上周红帽遭到了一次非常令其不快的意外事件。Ceph社区网站和Inktank下载网站双双遭到黑客攻击。前者为开源Ceph分布式对象存储系统托管开发代码,后者则是Ceph的商业版本。
到底发生了什么?代码有没有遭到破坏?我们仍不得而知。红帽方面称:“虽然眼下正在开展调查这起入侵事件的工作,但我们最初的重心放在为这两个网站确保软件和分销渠道的完整性上。”
好消息是“迄今为止,我们的调查还没有发现这两个网站上可供下载的代码遭到了危及。”坏消息是,红帽“无法完全排除一些受到危及的代码在过去某个时候被下载这种可能性。”
这起入侵事件不仅向红帽的CentOSCeph打开了大门,还向UbuntuLinux的Ceph打开了大门,无异于往这款存储软件的伤口上撒了把盐。两者都依赖来自download.inktank.com的代码。CentOS版本和Ubuntu版本是用Inktank签名密钥(id5438C7019DCEEEAD)签名的。此外,ceph.com为用Ceph签名密钥(id7EBFDD5D17ED316D)签名的Ceph 社区版本提供了上游程序包。
红帽安全部门声称它们“不再信任Inktank签名密钥的完整性,因而使用标准的红帽版本密钥重新签名了红帽Ceph存储产品的这些版本。红帽Ceph存储产品的客户应该只使用由红帽版本密钥签名的版本。”
这起入侵事件并没有影响其他Ceph网站,比如download.ceph.com或git.ceph.com,还已知没有影响其他任何的Ceph社区基础设施。没有证据表明版本构建系统或Cephgithub源代码库受到了危及。
据Ceph声称“已经为ceph.com和download.ceph.com构建了新的主机,并且重新构建了网站。 download.ceph.com上的所有内容都已经过审核,指向程序包位置的所有ceph.comURL现在都重定向到那里。 download.ceph.com上仍缺失一些内容,不过会在今天晚些时候补上:源代码打包文件将从git重新生成,旧的版本程序包由新的版本密码重新签名。”
红帽Ceph存储软件或红帽企业版Linux(RHEL)没有受到这个问题的影响。红帽的其他产品同样未遭到损坏。
使用下列操作即可下载、核实和安装已知干净的Ceph版本。
更换APT密钥(Debian和Ubuntu)
- sudo apt-key del 17ED316D
- curl https://git.ceph.com/release.asc |
- sudo apt-key add -sudo apt-get update
更换RPM密钥(Fedora、CentOS和SUSE等)
- sudo rpm -e --allmatches gpg-pubkey-17ed316d-4fb96ee8
- sudo rpm --import 'https://git.ceph.com/release.asc'
重新安装程序包(Fedora、CentOS和SUSE等)
- sudo yum clean metadata
- sudo yum reinstall -y $(repoquery --disablerepo=* --enablerepo=ceph --queryformat='%{NAME}' list '*')
所幸的是,“客户数据并没有存储在那个受到危及的系统上。该系统确实存有用户名和固定密码的散列值,我们将这些资料提供给客户,用于验证下载内容。”
对于这起黑客事件是怎么得逞的,红帽心里也没底。另一方面,中招的网站“托管在红帽基础设施外面的一套计算机系统上。”重建后的网站现在已经处于红帽的安全控制之下。
本文作者:云头条
来源:51CTO