Packer: لم تتم إزالة زوج المفاتيح المؤقت لبرنامج Packer من ~ / .ssh / author_keys (AWS AMI)

بعد أن أقوم بإنشاء AMI مع packer استنادًا إلى Amazon Linux AMI ، إذا قمت بتشغيل مثيل من AMI و ssh في ، أرى زوج مفاتيح الحزم المؤقت في الملف ~/.ssh/authorized_keys ، وهو ثغرة أمنية. كنت أتوقع حذف هذا الملف قبل حفظ AMI.

تمكنت من حل هذه المشكلة عن طريق حذف ~/.ssh/authorized_keys بشكل صريح في قالب الحزم (التفاصيل أدناه)

نسخة باكر

باكر v0.10.0

المنصة المضيفة

إصدار CentOS Linux 7.2.1511 (Core)

إخراج سجل التصحيح من PACKER_LOG=1 packer build template.json .

هنا هو إخراج باكر:

https://gist.github.com/tleyden/4cc13b530f08bcaef04f5233bf43daee

عذرًا ، لم أفعل PACKER_LOG = 1 ، لكن يمكنني إعادة التشغيل إذا لزم الأمر

_أبسط نموذج للقالب والنصوص_ اللازمة لإعادة إنتاج الخطأ

النموذج: https://github.com/couchbase/build/blob/2afdc7329faaa6a2f25befda59509b70a4a38349/scripts/jenkins/mobile/ami/sync-gateway.json

النصي:
استخدام البرنامج الإضافي Jenkins Packer وتمرير المتغيرات إلى Packer عبر:

-var 'source_ami=${source_ami}' -var 'ssh_username=${ssh_username}' -var 'couchbase_server_package_name=${couchbase_server_package_name}' -var 'couchbase_server_package_url=${couchbase_server_package_url}' -var 'couchbase_sync_gateway_package_base_url=${couchbase_sync_gateway_package_base_url}' -var 'couchbase_sync_gateway_package=${couchbase_sync_gateway_package}' -var 'couchbase_server_version=${couchbase_server_version}' -var 'couchbase_sync_gateway_version=${couchbase_sync_gateway_version}' -var 'couchbase_server_edition=${couchbase_server_edition}' -var 'sync_gateway_edition=${sync_gateway_edition}'

الحل

لقد أضفت الموفر التالي إلى قالب الحزم:

    {
        "type": "shell",
        "inline": [
        "rm /home/ec2-user/.ssh/authorized_keys"
        ]
    }

وبعد إطلاق AMI ، احتوت فقط على المفتاح المختار في معالج "مثيل الإطلاق" في AWS ، وليس زوج المفاتيح المؤقت الخاص بالرازم.