紅帽Ceph代碼庫(kù)遭黑客攻擊（附Ceph干凈版操作）

作者：云頭條譯 2015-09-22 10:39:40

云計(jì)算

云安全 上周紅帽遭到了一次非常令其不快的意外事件。Ceph社區(qū)網(wǎng)站和Inktank下載網(wǎng)站雙雙遭到黑客攻擊。前者為開(kāi)源Ceph分布式對(duì)象存儲(chǔ)系統(tǒng)托管開(kāi)發(fā)代碼，后者則是Ceph的商業(yè)版本。

成都創(chuàng)新互聯(lián)成立以來(lái)不斷整合自身及行業(yè)資源、不斷突破觀念以使企業(yè)策略得到完善和成熟，建立了一套“以技術(shù)為基點(diǎn)，以客戶(hù)需求中心、市場(chǎng)為導(dǎo)向”的快速反應(yīng)體系。對(duì)公司的主營(yíng)項(xiàng)目，如中高端企業(yè)網(wǎng)站企劃 / 設(shè)計(jì)、行業(yè) / 企業(yè)門(mén)戶(hù)設(shè)計(jì)推廣、行業(yè)門(mén)戶(hù)平臺(tái)運(yùn)營(yíng)、成都app開(kāi)發(fā)、移動(dòng)網(wǎng)站建設(shè)、微信網(wǎng)站制作、軟件開(kāi)發(fā)、眉山服務(wù)器托管等實(shí)行標(biāo)準(zhǔn)化操作，讓客戶(hù)可以直觀的預(yù)知到從成都創(chuàng)新互聯(lián)可以獲得的服務(wù)效果。

上周紅帽遭到了一次非常令其不快的意外事件。Ceph社區(qū)網(wǎng)站和Inktank下載網(wǎng)站雙雙遭到黑客攻擊。前者為開(kāi)源Ceph分布式對(duì)象存儲(chǔ)系統(tǒng)托管開(kāi)發(fā)代碼，后者則是Ceph的商業(yè)版本。

到底發(fā)生了什么?代碼有沒(méi)有遭到破壞?我們?nèi)圆坏枚＜t帽方面稱(chēng)：“雖然眼下正在開(kāi)展調(diào)查這起入侵事件的工作，但我們最初的重心放在為這兩個(gè)網(wǎng)站確保軟件和分銷(xiāo)渠道的完整性上?！?/p>

好消息是“迄今為止，我們的調(diào)查還沒(méi)有發(fā)現(xiàn)這兩個(gè)網(wǎng)站上可供下載的代碼遭到了危及?！眽南⑹?，紅帽“無(wú)法完全排除一些受到危及的代碼在過(guò)去某個(gè)時(shí)候被下載這種可能性?！?/p>

這起入侵事件不僅向紅帽的CentOSCeph打開(kāi)了大門(mén)，還向UbuntuLinux的Ceph打開(kāi)了大門(mén)，無(wú)異于往這款存儲(chǔ)軟件的傷口上撒了把鹽。兩者都依賴(lài)來(lái)自download.inktank.com的代碼。CentOS版本和Ubuntu版本是用Inktank簽名密鑰(id5438C7019DCEEEAD)簽名的。此外，ceph.com為用Ceph簽名密鑰(id7EBFDD5D17ED316D)簽名的Ceph 社區(qū)版本提供了上游程序包。

紅帽安全部門(mén)聲稱(chēng)它們“不再信任Inktank簽名密鑰的完整性，因而使用標(biāo)準(zhǔn)的紅帽版本密鑰重新簽名了紅帽Ceph存儲(chǔ)產(chǎn)品的這些版本。紅帽Ceph存儲(chǔ)產(chǎn)品的客戶(hù)應(yīng)該只使用由紅帽版本密鑰簽名的版本?！?/p>

這起入侵事件并沒(méi)有影響其他Ceph網(wǎng)站，比如download.ceph.com或git.ceph.com，還已知沒(méi)有影響其他任何的Ceph社區(qū)基礎(chǔ)設(shè)施。沒(méi)有證據(jù)表明版本構(gòu)建系統(tǒng)或Cephgithub源代碼庫(kù)受到了危及。

據(jù)Ceph聲稱(chēng)“已經(jīng)為ceph.com和download.ceph.com構(gòu)建了新的主機(jī)，并且重新構(gòu)建了網(wǎng)站。 download.ceph.com上的所有內(nèi)容都已經(jīng)過(guò)審核，指向程序包位置的所有ceph.comURL現(xiàn)在都重定向到那里。 download.ceph.com上仍缺失一些內(nèi)容，不過(guò)會(huì)在今天晚些時(shí)候補(bǔ)上：源代碼打包文件將從git重新生成，舊的版本程序包由新的版本密碼重新簽名?！?/p>

紅帽Ceph存儲(chǔ)軟件或紅帽企業(yè)版Linux(RHEL)沒(méi)有受到這個(gè)問(wèn)題的影響。紅帽的其他產(chǎn)品同樣未遭到損壞。

使用下列操作即可下載、核實(shí)和安裝已知干凈的Ceph版本。

更換APT密鑰(Debian和Ubuntu)

  
 
 
   
  
  
sudo apt-key del 17ED316D
   
  
  
curl https://git.ceph.com/release.asc |
   
  
  
 sudo apt-key add -sudo apt-get update 
  
 

更換RPM密鑰(Fedora、CentOS和SUSE等)

  
 
 
   
  
  
sudo rpm -e --allmatches gpg-pubkey-17ed316d-4fb96ee8 
   
  
  
sudo rpm --import 'https://git.ceph.com/release.asc' 
  
 

重新安裝程序包(Fedora、CentOS和SUSE等)

  
 
 
   
  
  
sudo yum clean metadata 
   
  
  
sudo yum reinstall -y $(repoquery --disablerepo=* --enablerepo=ceph --queryformat='%{NAME}' list '*') 
  
 

所幸的是，“客戶(hù)數(shù)據(jù)并沒(méi)有存儲(chǔ)在那個(gè)受到危及的系統(tǒng)上。該系統(tǒng)確實(shí)存有用戶(hù)名和固定密碼的散列值，我們將這些資料提供給客戶(hù)，用于驗(yàn)證下載內(nèi)容?！?/p>

對(duì)于這起黑客事件是怎么得逞的，紅帽心里也沒(méi)底。另一方面，中招的網(wǎng)站“托管在紅帽基礎(chǔ)設(shè)施外面的一套計(jì)算機(jī)系統(tǒng)上?！敝亟ê蟮木W(wǎng)站現(xiàn)在已經(jīng)處于紅帽的安全控制之下。

【本文來(lái)源：云頭條微信號(hào)】

本文標(biāo)題：紅帽Ceph代碼庫(kù)遭黑客攻擊（附Ceph干凈版操作）
本文路徑：http://fisionsoft.com.cn/article/djedhpo.html