Packer: Packer 임시 키 쌍이 ~/.ssh/authorized_keys(AWS AMI)에서 제거되지 않음

Amazon Linux AMI 기반의 패커를 사용하여 AMI를 생성한 후 해당 AMI의 인스턴스를 시작하고 ssh를 입력하면 ~/.ssh/authorized_keys 파일에 임시 패커 키 쌍이 표시되는데 이는 보안 허점입니다. AMI가 저장되기 전에 해당 파일이 삭제될 것으로 예상했습니다.

패커 템플릿에서 명시적으로 ~/.ssh/authorized_keys 를 삭제하여 이 문제를 해결할 수 있었습니다(자세한 내용은 아래 참조).

패커 버전

패커 v0.10.0

호스트 플랫폼

CentOS Linux 릴리스 7.2.1511(코어)

PACKER_LOG=1 packer build template.json 디버그 로그 출력.

다음은 패커 출력입니다.

https://gist.github.com/tleyden/4cc13b530f08bcaef04f5233bf43daee

죄송합니다. PACKER_LOG=1을 수행하지 않았지만 필요한 경우 다시 실행할 수 있습니다.

버그를 재현하는 데 필요한 _가장 간단한 예제 템플릿 및 스크립트_

템플릿: https://github.com/couchbase/build/blob/2afdc7329faaa6a2f25befda59509b70a4a38349/scripts/jenkins/mobile/ami/sync-gateway.json

스크립트:
Jenkins Packer 플러그인을 사용하고 다음을 통해 변수를 패커에 전달:

-var 'source_ami=${source_ami}' -var 'ssh_username=${ssh_username}' -var 'couchbase_server_package_name=${couchbase_server_package_name}' -var 'couchbase_server_package_url=${couchbase_server_package_url}' -var 'couchbase_sync_gateway_package_base_url=${couchbase_sync_gateway_package_base_url}' -var 'couchbase_sync_gateway_package=${couchbase_sync_gateway_package}' -var 'couchbase_server_version=${couchbase_server_version}' -var 'couchbase_sync_gateway_version=${couchbase_sync_gateway_version}' -var 'couchbase_server_edition=${couchbase_server_edition}' -var 'sync_gateway_edition=${sync_gateway_edition}'

해결 방법

패커 템플릿에 다음 프로비저닝 도구를 추가했습니다.

    {
        "type": "shell",
        "inline": [
        "rm /home/ec2-user/.ssh/authorized_keys"
        ]
    }

AMI를 시작한 후에는 패커 임시 키 쌍이 아니라 AWS "인스턴스 시작" 마법사에서 선택한 키만 포함했습니다.