[technique] Régénération des clés ssh serveur par cloud-init
Laurent GUERBY
laurent at guerby.net
Lun 15 Juin 17:50:41 CEST 2020
On Mon, 2020-06-15 at 15:42 +0200, daimrod--- via technique wrote:
> Salut,
Salut,
> Sur une VM faimaison, les clés ssh du serveur ont été régénérées par
> (il
> semblerait) cloud-init:
>
> /var/log/cloud-init-output.log:2020-06-12 09:20:12,993 -
> DataSourceEc2.py[CRITICAL]: Giving up on md from ['http://169.254.169
> .254/2009-04-04/meta-data/instance-id'] after 125 seconds
> Generating public/private rsa key pair.
> Your identification has been saved in /etc/ssh/ssh_host_rsa_key.
> Your public key has been saved in /etc/ssh/ssh_host_rsa_key.pub.
> The key fingerprint is:
> 0b:3a:df:fc:d1:42:3e:5c:0c:a5:d3:5a:26:db:9f:b1 root at telenn-du
> The key's randomart image is:
> ...
>
> Est-ce un bug ?
Probablement.
> Je ne connais pas cloud-init, on m'a dit que l'on pouvait désactiver
> la
> régénération en mettant ssh_deletekeys: false dans la conf cloud-init
> (par ex /etc/cloud/cloud.cfg). Vous confirmez ? Ça ne casse pas de
> conf
> de votre côté ?
Je ne pense pas que ça casse un truc coté ttnn.
Depuis le remplacement d'openstack par libvirt + nos scripts nous
n'utilisons plus les mecanismes d'initalisation de VM type cloud init.
Ils sont remplacé par virt-customize avec notre customize.sh :
https://chiliproject.tetaneutral.net/projects/git-tetaneutral-net/repository/openstack-tools/revisions/master/show/libvirt
Hook libvirt pour le reseau sauce ttnn :
https://chiliproject.tetaneutral.net/projects/git-tetaneutral-net/repository/puppetmaster/revisions/master/entry/environments/production/manifests/files/openstack/libvirt-hooks-qemu
Nous avons aussi de maniere experimentale un script scapy qui permet
de distribuer la configuration reseau tetaneutral.net en DHCP4 + RA +
DHCP6 (et oui on peut distribuer une link local statique en DHCP6 :)
nous le testons actuellement sur quelques images d'OS.
A terme nous pensons donner acces distant a la console avec spice, ssh
redirect + remote-viewer.
Les deux combinés permettent une reinstallation entierement par
l'adherent car spice permet de monter un peripherique USB a distance.
Et probablement aussi un mode boot sur image rescue avec acces au
disques originaux de la VM.
Sincèrement,
Laurent
> Merci pour vos réponses :)
>
> Cordialement,
> _______________________________________________
> technique mailing list
> technique at lists.tetaneutral.net
> http://lists.tetaneutral.net/listinfo/technique
Plus d'informations sur la liste de diffusion technique