kernel.org is back

 

    kernel.org终于回来了， 已经可以正常登陆了，同时也可以git pull kernel最新代码了。

 

    众所周知 kernel.org 挂掉已有很长一段时间了，kernel developer则习惯称之为“compromise”， 原因是ssh credentials泄露导致root权限被获得. 几乎是相同的原因几天后linux-foundation.org同样被黑。至今黑客是如何窃取到ssh credentials仍不为人知，不久将会有一份正式的报告出来。

 

    kernel.org是Linux kernel开发的基础设施，kernel官方代码的存放点，相信下载过kernel代码的人都知道这个网站，其实kernel.org的作用远远不止存放代码这么简单，它是kennel developer 的日常开发机器，这些人每天都在上面编译及调试。现在kernel.org的ssh账户约有490个，全是SSH 连接， 通常情况下在公网上开SSH 端口的站点不是很多，往往都是供开发使用，这样站点的安全性要求是相当高的，同时拥有ssh连接的所有人也须有非常高的可信度。问题就出在这里，难免有个高手能窃取到ssh credentials，以前就出现过HPA（kernel.org管理员之一）的机器发现被放置的木马。kernel.org没了，kernel开发不能中断，所以大约90个subsystem的git tree都迁移到github上，以保证开发的平稳过渡。顺便说一下kernel.org还是很多其他开源项目的host点，如Android。这也就是这段时间Android开发人员无法下载代码的原因。

 

    kernel.org被黑后，kernel.org几个机器全部重装（因为无法确定还有什么被偷偷修改掉），然后人们一直在讨论黑客的目的到底是什么？ 很多人担心黑客会在Linux git tree中放置木马，这样kernel代码会被下载到全世界很多机器上，在不知不觉中执行木马程序。此担心不无道理，毕竟kernel.org上除了存放代码也没其他什么秘密可言，莫非想登到上面玩玩？一个Fedord的Linux真没什么太大吸引力，就是内存硬盘大了一点而已。 如果黑客要想在git中偷偷修改代码而不被人知道，那么这个黑客绝对是世界上最顶尖的数学家和安全专家。git使用sha1加密算法，每一次向kernel commit代码后sha1哈希值都会更新，当你git pull时git程序会自动比较当前tree中的head与pull tree head的sha1哈希，如果不匹配则pull失败，除非黑客能修改代码的同时又能保证sha1哈希不变，那这个黑客未免也太牛了。当然kernel developer还担心一个问题，就是firmware，firmware在kernel中是以二进制的形式存在的，所以firmware的排查则较为相当困难，不过我们还是认为改变数值却不改变sha1哈希几乎是不可能的事情。

 

    下面介绍kernel.org被黑后管理员决定采取的一些措施，以加强kernel.org的安全设施

    以后再无ssh shell直接登录了，要用git push得使用gitolite, gitolite仍使用ssh key;

    Grey发出一份email，里面详细描述了检查机器是否被黑的一些措施，比如检查有无可执行文件别修改。详细请看：http://lwn.net/Articles/461237/

    HPA发出一份email，里面详细描述如何生成一个新的GPG key（gpg是gnu的开源程序，一般Linux发行版都包含此程序，GPG key是需要发给kernel.org的维护者的），请看：http://lwn.net/Articles/461236/

 

    Ok, 就写这么多了， Have fun!

 

.jovi