土曜日(5月18日)に、VMの1つ(Ubuntu 18.04サーバーを実行)を起動しました。
驚いたことに、VMはほとんどすぐにd16r8ew072anqo.cloudfront.net:80
に接続しようとしましたが、これまでに見たことがないものです。これは、カスタムのapt
を使用しない、Ubuntuのかなり「手付かずの」インストールです。リポジトリと、いくつかのパッケージがインストールされているだけです。これまで、疑わしいもの、主にUbuntuとSnapのドメインに接続したことはありませんでした(Little Snitchを使用してネットワークトラフィックを監視しているため、リアルタイムで接続を確認し、それらを拒否することもできます)。
何が起こったのかを理解するためにしばらく時間を費やし、セキュリティパッチをインストールすることでunattended-upgrades
に絞り込んだと思います。具体的には、intel-microcode:AMD64
パッケージを手動で再インストールしたときに、CloudFrontへの奇妙な接続を再現することができました(偶然かもしれませんが)。
その後、月曜日に、同様のことが再び発生した場合に備えて問題を文書化したかったのですが、驚いたことに、奇妙なつながりをもう再現することができませんでした。
また、月曜日に観察できる唯一の違いは、Sudo apt-get install --reinstall intel-microcode:AMD64
[1]からの出力にIgn:1
行がなかったことです。
http://archive.ubuntu.com/ubunt を含むWebを検索し、VMのディスクをgrep
- edし、その他のDNSレコードを確認しました。 ubuntu.com
サブドメイン、さまざまなURLをwget
- tingして、疑わしいドメインへのリダイレクトを見つけようとしましたが、CloudFrontへの奇妙な接続についての手掛かりは見つかりませんでした。
私の質問は次のとおりです:誰かが何が起こったのか知っていますか、少なくともログの同じ接続に気付きましたか?
(ちなみに、UbuntuチームがCloudFrontを使用してサーバーを解放した例を知っています 私の12.04 ISOでのMD5の不一致、何が起こっているのですか? -ですので、多分これは同様のケースですか?)
[1]:
$ Sudo apt-get install --reinstall intel-microcode:AMD64
Reading package lists... Done
Building dependency tree
Reading state information... Done
0 upgraded, 0 newly installed, 1 reinstalled, 0 to remove and 0 not upgraded.
Need to get 1,801 kB of archives.
After this operation, 0 B of additional disk space will be used.
Ign:1 http://archive.ubuntu.com/ubuntu bionic-updates/main AMD64 intel-microcode AMD64 3.20190514.0ubuntu0.18.04.2
Get:1 http://archive.ubuntu.com/ubuntu bionic-updates/main AMD64 intel-microcode AMD64 3.20190514.0ubuntu0.18.04.2 [1,801 kB]
Fetched 1,801 kB in 20s (89.2 kB/s)
(Reading database ... 107477 files and directories currently installed.)
Preparing to unpack .../intel-microcode_3.20190514.0ubuntu0.18.04.2_AMD64.deb ...
Unpacking intel-microcode (3.20190514.0ubuntu0.18.04.2) over (3.20190514.0ubuntu0.18.04.2) ...
Setting up intel-microcode (3.20190514.0ubuntu0.18.04.2) ...
update-initramfs: deferring update (trigger activated)
intel-microcode: microcode will be updated at next boot
Processing triggers for initramfs-tools (0.130ubuntu3.7) ...
update-initramfs: Generating /boot/initrd.img-4.15.0-50-generic
これがセキュリティおよびアーカイブチームにいくつかの疑問を投げかけました。彼らがこれが予期された動作であったかどうかについての信頼できる情報源になるからです。以下は、彼らが私と共有した内容の要約です。
この観察された動作は、アーカイブミラーからCloudfrontへのトラフィック負荷のオフロードであり、特にカーネルとマイクロコードの更新のために、アーカイブサーバーからの負荷を軽減するために5月15日水曜日から5月20日月曜日の間に行われました。
これらのチームによると、CloudFrontを介してこのようなオフロードが行われたのは今回が初めてであり、この特定のケースでは予想される動作でした。
疑わしいように見えますが、チームはIRCを介してこれが予期された動作であることを確認しました。過去にその動作に気づかなかった人が多いことに驚いています。
究極的には、悪意のある動作ではなく、予期された動作であり、アーカイブサーバーで過負荷にならないようにするために必要でした。 (これが彼らがこれをしなければならなかったのも初めてだったので、少なくとも何も爆発しませんでした)
Cloudfrontへのオフロードを行わないという標準的な動作は、現在は正常に機能しているはずです。