Google publicou o código fonte do proxecto HIBA (Host Identity Based Authorization), que propón a implantación dun mecanismo de autorización adicional para organizar o acceso dos usuarios a través de SSH en relación cos hosts (comprobando se se permite ou non o acceso a un recurso específico ao autenticarse). utilizando claves públicas). A integración con OpenSSH prodúcese especificando o controlador HIBA na directiva AuthorizedPrincipalsCommand en /etc/ssh/sshd_config. O código do proxecto está escrito en C e distribúese baixo a licenza BSD.
HIBA utiliza mecanismos de autenticación estándar baseados en certificados OpenSSH para unha xestión flexible e centralizada da autorización de usuarios en relación aos hosts, pero non require cambios periódicos nos ficheiros authorized_keys e authorized_users do lado dos hosts aos que se establece a conexión. En lugar de almacenar unha lista de claves públicas válidas e condicións de acceso en ficheiros autorizados_(claves|usuarios), HIBA integra información sobre as ligazóns usuario-host directamente nos propios certificados. En particular, propuxéronse extensións para certificados de host e certificados de usuario, que almacenan parámetros de host e condicións para conceder o acceso de usuario.
A comprobación no lado do host iníciase chamando ao manejador hiba-chk especificado na directiva AuthorizedPrincipalsCommand. Este procesador descodifica extensións integradas nos certificados e, en función delas, toma unha decisión sobre a concesión ou o bloqueo do acceso. As regras de acceso determínanse centralmente a nivel da autoridade de certificación (CA) e intégranse nos certificados na fase da súa xeración.
No lado do centro de certificación, mantense unha lista xeral de poderes dispoñibles (hosts aos que se permiten conexións) e unha lista de usuarios aos que se lles permite usar estes poderes. Para xerar certificados certificados con información integrada sobre as credenciais, proponse a utilidade hiba-gen e a funcionalidade necesaria para crear unha autoridade de certificación inclúese no script iba-ca.sh.
Cando un usuario se conecta, a autoridade especificada no certificado confírmase mediante unha sinatura dixital da autoridade de certificación, que permite que todas as comprobacións se realicen integramente no lado do host de destino ao que se realiza a conexión, sen recorrer a servizos externos. A lista de claves públicas da autoridade de certificación que certifica os certificados SSH especifícase a través da directiva TrustedUserCAKeys.
Ademais de ligar directamente os usuarios aos hosts, HIBA permítelle definir regras de acceso máis flexibles. Por exemplo, información como a localización e o tipo de servizo pódese asociar a hosts e, ao definir as regras de acceso de usuarios, pódense permitir conexións a todos os hosts cun determinado tipo de servizo ou a hosts nunha localización especificada.
Fonte: opennet.ru