我最近部署了一個新的雲端伺服器並安裝了多庫。我已經設定了兩個簡單的應用程序,一個 PHP 和 Vue/靜態應用程式以及 LetsEncrypt 插件。
一切都很好,但兩天後我注意到authorized_keysdokku 用戶的文件中有三個不尋常的條目。我想知道我的伺服器是否受到某種程度的損害或我是否反應過度:
密鑰已編輯:
command="FINGERPRINT=SHA256:<redacted> NAME=\"admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin2\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no-port-forwarding ssh-rsa <redacted pub key> jondo@debian
Dokku有一個sshcommand特點(關聯)但我從未使用過它。
查看last並.bash_history發現沒有任何異常情況,並/var/log/auth.log揭示了我想像所有公共伺服器都會面臨的無盡的暴力嘗試,但沒有異常的登入。
答案1
多庫文件說:
警告:如果您沒有透過 Web 安裝程式完成設定(即使您設定了 SSH 金鑰和虛擬主機),您的 Dokku 安裝仍然容易受到任何找到設定頁面並插入其金鑰的人的攻擊。
如果您沒有這樣做,有人(可能使用自動掃描器)找到了此連結並輸入了自己的金鑰。
不幸的是,我對 dokku 的了解還不夠,無法告訴您這是否肯定意味著您的系統受到了損害,但我肯定會非常懷疑這種情況。