冬瓜HA存在多余的SSH公钥,有点危险
本帖最后由 mrtang 于 2024-4-7 16:03 编辑前几天刷了m401a的haos,再我去配置 SSH公钥认证时,里面明晃晃的存在了两个公钥。
这有什么问题呢,有私钥的人可以直接使用root免密访问你的haos,想怎么操作都有权限。当然绝大部分情况下,从公网访问不到的。
验证方式:
ssh root@haosip -p22222,默认密码1234或无密码,或者使用网页的tty访问
cat /root/.ssh/authorized_keys
可以看到
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDI1qV9KAvE8JNtcIxfGrYHhO/FhaJbouiJvqm5v1pxFf8dC3dtkWNI0JxPqK0y58cCxjX4aAVbJvGIiQGHTsR6ZsBtKUUcQb90EJIAZkDrRhoRsAU5ua+hwEUuuMWuVGmJyUmB0tSx/EyUS+9xYyc4vTM3aVNZugMkG0LzHYJ6vthLpT+YeHD7nM4lrtX46t92Zt+/dff+tH74WgRMR29YLceSE0BZXOt8lasqJKIeALqwZUAEr5jI3HTnWrX0ZIeOqgCUMhUT73c+A/H07ZPhRrw2Y5pKCKDewWkZpeW/sQt59d7+y26x0I7opsPshEOzGKIFwsajAquCNB66P+4n
ssh-rsa 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 WaxGourd.HA
解决方式:rm -r /root/.ssh
作为垃圾佬我有去搞了panther-x2玩,顺便去下了panther-x2的haos,挂载镜像同样也存在问题。
我有在作者的帖子下说这个问题,作者并没有回复。从逻辑上讲留后门,这种留法太低级。有可能是遗漏。
不安装镜像,解包看镜像内容的办法
```shell
mkdir dir2
# 挂载第二个分区
mount -o loop,offset=553648128 ./Armbian_24.5.0_rockchip_panther-x2_jammy_6.1.79_server_2024.03.01.img dir2
cp dir2/root/haos_panther-x2-12.1.release.20240325_104234.896dbb87f2.img.xz ./
xz -d haos_panther-x2-12.1.release.20240325_104234.896dbb87f2.img.xz
umount dir2
# 挂载第三个分区
mount -o loop,offset=59768832 haos_panther-x2-12.1.release.20240325_104234.896dbb87f2.img dir2
# 同样也存在
cat dir2/root/.ssh/authorized_keys
```
本帖最后由 冬瓜HA 于 2024-4-7 16:21 编辑
哈哈,虽然前面有几个人说明了,我看了都比较专业的回复了。正好这些天,也有人问关于SSH的问题,特此都说一下。
冬瓜版的HAOS中,留有两个ssh的公钥,正如楼上所说,它是用来调试的,并且公钥后面保留了备注,清楚明了。
为什么要调试,现在大家送来和自己进行测试的机器多,有时启动7681很麻烦。所以内部测试使用了一个外界不可能拿到的私钥,而不是密码的方式。
其次,这种是完全局域网中的行为:)
正如楼主所写,用户完全可以自己删除的。
关于ssh的,大家一定要注意,官方使用的22222端口,证书的方式,不允许用户名和密码方式,请大家不要发贴总问了。过几天,我出一个设置证书的addons的方便大家设置(原来有一版老外修改,觉得不好用,就没发)。
另一种ssh,是基于docker的ssh的。使用22端口,大家自己在设置时,ssh设置好密码就行。
对于众多对于冬瓜版的评价,我都会认真回复的。至于我的水平,为什么不出armbian等上面的批处理安装supervisor版的,日后有时间了,写一下专门的帖子说明。
大家会用HA,玩得轻松才是我的动力和乐趣:)
不好意思,才看到你在3月30日发的询问,因为每天有不少帖要回复,可能你的帖被顶上去了,我没看到。:L
你这就是专业了 这样就不到道了 很明显人家调试自己的密钥而已,建议标题改的详细一点 担心自己编译就好了!官方都开源,还有教程。 无公网的不用担心吧 jjcs 发表于 2024-4-7 15:02
很明显人家调试自己的密钥而已,建议标题改的详细一点
我感觉也像,但是仍留在固件里不处理,就有些无语 本帖最后由 mrtang 于 2024-4-7 17:03 编辑
xiangboshi 发表于 2024-4-7 15:58
无公网的不用担心吧
我不知道,目前看盒子网络请求,没发现问题 本帖最后由 达文西 于 2024-4-7 16:22 编辑
。。。。。。