随着云计算与虚拟化技术的普及,全球众多用户对服务器托管服务的需求逐渐增长,众多供应商纷纷推出各类产品以满足市场需求。在众多品牌中,基于中国的Kaopu Cloud旗下的LightNode尤为引人关注。LightNode以其独特的数据中心选址策略和成熟的KVM虚拟化技术吸引了不少用户,然而其在SSH主机密钥管理上的独特做法却引发了安全社区的广泛关注。SSH主机密钥是保障服务器远程访问安全的基石,传统上,每一台服务器都会在首次安装或启动过程中生成唯一的主机密钥,以确保身份的唯一性和通信的私密性。然而,据观察,LightNode采用了与此完全不同的方式 - - 预计算的共享SSH主机密钥。这种做法在业界极为罕见甚至近乎没有先例。
LightNode的Unix及Linux系统默认都会安装OpenSSH服务,监听22号端口以提供远程访问功能。用户可以选择密码或公钥方式进行身份验证,整体配置与行业惯例相似。但问题出现在主机密钥的生成环节。一般而言,ssh-keygen工具在安装过程中会随机生成一对唯一的主机密钥对,确保每台服务器的身份标识独一无二。LightNode则显著不同,其使用预先生成且在多个系统模板间共享的主机密钥。这意味着,不同物理或虚拟服务器即便处于不同网络地址和数据中心,所使用的主机密钥完全相同。
经过实际调查,研究者扫描了超过三万个LightNode提供的SSH监听地址,发现仅存在约一千两百多组不同的主机密钥。平均而言,每套主机密钥被约二十五个地址共享,极大地降低了主机密钥的唯一性和信任度。更具体地,ssh-rsa类型的主机密钥数量更少,仅有四百七十八个独特密钥被激活在近三万个监听地址上。深挖数据后发现,LightNode的绝大部分Ubuntu 22.04模板服务器都使用同一组SSH主机密钥,数量超过一万台。这种现象在其他主流云服务提供商中鲜有见到,通常每台服务器都有独立的密钥对。究其原因,可能是LightNode为了缩短虚拟机初始化时间而采用预生成密钥的策略,也有可能是系统安装过程中未正确执行随机密钥生成工具,导致默认密钥被直接复制。
这种主机密钥的重复使用带来诸多安全隐患。SSH主机密钥本质上用于证明服务器身份,确保客户端连接到的是期望的服务器,防止中间人攻击。然而,当多个服务器共享一套密钥时,攻击者若能掌握该密钥即可冒充所有使用该密钥的服务器,诱骗用户连接实现连接劫持,甚至监控通信内容。此外,遭受安全事件的服务器所用主机密钥被泄露后,影响范围成倍扩大。虽然SSH协议的会话密钥采用动态协商,过去通讯内容不会被直接解码,但身份验证机制的失败极具破坏性,也增加了针对特定用户群的长期威胁风险。值得注意的是,LightNode使用的自治系统编号AS 138915已被Spamhaus列入ASN-DROP名单,该名单涵盖涉嫌恶意行为的网络运营商,暗示其网络环境存在潜在的风险与不透明因素。
虽无法直接断定LightNode存在恶意行为,但其操作方式缺乏安全业界推荐的最佳实践,用户安全意识亟需提升。面对这一状况,LightNode官方至今未对相关安全质疑作出明确回应,多次尝试沟通均未得到建设性反馈。这种信息不透明加剧了外界对其网络和服务安全状况的担忧。作为客户或潜在用户,建议主动在服务器上重新生成独一无二的SSH主机密钥,变更默认安装的密钥对,减少被中间人攻击的风险。此外,在使用LightNode服务时,要配合多因素认证和其他安全增强措施,全方位提升远程访问的安全保障。操作团队应密切关注连接的指纹变化,及时发现异常连接和疑似仿冒服务器。
业界专家呼吁云服务商应遵循安全至上的原则,避免采用影响安全信任链的做法,积极响应用户和安全社区的反馈,及时修正涉及关键安全组件部署的错误。LightNode及类似服务提供商更需提升系统初始化流程的安全性,保障每台服务器拥有独立的主机密钥,避免连锁安全事件发生。整体而言,LightNode预生成SSH主机密钥的做法确实为用户带来潜在威胁,但通过合理的安全措施和风险意识培训,可以在一定程度上降低危害。随着云服务商之间的竞争日趋激烈,安全问题不能被忽视。用户应选择信誉良好、注重安全实践的商家合作,已确保自身数据和系统的安全可靠。同时,监管机构和安全社区也应积极介入,推动行业形成统一且严苛的安全标准。
未来,随着云计算应用不断深入,诸如此类密钥管理上的安全漏洞若不及时补救,将会成为攻击者重点盯防的目标,严重影响云生态系统的健康发展。LightNode此次被业界聚焦,可视为对全球托管服务商一次警醒,提醒行业切实重视主机密钥等基础安全机制的重要性。综上所述,LightNode预生成且共享的SSH主机密钥是其运营中的一个明显技术异常,用户在使用时务必提高警惕并采取必要的安全措施。长期来看,盼望LightNode能正视问题,尽快修正,推动其服务品质与安全水平达到国际主流水准。与此同时,用户应增强网络安全知识,对于服务器主机密钥的生成、管理和更新保持敏感及主动防护意识。只有服务商和用户共同努力,才能构建安全、稳定、高效的云计算环境,推动行业健康持续发展。
。
