Google hat HIBA veröffentlicht, eine Erweiterung für OpenSSH zur zertifikatbasierten Authentifizierung.

Google hat den Quellcode des HIBA (Host Identity Based Authorization) Projekts veröffentlicht, das einen zusätzlichen Autorisierungsmechanismus zur Organisation des Zugriffs von Benutzern über SSH in Verbindung mit Hosts anbietet (Überprüfung, ob der Zugriff auf eine bestimmte Ressource bei der Authentifizierung mit öffentlichen Schlüsseln erlaubt ist oder nicht). Die Integration mit OpenSSH erfolgt durch die Angabe des HIBA-Handlers in der Direktive AuthorizedPrincipalsCommand in /etc/ssh/sshd_config. Der Code des Projekts ist in C geschrieben und wird unter der BSD-Lizenz verbreitet.

HIBA nutzt Standardmechanismen zur Authentifizierung basierend auf OpenSSH-Zertifikaten für eine flexible und zentrale Verwaltung der Benutzerautorisierung in Verbindung mit Hosts, erfordert jedoch nicht die periodische Änderung von authorized_keys und authorized_users-Dateien auf den Hosts, zu denen eine Verbindung hergestellt wird. Anstelle der Speicherung einer Liste zulässiger öffentlicher Schlüssel und Zugangsbedingungen in den Dateien authorized_(keys|users) integriert HIBA die Informationen zur Bindung von Benutzern an Hosts direkt in die Zertifikate. Insbesondere werden Erweiterungen für Host-Zertifikate und Benutzer-Zertifikate angeboten, in denen die Hostparameter und die Bedingungen für den Benutzerzugang gespeichert werden.

Die Überprüfung auf der Host-Seite wird durch den Aufruf des in der Directive AuthorizedPrincipalsCommand angegebenen Handlers hiba-chk initiiert. Dieser Handler dekodiert die in die Zertifikate integrierten Erweiterungen und trifft basierend darauf eine Entscheidung über die Genehmigung oder Blockierung des Zugangs. Die Zugangsregeln werden zentral auf der Ebene der Zertifizierungsstelle (CA) definiert und in die Zertifikate während ihrer Erstellung integriert.

Auf der Seite der Zertifizierungsstelle wird eine gemeinsame Liste der verfügbaren Berechtigungen (Hosts, zu denen eine Verbindung hergestellt werden darf) sowie eine Liste der Benutzer geführt, die berechtigt sind, diese Berechtigungen zu nutzen. Zur Erstellung von beglaubigten Zertifikaten mit integrierten Informationen über die Berechtigungen wurde das Tool hiba-gen vorgeschlagen, und die für die Erstellung der Zertifizierungsstelle erforderliche Funktionalität wurde in das Skript iba-ca.sh ausgelagert.

Beim Verbinden des Benutzers werden die im Zertifikat angegebenen Berechtigungen durch die digitale Signatur der Zertifizierungsstelle bestätigt, wodurch alle Prüfungen vollständig auf der Seite des Zielhosts, zu dem die Verbindung hergestellt wird, durchgeführt werden können, ohne dass auf externe Dienste zugegriffen werden muss. Die Liste der öffentlichen Schlüssel der Zertifizierungsstelle, die SSH-Zertifikate beglaubigt, wird über die Direktive TrustedUserCAKeys angegeben.

Neben der direkten Zuordnung von Benutzern zu Hosts ermöglicht HIBA die Definition flexiblerer Zugriffsregeln. So können beispielsweise Informationen wie Standort und Diensttyp an Hosts gebunden werden, während bei der Festlegung von Zugriffsregeln für Benutzer die Verbindung zu allen Hosts mit dem angegebenen Diensttyp oder zu Hosts an einem bestimmten Ort erlaubt werden kann.

Google hat HIBA veröffentlicht, eine Erweiterung für OpenSSH zur zertifikatbasierten Authentifizierung.
Google hat HIBA veröffentlicht, eine Erweiterung für OpenSSH zur zertifikatbasierten Authentifizierung.


Quelle: opennet.ru
Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster