Кампанія Google апублікавала зыходныя тэксты праекта HIBA (Host Identity Based Authorization), які прапануе рэалізацыю дадатковага механізму аўтарызацыі для арганізацыі доступу карыстальнікаў па SSH ў прывязцы да хастаў (праверкі, дазволены ці не доступ да канкрэтнага рэсурсу пры аўтэнтыфікацыі па адкрытых ключах). Інтэграцыя з OpenSSH забяспечваецца праз указанне апрацоўшчыка HIBA у дырэктыве AuthorizedPrincipalsCommand у /etc/ssh/sshd_config. Код праекту напісаны на мове Сі і распаўсюджваецца пад ліцэнзіяй BSD.
HIBA выкарыстоўвае штатныя механізмы аўтэнтыфікацыі на аснове сертыфікатаў OpenSSH для гнуткага і цэнтралізаванага кіравання аўтарызацыяй карыстачоў у прывязцы да хастаў, але не патрабуе пры гэтым перыядычнай змены файлаў authorized_keys і authorized_users на боку хастоў, да якіх ажыццяўляецца падлучэнне. Замест захоўвання спісу дапушчальных публічных ключоў і ўмоў доступу ў файлах authorized_(keys|users), HIBA інтэгруе звесткі аб прывязцы карыстальнікаў да хастаў непасрэдна ў самі сертыфікаты. У прыватнасці, прапанаваны пашырэнні для сертыфікатаў хастоў і сертыфікатаў карыстальнікаў, у якіх захоўваюцца параметры хастоў і ўмовы прадастаўлення доступу карыстальнікаў.
Праверка на баку хаста ініцыюецца праз выклік апрацоўшчыка hiba-chk, прапісанага ў дырэктыве AuthorizedPrincipalsCommand. Дадзены апрацоўшчык дэкадуе інтэграваныя ў сертыфікаты пашырэння і на іх аснове прымае рашэнне аб прадастаўленні або блакаванні доступу. Правілы доступу вызначаюцца цэнтралізавана на ўзроўні які сведчыць цэнтра (CA) і інтэгруюцца ў сертыфікаты на этапе іх генерацыі.
На баку цэнтра вядзецца агульны спіс даступных паўнамоцтваў (хастоў да якіх дазволена падключэнне) і спіс карыстальнікаў, якім дазволена скарыстацца дадзенымі паўнамоцтвамі. Для генерацыі завераных сертыфікатаў з інтэграванай інфармацыяй аб паўнамоцтвах прапанавана ўтыліта hiba-gen, а функцыянальнасць неабходная для стварэння які сведчыць цэнтра вынесена ў скрыпт iba-ca.sh.
Падчас падлучэння карыстальніка паказаныя ў сертыфікаце паўнамоцтвы пацвярджаюцца лічбавым подпісам які сведчыць цэнтра, што дазваляе выканаць усе праверкі цалкам на боку мэтавага хаста, да якога ажыццяўляецца падлучэнне, без звароту да вонкавых службаў. Спіс адкрытых ключоў які сведчыць цэнтра, які запэўнівае SSH-сертыфікаты, паказваецца праз дырэктыву TrustedUserCAKeys.
Акрамя прамой прывязкі карыстальнікаў да хастаў, HIBA дазваляе вызначыць больш гнуткія правілы доступу. Напрыклад, да хастаў можна прывязаць такую інфармацыю як месцазнаходжанне і тып сэрвісу, а пры вызначэнні правіл доступу карыстальнікаў дазволіць падлучэнні да ўсіх хастаў з зададзеным тыпам сэрвісу або да хастаў у паказаным месцы.
Крыніца: opennet.ru