资讯频道 开源软件
阅读更多

5顶
1踩

开源软件

转载新闻 GitHub 要求全面检查 SSH Key

2012-03-08 10:47 by 副主编 MnouW 评论(1) 有6472人浏览
github SSH Key audit 漏洞 安全
GitHub 由于 Rails 漏洞被攻击后,官方除了把漏洞修补完以外,接下来做了更积极的措施:暂停所有的 SSH key 存取权限,一律等到用户 audit 确认过后才开放,参阅:SSH Key Audit

这次 GitHub 除了修正问题、audit key 以外,另外还提出了新的机制让用户更容易发现异常存取行为,包括:

  • 新增 SSH public key 时要输入密码。
  • 新增 SSH public key 成功后会寄信通知。
  • 新增Security History页面可以看到帐户的安全状况。
这算是很积极补救措施。

另外说明,如何 audit key,也就是要如何取得你的 public key fingerprint:

  • ssh-keygen -lf .ssh/id_rsa.pub(如果你是用 RSA)
  • ssh-keygen -lf .ssh/id_dsa.pub(如果你是用 DSA)
出现的信息就是你要比对的值。记住!既然是 audit,请一个一个比对确认 fingerprint 全部都正确。

附上原始信件:

引用
A security vulnerability was recently discovered that made it possible for an attacker to add new SSH keys to arbitrary GitHub user accounts. This would have provided an attacker with clone/pull access to repositories with read permissions, and clone/pull/push access to repositories with write permissions. As of 5:53 PM UTC on Sunday, March 4th the vulnerability no longer exists.
While no known malicious activity has been reported, we are taking additional precautions by forcing an audit of all existing SSH keys.
# Required Action
Since you have one or more SSH keys associated with your GitHub account you must visit https://github.com/settings/ssh/audit to approve each valid SSH key.
Until you have approved your SSH keys, you will be unable to clone/pull/push your repositories over SSH.
# Status
We take security seriously and recognize this never should have happened. In addition to a full code audit, we have taken the following measures to enhance the security of your account:
- We are forcing an audit of all existing SSH keys
- Adding a new SSH key will now prompt for your password
- We will now email you any time a new SSH key is added to your account
- You now have access to a log of account changes in your Account Settings page
Sincerely, The GitHub Team
— https://github.com support@github.com
5
1
评论 共 1 条 请登录后发表评论
1 楼 rainytooo 2012-03-09 11:55
我说昨天我的同步代码 全部实效呢,要上去全部确认一遍,github还删除了我好多的ssh key,这个有点不好吧

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • Edsger W. Dijkstra -- 巨人的肩膀

    当初我设计这个算法的时候,并没有拿着纸和笔冥思苦想。那是在阿姆斯特丹的一个露天咖啡馆,我和妻子(当时在谈恋爱,一年后的1957年结婚)晒着阳光喝着咖啡,然后我灵机一动想到了这个算法。”谁还没有一个春风得意...

  • 使用Java花样解决leetcode102.二叉树的层序遍历

    自己用了两种方法写了这个...二话不说,直接队列走起: class Solution { public List<List<Integer>> levelOrder(TreeNode root) { List<List<Integer>> result = new ArrayList<&

  • 【LeetCode-简单】70. 爬楼梯(详解)

    } } 效果 用动态规划来解题真的爽 方法2:排列组合求解(数字太大溢出、不推荐) 作者:本人 当我还庆幸自己写出一个递归之后,马上就被递归超时打脸,于是拿起纸和笔开始找规律。 我的思路与下面作者一样,代码不...

  • 20200614.acm.课程总结

    接着是规定自己身边要准备好纸和笔,大大提高晚上的想法和效率。就这样五六场之后形成了我现在的cf打法。但是当形成方法后对自己的认识不足,尤其是上分的那次是以快制胜,导致从那以后明明实力不允许却贪图快,致使...

  • [LeetCode] 46.全排列

    解决回溯问题,我的经验是 一定不要偷懒,拿起纸和笔, 把这个问题的递归结构画出来,一般而言,是一个树形结构,这样思路和代码就会比较清晰了。而写代码即是将画出的图用代码表现出来。 容易理解的递归实现...

  • 《三体1》6.射手和农场主

    第二天是周末,汪淼反而起得很早,带上相机骑着自行车出去了。作为一名摄影爱好者,他最向往的题材是人迹罕至的荒野,但人到中年,已经没有精力进行这种奢侈的享受了,大多数时间只能在城市里拍风景了。他有意无意地...

  • 1.一个WEB应用的开发流程

    也可以根据程序架构进行工作量上的划分,实体由谁来负责、接口由谁来负责、应用层由谁来负责、业务逻辑层由谁来负责、数据访问层由谁来负责,等。无论项目如何庞大,这个项目的整体设计师只能有一位,那就是项目经理...

  • 就这样,我走完了程序员的前五年...

    当时带我的同事,给予了我极大的帮助,他拿着纸和笔在本子上一步一步的给我画流程,每画一步就讲为啥是这样做的,数据是怎么流转的、异常后是怎么被处理的。 我惊讶于他能把整个流程默画下来。 于是我就先硬背,管...

  • 支付宝体验设计精髓. 01 行业设计“五步法”

    其实做产品就像拍电影,你要把自己当导演:挑选场地和布景,考虑演员的状态,如何走位,台词有哪些,对戏该如何进行,电影的核心主题如何表达,等等。而用户的核心痛点与产品的核心功能很有可能是由多个使用场景组成...

  • Bigo的Java面试,我挂在了第三轮技术面上.........

    本文是鄙人薛某这位老哥的投稿,虽然面试最后挂了,但是老哥...下面问题的很多答案在笔主开源的 https://github.com/Snailclimb/JavaGuide (【Java学习 面试指南】 一份涵盖大部分Java程序员所需要掌握的核心知识 ...

  • POJ NO.1014 Dividing(多重背包,典例)

    PS:递推关系按照《挑战程序设计》来的,学习动态规划,一般人是不会一眼就看出端倪的,需要我们拿起纸和笔,把每一步(至少前3步)都写出来,这样会很有助于我们理解动态规划。 代码: #include #include #...

  • Python学习笔记 (参考书籍:Python编程 从入门到实践)Updating...

    为什么不用纸和笔呢?因为学了Markdown想来练练手哈哈~ 目录 第一章:变量和简单数据类型 变量 字符串 数 注释 列表简介 什么是列表 修改、添加和删除元素 组织列表 操作列表 遍历整个列表 创建数值列表 ...

  • 写给刚入行学计算机孩子的一封信 .

    其实我今年大三,充其量也刚刚大三一个月,并没有什么资格在这里班门弄斧,与其是说写给大一孩子的一封信,倒不如说是对我这两年来的学习做一个概述和总结,谈一谈经验和教训,能给新人们一些借鉴 便足矣.  我呢,就读在...

  • 读吴军博士新浪微博(2012.09-2014.12)信息整理

    信息关注: 读书教育、健康生活、交流互动、投资创业、趋势研究。 1、读书教育 ...你从某个摄影师那里买了一张房子的照片,不论别人是否看到这张照片,它已经存在了。当然这个摄影师还有很多更清晰的...

  • 【转】程序员面试题精选算法58题加答案 .

    很多与树相关的题目都是用递归的思路来解决,本题也不例外。下面我们用两种不同的递归思路来分析。  思路一:当我们到达某一结点准备调整以该结点为根结点的子树时,先调整其左子树将左子树转换成一个排好序的左...

  • 关于大脑性能提升的所思所想。让大脑裸奔。大脑性能提升手册.

    可是无论我如何想法让大脑思维集中,如何地绞尽脑汁,我的大脑似乎还是无法出现灵感,就好比一个学生,在考场遇到自己不感兴趣的作文题目,怎么迸也迸不文字来。 正在我一愁莫展时,我的电脑似乎还很慢,打开一些...

  • 基于STM32的卫星GPS路径记录仪(附完整源代码).zip

    基于STM32的卫星GPS路径记录仪(附完整源代码),含有完整的源码和报告文档

  • 基于Matlab的天线阵列综合设计与微波计算成像技术-探究相控阵和波束赋形在阵列天线中的应用,基于Matlab的天线阵列综合 微波与电磁场 计算成像 波束赋形 相控阵 阵列天线设计 ,核心关键词:M

    基于Matlab的天线阵列综合设计与微波计算成像技术——探究相控阵和波束赋形在阵列天线中的应用,基于Matlab的天线阵列综合 微波与电磁场 计算成像 波束赋形 相控阵 阵列天线设计 ,核心关键词:Matlab; 天线阵列综合; 微波与电磁场; 计算成像; 波束赋形; 相控阵; 阵列天线设计; 阵列天线的应用。,"Matlab驱动的阵列天线综合设计:波束赋形与相控阵计算成像技术"

  • 基于双层优化架构的电动汽车时空调度策略:实现充电负荷时空域分配与风电协同调度优化,关键词:电动汽车 时空调度 最优潮流 双层优化 18 编程语言:MATLAB平台 主题:基于双层优化的大型电动汽车时

    基于双层优化架构的电动汽车时空调度策略:实现充电负荷时空域分配与风电协同调度优化,关键词:电动汽车 时空调度 最优潮流 双层优化 18 编程语言:MATLAB平台 主题:基于双层优化的大型电动汽车时空调度(lunwen复现) 内容简介: 提出了一种双层结构的电动汽车充放电优化方案。 优化了充电负荷在时间域和空间域的分配。 同时考虑输电系统层面和配电系统层面。 利用情景考虑风电的不确定性和波动性。 阐述并论证了评估方案性能的方法 提出了一种新颖的输配电系统双层优化方法,从时间和空间两个方面解决了风电条件下电动汽车充放电负荷的调度问题。 输电网上层优化是在考虑风电的情况下,将电动汽车与火电机组、基本负荷相协调,在时域内对电动汽车的负荷周期进行优化。 然后对下一层的配电网进行负荷优化。 以10单元输电网和ieee33节点配电网为例,对所提出的双层优化策略的性能进行了评估。 分析了电价模式、电动汽车普及率和电动汽车负荷位置对其的影响。 仿真结果表明,所提出的双层优化策略,通过对电动汽车充放电时间和空间的调度,既能适应风力发电,又能提高电网运行的经济性和电动汽车用户的效益。 结果表明,电动汽

  • 数据可视化分析与实现 免费JAVA毕业设计 2024成品源码+论文+录屏+启动教程.zip

    数据可视化分析与实现 免费JAVA毕业设计 2024成品源码+论文+录屏+启动教程 启动教程:https://www.bilibili.com/video/BV1SzbFe7EGZ 项目讲解视频:https://www.bilibili.com/video/BV1Tb421n72S 二次开发教程:https://www.bilibili.com/video/BV18i421i7Dx

Global site tag (gtag.js) - Google Analytics