를 수동으로 다시 설치했을 때 CloudFront에 대한 이상한 연결을 재현할 수 있었습니다(단지 우연일 수도 있음).
그러다가 월요일에 비슷한 일이 다시 일어날 경우를 대비해 문제를 문서화하고 싶었지만 놀랍게도 이상한 연관성을 더 이상 재현할 수 없었습니다.
그리고 월요일에 관찰할 수 있는 유일한 차이점은 [1]의 출력에 해당 줄이 sudo apt-get install --reinstall intel-microcode:amd64없다는 것입니다 Ign:1.
포함하여 웹을 검색했습니다.http://archive.ubuntu.com/ubuntu, grep-VM의 디스크를 편집하고 기타의 DNS 레코드를 확인했습니다. 의심스러운 도메인으로의 리디렉션을 찾기 위해 다른 URL을 ubuntu.com시도했지만 wgetCloudFront에 대한 이상한 연결에 대한 단서를 찾을 수 없었습니다.
내 질문은 다음과 같습니다무슨 일이 일어났는지 아는 사람이 있나요? 아니면 적어도 로그에서 동일한 연결을 발견한 사람이 있나요?
(그런데 저는 Ubuntu 팀이 CloudFront를 사용하여 서버 비용을 절감한 한 가지 예를 알고 있습니다. 12.04 ISO의 MD5 불일치, 무슨 일이 일어나고 있나요? --아마도 비슷한 경우가 아닐까 싶습니다.)
[1]:
$ sudo apt-get install --reinstall intel-microcode:amd64
Reading package lists... Done
Building dependency tree
Reading state information... Done
0 upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 0 not upgraded.
Need to get 1,801 kB of archives.
After this operation, 0 B of additional disk space will be used.
Ign:1 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 intel-microcode amd64 3.20190514.0ubuntu0.18.04.2
Get:1 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 intel-microcode amd64 3.20190514.0ubuntu0.18.04.2 [1,801 kB]
Fetched 1,801 kB in 20s (89.2 kB/s)
(Reading database ... 107477 files and directories currently installed.)
Preparing to unpack .../intel-microcode_3.20190514.0ubuntu0.18.04.2_amd64.deb ...
Unpacking intel-microcode (3.20190514.0ubuntu0.18.04.2) over (3.20190514.0ubuntu0.18.04.2) ...
Setting up intel-microcode (3.20190514.0ubuntu0.18.04.2) ...
update-initramfs: deferring update (trigger activated)
intel-microcode: microcode will be updated at next boot
Processing triggers for initramfs-tools (0.130ubuntu3.7) ...
update-initramfs: Generating /boot/initrd.img-4.15.0-50-generic
답변1
저는 이에 대해 보안 및 아카이브 팀에 문의했습니다. 왜냐하면 이것이 예상된 동작인지 아닌지에 대한 권위 있는 출처가 될 것이기 때문입니다. 다음은 그들이 나와 공유한 내용을 요약한 것입니다.
관찰된 이 동작은 아카이브 미러에서 Cloudfront로 트래픽 로드를 오프로드하는 것이었고, 특히 커널 및 마이크로코드 업데이트에 대한 아카이브 서버의 로드를 완화하기 위해 5월 15일 수요일부터 5월 20일 월요일 사이에 수행되었습니다.
해당 팀에 따르면 CloudFront를 통해 이러한 오프로드가 수행된 것은 이번이 처음이며, 이 특별한 경우에는예상되는 동작.
의심스러워 보이지만 팀에서는 IRC를 통해 이것이 예상된 동작임을 확인했으며 과거에 더 많은 사람들이 이러한 동작을 발견하지 못했다는 사실에 놀랐습니다.
궁극적으로: 악의적인 동작이 아니라 예상된 동작이었고 보관 서버에 과부하가 발생하지 않도록 하기 위해 필요했습니다. (이런 일을 해야하는 것도 처음이었기 때문에 적어도 아무 일도 일어나지 않았습니다 ㅎ)
Cloudfront로 오프로드하지 않는 표준 동작이 이제 다시 제자리로 돌아왔습니다.