귀하의 vultr.com 서브스크립션에 있는 "ubuntu" 사용자 계정에 random화되지 않은 암호가 있을 수 있음을 알려드립니다. 안전하고 신뢰할 수 있으며 성능이 뛰어난 제품 및 서비스를 제공하는 것이 당사의 최우선 과제입니다. 이 목표의 일환으로, Vultr는 고객에게 발생할 수 있는 위험 영역을 사전에 파악하고 서비스 영향을 최소화하면서 발견 사항을 부지런히 해결하기 위해 노력하고 있습니다. 본 결과와 관련하여 공개된 문제를 알지 못하지만, 잠재적인 위험을 줄이기 위해 사전 예방 조치를 취했으며, 이 알림을 제공했습니다.
당신이 알아야 할 것은 다음과 같습니다:
- 2022년 10월 11일부터 2023년 9월 12일까지 벌트르 OS 라이브러리에서 Ubuntu와 함께 배포된 모든 Virtual Metal 서버 및 Bare Metal 서버는 "ubuntu" 사용자에 대해 랜덤화되지 않은 암호를 가지고 있을 수 있으며, 이는 무단 액세스의 위험이 높아질 수 있습니다.
- 2023년 9월 12일 이후 배포된 Vultr의 OS 라이브러리의 새 인스턴스는 영향을 받지 않습니다.
- 영향을 받는 인스턴스에서 생성된 스냅샷에서 배포된 새 인스턴스도 영향을 받을 수 있지만, 배포 시 ubuntu 사용자의 암호를 해제하기 위해 cloud-init를 사용하여 자동화를 구현했습니다.
우리가 한 일은 다음과 같습니다:
- Vultr은 새로 배포된 인스턴스가 영향을 받지 않도록 조치를 취했습니다.
- Vultr은 영향을 받는 인스턴스를 검색하고 접근 가능한 곳에서 "ubuntu" 사용자의 암호를 해제했습니다.
- Vultr이 인스턴스에 대한 데이터에 액세스하지 않았습니다.
다음은 여러분이 해야 할 일입니다:
- 예방 조치를 취했더라도 우분투 사용자를 삭제하거나 암호를 변경하거나 비활성화하는 것이 좋습니다.
- 여기에서 몇 가지 보안 모범 사례를 검토해 보십시오.
---------------
메일 내용을 번역한 것인데요,
서버 사용자 암호를 변경하는 것이 적절한 조치가 될까요?
기본 암호를 랜덤으로 생성해야 하는데, 다른 사람과 똑같은 암호를 일괄 지정했거나, 몇 가지만 돌려쓰다가 걸렸나 봅니다. 하여튼 Vultr 이놈들은 수십 년의 노하우를 가진 타사 서비스를 대충 흉내내는 데만 급급하고 알맹이가 없어요...
일단 기본 제공되는 ubuntu 계정의 비번을 변경하시면 될 것 같습니다. 만약 root 계정을 사용하신다면 그것도 바꾸시고요. 그 밖에 임의로 추가했거나 비번을 수동으로 지정하신 계정이 있다면 그런 것들은 바꾸지 않아도 됩니다.