GCP - Add Custom SSH Metadata
GCP - Dodawanie niestandardowych metadanych SSH
Modyfikacja metadanych
Modyfikacja metadanych na instancji może prowadzić do znacznych ryzyk bezpieczeństwa, jeśli atakujący uzyska wymagane uprawnienia.
Dodawanie kluczy SSH do niestandardowych metadanych
Na GCP, systemy Linux często wykonują skrypty z Python Linux Guest Environment dla Google Compute Engine. Istotnym elementem jest tu demon kont, który jest zaprojektowany do regularnego sprawdzania punktu końcowego metadanych instancji w poszukiwaniu aktualizacji autoryzowanych kluczy publicznych SSH.
Dlatego jeśli atakujący może modyfikować niestandardowe metadane, może sprawić, że demon znajdzie nowy klucz publiczny, który zostanie przetworzony i zintegrowany z lokalnym systemem. Klucz zostanie dodany do pliku ~/.ssh/authorized_keys
istniejącego użytkownika lub potencjalnie utworzy nowego użytkownika z uprawnieniami sudo
, w zależności od formatu klucza. Atakujący będzie w stanie skompromitować hosta.
Dodaj klucz SSH do istniejącego uprzywilejowanego użytkownika
Sprawdź Istniejące Klucze SSH na Instancji:
Wykonaj polecenie opisujące instancję i jej metadane, aby zlokalizować istniejące klucze SSH. Odpowiednią sekcją w wyniku będzie
metadata
, a konkretnie kluczssh-keys
.
Zwróć uwagę na format kluczy SSH: nazwa użytkownika poprzedza klucz, oddzielone dwukropkiem.
Przygotuj plik tekstowy na potrzeby metadanych klucza SSH:
Zapisz szczegóły nazw użytkowników i odpowiadających im kluczy SSH do pliku tekstowego o nazwie
meta.txt
. Jest to istotne dla zachowania istniejących kluczy podczas dodawania nowych.
Wygeneruj nowy klucz SSH dla docelowego użytkownika (
alice
w tym przykładzie):
Użyj polecenia
ssh-keygen
, aby wygenerować nowy klucz SSH, upewniając się, że pole komentarza (-C
) odpowiada nazwie użytkownika docelowego.
Dodaj nowy klucz publiczny do
meta.txt
, naśladując format znaleziony w metadanych instancji.
Zaktualizuj Metadane Klucza SSH Instancji:
Zastosuj zaktualizowane metadane klucza SSH do instancji, używając polecenia
gcloud compute instances add-metadata
.
Zaloguj się do Instancji, Korzystając z Nowego Klucza SSH:
Połącz się z instancją za pomocą SSH, używając nowego klucza, uzyskując dostęp do powłoki w kontekście użytkownika docelowego (
alice
w tym przykładzie).
Utwórz nowego uprzywilejowanego użytkownika i dodaj klucz SSH
Jeśli nie zostanie znaleziony żaden interesujący użytkownik, istnieje możliwość utworzenia nowego, który otrzyma uprawnienia sudo
:
Klucze SSH na poziomie projektu
Możliwe jest poszerzenie zakresu dostępu SSH do wielu maszyn wirtualnych (VM) w środowisku chmurowym poprzez zastosowanie kluczy SSH na poziomie projektu. Ten podejście umożliwia dostęp SSH do dowolnej instancji w ramach projektu, która nie zablokowała kluczy SSH na poziomie projektu. Oto zwięzły przewodnik:
Zastosuj klucze SSH na poziomie projektu:
Użyj polecenia
gcloud compute project-info add-metadata
, aby dodać klucze SSH z plikumeta.txt
do metadanych projektu. Ta czynność zapewnia, że klucze SSH są rozpoznawane we wszystkich maszynach wirtualnych w projekcie, chyba że instancja ma włączoną opcję "Zablokuj klucze SSH na poziomie projektu".
SSH do instancji przy użyciu kluczy na poziomie projektu:
Dzięki kluczom SSH na poziomie projektu, możesz łączyć się przez SSH z dowolną instancją w ramach projektu. Instancje, które nie blokują kluczy na poziomie projektu, zaakceptują klucz SSH, umożliwiając dostęp.
Bezpośrednią metodą SSH do instancji jest użycie polecenia
gcloud compute ssh [INSTANCJA]
. Polecenie to używa twojej bieżącej nazwy użytkownika i kluczy SSH ustawionych na poziomie projektu do próby dostępu.
Referencje
Last updated