Недавно я развернул новый облачный сервер и установил докку. Я установил два простых приложения: PHP и Vue/статическое приложение, а также плагин для letsencrypt.
Все было хорошо, но через два дня я заметил три необычные записи в авторизованные_ключи файл для пользователя dokku. Мне интересно, был ли мой сервер каким-то образом скомпрометирован или я слишком остро реагирую:
Ключи были отредактированы:
command="FINGERPRINT=SHA256:<отредактировано> NAME=\"admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",без-агент-переадресации,без-пользователя-управления,без-X11-переадресации,нет -port-forwarding ssh-rsa <отредактированный публичный ключ>
command="FINGERPRINT=SHA256:<отредактировано> NAME=\"web-admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",без-агент-переадресации,без-пользователя-управления,без-X11-переадресации ,no-port-forwarding ssh-rsa <отредактированный публичный ключ>
command="FINGERPRINT=SHA256:<отредактировано> NAME=\"web-admin2\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",без-агент-переадресации,без-пользователя-rc,без-X11-переадресации ,no-port-forwarding ssh-rsa <отредактированный ключ публикации> jondo@debian
У Докку есть команда ssh особенность (соединять) но я никогда не использовал его.
Смотря на прошлой и .bash_history не обнаруживает ничего необычного и /var/log/auth.log показывает бесконечные попытки грубой силы, с которыми, я думаю, сталкиваются все общедоступные серверы, но никаких необычных входов в систему.
