Предустановленный ssh-ключ в образе Debian 8.0

[Spoofing]

Переустановил операционную систему, выбрал образ debian-8.0-x86_64-minimal, после установки обнаружил предустановленный ssh-ключ в /root/.ssh/authorized_Keys, видимо необходимый для root-доступа для технической поддержки.

Код: выделить все

root@spfng:~# cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAACAQDGVsG40rymHbspHaaqDCWFVDWW8ej6peyf9qdetn+Qju0BWZUwHGCPdwa+ZFQnlrtra/543S/scCytvVTs9jvKPt2Rv7Nh87GfCgcisdXn6ty6pxTgWr2TZPVOOV4Eg6LOV4k/TW3/g6w5wzD1HJXXzT673mbQWHFMOSuyvCBJG9SmQTTvAZ5m/a0mUNHil1yKmQan5qhEtorCqMPmjd8fDsXOHScGx/QU73SN14k+imSBsPjPeZXFtslMRkdBLE4HDgVPw8WnjubX90DZsQDygFxjZ0fOFCfnoT61paVSTDvMG5ioVg2m4hQ7/Lj/i18d6H9kH/x/L1Mjx6cBzkQKIvucUXKsJx9eYMAL5DOlJ5kJLx6Jm1IKnYVjcP0/Cq0TyTq7H/WnsFHVgI1LSkBgydkz8i7yLiSewdcuLEaWdE/aQOUBsygcGmfqp0Nlhq0a2f8niZu1LfgXoN3sdE6StH+XSCwkRuFim7cr9jFv4jmvwrVydEPvna/Tj+S97NMQaCQsFYM8S326fO8daN8h264eVQiwMIEtJRoVfniMdF3FBFLFfBt7VFfqn9qyn9xkpHhfV7UCikbbbauf7yIpcmGvtGSPumYDVpqvLK2U6m7YYlnke4fI3jpimDIVOqIan87bKL4ppObepMYetQNKSpFKTAG5vUMwGPt1+MXoLQ== Support access key

Скажите, это общепринятая практика? Просто использую VDS первый раз, а теперь у меня разыгралась паранойя. =(

Если у вас утечёт приватный ключик, это ж все ваши клиенты пострадают? Помните, как взломали kernel.org?

Приобрёл у вас VDS только потому что сам нахожусь за NAT'ом, но хотелось разместить личный сайт в интернетах. Использовал VDS только как шлюз, чтобы пробросить SSH-тоннель на 80 порт и уже через VDS пользователи ходили на мой сервер с сайтом. Спустя несколько месяцев даже начал вам доверять, в конце концов решился перетащить все личные проекты прямо к вам, ведь что может быть плохого... но похоже с таким вашим подходом увы нет, продолжу использовать VDS как обратный прокси-сервер. Вашим серверам доверия нет. Извините.

Не стоит забывать и о человеческом факторе. Любой ваш сотрудник, который увольняется, может напоследок прихватить с собой приватный ssh-ключ и натворить делов. Пофиг на личные данные клиентов, половина из них и так сидит в социальных сетях. Проблема в том, что как бы ваши опытные клиенты не настроили сервер, вы всё равно вставляете палки в колёса, и если вы подсунули свой ssh-ключ, то бог весть знает ещё какие изменения вы вносите в образ с системой. =(

Пожалуйста, используйте только "ванильные" образы операционных систем.

[swg]

Новая практика, на старых VDS левых ключей не вижу, на новых есть. Я тоже обратил внимание, но не подумал о ситуации "Любой ваш сотрудник, который увольняется...", т.к. всё равно OpenVZ и все файлы доступны на корневом сервере As Is.

[Spoofing]

т.к. всё равно OpenVZ и все файлы доступны на корневом сервере As Is.

одно дело прямой физический доступ к серверу, которые имеют лишь доверенные лица, инженеры и так далее, и совсем другое -- удалённый доступ по сети.

кто угодно сможет подключиться к серверам по ssh используя этот ключ. и большая текучка кадров этому способствует.

кто конкретно имеет доступ к приватному ключу мы не знаем, но думается мне, как раз вся тех поддержка и имеет, чтобы решать проблемы клиентов. такое недопустимо, по моему личному мнению.

я решил расторгнуть все дела с FirstVDS и попросил вернуть предоплаченные деньги (800 рублей, не маленькие так скажем).

написал в тех поддержку, жду ответа...

[ls]

кто угодно сможет подключиться к серверам по ssh используя этот ключ. и большая текучка кадров этому способствует.

кто конкретно имеет доступ к приватному ключу мы не знаем, но думается мне, как раз вся тех поддержка и имеет, чтобы решать проблемы клиентов. такое недопустимо, по моему личному мнен

Напрямую к приватному ключу поддержка не имеет доступа, поддержка может используя отдельное приложение (доступ к которому контролируется) осуществлять подключение к серверу, а оно уже использует данный ключ

[Spoofing]

Напрямую к приватному ключу поддержка не имеет доступа, поддержка может используя отдельное приложение (доступ к которому контролируется) осуществлять подключение к серверу, а оно уже использует данный ключ

Надеюсь, что всё так, как вы описали, и в вашем профессионализме, в ваших инженерах, которые строят всю архитектуру -- не стоит сомневаться.

Кевину Митнику (его имя достаточно известно), пришлось даже жениться, чтобы получить доступ к необходимой информации.
К вам же достаточно лишь устроиться на работу специалисту "среднего звена", чтобы получить доступ ко всем серверам. Наверняка этот ключик у вас один на все сервера?

Осадочек "навязывания" не нужной услуги остался, какими бы благими намериниями вы не старались это делать, заявляя об удобстве для клиентов.
По этой же причине многие айтишники не любят ОС Windows, она считает себя умнее пользователей и не даёт свободу действий над системой. Вы идёте по тому же пути, не давая свободу действий над VDS, предустанавливая всякие ssh-ключики. :)

К сожалению, по этой причине нам с вами придётся распрощаться. :)
Выпрошу у провайдера белый IP и останусь админить локалхост.

[Esthete]

Вы можете тогда использовать сервер на виртуализации KVM, написать запрос в поддержку, указав прямую ссылку на образ операционной системы, которую хотели бы установить на виртуальный сервер.
После чего самостоятельно выполнить установку ОС на виртуальный сервер через VNC и настроить при этом шифорование диска - https://xakep.ru/2015/09/02/os-level-encryption/

Возможностей тьма, всё в ваших руках.

[leonidas]

А никто же не мешает вам потереть этот ключик или закрыть доступ через /etc/hosts.allow или запретить самому ходить через from="127.0.0.1", а когда попросят открыть, хотя справедливости ради можно было бы и по умолчанию задаывать откуда могут быть соеденения.

при переустановки оси из ключей пропадают кавычки (как результат некоторые становятся не рабочими)