安同 OS 离线安装盘意外安装预制 SSH 主机密钥2024-09-13
由于离线安装盘生成工具中的清理流程设计疏忽,自六月底开始发行的安同 OS 离线安装盘(即文件名由 aosc-os_installer 开头的 ISO 镜像)所包含的系统镜像均未正确清理 SSH 主机密钥,致使安装后的系统中亦使用了该主机密钥。
考虑到安同 OS 默认开启 SSH 服务,该疏忽恐严重影响用户安全:这些密钥可能导致其它主机能够冒充您的主机的身份,从而窃取您的登入口令和与主机之间的 SSH 会话的内容;但是,如果您使用 SSH 公钥作为登入凭据,则不受影响。
为此,我们紧急发布了 OpenSSH 更新(版本 9.8p1-4)修补这一问题:在匹配到已知泄漏的主机密钥的密码学指纹 (fingerprint) 时,将清理并重新生成系统中的 SSH 主机密钥。如有可能,请尽快更新安同 OS,以免存留安全隐患。
请注意:更新完成后,AOSC OS 将重启 SSH 服务守护程序,但不会影响当前已经建立的 SSH 连接。如果您对外提供 SSH 服务,您的用户在连接受影响的 SSH/SCP/SFTP 服务时可能会遇到连接错误。因此,您可能需要将有关情况告知您的用户,并引导他们删除先前信任的 SSH 主机密钥记录。
我们为此带来的不便表示歉意!