GCP - Add Custom SSH Metadata
GCP - Adicionar Metadados SSH Personalizados
Modificando os metadados
A modificação de metadados em uma instância pode levar a riscos significativos de segurança se um invasor obtiver as permissões necessárias.
Incorporação de Chaves SSH nos Metadados Personalizados
No GCP, sistemas Linux frequentemente executam scripts do Ambiente de Convidado Linux Python para Google Compute Engine. Um componente crítico disso é o daemon de contas, que é projetado para verificar regularmente o endpoint de metadados da instância em busca de atualizações nas chaves públicas SSH autorizadas.
Portanto, se um invasor puder modificar os metadados personalizados, ele poderá fazer com que o daemon encontre uma nova chave pública, que será processada e integrada no sistema local. A chave será adicionada ao arquivo ~/.ssh/authorized_keys
de um usuário existente ou potencialmente criando um novo usuário com privilégios sudo
, dependendo do formato da chave. E o invasor poderá comprometer o host.
Adicionar chave SSH a um usuário privilegiado existente
Examinar Chaves SSH Existente na Instância:
Execute o comando para descrever a instância e seus metadados para localizar as chaves SSH existentes. A seção relevante na saída estará em
metadata
, especificamente na chavessh-keys
.
Preste atenção ao formato das chaves SSH: o nome de usuário precede a chave, separados por dois pontos.
Preparar um Arquivo de Texto para Metadados de Chave SSH:
Salve os detalhes dos nomes de usuários e suas chaves SSH correspondentes em um arquivo de texto chamado
meta.txt
. Isso é essencial para preservar as chaves existentes ao adicionar novas.
Gerar uma Nova Chave SSH para o Usuário Alvo (
alice
neste exemplo):
Use o comando
ssh-keygen
para gerar uma nova chave SSH, garantindo que o campo de comentário (-C
) corresponda ao nome de usuário alvo.
Adicione a nova chave pública ao
meta.txt
, imitando o formato encontrado nos metadados da instância.
Atualizar os Metadados de Chave SSH da Instância:
Aplique os metadados de chave SSH atualizados à instância usando o comando
gcloud compute instances add-metadata
.
Acessar a Instância Usando a Nova Chave SSH:
Conecte-se à instância com SSH usando a nova chave, acessando o shell no contexto do usuário alvo (
alice
neste exemplo).
Criar um novo usuário privilegiado e adicionar uma chave SSH
Se nenhum usuário interessante for encontrado, é possível criar um novo que receberá privilégios sudo
:
Chaves SSH ao nível do projeto
É possível ampliar o alcance do acesso SSH a várias Máquinas Virtuais (VMs) em um ambiente de nuvem aplicando chaves SSH ao nível do projeto. Esta abordagem permite o acesso SSH a qualquer instância dentro do projeto que não tenha bloqueado explicitamente as chaves SSH em todo o projeto. Aqui está um guia resumido:
Aplicar Chaves SSH ao Nível do Projeto:
Use o comando
gcloud compute project-info add-metadata
para adicionar chaves SSH demeta.txt
aos metadados do projeto. Esta ação garante que as chaves SSH sejam reconhecidas em todas as VMs do projeto, a menos que uma VM tenha a opção "Bloquear chaves SSH em todo o projeto" habilitada.
Acessar as Instâncias Usando Chaves em Todo o Projeto:
Com as chaves SSH em todo o projeto configuradas, você pode acessar as instâncias dentro do projeto via SSH. As instâncias que não bloqueiam as chaves em todo o projeto aceitarão a chave SSH, concedendo acesso.
Um método direto para acessar uma instância é usando o comando
gcloud compute ssh [INSTÂNCIA]
. Este comando utiliza seu nome de usuário atual e as chaves SSH definidas ao nível do projeto para tentar o acesso.
Referências
Last updated