关于 Ceph 签名密钥和二进制文件下载的重要安全通知

上周，Red Hat 调查了对 Ceph 社区项目 (ceph.com) 和 Inktank (download.inktank.com) 网站的入侵事件，这些网站托管在 Red Hat 基础设施之外的计算机系统上。

Ceph.com 提供使用 Ceph 签名密钥 (ID 7EBFDD5D17ED316D) 签名的 Ceph 社区版本下载。 Download.inktank.com 提供针对 Ubuntu 和 CentOS 操作系统签名为 Inktank 签名密钥 (ID 5438C7019DCEEEAD) 的 Red Hat Ceph 产品版本。 虽然对入侵事件的调查仍在进行中，但我们最初的重点是这两个网站的软件和分发渠道的完整性。

到目前为止，我们的调查尚未发现这些网站上可下载的任何已泄露的代码或二进制文件。 但是，我们无法完全排除在过去某个时间点可能存在一些已泄露的代码或二进制文件。 此外，我们不再信任 Ceph 签名密钥的完整性，因此已创建新的签名密钥 (ID E84AC2C0460F3994) 用于验证下载。 此新密钥已提交到 ceph.git 仓库，并且也可从 https://git.ceph.com/release.asc 获取。 所有未来的发布 git 标签都将使用此新密钥进行签名。

此次入侵事件未影响其他 Ceph 网站，例如 download.ceph.com (其中包含一些 Ceph 下载) 或 git.ceph.com (镜像各种源代码仓库)，并且目前尚不清楚它是否影响了任何其他 Ceph 社区基础设施。 没有证据表明构建系统或 Ceph github 源代码仓库已被泄露。

已创建 ceph.com 和 download.ceph.com 的新主机，并且网站已重建。 download.ceph.com 上所有内容均已验证，并且 ceph.com 上所有软件包位置的 URL 现在都重定向到那里。 download.ceph.com 上仍然缺少一些内容，稍后今天会出现：将从 git 重新生成源代码 tarball，并且旧版本软件包正在使用新的发布密钥重新签名。

已退役 download.inktank.com 主机，并已通知受影响的 Red Hat 客户，更多信息请参见 https://securityblog.redhat.com/2015/09/17/。

作为预防措施，Ceph 软件包的用户应采取措施下载新签名的版本。 请参阅下面的说明。

Ceph 社区感谢 Kai Fabian 最初向我们通报了此问题。

应在所有安装了 Ceph 软件的节点上执行以下步骤。

替换 APT 密钥 (Debian, Ubuntu)

sudo apt-key del 17ED316D curl https://git.ceph.com/release.asc | sudo apt-key add - sudo apt-get update

替换 RPM 密钥 (Fedora, CentOS, SUSE 等)

sudo rpm -e --allmatches gpg-pubkey-17ed316d-4fb96ee8 sudo rpm --import 'https://git.ceph.com/release.asc'

重新安装软件包 (Fedora, CentOS, SUSE 等)

sudo yum clean metadata sudo yum reinstall -y $(repoquery --disablerepo=* --enablerepo=ceph --queryformat='%{NAME}' list '*')