Perchè Ubuntu fa richieste a questi Amazon EC2 IP all'avvio?

5

Ogni volta che eseguo l'avvio e accedo a Ubuntu 16.04 e prima di lanciare qualsiasi software / browser, guardo su Wireshark che Ubuntu ha alcune richieste da e verso questi IP:

54.173.79.111 
54.231.40.234 

Whois suggerisce di essere Amazon EC2.

So che Ubuntu si integra con Amazon tramite la ricerca di Dash in questi giorni, ma quella funzione è disattivata nelle mie impostazioni.

Qualcun altro nota attività per questi indirizzi? Dovrei preoccuparmi che si tratti di istanze private di EC2 e che io abbia uno spyware per registrarle o simili?

Grazie

    
posta fpghost 05.01.2017 - 16:30
fonte

2 risposte

3

Il gnome-software processa i contatti 54.173.79.111 a scopo di aggiornamento, come suggerito in questo thread del forum . Non c'è nulla di intrinsecamente disonesto su questi IP, entrambi appartengono al cloud AWS.

Detto questo, non si può garantire che il traffico sia legittimo guardando solo gli IP. Questo perché indicano solo che stai contattando alcuni servizi ospitati nel cloud Amazon (e apparentemente in esecuzione su Red Hat OpenShift ).

$ dig +short -x 54.173.79.111                                                                                                           
ec2-54-173-79-111.compute-1.amazonaws.com.
$ dig +short -x 54.231.40.234
s3-1.amazonaws.com.

(C'è anche un elenco di AWS gestito Intervalli IP in cui è possibile cercare gli indirizzi.)

Il motivo per cui ciò non verifica nulla è che 54.173.79.111 è associato a più di una sola istanza EC2. Ad esempio, hospitalpadreze.org.br e subverticathegame.com si risolvono anche con lo stesso indirizzo:

$ dig +short hospitalpadreze.org.br                                                                                                     
54.173.79.111
$ dig +short subverticathegame.com                                                                                                  130 
sub-renderedturkey.rhcloud.com.
ex-std-node683.prod.rhcloud.com.
ec2-54-173-79-111.compute-1.amazonaws.com.
54.173.79.111

Anche la verifica del CN del certificato SSL in 54.173.79.111:443 , come proposto da @ thel3l, non è una tecnica affidabile. Non sappiamo se ti stavi effettivamente connettendo tramite SSL, su quali porte e per quale hostname. Ecco una dimostrazione di come vengono offerti i diversi certificati allo stesso IP:

$ openssl s_client -connect 54.173.79.111:443 -brief
CONNECTION ESTABLISHED
Protocol version: TLSv1.2
Ciphersuite: ECDHE-RSA-AES256-GCM-SHA384
Peer certificate: C = US, ST = North Carolina, L = Raleigh, O = Red Hat Inc., CN = *.rhcloud.com
Hash used: SHA512
Supported Elliptic Curve Point Formats: uncompressed:ansiX962_compressed_prime:ansiX962_compressed_char2
Server Temp Key: ECDH, P-256, 256 bits

Il certificato è valido per *.rhcloud.com . Ora proviamo con un nome host diverso:

$ openssl s_client-connect 54.173.79.111:443 -servername www.cristiansandu.ro -brief
CONNECTION ESTABLISHED
Protocol version: TLSv1.2
Ciphersuite: ECDHE-RSA-AES256-GCM-SHA384
Peer certificate: CN = www.cristiansandu.ro
Hash used: SHA512
Supported Elliptic Curve Point Formats: uncompressed:ansiX962_compressed_prime:ansiX962_compressed_char2
Server Temp Key: ECDH, P-256, 256 bits

Riceviamo invece un certificato per www.cristiansandu.ro , sebbene sia sempre lo stesso IP. Con l'indicazione del nome del server (SNI) ci si aspetta che il certificato presentato non rimanga lo stesso se si specifica un diverso -servername .

    
risposta data 05.01.2017 - 17:29
fonte
0

tl; dr : niente di cui preoccuparsi.

Eliminando solo i dati che ci hai fornito qui, probabilmente è solo il software Gnome che effettua le chiamate di aggiornamento. Non dovrebbe essere nulla di cui preoccuparsi.

Ecco una ripartizione:

  • netstat -atlp e una grep per quell'IP mi mostrano che il mio sistema si sta connettendo a 54.173.79.111 sulla porta 443

  • L'output PID / Programma per questo comando si chiama gnome-software . Matrimonio perduto.

L'output effettivo:

tcp        0      0 ipaddr:53044      54.173.79.111:443       ESTABLISHED 2709/gnome-software

Inoltre, visitando il link (l'IP che ci hai fornito, altrimenti link ) e l'esame del certificato mi mostra che è stato rilasciato a * .rhcloud.com - Redhat Cloud - ea questo punto sono quasi sicuro che si tratta di un servizio di aggiornamento.

    
risposta data 05.01.2017 - 16:48
fonte

Leggi altre domande sui tag