AOSC 社区脉动

安同 OS 离线安装盘意外安装预制 SSH 主机密钥

由于离线安装盘生成工具中的清理流程设计疏忽，自六月底开始发行的安同 OS 离线安装盘（即文件名由 aosc-os_installer 开头的 ISO 镜像）所包含的系统镜像均未正确清理 SSH 主机密钥，致使安装后的系统中亦使用了该主机密钥

考虑到安同 OS 默认开启 SSH 服务，该疏忽恐严重影响用户安全：这些密钥可能导致其它主机能够冒充您的主机的身份，从而窃取您的登入口令和与主机之间的 SSH 会话的内容；但是，如果您使用 SSH 公钥作为登入凭据，则不受影响

为此，我们紧急发布了 OpenSSH 更新（版本 9.8p1-4）修补这一问题：在匹配到已知泄漏的主机密钥的密码学指纹 (fingerprint) 时，将清理并重新生成系统中的 SSH 主机密钥；如有可能，请尽快更新安同 OS，以免存留安全隐患

请注意：更新完成后，AOSC OS 将重启 SSH 服务守护程序，但不会影响当前已经建立的 SSH 连接；如果您对外提供 SSH 服务，您的用户在连接受影响的 SSH/SCP/SFTP 服务时可能会遇到连接错误；因此，您可能需要将有关情况告知您的用户，并引导他们删除先前信任的 SSH 主机密钥记录

我们为此带来的不便表示歉意

www.tgoop.com/aosc_os/608

1.4K views白铭骢, edited  Sep 13 at 12:10

安同 OS 离线安装盘意外安装预制 SSH 主机密钥

由于离线安装盘生成工具中的清理流程设计疏忽，自六月底开始发行的安同 OS 离线安装盘（即文件名由 aosc-os_installer 开头的 ISO 镜像）所包含的系统镜像均未正确清理 SSH 主机密钥，致使安装后的系统中亦使用了该主机密钥

考虑到安同 OS 默认开启 SSH 服务，该疏忽恐严重影响用户安全：这些密钥可能导致其它主机能够冒充您的主机的身份，从而窃取您的登入口令和与主机之间的 SSH 会话的内容；但是，如果您使用 SSH 公钥作为登入凭据，则不受影响

为此，我们紧急发布了 OpenSSH 更新（版本 9.8p1-4）修补这一问题：在匹配到已知泄漏的主机密钥的密码学指纹 (fingerprint) 时，将清理并重新生成系统中的 SSH 主机密钥；如有可能，请尽快更新安同 OS，以免存留安全隐患

请注意：更新完成后，AOSC OS 将重启 SSH 服务守护程序，但不会影响当前已经建立的 SSH 连接；如果您对外提供 SSH 服务，您的用户在连接受影响的 SSH/SCP/SFTP 服务时可能会遇到连接错误；因此，您可能需要将有关情况告知您的用户，并引导他们删除先前信任的 SSH 主机密钥记录

我们为此带来的不便表示歉意

BY AOSC 社区脉动