Será feito um upgrade do Ubuntu para uma nova chave de host SSH de mudança LTS?

3

Eu recentemente atualizei meu computador do Ubuntu 12.04 para 14.04 LTS (em um passo). Após a atualização, no entanto, recebi avisos bem conhecidos como

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@       WARNING: POSSIBLE DNS SPOOFING DETECTED!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The ECDSA host key for xxxx has changed,

, se eu tentar ssh no computador de outro computador Linux.

Se eu tentar fazer login no computador a partir do MinGW / Windows, no qual o host / servidor tem uma chave pública armazenada, o login foi bem-sucedido por alguns segundos e, em seguida, a sessão do ssh congelou. A rede para o host / servidor está inativa por algumas horas a um dia, período durante o qual eu não consigo nem fazer ping no servidor. Mas voltou a ficar online depois disso.

Minha pergunta é: É possível / normal que uma atualização LTS como a minha mude a chave do host? Ou é mais provável que meu computador esteja sob um ataque man-in-the-middle? Como posso verificar qual é o caso?

Obrigado.

- Atualizar -

Para tentar corrigir o problema, restaurei uma imagem do Ubuntu 12.04 que fiz antes da atualização para o 14.04 usando o fsarchive e uma segunda instalação do Ubuntu. Eu fiz a recuperação muitas vezes antes e nunca tive um problema. Mas desta vez, após a recuperação, o Ubuntu 12.04 restaurado não inicializaria. Fui deixado com um aviso de grub.

Então, fixando o grub, usei um liveusb para reinstalar o grub (chroot, grub-install / dev / sda etc). Novamente, isso conserta o grub toda vez no passado, mas não dessa vez. grub-install reporta algum erro sobre "FlexNet" usando o setor 32.

Eu finalmente consertei o grub depois do googling e encontrei duas linhas de comando para fazer backup e eliminar o MBR. Não sei se alguém já teve problema semelhante antes. Eu nunca instalei nenhum software chamado FlexNet no meu windows dual boot ou Linux. E isso aconteceu somente depois que eu atualizei para o 14.04 LTS. Isso é um sinal de que meu computador foi hackeado?

Depois de consertar o grub, consegui atualizar novamente para o 14.04 LTS, sem nenhum problema até agora.

    
por tinlyx 17.05.2014 / 13:39

2 respostas

1

O FlexNet é um software gerenciador de licença de software anti-pirataria. Ele incorpora alguma assinatura no setor 32 como uma simples verificação para evitar que as pessoas copiem (porque os piratas nunca descobririam como copiar setores de disco). Como está embutido no cabeçalho da unidade, a assinatura do FlexNet sobreviverá ao reparticionamento, etc. É possível que alguém tenha instalado o software anteriormente na unidade, talvez já tenha instalado o Windows?

Para deixar em branco o setor do FlexNet:

sudo dd if=/dev/zero of=/dev/sda bs=512 count=1 seek=32

Em relação ao problema do ssh, consulte esta resposta onde um usuário em uma situação semelhante descobriu que uma atualização adicionou uma linha ao sshd conf:

HostKey /etc/ssh/ssh_host_ecdsa_key

É possível que o mesmo tenha acontecido com você - seu servidor estava usando chaves RSA / DSA, nenhuma chave ECDSA foi declarada na configuração (mesmo que exista no disco), mas quando você atualizou a configuração do servidor foi alterada e agora o ssh está reclamando.

    
por bain 26.05.2014 / 00:46
0

Como você parece ter acesso físico à máquina em questão, informe o que é a impressão digital:

  • you@SuspiciousMachine $ sudo ssh-keygen -lf /etc/ssh/ssh_host_ecdsa_key

Compare isso com o que suas máquinas Linux estão relatando e determinando a autenticidade.

OBSERVAÇÃO: Verifique se você está imprimindo a chave correta. No seu caso, você quer ecdsa. Às vezes, isso pode ser rsa.

    
por earthmeLon 17.05.2014 / 18:54