Google ha publicado el código fuente del proyecto HIBA (Host Identity Based Authorization), que propone implementar un mecanismo de autorización adicional para organizar el acceso de los usuarios a través de SSH en conexión con los hosts (comprobar si el acceso a un recurso específico está permitido o no durante la autenticación). utilizando claves públicas). La integración con OpenSSH se proporciona especificando el controlador HIBA en la directiva AuthorizedPrincipalsCommand en /etc/ssh/sshd_config. El código del proyecto está escrito en C y distribuido bajo la licencia BSD.
HIBA utiliza mecanismos de autenticación estándar basados en certificados OpenSSH para una gestión flexible y centralizada de la autorización de los usuarios en relación con los hosts, pero no requiere cambios periódicos en los archivos de claves_autorizadas y usuarios_autorizados en el lado de los hosts a los que se realiza la conexión. En lugar de almacenar una lista de claves públicas válidas y condiciones de acceso en archivos autorizados (claves | usuarios), HIBA integra información sobre los enlaces usuario-host directamente en los propios certificados. En particular, se han propuesto extensiones para los certificados de host y los certificados de usuario, que almacenan parámetros de host y condiciones para otorgar acceso a los usuarios.
La verificación en el lado del host se inicia llamando al controlador hiba-chk especificado en la directiva AuthorizedPrincipalsCommand. Este procesador decodifica las extensiones integradas en los certificados y, en base a ellas, toma una decisión sobre conceder o bloquear el acceso. Las reglas de acceso se determinan centralmente a nivel de autoridad de certificación (CA) y se integran en los certificados en la etapa de su generación.
Del lado del centro de certificación, se mantiene una lista general de poderes disponibles (hosts a los que se permiten conexiones) y una lista de usuarios que pueden usar estos poderes. Para generar certificados certificados con información integrada sobre credenciales, se propone la utilidad hiba-gen y en el script iba-ca.sh se incluye la funcionalidad necesaria para crear una autoridad de certificación.
Cuando un usuario se conecta, la autoridad especificada en el certificado se confirma mediante una firma digital de la autoridad de certificación, que permite que todas las comprobaciones se realicen íntegramente en el lado del host de destino al que se realiza la conexión, sin recurrir a servicios externos. La lista de claves públicas de la autoridad certificadora que certifica los certificados SSH se especifica mediante la directiva TrustedUserCAKeys.
Además de vincular directamente a los usuarios con los hosts, HIBA le permite definir reglas de acceso más flexibles. Por ejemplo, información como la ubicación y el tipo de servicio se puede asociar con los hosts y, al definir reglas de acceso de usuarios, se pueden permitir conexiones a todos los hosts con un tipo de servicio determinado o a hosts en una ubicación específica.
Fuente: opennet.ru